Acaba de ser publicado o Decreto nº 9.637/18 que, dentre suas disposições, institui a Política Nacional de Segurança da Informação (PNSI), governança da segurança da informação e regulamenta a dispensa de licitação prevista no art. 24, inciso IX da Lei Federal nº 8.666/93, para os casos que possam comprometer a segurança nacional.
Convergindo com as premissas, notadamente previstas na Lei Federal nº 12.527/11, também conhecida como “LAI – Lei de Acesso à Informação” e, a também recente, Lei Federal nº 13.709/18, denominada de “LGPD” – Lei Geral de Proteção de Dados, o presente Decreto busca sistematizar a racionalidade por detrás das informações disponibilizadas, apresentando mecanismos para a concretização de seus objetivos.
De acordo com a norma, aplicável à Administração Pública Federal, a segurança da informação abrange a segurança e a defesa cibernética, a segurança física e a proteção de dados organizacionais, bem como as ações destinadas a disponibilidade, a integridade, a confidencialidade e a autenticidade das informações.
São muitos os princípios previstos na PNSI, dentre os quais se destacam a soberania nacional, promoção dos direitos e das garantias fundamentais, em especial a liberdade de expressão, proteção de dados pessoais, a proteção da privacidade e o acesso à informação, a garantia do sigilo das informações, cooperação entre os órgãos de investigação, orientação à gestão da segurança e tratamento de incidentes da informação, etc., os quais guardam pertinência com a CF/88, LAI e LGPD.
Para a persecução de seus objetivos, a PNSI prevê como suas ferramentas a Estratégia Nacional de Segurança da Informação e os denominados Planos Nacionais.
A primeira conterá as ações estratégicas e os objetivos relacionados à segurança da informação, em consonância com as políticas públicas e os programas do Governo federal, e será dividida em módulos, tais como segurança e defesa cibernéticas, segurança das infraestruturas críticas, segurança da informação sigilosa e a proteção contra o vazamento de dados, ao passo que os Planos Nacionais conterão o detalhamento da execução das ações estratégicas e dos objetivos da Estratégia Nacional de Segurança da Informação, o planejamento, a organização, a coordenação das atividades e do uso de recursos para a execução das ações de contingência que garantam o atingimento dos resultados esperados.
Também, é prevista a instituição do Comitê Gestor da Segurança da Informação, com atribuição de assessorar o Gabinete de Segurança Institucional da Presidência da República nas atividades relacionadas à segurança da informação, o qual será composto por um representante titular e respectivo suplente indicados pelos órgãos ligados ao Executivo Federal.
Sob a ótica de proteção de dados, tema bastante sensível dada sua também recém criada lei, importante destacar as competências atribuídas aos órgãos e às entidades da administração pública federal, que passam a ter de: (i) implementar a PNSI; (ii) elaborar sua política de segurança da informação e as normas internas de segurança da informação, observadas as normas de segurança da informação editadas pelo Gabinete de Segurança Institucional da Presidência da República; (iii) designar um gestor de segurança da informação interno, indicado pela alta administração do órgão ou da entidade; (iv) instituir comitê de segurança da informação ou estrutura equivalente, para deliberar sobre os assuntos relativos à PNSI; (v) destinar recursos orçamentários para ações de segurança da informação; (vi) promover ações de capacitação e profissionalização dos recursos humanos em temas relacionados à segurança da informação; (vii) instituir e implementar equipe de tratamento e resposta a incidentes em redes computacionais, que comporá a rede de equipes formada pelos órgãos e entidades da administração pública federal, coordenada pelo Centro de Tratamento de Incidentes de Redes do Governo do Gabinete de Segurança Institucional da Presidência da República; (viii) coordenar e executar as ações de segurança da informação; (ix) consolidar e analisar os resultados dos trabalhos de auditoria sobre a gestão de segurança da informação e; (x) aplicar as ações corretivas e disciplinares cabíveis nos casos de violação da segurança da informação.
Como se depreende da leitura, o Decreto converge com o disposto a partir do art.23 da LGPD, que trata das regras para tratamento de dados pelo Poder Público, corroborando o entendimento sobre sua importância pelo legislador nacional.
Por fim, vale acrescentar a questão da dispensa de licitação prevista no art. 24, inciso IX da Lei Federal nº 8.666/93, que abarca a possibilidade de contratação direta pelo Poder Público.
Embora já restasse assentada a possibilidade de dispensa de licitação – conceito este que deve ser entendido como a prerrogativa do Administrador Público optar por realizar ou não o certame, dado que é viável a competição – com a edição do presente Decreto, restou asseverada, ainda mais, a pertinência e cuidado do tema no ordenamento nacional.
Cabe-nos, por fim, aguardar que os ditames sejam concretizados da melhor forma possível, compatibilizando a ideia de garantia dos direitos fundamentais com as prerrogativas de exorbitância do Estado.