RESUMO: O presente trabalho destina-se a demonstrar a importância e existência do princípio da publicidade antes da Lei de Acesso à Informação, comprovando que o arcabouço legislativo já delineava a dicotomia transparência e sigilo das informações. Estabelecidas essas premissas, chegamos à conclusão que a Lei de Acesso à Informação impulsionou não apenas a publicidade dos atos, mas, igualmente a adoção de medidas de segurança da informação no âmbito da administração pública.

PALAVRAS CHAVE: Princípio da Publicidade. Sigilo. Lei de Acesso à Informação.

INTRODUÇÃO

            Ao longo das discussões e após a aprovação da Lei de Acesso à Informação permeou-se o imaginário popular da falsa ideia que a referida lei inaugurava em nosso país a possibilidade da sociedade ter acesso a documentos públicos, sejam eles originalmente ostensivos ou com perda da característica de sigilosos.

            Olvidou-se que o princípio da publicidade já existia, inclusive em sede constitucional, e que a legislação regente da matéria, assim como a Lei que surgia festejada, também já dispunha que a publicidade é a regra.

            A Lei nº 12.527/2011 e os Decretos nº 7.724/2012 e 7845/2012 trouxeram à baila tanto a necessária publicidade dos documentos elaborados no âmbito da administração pública, quanto, em contraponto, a imperiosa observância do sigilo.

            É forçoso dizer, no entanto, que a denominada Lei de Acesso à Informação não introduziu em nosso ordenamento jurídico a noção de publicidade e transparência dos atos administrativos e, tampouco inaugurou a disciplina do sigilo.

DO ARCABOUÇO NORMATIVO

            O art. 37, caput, a Magna Carta elencou expressamente o princípio da publicidade como de observância obrigatória na administração pública. É como bem leciona Carvalho Filho:

Outro princípio mencionado na Constituição é o da publicidade. Indica que os atos da administração devem merecer a mais ampla divulgação possível entre os administrados, e isso porque constitui fundamento do princípio propiciar-lhes a possibilidade de controlar a legitimidade da conduta dos agentes administrativos. Só com a transparência dessa conduta é que poderão os indivíduos aquilatar a legalidade ou não dos atos e o grau de eficiência de que se revestem.[1]

          Sobre o assunto lapidar os ensinamentos de Branco, Mendes e Coelho:

Em trabalho sobre a publicidade administrativa, ensina Carlos Ari Sundfeld que “a razão de ser da Administração é toda externa, que tudo que nela se passa, tudo que faz, tudo que possui, tem uma direção exterior” (RDA, 199/97). Em perspectiva mais profunda, Norberto Bobbio proclama que, idealmente, a democracia é o governo do pode visível ou o governo cujos atos se desenvolvem em público, sob o controle da opinião pública. De um ponto de vista ainda mais exigente, Aulis Aarnio afirma que também o raciocínio que está por trás das decisões que afetam terceiros deve sujeitar-se a inspeção pública.

No plano jurídico-formal o princípio da publicidade aponta para a necessidade de que todos os atos administrativos estejam expostos ao público, que se pratiquem à luz do dia, até porque os agentes estatais não atuam para a satisfação de interesses pessoais, nem sequer da própria Administração, que, sabidamente, é, apenas um conjunto de pessoas, órgãos, entidades e funções, uma estrutura, enfim a serviço do interesse público, que, este sim, está acima de quaisquer pessoas. Prepostos da sociedade, que os mantém e legítima no exercício das suas funções, devem os agentes públicos estar permanentemente abertos à inspeção social, o que só se materializa com a publicação/publicidade dos seus atos.[2]

          Nessa linha de raciocínio, a Lei 8159/91 já dispunha que a publicidade é a regra:

Art. 22 - É assegurado o direito de acesso pleno aos documentos públicos.

Art - 23. Decreto fixará as categorias de sigilo que deverão ser obedecidas pelos órgãos públicos na classificação dos documentos por eles produzidos.

§ 1º - Os documentos cuja divulgação ponha em risco a segurança da sociedade e do Estado, bem como aqueles necessários ao resguardo da inviolabilidade da intimidade, da vida privada, da honra e da imagem das pessoas são originariamente sigilosos.

§ 2º - O acesso aos documentos sigilosos referentes à segurança da sociedade e do Estado será restrito por um prazo máximo de 30 (trinta) anos, a contar da data de sua produção, podendo esse prazo ser prorrogado, por uma única vez, por igual período.

§ 3º - O acesso aos documentos sigilosos referente à honra e à imagem das pessoas será restrito por um prazo máximo de 100 (cem) anos, a contar da sua data de produção.

Art. 24 - Poderá o Poder Judiciário, em qualquer instância, determinar a exibição reservada de qualquer documento sigiloso, sempre que indispensável à defesa de direito próprio ou esclarecimento de situação pessoal da parte.

Parágrafo único - Nenhuma norma de organização administrativa será interpretada de modo a, por qualquer forma, restringir o disposto neste artigo.

            O Decreto 4553, de 27 de dezembro de 2002, que disciplinava a salvaguarda de dados, informações, documentos e materiais sigilosos de interesse da segurança da sociedade e do Estado, no âmbito da Administração Pública Federal, igualmente estabelecia que o sigilo é exceção.

          Assim, além da sede constitucional, nossa legislação contava com, pelo menos, dois instrumentos normativos que estabeleciam o caráter excepcional da restrição da informação. Tanto assim, que a Lei 12527/2011 revogou alguns dispositivos da Lei 8159/91 e o Decreto 7845/2012 substituiu o Decreto 4553/2002, estabelecendo, a partir de então, um novo regime sobre a matéria.

          Observando a questão sob outro ângulo, o do sigilo, o Departamento de Segurança da Informação e Comunicações, órgão do Gabinete de Segurança Institucional da Presidência da República, editou a Instrução Normativa GSI/PR n° 01, de 13 de junho de 2008, e Normas Complementares que estabelecem as medidas a serem adotadas por cada órgão da Administração Pública Federal após a elaboração de uma Politica de Segurança da Informação e Comunicações:

a)                A metodologia de gestão da segurança da informação e comunicações (Norma Complementar nº 02/IN01/DSIC/GSIPR)

b)                Diretrizes para o processo de Gestão de Riscos de Segurança da Informação e Comunicações - GRSIC (Norma Complementar nº 04/IN01/DSIC/GSIPR)

c)                A criação de Equipes de Tratamento e Respostas a Incidentes em Redes Computacionais – ETIR (Norma Complementar nº 05/IN01/DSIC/GSIPR)

d)                Diretrizes para Gestão de Continuidade de Negócios, nos aspectos relacionados à Segurança da Informação e Comunicações (Norma Complementar nº 06/IN01/DSIC/GSIPR)

e)                Diretrizes para Implementação de Controles de Acesso Relativos à Segurança da Informação e Comunicações (Norma Complementar nº 07/IN01/DSIC/GSIPR)

f)                 Diretrizes para Gerenciamento de Incidentes em Redes Computacionais, uso de recursos criptográficos como ferramenta de controle de acesso em Segurança da Informação e Comunicações (Norma Complementar nº 08/IN01/DSIC/GSIPR)

g)                Orientações específicas para o uso de recursos criptográficos como ferramenta de controle de acesso em Segurança da Informação e Comunicações (Norma Complementar nº 09/IN01/DSIC/GSIPR)

h)                Diretrizes para o processo de Inventário e Mapeamento de Ativos de Informação (Norma Complementar nº 10/IN01/DSIC/GSIPR)

i)                  Diretrizes para avaliação de conformidade nos aspectos relativos à Segurança da Informação e Comunicações (SIC) (Norma Complementar nº 11/IN01/DSIC/GSIPR)

j)                  Diretrizes e orientações básicas para o uso de dispositivos móveis nos aspectos referentes à Segurança da Informação e Comunicações (SIC) (Norma Complementar nº 12/IN01/DSIC/GSIPR)

k)                Diretrizes para a Gestão de Mudanças nos aspectos relativos à Segurança da Informação e Comunicações (Norma Complementar nº 13/IN01/DSIC/GSIPR)

l)                  Diretrizes para a utilização de tecnologias de Computação em Nuvem, nos aspectos relacionados à Segurança da Informação e Comunicações (SIC) (Norma Complementar nº 14/IN01/DSIC/GSIPR)

m)              Diretrizes de Segurança da Informação e Comunicações para o uso de redes sociais (Norma Complementar nº 15/IN01/DSIC/GSIPR)

n)                Diretrizes para o Desenvolvimento e Obtenção de Software Seguro (Norma Complementar nº 16/IN01/DSIC/GSIPR)

          A Política de Segurança da Informação e Comunicações tem como um de seus principais objetivos, nos termos do Decreto nº 3.505/2000, dotar os órgãos de instrumentos jurídicos, normativos e organizacionais que os capacitem científica, tecnológica e administrativamente a assegurar a confidencialidade, a integridade, a autenticidade, o não repúdio e a disponibilidade dos dados e das informações tratadas, classificadas e sensíveis. A normatização do tratamento da informação, portanto, deriva da Política de Segurança da Informação e Comunicações.

          É bom lembrar que o Departamento e Segurança das Informações e Comunicações tem como competência descrita no art. 6°, inciso III, do Decreto nº 7.411/2010 a definição de requisitos metodológicos para implementação da segurança cibernética e da segurança da informação e comunicações pelos órgãos e entidades da Administração Pública Federal.

          Essa atribuição de orientar os órgãos da Administração Pública Federal quanto à segurança da informação e comunicações tem sido ratificada pelo Tribunal de Contas da União. A matéria mereceu uma avaliação ampla e estatística pela Corte de Contas, que observou o assunto em 255 órgãos da Administração Pública Federal.

Acórdão 1603/2008 - Plenário

5. Segurança da informação

54. Neste tópico, o objetivo é delinear a qualidade do tratamento dado pelos órgãos públicos à segurança das informações sob sua responsabilidade.

55. A importância do correto tratamento para a confidencialidade, a integridade e a disponibilidade das informações de órgãos públicos é evidente, sem falar na autenticidade, na responsabilidade pelos dados e na garantia de não-repúdio. A própria prestação do serviço de uma instituição pública aos cidadãos depende da confiabilidade das informações por ela tratadas e ofertadas.

[...]

57. A política de segurança da informação é o documento que contém as diretrizes da instituição quanto ao tratamento da segurança da informação. De acordo com as orientações da norma NBR ISO/IEC 17799:2005 da ABNT, a política deve declarar explicitamente o comprometimento da direção da instituição com a segurança da informação. Além disso, deve também conter definições dos termos relacionados dentro do escopo da instituição e apontar os objetivos de controle, os controles, as estruturas que implementam esses controles, as responsabilidades e também as políticas e normas que disciplinam e complementam esse documento de diretrizes, incluindo referências à legislação e aos requisitos regulamentares e contratuais . Em geral, esse é o documento da gestão da segurança da informação a partir do qual derivam os documentos específicos para cada meio de armazenamento, transporte, manipulação ou tratamento específico da segurança da informação em TI.

[...]

59. A classificação de informações, por sua vez, é o processo que visa garantir que cada informação tenha o tratamento de segurança adequado ao seu valor, aos requisitos legais, à sensibilidade e ao risco de sua perda para a organização. Nesse processo devem existir, pelo menos, dois documentos de referência: o esquema de classificação, que contém as definições dos níveis de proteção considerados, e um conjunto apropriado de procedimentos para rotulação e tratamento da informação segundo esse esquema.

[...]

Achado X. Ausência de classificação das informações

72. Um total de 80% dos órgãos/entidades declararam não classificar as informações. Esse é um processo caro e trabalhoso, que envolve muitas áreas da organização, e essa é uma possível causa para um percentual tão expressivo.

73. A classificação das informações, porém, de forma semelhante à PSI, é um dos pilares da segurança da informação numa organização. A sua ausência indica que o tratamento da segurança sobre as informações não é feito de forma consistente, variando em função da maior ou menor maturidade das áreas que as armazenam, transportam ou alteram. Assim, pode ser, por exemplo, que uma informação em papel seja tratada com um nível maior de sigilo, mas ao ser passada para um sistema informatizado, receba o tratamento comum dado a outras informações não-sigilosas, inadequado para suas especificidades. Como não existe um rótulo de segurança único para aquela informação, o qual deveria apontar para procedimentos próprios em cada meio de armazenamento, o tratamento da segurança daquela informação torna-se ineficaz como um todo, já que é uma máxima da segurança da informação que a segurança de um conjunto é igual à segurança do elo mais fraco.

74. Além disso, é difícil responsabilizar alguém por um tratamento indevido sem uma classificação da informação. A declaração expressa de que um dado ativo de informação deve ser tratado com um determinado nível de proteção (e é nisso que consiste a atribuição dos rótulos de segurança às informações) é o subsídio de que dispõe o gestor para avaliar se uma dada ação foi ou não adequada ao nível de proteção da informação e, caso não tenha sido, propor a responsabilização, bem como a correção da situação.

[...]

Proposta de encaminhamento

88. Recomendar ao Gabinete de Segurança Institucional da Presidência da República, ao Conselho Nacional de Justiça e ao Conselho Nacional do Ministério Público que promovam ações com objetivo de disseminar a importância do gerenciamento da segurança da informação e induzir, mediante orientação normativa, os órgãos/entidades da Administração Pública Federal a realizarem ações para implantação e/ou aperfeiçoamento da gestão da continuidade do negócio, da gestão de mudanças, da gestão de capacidade, da classificação da informação, da gerência de incidentes, da análise de riscos de TI, da área específica para gerenciamento da segurança da informação, da política de segurança da informação e dos procedimentos de controle de acesso.

          O que se observa, portanto, pela leitura do Acórdão do TCU, é que 80% dos órgãos públicos avaliados sequer realizavam a classificação das informações sob a égide da Lei 8159/91 e do Decreto 4553/2002. Assim, a norma intitulada Lei de Acesso à Informação gerou na administração pública exatamente o fenômeno de proteção das informações, por meio da edição de uma série de Portarias, Resoluções e outros instrumentos regulamentares congêneres, à exemplo da Resolução-TCU nº 249, de 2 de maio de 2012.

CONCLUSÕES 

          Ao mesmo tempo em que se viu uma divulgação nos meios publicitários da transparência na administração pública, despertou-se a necessidade de proteção das informações sigilosas no âmbito de cada órgão, fazendo surgir uma cultura de proteção dos documentos essenciais à segurança da sociedade e do Estado dissociada da noção que o sigilo vincula-se a períodos de exceção.

Referências:

BRANCO, Paulo; COELHO, Inocêncio; MENDES, Gilmar. Curso de Direito Constitucional. 5ª Ed. São Paulo: Saraiva, 2010

CARVALHO FILHO, José dos Santos. Manual de Direito Administrativo. 26 ed. rev. ampl. e atualizada até 31.12.2012. São Paulo: Atlas, 2013