O Tribunal Central Administrativo do Sul rejeitou a aplicação de uma sanção diária à Inspeção Geral de Finanças (IGJ) por não ceder ao jornal Público os resultados da auditoria de segurança à plataforma Citius, que suporta os diferentes serviços e ferramentas da justiça portuguesa. A decisão surge depois de uma outra, também lavrada pelo Tribunal Central Administrativo do Sul que, em Dezembro, obrigava a IGF a ceder aos jornalistas os resultados da auditoria de segurança da Citius. O volte-face neste processo deveu-se ao estatuto de confidencialidade com que a auditoria foi classificada recentemente.
Segundo o Público, o Tribunal Central Administrativo do Sul considerou que a IGF deveria fornecer à comunicação social os dados relativos à auditoria de segurança, uma vez que essa análise de sistemas não tinha sido previamente classificada como confidencial. Conhecido este veredicto, a IGF tratou de classificar a auditoria como confidencial. O que levou o Tribunal Central Administrativo do Sul a recusar, num segundo momento, a pretensão do Público com vista à aplicação de uma sanção por cada dia de atraso ou de recusa na cedência do relatório da auditoria de segurança da Citius.
A IGF alega que a divulgação dos resultados da auditoria de segurança poderia pôr em causa o funcionamento dos tribunais, uma vez que permitiria o conhecimento de vulnerabilidades que podem ser exploradas, «com os riscos de prejudicar, influenciar ou impedir o normal funcionamento das instituições públicas, no domínio da Justiça».
Com a última decisão do Tribunal Central Administrativo do Sul, o processo ficou encerrado e a IGF evitou, assim, a cedência da totalidade do relatório da auditoria de segurança – mas cedeu uma parte da informação relacionada com a investigação das causas da paralisação dos sistemas da justiça nacional durante 44 dias, aquando da migração para o novo mapa judiciário que levou à extinção e à criação de novos tribunais durante o ano de 2014.
O documento de 18 páginas, disponibilizado com identificadores do IGF, faz uma descrição sumária das causas que terão levado ao “crash” de 2014, que pretendia migrar 342 bases de dados de diferentes marcas para 23 novos repositórios. Num primeiro momento, o texto da IGF informa que 26 das 37 medidas que foram preconizadas num relatório elaborado durante uma primeira auditoria de segurança ao Citius, que foi realizada pela própria IGF entre 2013 e 2014, não foram aplicadas. Essa auditoria já alertava para os eventuais problemas que poderiam surgir no caso de ser necessário migrar as bases de dados da Justiça.
Além da complexidade desta concentração de bases de dados, o documento da IGF que o Público dá a conhecer esta segunda-feira confirma ainda que dois meses antes dos trabalhos relacionados com a migração de três milhões de processos judiciais, o Instituto de Gestão Financeira e Equipamentos da Justiça (IGFEJ), que gere a plataforma Citius, terá decidido transferir a responsabilidade do processo de migração do Núcleo de Arquitetura e Sistemas de Informação para a Área dos Tribunais para o Núcleo de Administração de Plataformas Partilhadas. A IGF não detalha qualquer motivo para esta transferência de responsabilidades.
O documento da IGF refere ainda que houve uma entidade, cujo nome não é revelado, que foi contratada para antecipar o trabalho exigido à migração do Citius. Essa entidade apontou para os desafios técnicos relacionados com a concentração de informação de bases de dados de diferentes proveniências e formatos, mas não terá sequer analisado a viabilidade técnica da linguagem que está na origem da Citius (que começou por ser criado por técnicos do Ministério da Justiça), nem teve em conta a otimização das bases de dados, nem terá recomendado algumas das práticas conhecidas que permitiriam a proliferação de documentos e processos sem pôr em causa o desempenho das bases de dados.
O Público refere ainda que, em 2012, a Direção Geral da Administração da Justiça terá feito um levantamento, elencando três cenários possíveis para a migração das bases de dados. Este levantamento não foi tido em conta pelo IGFEJ, que delineou um plano de migração das bases de dados que, segundo a IGF, não tinha em conta «questões essenciais» relacionadas com a execução, a migração e o controlo dos repositórios dos processos judiciais.
O modelo de gestão de todo o processo, que previa a constituição de uma equipa com diferentes especialistas, acabou por não ser aplicado. Coincidência ou não, a primeira migração que estava agendada para 1 de setembro acabou por fracassar. Uma segunda viria a ser desencadeada depois de 4 de setembro de 2014.