Acesso à informação, segurança e proteção de dados: um caminho longo para Administração Pública

Acesso à informação, segurança e proteção de dados: um caminho longo para Administração Pública

REDAÇÃO

18 de novembro de 2020 | 11h32

Tainá Aguiar Junquilho, Professora substituta da Universidade de Brasília. Doutoranda em Direito pela UnB.

Murilo Borsio Bataglia, Professor voluntário da Universidade de Brasília. Doutorando em Direito pela UnB.

Ana Claudia Farranha, Professora associada da Universidade de Brasília – Programa de Pós-Graduação em Direito. Doutora em Ciências Sociais pela UNICAMP.

 

O mês de novembro inaugura o que gostamos de chamar de “fim do ano”. Planejamento de festas e balanço do ano começam a ser gestados nessa época. Estamos chegando no sprint final da série “2020: o ano em que mudamos de vida”. Após a agitação dos meses anteriores com a entrada em vigor da Lei Geral de Proteção de Dados (LGPD), na primeira semana de novembro, assistimos aos capítulos emocionantes das eleições mais disputadas da história da democracia norte-americana, seguidas pela eletrizante sequência das eleições municipais no Brasil.

Nesses episódios, algumas  polêmicas disputam o espaço no noticiário desde as acusações de fraudes nas eleições americanas (e brasileiras também), até incidentes de segurança  da informação,  e, em particular chama a atenção  a ocorrência de diversas invasões hackers a sistemas de informação da Administração Pública, a começar pelo sistema do Superior Tribunal de Justiça (STJ), seguido pelo Ministério da Saúde (MS),  pelo site do Governo do Distrito Federal (GDF) e, agora, suspeitas sobre ataque aos sistemas do Tribunal Superior Eleitoral (TSE).

Esses acontecimentos envolvem diversos assuntos, dentre os quais destacamos: proteção de dados, segurança e também o acesso à informação. Diante disso, esse artigo busca trazer breves reflexões sobre os desafios vinculados a esses temas, relacionando-os com legislações aplicáveis, e também questionando: como a Administração Pública pode lidar com tais desafios? Quais os possíveis desdobramentos?

Tendo isso em vista, iniciamos essa problematização perguntando: como funcionam esses ataques? Há fortes suspeitas de que se trata do golpe chamado ransomware, pelo qual se bloqueia por criptografia o acesso aos processos e informações dos órgãos e exigem-se valores pelo desbloqueio dos arquivos. Tais ataques ocorrem no momento em que a segurança da informação e a proteção de dados estão em debate, muito em função da entrada em vigor da LGPD, legislação protetiva da privacidade e que estabelece punições severas no âmbito administrativo às instituições por vazamentos de dados.

Ora, a LGPD tem como pilar e guia a prevenção. Isso significa que a LGPD é uma regulação que cobra de todas as instituições que lidam com dados condutas efetivas e demonstração de adoção das medidas técnicas possíveis e disponíveis, tais como:  contratação da figura do encarregado de proteção de dados (DPO); desenvolvimento da cultura organizacional de protetiva de dados, privacidade por design e por default etc, para evitar danos ao direito fundamental da proteção dos dados pessoais e resguardar a privacidade. Antes da violação ao direito, é fundamental para avaliação do risco e do cálculo da sanção, a compreensão de quais as providências estavam sendo tomadas para evitar as falhas.

Visto isso, inclui-se nesse debate o tema da transparência ou acesso à informação. Além de ser um princípio a ser seguido pela Administração Pública (publicidade – art. 37, caput, da Constituição Federal de 1988), o Brasil possui a Lei de Acesso à Informação (LAI – Lei n. 12.527/2011), que, em breve completará 10 anos de promulgação.

A LAI permanece um importante instrumento responsável por assegurar o direito de acesso à informação pública, apesar de tentativas recentes de alteração dessa lei ou de seus procedimentos (que ampliariam possibilidades de sigilo ou prazos e justificativas de respostas – e que não foram concretizadas seja por revogação governamental das mudanças feitas pelo próprio governo, seja por ações no STF). Essa legislação traz em seu corpo a necessidade de observar a publicidade como regra e o sigilo como exceção, a divulgação de informações públicas, utilizando-se dos meios de comunicação para tanto. Ela abrange todos os Poderes da República[1], Ministério Público, em todas as esferas federativas. Mas, com essa importância, questiona-se: como o acesso à informação se relaciona com a segurança da informação e proteção de dados?

Para responder essa pergunta, é importante deixar evidente que não se tratam de assuntos opostos. Pelo contrário, complementam-se. Na própria LAI, há indicativos que apontam essa relação: a Administração Pública deve assegurar a gestão transparente da informação; a proteção da informação (garantindo disponibilidade, autenticidade e integridade); e a proteção da informação sigilosa e da informação pessoal. (Art. 6º, LAI).

Nesse sentido, verifica-se que já havia essa obrigação do Poder Público (seja ele no Executivo, Legislativo ou Judiciário, cada qual com suas regulamentações), em garantir a ampla divulgação de dados públicos, bem como garantir a proteção da integridade desses dados, combinados com a proteção de informações pessoais (sensíveis). Com a LGPD, essa questão da proteção ganhou maior debate, no entanto, inicialmente com um enfoque para o tratamento de dados pessoais armazenados por empresas, ou pela iniciativa privada.

Com esses ataques sobre instituições públicas no Brasil (STJ, GDF, MS, TSE), reacende-se a discussão sobre a proteção desses dados de responsabilidade da própria Administração Pública também. Surgem perguntas: como estão armazenados? Como se garante essa integridade de informações? Que ações de proteção tecnológica têm sido feitas para proteger a sua autenticidade?

Assim, dois pontos se destacam: i) saber a complementariedade dessas legislações e assuntos; ii) ter conhecimento e transparência sobre como a Administração Pública garante essa integridade (ou ao menos se são adotadas medidas para isso). E um último ponto compreende: iii) não justificar a ausência de transparência por meio da necessidade de proteção de dados.

Cabe, nesse cenário de incertezas, lançar destaque para situações em que a Administração pode se aproveitar dos princípios de privacidade e proteção de dados para justificar sigilos descabidos ou redução de divulgação de informações públicas que são de  suma relevância para o debate público da sociedade.

A transparência é fundamental para a democracia (“oxigênio da democracia”, já diria a ONG Artigo 19 especializada nesse tema). Ter acesso a informações sobre como outras informações estão sendo geridas, se estão sendo protegidas e com autenticidade garantidas é o que se deve observar nesse momento.

A questão que fica é: estamos preparados para lidar com o “paradoxo” da transparência e segurança de dados públicos? Como funcionará a punição pelo descumprimento das normativas de proteção de dados, quando a própria Administração Pública mostra-se frágil, torna-se refém e alvo fácil de hackers?

Logo, esse debate buscou chamar atenção para esses novos desafios que se colocam para administradores públicos. Esses temas envolvem mais que questões técnicas de padrões de dados e sistemas de informação: envolvem questões políticas. É preciso decidir por ser transparente com a existência de proteção de dados, de autenticidade de informações públicas, que são fontes para tomadas de decisão e diversos projetos. Garantir a integridade da transparência e das informações revela-se fundamental.

O desafio, nesse caso, consiste em proteger dados pessoais e isso pode (e deve ser feito com padrões técnicos), ampliar processos de transparência, efetivando princípios democráticos e, principalmente, promover sistemas seguros e auditáveis com base nas melhores práticas de gerenciamento da informação. Nossa percepção é que esses temas foram muito pouco explorados no debate eleitoral de 2020. Mas, se o ano finda, certamente essas são questões que permeiam as esferas da Administração Pública Municipal, Estadual e Federal. Quem conseguir, minimamente, conectar essas três pontas (proteção, informação e segurança), terá diante de si a possibilidade de aprofundar inovações que poderão  combinar técnica e política, ou melhor, sócio-tecno-política.

A conferir. Que venha 2021 e seus novos capítulos empolgantes!!!

 

 

REFERÊNCIAS

 BATAGLIA, Murilo Borsio; LEMOS, Amanda; FARRANHA, Ana Claudia. Proteção de Dados Pessoais e Acesso à Informação: Interfaces do Papel da Sociedade Civil no Processo Legislativo Brasileiro. In XIX Encontro da ANPAD – EnANANPAD 2020. 14 a 16 de outubro de 2020.

SOLOVE, D. J. Nothing to Hide: The False Tradeoff between Privacy and Security.Yale: University Press New Haven & London. 2001.

[1] Poder Executivo Federal possui o Decreto 7.724/2012 que regulamentou a LAI. O Conselho Nacional de Justiça editou a Resolução n. 215/2015 para implementação da LAI no Judiciário. O Congresso Nacional possui regulamentos conforme cada casa (Câmara – Ato da Mesa n.45/2012 e Senado – Ato da Comissão Diretora n.09/2012).

Comentários

Os comentários são exclusivos para assinantes do Estadão.