Sumário: 1.Introdução. 2.Informações Confidenciais 3. Acesso a Informação. 3.1. Lei de Acesso a Informação (LAI) 3.1.1. Da Negativa da Administração ao Acesso 4. Política Nacional de Segurança da Informação 4.1.1 Níveis de Sigilo 5. Segredos Comerciais em Contratos Administrativos 6. Conclusão. 7. Referências.
1 – Introdução
Informação é sinônimo de poder, um poder inigualável e, por vezes, destrutivo. A história é rica em relatos sobre as consequências do vazamento de informações estratégicas, para nações e corporações.
Revestir determinadas informações sob o manto da confidencialidade pode ser uma escolha feita com fito mercadológico ou em razão da política de um Estado. O conhecimento da estrutura do agente demandante do sigilo é o primeiro passo para criação de uma política de acesso de informações ampla e eficaz, antecedendo, inclusive, a classificação da informação como: sigilosas, confidencial, secretas, ultrassecretas, dentre outras, de acordo com seus diversos níveis de acesso.
Viabilizar o acesso seguro de informações por parte dos usuários internos e externos, em tempo real, sem engessar o sistema em si, é um desafio técnico, que atinge desde o nível operacional ao gerencial.
A implementação de Políticas de Acesso a Informação considerando a estrutura, filosofia e modelo adotado pela empresa ou órgão público deve se adequar as melhores práticas internacionais. Tanto no meio corporativo quanto da Administração Pública, interna ou externamente, devem zelar pela idoneidade de seus dispositivos de segurança.
Partindo-se deste pressuposto, faremos uma breve analise da segurança de dados confidenciais e das políticas de acesso voltadas para o meio corporativo, a fim de demonstrar a importância conferida pelos entes privados em contraposição do tratamento conferido pelos entes públicos de informações comerciais relevantes. Não é rara a divulgação ou vazamento de informações confidenciais, de altíssima relevância, ventiladas por órgãos públicos, por decisões temerárias dos administradores ou por falta de conhecimento do tratamento legal de proteção sigilo a qual toda a administração deve zelar. Por mais que o acesso a informação seja regra, comporta-se exceções, como o sigilo comercial que deve proteger empresas e a própria administração pública, na medida que, esta é a maior interessada pelo interesse dos licitantes ou pelo próprio interesse público da guarda de informações relevantes dos particulares – seu dever.
Partiremos da analise geral, expositiva, de como as corporações lidam com a segurança da informação em seu âmbito interno, de acordo com padrões internacionais, para, após, analisar como a Administração Pública tem encarado o tramite e o intercâmbio de informações comerciais destas empresas. Após, faremos um sobrevoo sobre os avanços trazidos pela Política de Segurança da Informação no setor público, levando ao leitor a reflexão sobre a necessidade de se conferir um tratamento digno para os dados comerciais ventilados em processos administrativos, atribuindo-lhe a mesma importância e relevância dos dados sigilosos do Estado.
2 – Informações Confidenciais
Há registros de mais de dois mil anos atrás sobre o uso de mensagens cifradas e de tecnologias de segurança da informação por parte do Estado, Julio César por volta de 100 a.c. já utilizava um sistema simples de mensagens cifradas para assegurar que suas mensagens não seriam lidas por terceiros. Todavia, tais práticas se perdem na noite dos tempos, marcando a história com importantes relatos de triunfos e derrocadas em razão da quebra ou da manutenção do sigilo de informações estratégicas.
Os desafios modernos trazidos pela revolução tecnológica da informação levaram a uma reestruturação profunda da tecnologia da informação voltada a segurança, como chama a atenção o relatório de autoria da Diretoria de Auditoria de Tecnologia da Informação do Tribunal de Contas da União, em sua cartilha sobre as boas práticas em segurança da informação (2011, pág. 07):
“Na época em que as informações eram armazenadas apenas em papel, a segurança era relativamente simples. Bastava trancar os documentos em algum lugar e restringir o acesso físico àquele local. Com as mudanças tecnológicas e com o uso de computadores de grande porte, a estrutura de segurança ficou um pouco mais sofisticada, englobando controles lógicos, porém ainda centralizados. Com a chegada dos computadores pessoais e das redes de computadores que conectam o mundo inteiro, os aspectos de segurança atingiram tamanha complexidade que há a necessidade de desenvolvimento de equipes e de métodos de segurança cada vez mais sofisticados. Paralelamente, os sistemas de informação também adquiriram importância vital para a sobrevivência da maioria das organizações modernas, já que, sem computadores e redes de comunicação, a prestação de serviços de informação pode se tornar inviável”.
A segurança da informação também consiste na garantia do acesso de informações relevantes para a tomada de decisões (CEPIK, 2001, p. 85):
“Segurança é uma condição relativa de proteção na qual se é capaz de neutralizar ameaças discerníveis contra a existência de alguém ou de alguma coisa. Em termos organizacionais, segurança é obtida através de padrões e medidas de proteção para conjuntos definidos de informações, sistemas, instalações, comunicações, pessoal, equipamentos ou operações”.
Dentre as diversas certificações no mercado, temos a ISO/IEC 27001 (ISO; 2013) que cria padrões de conformidade para a área de segurança da informação:
“The ISO 27000 family of standards helps organizations keep information assets secure. Using this family of standards will help your organization manage the security of assets such as financial information, intellectual property, employee details or information entrusted to you by third parties. ISO/IEC 27001 is the best-known standard in the family providing requirements for an information security management system (ISMS)”.
O gerenciamento do risco e não de risco, pois, gerenciamento de risco subentende um gerenciamento arriscado, diz respeito uma imensa gama de fatores (CEPIK, 2001, p. 85):
“Forma de gerenciar o risco, incluindo políticas, procedimentos, diretrizes, práticas ou estruturas organizacionais, que podem ser de natureza administrativa, técnica de gestão ou legal. Controle é também usado como um sinônimo para proteção ou contra medida.(ABNT, 2007, p. 1)”
Com a alteração da matriz tecnológica da informação, que se concentra basicamente em bancos de dados orientados a objetos ou documentos e etc., surgiram diversas certificações específicas para cada área da tecnologia, como: CISM (Certified Information Security Manager) e CISA (Certified Information Systems Auditor), criados pela ISACA.
O mercado há tempos conta com auditores e técnicos em TI especializados na avaliação de sistemas de gerenciamento de documentos físicos e eletrônicos, a função do auditor de segurança da informação é descrita na edição de 2006 do Manual (2006; pág. 85) da ISACA (Information Systems Audit and Control Association):
"Risk management is the process of identifying vulnerabilities and threats to the information resources used by an organization in achieving business objectives, and deciding what countermeasures, if any, to take in reducing risk to an acceptable level, based on the value of the information resource to the organization."
A norma NBR ISO/IEC 17799 define 127 controles divididos em 10 itens, cujo objetivo é identificar o nível de acesso e demandas de cada ambiente, com base nos seguintes títulos:
1. política de segurança;
2. segurança organizacional;
3. classificação e controle de ativos de informação;
4. segurança em pessoas;
5. segurança ambiental e física;
6. gerenciamento das operações e comunicações;
7. controle de acesso;
8. desenvolvimento e manutenção de sistemas;
9. gestão da continuidade do negócio;
10. conformidade.
Toda a engenharia computacional voltada à manutenção, integridade e continuidade do funcionamento da estrutura informacional justifica-se pela existência de um risco. Ao mesmo tempo em que as estruturas dos bancos de dados vão se tornando um complexo sistema, novas formas de espionagem vão surgindo, na mesma velocidade, devido a importância estratégica dessas informações em nível concorrencial e estratégico, interno e externo.
Como introduzido neste artigo, informação é poder, todos necessitamos de informações relevantes para a tomada de decisões. Neste sentido, o Estado, por meio de suas agências, deve se manter informado do que se passa ao seu redor. Os serviços de inteligência, de uma forma geral, atuam em diversas instâncias do Estado, sua função é essencial para a política de defesa nacional e de segurança pública do país, interna e externa. As diversas polícias atuam em situações distintas das Forças Armadas, mas ambas formam a composição do núcleo central da segurança pública do Estado em âmbito nacional, através da sua própria atuação direta e internacional, por meio de acordos de cooperação e tratados internacionais, como afirma (BOBBIO,1992, p. 1147):
“Os Serviços de segurança compreendem os órgãos do Estado encarregados de coletar informações políticas, militares e econômicas sobre os demais Estados, particularmente sobre os Estados inimigos ou potencialmente tais (atividade de espionagem). Estes serviços têm também a função de impedir a atividade de espionagem estrangeira no território nacional e onde quer que seja possível (atividade de contra-espionagem), bem como a de coordenar todo um conjunto de ações que possam enfraquecer a força política, militar e econômica dos Estados inimigos (atividade de penetração ideológica, de derrotismo, de sabotagem, etc.)”
A repercussão de práticas ilícitas de espionagem pode ser devastadora em termos de exposição política internacional. Recentemente, por meio do Wikileaks o governo Brasileiro tomou conhecimento de que foi alvo de espionagem, conforme publicação do The Guardian (2013):
“Brazil has called on Washington to explain why US intelligence agencies have been monitoring millions of emails and phone calls from its citizens, as the international fallout from the US whistleblower Edward Snowden's revelations spread to Latin America. The foreign minister, Antonio Patriota, expressed "deep concern" about a report that appeared in O Globo newspaper at the weekend, which detailed how the US National Security Agency (NSA) had conducted extensive spying activities in Brazil”.
Sob uma perspectiva moderna, a riqueza mundial se concentra cada vez mais nos ativos intangíveis, na capacidade de geração, alocação e controle do conhecimento, bem como, sua respeitabilidade no ponto de vista de suas relações internacionais, como salienta José A. Gomes Segade (2001; p. 53):
“La Sociedad de la Información es uma tarea global que oferece perspectivas praticamente ilimitadas. Las possibilidades de la tecnología de la información unidas a redes sin fissuras permiten avances revolucionários para la vida, la libertad y la consecución de mayor bienestar. (…) Pero naturalmente, los titulares de derechos de propiedad intelectual no estarán dispuestos a permitir que sus obras se incluyen en la estructura nacional o internacional de la información, si no tienen garantías do que se respetarán sus derechos”.
Os segredos comerciais ou trade secrets, como se convencionou chamá-los, são elementos estratégicos para a empresa, como salienta Newton Silveira (1999; pág. 151-152)
“O trade secret deve apresentar um valor na operação de um negócio ou atividade empresarial, propiciando uma vantagem econômica efetiva ou potencial com relação a terceiros que não possuam a informação. Caráter sigiloso. Para que se qualifique como um trade secret, a informação deve ser sigilosa. Não se exige que se trate de um sigilo absoluta, nem que se caracterize a novidade exigida para fins de patenteabilidade, achando-se atendido o requisito se for demonstrado ser difícil e custoso a terceiros obter a informação sem recurso a meios ou condutas ilícitas. adoção de precauções para manter o sigilo. A adoção de medidas e precauções com vistas à manutenção do sigilo é fator relevante para que a informação seja passível de proteção como trade secret. Tais precauções podem constituir em barreiras físicas ao acesso ou em outras medidas de segurança, tais como a limitação da divulgação da informação apenas a quem seja franqueado o acesso à informação, sinais ou outros avisos apostos nos documentos que ressaltem seu caráter confidencial (…)”
Não raramente tais segredos comerciais são veiculados em processos administrativos e judiciais. Frequentemente órgãos que regulam o mercado e agentes de fiscalização fazem requisições sobre os aspectos estruturais e projeções mercadológicas. Tais informações devem ser mantidas em absoluto, como veremos.
3 – Acesso a Informação
A Constituição Federal da República Federativa do Brasil (CFRB), menciona que a intimidade, a honra e a imagem das pessoas são invioláveis:
“Art. 5º Todos são iguais perante a lei, sem distinção de qualquer natureza, garantindo-se aos brasileiros e aos estrangeiros residentes no País a inviolabilidade do direito à vida, à liberdade, à igualdade, à segurança e à propriedade, nos termos seguintes:
X - são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação”;
XIV - é assegurado a todos o acesso à informação e resguardado o sigilo da fonte, quando necessário ao exercício profissional;
Em meio à garantia da inviolabilidade da vida privada, em seu sentido mais lato, a constituição assegura também que:
Art. 5º (...)
XXXIII - todos têm direito a receber dos órgãos públicos informações de seu interesse particular, ou de interesse coletivo ou geral, que serão prestadas no prazo da lei, sob pena de responsabilidade, ressalvadas aquelas cujo sigilo seja imprescindível à segurança da sociedade e do Estado;
XXXIV - são a todos assegurados, independentemente do pagamento de taxas:
b) a obtenção de certidões em repartições públicas, para defesa de direitos e esclarecimento de situações de interesse pessoal;
O acesso a documentos governamentais, não classificados pelo escopo das exceções de sigilo, faz parte da garantia do acesso ao acervo dos bens imateriais pertencentes a cultura brasileira, devendo seu acesso ser franqueado:
“Art. 216. Constituem patrimônio cultural brasileiro os bens de natureza material e imaterial, tomados individualmente ou em conjunto, portadores de referência à identidade, à ação, à memória dos diferentes grupos formadores da sociedade brasileira, nos quais se incluem:
§ 2º - Cabem à administração pública, na forma da lei, a gestão da documentação governamental e as providências para franquear sua consulta a quantos dela necessitem”.
No âmbito administrativo a Constituição Federal de 1988 já indexava norma de eficácia limitada sobre a necessidade de se regulamentar o acesso dos usuários da Administração Pública em seus diversos níveis e hierarquia:
“Art. 37. A administração pública direta e indireta de qualquer dos Poderes da União, dos Estados, do Distrito Federal e dos Municípios obedecerá aos princípios de legalidade, impessoalidade, moralidade, publicidade e eficiência e, também, ao seguinte:
§ 3º A lei disciplinará as formas de participação do usuário na administração pública direta e indireta, regulando especialmente:
II - o acesso dos usuários a registros administrativos e a informações sobre atos de governo, observado o disposto no art. 5º, X e XXXIII”;
3.1. Lei de Acesso a Informação (LAI)
Em 2011 foi promulgada a Lei Federal nº. 12.527 - Lei de Acesso à Informação (LAI), objetivando disciplinar os citados arts. 5º, XXXIII; 37, § 3º, II; e 216, §2º, da Constituição Federal. Com a promulgação da LAI conferiu-se eficácia ao disposto na constituição, através da chamada transparência ativa e transparência passiva, que consiste na divulgação ou facilitação de acesso ao cidadão de informações públicas, salvo exceção fundamentada. Devemos ter sempre em mente que as exceções devem atender aos interesses da Administração Pública do ponto de vista de defesa de seus direitos, bem como dos particulares, as quais tais informações ter sido originadas.
Como afirma Fábio Condeixa (2012; pág. 1), o Princípio do Acesso a Informação não é um direito absoluto, havendo uma tensão aparente entre princípios constitucionalmente amparados que demonstra o caráter relativo, relatividade esta justificada pela própria consideração dos interesses da república:
“A transparência, contudo, não pode ser absoluta. A própria CRFB, em seu art. 5º, XXXIII, parte final, acima transcrito, faz a ressalva para os casos em que o sigilo seja imprescindível à segurança da sociedade e do Estado. Por essa razão, parte da Lei 12.527 regula a restrição do acesso à informação. Nesse particular, a LAI substituiu os diplomas normativos que cuidavam da salvaguarda de informações sensíveis. O principal deles era o Decreto Presidencial nº. 4.553, de 27 de dezembro de 2002. O Decreto 4.553 dispunha sobre os graus de sigilo, os critérios de atribuição de classificação sigilosa e o tratamento das informações sigilosas”.
A LAI é uma lei de abrangência nacional, disciplinando o tratamento conferido a informação por todos os entes federativos e poderes. Os aspectos gerais do sigilo devem ser observados de igual forma por todos os entes federativos:
Art. 1º Esta Lei dispõe sobre os procedimentos a serem observados pela União, Estados, Distrito Federal e Municípios, com o fim de garantir o acesso a informações previsto no inciso XXXIII do art. 5o, no inciso II do § 3º do art. 37 e no § 2º do art. 216 da Constituição Federal.
Parágrafo único. Subordinam-se ao regime desta Lei:
I - os órgãos públicos integrantes da administração direta dos Poderes Executivo, Legislativo, incluindo as Cortes de Contas, e Judiciário e do Ministério Público;
II - as autarquias, as fundações públicas, as empresas públicas, as sociedades de economia mista e demais entidades controladas direta ou indiretamente pela União, Estados, Distrito Federal e Municípios.
A referida norma-regra traz consigo também uma forte carga valorativa, ao mencionar, por exemplo, que o acesso a informação é regra e o sigilo exceção e que a Administração Pública deve zelar pela cultura da transparência – tais princípios devem nortear a classificação das informações pela Administração Pública, ante a justificativa fundamentada da opção pelo sigilo:
Art. 3º. Os procedimentos previstos nesta Lei destinam-se a assegurar o direito fundamental de acesso à informação e devem ser executados em conformidade com os princípios básicos da administração pública e com as seguintes diretrizes:
I - observância da publicidade como preceito geral e do sigilo como exceção;
II - divulgação de informações de interesse público, independentemente de solicitações;
III - utilização de meios de comunicação viabilizados pela tecnologia da informação;
IV - fomento ao desenvolvimento da cultura de transparência na administração pública;
V - desenvolvimento do controle social da administração pública.
O reforço das garantias ao acesso a informação faz parte do resgate histórico dos direitos do povo em face de um estado de exceção que assolou o Brasil até o término da década de 80, sendo essa uma das razões de termos tido uma constituição analítica, com vasto rol de direitos e garantias.
Ao mesmo tempo que a Lei de Acesso a Informação confere acesso a íntegro, eficaz e célere às informações públicas, consagra-se também um contrapeso, na medida em que a informação é considerada como sigilosa - tema central do presente artigo:
Art. 6º. Cabe aos órgãos e entidades do poder público, observadas as normas e procedimentos específicos aplicáveis, assegurar a:
III - proteção da informação sigilosa e da informação pessoal, observada a sua disponibilidade, autenticidade, integridade e eventual restrição de acesso.
O sigilo da informação pode recair apenas sobre parte de um documento, afim de não comprometer a publicidade das demais informações. Certamente esta é uma das soluções para a divulgação de informações por parte de particulares perante o Poder Público, devendo-se sempre, solicitar e explicitar o teor sigiloso destas informações ao órgão ao qual se está apresentando tais documentos:
Art. 7o O acesso à informação de que trata esta Lei compreende, entre outros, os direitos de obter:
§ 2o Quando não for autorizado acesso integral à informação por ser ela parcialmente sigilosa, é assegurado o acesso à parte não sigilosa por meio de certidão, extrato ou cópia com ocultação da parte sob sigilo.
Anteriormente à promulgação da LAI, boa parte dos órgão públicos prestavam informações apenas a quem demonstrasse interesse, em fiel violação ao Princípio do Interesse Público e da Transparência. Foi necessária a edição da LAI para que as garantias protegidas pela Constituição Federal fossem satisfeitas:
Art. 10. Qualquer interessado poderá apresentar pedido de acesso a informações aos órgãos e entidades referidos no art. 1o desta Lei, por qualquer meio legítimo, devendo o pedido conter a identificação do requerente e a especificação da informação requerida.
§ 1º. Para o acesso a informações de interesse público, a identificação do requerente não pode conter exigências que inviabilizem a solicitação.
§ 2º. Os órgãos e entidades do poder público devem viabilizar alternativa de encaminhamento de pedidos de acesso por meio de seus sítios oficiais na internet.
§ 3o São vedadas quaisquer exigências relativas aos motivos determinantes da solicitação de informações de interesse público.
Caso a informação requerida não seja disponibilizada de imediato ou em no máximo 20 dias, prorrogáveis por mais 10 dias, o órgão deverá justificar o motivo da recusa em aplicação ao Princípio da Isonomia e da Motivação dos Atos Administrativos:
Art. 11. O órgão ou entidade pública deverá autorizar ou conceder o acesso imediato à informação disponível.
II - indicar as razões de fato ou de direito da recusa, total ou parcial, do acesso pretendido; ou
Ante a recusa da prestação de informações, no âmbito da Administração Pública Federal, caberá a Controladoria-Geral da União e do Poder Judiciário, o Conselho Nacional da Justiça e do Ministério Público, o julgamento do mérito da negativa, como veremos a seguir.
3.1.1. – Da Negativa da Administração ao Acesso de Informações
Caso ocorra o indeferimento do requerimento de acesso a informação, caberá recurso contra a decisão, dirigida a autoridade hierarquicamente superior, como estipula a LAI:
Art. 15. No caso de indeferimento de acesso a informações ou às razões da negativa do acesso, poderá o interessado interpor recurso contra a decisão no prazo de 10 (dez) dias a contar da sua ciência.
Parágrafo único. O recurso será dirigido à autoridade hierarquicamente superior à que exarou a decisão impugnada, que deverá se manifestar no prazo de 5 (cinco) dias.
Caso seja negado provimento ao recurso hierárquico, no âmbito federal, caberá recurso à Controladoria-Feral da União, de acordo com o supracitado diploma:
Art. 16. Negado o acesso a informação pelos órgãos ou entidades do Poder Executivo Federal, o requerente poderá recorrer à Controladoria-Geral da União (CGU), que deliberará no prazo de 5 (cinco) dias se:
I - o acesso à informação não classificada como sigilosa for negado;
II - a decisão de negativa de acesso à informação total ou parcialmente classificada como sigilosa não indicar a autoridade classificadora ou a hierarquicamente superior a quem possa ser dirigido pedido de acesso ou desclassificação;
III - os procedimentos de classificação de informação sigilosa estabelecidos nesta Lei não tiverem sido observados; e
IV - estiverem sendo descumpridos prazos ou outros procedimentos previstos nesta Lei.
O parágrafo 3º, do art. 16, diante da hipótese de indeferimento do Recurso pela CGU, caberá recurso à Comissão Mista de Reavaliação de Informações: § 3º Negado o acesso à informação pela Controladoria-Geral da União, poderá ser interposto Recurso de Desclassificação de Informação à Comissão Mista de Reavaliação de Informações, a que se refere o art. 35.
São diversos os recursos, devido à importância atribuída ao Legislador em manifesta repulsa a prática espúria dos Estados de Exceção, tão marcante na América do Sul em passado recente, como é o caso da hipótese de caber ainda Recurso ao Ministro do Estado, ante a confirmação da negativa pelo CGU:
Art. 17. No caso de indeferimento de pedido de desclassificação de informação protocolado em órgão da administração pública federal, poderá o requerente recorrer ao Ministro de Estado da área, sem prejuízo das competências da Comissão Mista de Reavaliação de Informações, previstas no art. 35, e do disposto no art. 16.
O acesso a informação ampla, respeitados os limites da confidencialidade, é um direito cujo exercício é essencial para a permanência vigilância da sociedade sobre os atos da administração pública. Adicionalmente, o acesso a informação do tramite dos processos administrativos e das contratações públicas também é uma ferramenta de prestação de contas da destinação e uso do erário público, por parte da sociedade e da concorrência em licitações.
