Este texto foi publicado no Jus no endereço https://jus.com.br/artigos/26185
Para ver outras publicações como esta, acesse https://jus.com.br

Informações confidenciais no âmbito da administração pública

o dever de sigilo em contratos administrativos

Informações confidenciais no âmbito da administração pública: o dever de sigilo em contratos administrativos

Publicado em . Elaborado em .

A Administração Pública deve zelar pela confidencialidade das informações sigilosas confiadas pelos particulares em seu âmbito organizacional, na mesma simetria com a qual valoriza suas informações resguardadas pelo chamado interesse de Estado.

Sumário: 1.Introdução. 2.Informações Confidenciais 3.   Acesso a Informação. 3.1. Lei de Acesso a Informação (LAI) 3.1.1. Da Negativa da Administração ao Acesso 4. Política Nacional de Segurança da Informação 4.1.1 Níveis de Sigilo  5. Segredos Comerciais em Contratos Administrativos 6. Conclusão. 7. Referências.


1 – Introdução

Informação é sinônimo de poder, um poder inigualável e, por vezes, destrutivo. A história é rica em relatos sobre as consequências do vazamento de informações estratégicas, para nações e corporações.

Revestir determinadas informações sob o manto da confidencialidade pode ser uma escolha feita com fito mercadológico ou em razão da política de um Estado. O conhecimento da estrutura do agente demandante do sigilo é o primeiro passo para criação de uma política de acesso de informações ampla e eficaz, antecedendo, inclusive, a classificação da informação como: sigilosas, confidencial, secretas, ultrassecretas, dentre outras, de acordo com seus diversos níveis de acesso.

Viabilizar o acesso seguro de informações por parte dos usuários internos e externos, em tempo real, sem engessar o sistema em si, é um desafio técnico, que atinge desde o nível operacional ao gerencial.

A implementação de Políticas de Acesso a Informação considerando a estrutura, filosofia e modelo adotado pela empresa ou órgão público deve se adequar as melhores práticas internacionais.  Tanto no meio corporativo quanto da Administração Pública, interna ou externamente, devem zelar pela idoneidade de seus dispositivos de segurança. 

Partindo-se deste pressuposto, faremos uma breve analise da segurança de dados confidenciais e das políticas de acesso voltadas para o meio corporativo, a fim de demonstrar a importância conferida pelos entes privados em contraposição do tratamento conferido pelos entes públicos de informações comerciais relevantes. Não é rara a divulgação ou vazamento de informações confidenciais, de altíssima relevância, ventiladas por órgãos públicos, por decisões temerárias dos administradores ou por falta de conhecimento do tratamento legal de proteção sigilo a qual toda a administração deve zelar. Por mais que o acesso a informação seja regra, comporta-se exceções, como o sigilo comercial que deve proteger empresas e a própria administração pública, na medida que, esta é a maior interessada pelo interesse dos licitantes ou pelo próprio interesse público da guarda de informações relevantes dos particulares – seu dever.

Partiremos da analise geral, expositiva, de como as corporações lidam com a segurança da informação em seu âmbito interno, de acordo com padrões internacionais, para, após, analisar como a Administração Pública tem encarado o tramite e o intercâmbio de informações comerciais destas empresas. Após, faremos um sobrevoo sobre os avanços trazidos pela Política de Segurança da Informação no setor público, levando ao leitor a reflexão sobre a necessidade de se conferir um tratamento digno para os dados comerciais ventilados em processos administrativos, atribuindo-lhe a mesma importância e relevância dos dados sigilosos do Estado.


2 – Informações Confidenciais

Há registros de mais de dois mil anos atrás sobre o uso de mensagens cifradas e de tecnologias de segurança da informação por parte do Estado, Julio César por volta de 100 a.c. já utilizava um sistema simples de mensagens cifradas para assegurar que suas mensagens não seriam lidas por terceiros. Todavia, tais práticas se perdem na noite dos tempos, marcando a história com importantes relatos de triunfos e derrocadas em razão da quebra ou da manutenção do sigilo de informações estratégicas.

Os desafios modernos trazidos pela revolução tecnológica da informação levaram a uma reestruturação profunda da tecnologia da informação voltada a segurança, como chama a atenção o relatório de autoria da Diretoria de Auditoria de Tecnologia da Informação do Tribunal de Contas da União, em sua cartilha sobre as boas práticas em segurança da informação (2011, pág. 07):

“Na época em que as informações eram armazenadas apenas em papel, a segurança era relativamente simples. Bastava trancar os documentos em algum lugar e restringir o acesso físico àquele local. Com as mudanças tecnológicas e com o uso de computadores de grande porte, a estrutura de segurança ficou um pouco mais sofisticada, englobando controles lógicos, porém ainda centralizados. Com a chegada dos computadores pessoais e das redes de computadores que conectam o mundo inteiro, os aspectos de segurança atingiram tamanha complexidade que há a necessidade de desenvolvimento de equipes e de métodos de segurança cada vez mais sofisticados. Paralelamente, os sistemas de informação também adquiriram importância vital para a sobrevivência da maioria das organizações modernas, já que, sem computadores e redes de comunicação, a prestação de serviços de informação pode se tornar inviável”.

A segurança da informação também consiste na garantia do acesso de informações relevantes para a tomada de decisões (CEPIK, 2001, p. 85):

“Segurança é uma condição relativa de proteção na qual se é capaz de neutralizar ameaças discerníveis contra a existência de alguém ou de alguma coisa. Em termos organizacionais, segurança é obtida através de padrões e medidas de proteção para conjuntos definidos de informações, sistemas, instalações, comunicações, pessoal, equipamentos ou operações”.

Dentre as diversas certificações no mercado, temos a ISO/IEC 27001 (ISO; 2013) que cria padrões de conformidade para a área de segurança da informação:

“The ISO 27000 family of standards helps organizations keep information assets secure. Using this family of standards will help your organization manage the security of assets such as financial information, intellectual property, employee details or information entrusted to you by third parties. ISO/IEC 27001 is the best-known standard in the family providing requirements for an information security management system (ISMS)”.

O gerenciamento do risco e não de risco, pois, gerenciamento de risco subentende um gerenciamento arriscado, diz respeito uma imensa gama de fatores (CEPIK, 2001, p. 85):

“Forma de gerenciar o risco, incluindo políticas, procedimentos, diretrizes, práticas ou estruturas organizacionais, que podem ser de natureza administrativa, técnica de gestão ou legal. Controle é também usado como um sinônimo para proteção ou contra medida.(ABNT, 2007, p. 1)”

           Com a alteração da matriz tecnológica da informação, que se concentra basicamente em bancos de dados orientados a objetos ou documentos e etc., surgiram diversas certificações específicas para cada área da tecnologia, como: CISM (Certified Information Security Manager) e CISA (Certified Information Systems Auditor), criados pela ISACA.

          O mercado há tempos conta com auditores e técnicos em TI especializados na avaliação de sistemas de gerenciamento de documentos físicos e eletrônicos, a função do auditor de segurança da informação é descrita na edição de 2006 do Manual (2006; pág. 85) da ISACA (Information Systems Audit and Control Association):

"Risk management is the process of identifying vulnerabilities and threats to the information resources used by an organization in achieving business objectives, and deciding what countermeasures, if any, to take in reducing risk to an acceptable level, based on the value of the information resource to the organization."

            A  norma NBR ISO/IEC 17799 define 127 controles divididos em 10 itens, cujo objetivo é identificar o nível de acesso e demandas de cada ambiente, com base nos seguintes títulos:

1.      política de segurança;

2.      segurança organizacional;

3.      classificação e controle de ativos de informação;

4.      segurança em pessoas;

5.      segurança ambiental e física;

6.      gerenciamento das operações e comunicações;

7.      controle de acesso;

8.      desenvolvimento e manutenção de sistemas;

9.      gestão da continuidade do negócio;

10.    conformidade.

Toda a engenharia computacional voltada à manutenção, integridade e continuidade do funcionamento da estrutura informacional justifica-se pela existência de um risco. Ao mesmo tempo em que as estruturas dos bancos de dados vão se tornando um complexo sistema, novas formas de espionagem vão surgindo, na mesma velocidade, devido a importância estratégica dessas informações em nível concorrencial e estratégico, interno e externo.

Como introduzido neste artigo, informação é poder, todos necessitamos de informações relevantes para a tomada de decisões. Neste sentido, o Estado, por meio de suas agências, deve se manter informado do que se passa ao seu redor. Os serviços de inteligência, de uma forma geral, atuam em diversas instâncias do Estado, sua função é essencial para a política de defesa nacional e de segurança pública do país, interna e externa. As diversas polícias atuam em situações distintas das Forças Armadas, mas ambas formam a composição do núcleo central da segurança pública do Estado em âmbito nacional, através da sua própria atuação direta e internacional, por meio de acordos de cooperação e tratados internacionais, como afirma (BOBBIO,1992, p. 1147): 

“Os Serviços de segurança compreendem os órgãos do Estado encarregados de coletar informações políticas, militares e econômicas sobre os demais Estados, particularmente sobre os Estados inimigos ou potencialmente tais (atividade de espionagem). Estes serviços têm também a função de impedir a atividade de espionagem estrangeira no território nacional e onde quer que seja possível (atividade de contra-espionagem), bem como a de coordenar todo um conjunto de ações que possam enfraquecer a força política, militar e econômica dos Estados inimigos (atividade de penetração ideológica, de derrotismo, de sabotagem, etc.)”

A repercussão de práticas ilícitas de espionagem pode ser devastadora em termos de exposição política internacional. Recentemente, por meio do Wikileaks o governo Brasileiro tomou conhecimento de que foi alvo de espionagem, conforme publicação do The Guardian (2013):

“Brazil has called on Washington to explain why US intelligence agencies have been monitoring millions of emails and phone calls from its citizens, as the international fallout from the US whistleblower Edward Snowden's revelations spread to Latin America. The foreign minister, Antonio Patriota, expressed "deep concern" about a report that appeared in O Globo newspaper at the weekend, which detailed how the US National Security Agency (NSA) had conducted extensive spying activities in Brazil”.

Sob uma perspectiva moderna, a riqueza mundial se concentra cada vez mais nos ativos intangíveis, na capacidade de geração, alocação e controle do conhecimento, bem como, sua respeitabilidade no ponto de vista de suas relações internacionais, como salienta José A. Gomes Segade (2001; p. 53):

“La Sociedad de la Información es uma tarea global que oferece perspectivas praticamente ilimitadas. Las possibilidades de la tecnología de la información unidas a redes sin fissuras permiten avances revolucionários para la vida, la libertad y la consecución de mayor bienestar.  (…) Pero naturalmente, los titulares de derechos de propiedad intelectual no estarán dispuestos a permitir que sus obras se incluyen en la estructura nacional o internacional de la información, si no tienen garantías do que se respetarán sus derechos”.

Os segredos comerciais ou trade secrets, como se convencionou chamá-los, são elementos estratégicos para a empresa, como salienta Newton Silveira (1999; pág. 151-152)

“O trade secret deve apresentar um valor na operação de um negócio ou atividade empresarial, propiciando uma vantagem econômica efetiva ou potencial com relação a terceiros que não possuam a informação. Caráter sigiloso. Para que se qualifique como um trade secret, a informação deve ser sigilosa. Não se exige que se trate de um sigilo absoluta, nem que se caracterize a novidade exigida para fins de patenteabilidade, achando-se atendido o requisito se for demonstrado ser difícil e custoso a terceiros obter a informação sem recurso a meios ou condutas ilícitas. Adoção de precauções para manter o sigilo. A adoção de medidas e precauções com vistas à manutenção do sigilo é fator relevante para que a informação seja passível de proteção como trade secret. Tais precauções podem constituir em barreiras físicas ao acesso ou em outras medidas de segurança, tais como a limitação da divulgação da informação apenas a quem seja franqueado o acesso à informação, sinais  ou outros avisos apostos nos documentos que ressaltem seu caráter confidencial (…)”

Não raramente tais segredos comerciais são veiculados em processos administrativos e judiciais. Frequentemente órgãos que regulam o mercado e agentes de fiscalização fazem requisições sobre os aspectos estruturais e projeções mercadológicas. Tais informações devem ser mantidas em absoluto, como veremos.


3 – Acesso a Informação

A Constituição Federal da República Federativa do Brasil (CFRB), menciona que a intimidade, a honra e a imagem das pessoas são invioláveis:

“Art. 5º Todos são iguais perante a lei, sem distinção de qualquer natureza, garantindo-se aos brasileiros e aos estrangeiros residentes no País a inviolabilidade do direito à vida, à liberdade, à igualdade, à segurança e à propriedade, nos termos seguintes:

X - são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação”;

XIV - é assegurado a todos o acesso à informação e resguardado o sigilo da fonte, quando necessário ao exercício profissional;

Em meio à garantia da inviolabilidade da vida privada, em seu sentido mais lato, a constituição assegura também que:

Art. 5º (...)

XXXIII - todos têm direito a receber dos órgãos públicos informações de seu interesse particular, ou de interesse coletivo ou geral, que serão prestadas no prazo da lei, sob pena de responsabilidade, ressalvadas aquelas cujo sigilo seja imprescindível à segurança da sociedade e do Estado; 

XXXIV - são a todos assegurados, independentemente do pagamento de taxas:

b) a obtenção de certidões em repartições públicas, para defesa de direitos e esclarecimento de situações de interesse pessoal;

O acesso a documentos governamentais, não classificados pelo escopo das exceções de sigilo, faz parte da garantia do acesso ao acervo dos bens imateriais pertencentes a cultura brasileira, devendo seu acesso ser franqueado:

“Art. 216. Constituem patrimônio cultural brasileiro os bens de natureza material e imaterial, tomados individualmente ou em conjunto, portadores de referência à identidade, à ação, à memória dos diferentes grupos formadores da sociedade brasileira, nos quais se incluem:

§ 2º - Cabem à administração pública, na forma da lei, a gestão da documentação governamental e as providências para franquear sua consulta a quantos dela necessitem”.  

No âmbito administrativo a Constituição Federal de 1988 já indexava norma de eficácia limitada sobre a necessidade de se regulamentar o acesso dos usuários da Administração Pública em seus diversos níveis e hierarquia:

“Art. 37. A administração pública direta e indireta de qualquer dos Poderes da União, dos Estados, do Distrito Federal e dos Municípios obedecerá aos princípios de legalidade, impessoalidade, moralidade, publicidade e eficiência e, também, ao seguinte: 

§ 3º A lei disciplinará as formas de participação do usuário na administração pública direta e indireta, regulando especialmente:

II - o acesso dos usuários a registros administrativos e a informações sobre atos de governo, observado o disposto no art. 5º, X e XXXIII”;

3.1. Lei de Acesso a Informação (LAI)

Em 2011 foi promulgada a Lei Federal nº. 12.527 - Lei de Acesso à Informação (LAI), objetivando disciplinar os citados arts. 5º, XXXIII; 37, § 3º, II; e 216, §2º, da Constituição Federal. Com a promulgação da LAI conferiu-se eficácia ao disposto na constituição, através da chamada transparência ativa e transparência passiva, que consiste na divulgação ou facilitação de acesso ao cidadão de informações públicas, salvo exceção fundamentada. Devemos ter sempre em mente que as exceções devem atender aos interesses da Administração Pública do ponto de vista de defesa de seus direitos, bem como dos particulares, as quais tais informações ter sido originadas.

Como afirma Fábio Condeixa (2012; pág. 1), o Princípio do Acesso a Informação não é um direito absoluto, havendo uma tensão aparente entre princípios constitucionalmente amparados que demonstra o caráter relativo, relatividade esta justificada pela própria consideração dos interesses da república:

“A transparência, contudo, não pode ser absoluta. A própria CRFB, em seu art. 5º, XXXIII, parte final, acima transcrito, faz a ressalva para os casos em que o sigilo seja imprescindível à segurança da sociedade e do Estado. Por essa razão, parte da Lei 12.527 regula a restrição do acesso à informação. Nesse particular, a LAI substituiu os diplomas normativos que cuidavam da salvaguarda de informações sensíveis. O principal deles era o Decreto Presidencial nº. 4.553, de 27 de dezembro de 2002. O Decreto 4.553 dispunha sobre os graus de sigilo, os critérios de atribuição de classificação sigilosa e o tratamento das informações sigilosas”.

 A LAI é uma lei de abrangência nacional, disciplinando o tratamento conferido a informação por todos os entes federativos e poderes. Os aspectos gerais do sigilo devem ser observados de igual forma por todos os entes federativos:

Art. 1º  Esta Lei dispõe sobre os procedimentos a serem observados pela União, Estados, Distrito Federal e Municípios, com o fim de garantir o acesso a informações previsto no inciso XXXIII do art. 5o, no inciso II do § 3º do art. 37 e no § 2º do art. 216 da Constituição Federal. 

Parágrafo único.  Subordinam-se ao regime desta Lei: 

I - os órgãos públicos integrantes da administração direta dos Poderes Executivo, Legislativo, incluindo as Cortes de Contas, e Judiciário e do Ministério Público; 

II - as autarquias, as fundações públicas, as empresas públicas, as sociedades de economia mista e demais entidades controladas direta ou indiretamente pela União, Estados, Distrito Federal e Municípios. 

 A referida norma-regra traz consigo também uma forte carga valorativa, ao mencionar, por exemplo, que o acesso a informação é regra e o sigilo exceção e que a Administração Pública deve zelar pela cultura da transparência – tais princípios devem nortear a classificação das informações pela Administração Pública, ante a justificativa fundamentada da opção pelo sigilo:

Art. 3º.  Os procedimentos previstos nesta Lei destinam-se a assegurar o direito fundamental de acesso à informação e devem ser executados em conformidade com os princípios básicos da administração pública e com as seguintes diretrizes:

I - observância da publicidade como preceito geral e do sigilo como exceção;

II - divulgação de informações de interesse público, independentemente de solicitações;

III - utilização de meios de comunicação viabilizados pela tecnologia da informação;

IV - fomento ao desenvolvimento da cultura de transparência na administração pública;

V - desenvolvimento do controle social da administração pública.

O reforço das garantias ao acesso a informação faz parte do resgate histórico dos direitos do povo em face de um estado de exceção que assolou o Brasil até o término da década de 80, sendo essa uma das razões de termos tido uma constituição analítica, com vasto rol de direitos e garantias.

Ao mesmo tempo que a Lei de Acesso a Informação confere acesso a íntegro, eficaz e célere às informações públicas, consagra-se também um contrapeso, na medida em que a informação é considerada como sigilosa - tema central do presente artigo:

Art. 6º.  Cabe aos órgãos e entidades do poder público, observadas as normas e procedimentos específicos aplicáveis, assegurar a: 

III - proteção da informação sigilosa e da informação pessoal, observada a sua disponibilidade, autenticidade, integridade e eventual restrição de acesso. 

O sigilo da informação pode recair apenas sobre parte de um documento, afim de não comprometer a publicidade das demais informações. Certamente esta é uma das soluções para a divulgação de informações por parte de particulares perante o Poder Público, devendo-se sempre, solicitar e explicitar o teor sigiloso destas informações ao órgão ao qual se está apresentando tais documentos:

Art. 7o  O acesso à informação de que trata esta Lei compreende, entre outros, os direitos de obter: 

§ 2o  Quando não for autorizado acesso integral à informação por ser ela parcialmente sigilosa, é assegurado o acesso à parte não sigilosa por meio de certidão, extrato ou cópia com ocultação da parte sob sigilo.

Anteriormente à promulgação da LAI, boa parte dos órgão públicos prestavam informações apenas a quem demonstrasse interesse, em fiel violação ao Princípio do Interesse Público e da Transparência. Foi necessária a edição da LAI para que as garantias protegidas pela Constituição Federal fossem satisfeitas:

Art. 10.  Qualquer interessado poderá apresentar pedido de acesso a informações aos órgãos e entidades referidos no art. 1o desta Lei, por qualquer meio legítimo, devendo o pedido conter a identificação do requerente e a especificação da informação requerida.

§ 1º.  Para o acesso a informações de interesse público, a identificação do requerente não pode conter exigências que inviabilizem a solicitação.

§ 2º. Os órgãos e entidades do poder público devem viabilizar alternativa de encaminhamento de pedidos de acesso por meio de seus sítios oficiais na internet.

§ 3o  São vedadas quaisquer exigências relativas aos motivos determinantes da solicitação de informações de interesse público.

Caso a informação requerida não seja disponibilizada de imediato ou em no máximo 20 dias, prorrogáveis por mais 10 dias, o órgão deverá justificar o motivo da recusa em aplicação ao Princípio da Isonomia e da Motivação dos Atos Administrativos:

Art. 11.  O órgão ou entidade pública deverá autorizar ou conceder o acesso imediato à informação disponível. 

II - indicar as razões de fato ou de direito da recusa, total ou parcial, do acesso pretendido; ou 

Ante a recusa da prestação de informações, no âmbito da Administração Pública Federal, caberá a Controladoria-Geral da União e do Poder Judiciário, o Conselho Nacional da Justiça e do Ministério Público, o julgamento do mérito da negativa, como veremos a seguir.

3.1.1. – Da Negativa da Administração ao Acesso de Informações

Caso ocorra o indeferimento do requerimento de acesso a informação, caberá recurso contra a decisão, dirigida a autoridade hierarquicamente superior, como estipula a LAI:

Art. 15.  No caso de indeferimento de acesso a informações ou às razões da negativa do acesso, poderá o interessado interpor recurso contra a decisão no prazo de 10 (dez) dias a contar da sua ciência.

Parágrafo único.  O recurso será dirigido à autoridade hierarquicamente superior à que exarou a decisão impugnada, que deverá se manifestar no prazo de 5 (cinco) dias.

 Caso seja negado provimento ao recurso hierárquico, no âmbito federal, caberá recurso à Controladoria-Feral da União, de acordo com o supracitado diploma:

Art. 16.  Negado o acesso a informação pelos órgãos ou entidades do Poder Executivo Federal, o requerente poderá recorrer à Controladoria-Geral da União (CGU), que deliberará no prazo de 5 (cinco) dias se:

I - o acesso à informação não classificada como sigilosa for negado;

II - a decisão de negativa de acesso à informação total ou parcialmente classificada como sigilosa não indicar a autoridade classificadora ou a hierarquicamente superior a quem possa ser dirigido pedido de acesso ou desclassificação;

III - os procedimentos de classificação de informação sigilosa estabelecidos nesta Lei não tiverem sido observados; e

IV - estiverem sendo descumpridos prazos ou outros procedimentos previstos nesta Lei.

O parágrafo 3º, do art. 16, diante da hipótese de indeferimento do Recurso pela CGU, caberá recurso à Comissão Mista de Reavaliação de Informações: § 3º  Negado o acesso à informação pela Controladoria-Geral da União, poderá ser interposto Recurso de Desclassificação de Informação à Comissão Mista de Reavaliação de Informações, a que se refere o art. 35.

São diversos os recursos, devido à importância atribuída ao Legislador em manifesta repulsa a prática espúria dos Estados de Exceção, tão marcante na América do Sul em passado recente, como é o caso da hipótese de caber ainda Recurso ao Ministro do Estado, ante a confirmação da negativa pelo CGU:

Art. 17.  No caso de indeferimento de pedido de desclassificação de informação protocolado em órgão da administração pública federal, poderá o requerente recorrer ao Ministro de Estado da área, sem prejuízo das competências da Comissão Mista de Reavaliação de Informações, previstas no art. 35, e do disposto no art. 16.

 O acesso a informação ampla, respeitados os limites da confidencialidade, é um direito cujo exercício é essencial para a permanência vigilância da sociedade sobre os atos da administração pública. Adicionalmente, o acesso a informação do tramite dos processos administrativos e das contratações públicas também é uma ferramenta de prestação de contas da destinação e uso do erário público, por parte da sociedade e da concorrência em licitações.


           4 - Política Nacional da Segurança da Informação

 O Decreto nº 3505/00 instituiu a Política de Segurança da Informação nos órgãos e entidades da Administração Pública Federal. O referido decreto tem como inspiração técnica as melhores práticas internacionais sobre segurança da informação, como garantia de acesso a informação, implementação de tecnologias, normas, níveis de segurança e garantias de continuidade de serviços.

 O supramencionado Decreto, promulgado pelo Presidente Fernando Henrique Cardoso, trouxe também a previsão do chamado certificado de conformidade, conceituando também a segurança da informação, que passou a contar com uma definição legal:

 Art. 2o  Para efeitos da Política de Segurança da Informação, ficam estabelecidas as seguintes conceituações:

I - Certificado de Conformidade: garantia formal de que um produto ou serviço, devidamente identificado, está em conformidade com uma norma legal;

II - Segurança da Informação: proteção dos sistemas de informação contra a negação de serviço a usuários autorizados, assim como contra a intrusão, e a modificação desautorizada de dados ou informações, armazenados, em processamento ou em trânsito, abrangendo, inclusive, a segurança dos recursos humanos, da documentação e do material, das áreas e instalações das comunicações e computacional, assim como as destinadas a prevenir, detectar, deter e documentar eventuais ameaças a seu desenvolvimento

Outro ponto interessante é um princípio que passa desapercebido em diversas contratações públicas, que, por vezes, optam pela contratação de ferramentas externas de TI, através do licenciamento e não cessão ou desenvolvimento de softwares por encomenda.

 O art. 3º, II, do Decreto 3505/00 nos traz um princípio implícito, o de favorecimento ao uso de instrumentos de cessão e não de licenciamento e, sobretudo, preferencialmente, o de desenvolvimento da própria tecnologia da informação no âmbito do órgão interessado:

Art. 3º.  São objetivos da Política da Informação:

II - eliminar a dependência externa em relação a sistemas, equipamentos, dispositivos e atividades vinculadas à segurança dos sistemas de informação

III - promover a capacitação de recursos humanos para o desenvolvimento de competência científico-tecnológica em segurança da informação

VII - promover a capacitação industrial do País com vistas à sua autonomia no desenvolvimento e na fabricação de produtos que incorporem recursos criptográficos, assim como estimular o setor produtivo a participar competitivamente do mercado de bens e de serviços relacionados com a segurança da informação; e;

Em termos gerais, o administrador deve preferencialmente optar pela contratação ou uso da sua própria estrutura para o desenvolvimento de ferramentas de Tecnologia da Informação à simples contratação de ferramentas, muitas vezes estrangeiras – um princípio importante que deve ser visto do ponto de vista das licitações e da segurança e garantia do controle dos meios de acesso e segurança de dados.

 A capacitação e preferência pela contratação de empresas nacionais  pode ser considerada também como conteúdo local da Tecnologia da Informação, em analogia a Lei do Petróleo que exige a contratação de um percentual mínimo de empresas nacionais. O conteúdo local, por assim dizer, é algo extremamente positivo do ponto de vista do desenvolvimento do mercado nacional. O intercâmbio de informações entre os órgão públicos é outra medida essencial para a eficácia das medidas trazidas pela sistemática da Política Nacional da Segurança da Informação.

            4.1. Níveis de Sigilo

Com a promulgação do Decreto nº 7.845/2012, restou-se disciplinado o procedimento para credenciamento de segurança e tratamento da informação classificada, no âmbito da Administração Pública Federal criando, inclusive, o chamado Núcleo de Segurança e Credenciamento.

A referida norma trouxe pela primeira vez, num único diploma, regras suficientemente técnicas para o manuseio e classificação de documento sigilosos, aproximando-se das melhores práticas de segurança, já adotas por outras nações. Disciplinou-se também a forma pela qual as mídias físicas e virtuais deveriam ser tratadas de acordo com os níveis e postos de informação.

Logo no início o decreto menciona em seu art. 2º e incisos, sobre o sentido e alcance terminológico adotado:

  Art. 2o  Para os efeitos deste Decreto, considera-se:

I - algoritmo de Estado - função matemática utilizada na cifração e na decifração, desenvolvido pelo Estado, para uso exclusivo em interesse do serviço de órgãos ou entidades do Poder Executivo federal;

II - cifração - ato de cifrar  mediante uso de algoritmo simétrico ou assimétrico, com recurso criptográfico, para substituir sinais de linguagem clara por outros ininteligíveis por pessoas não autorizadas a conhecê-la;

III - código de indexação - código alfanumérico que indexa documento com informação classificada em qualquer grau de sigilo;

IV - comprometimento - perda de segurança resultante do acesso não autorizado;

V - contrato sigiloso - ajuste, convênio ou termo de cooperação cujo objeto ou execução implique tratamento de informação classificada;

VI - credencial de segurança - certificado que autoriza pessoa para o tratamento de informação classificada;

VII - credenciamento de segurança - processo utilizado para habilitar órgão ou entidade pública ou privada, e para credenciar pessoa para o tratamento de informação classificada;

VIII - decifração - ato de decifrar mediante uso de algoritmo simétrico ou assimétrico, com recurso criptográfico, para reverter processo de cifração original;

IX - dispositivos móveis - equipamentos portáteis dotados de capacidade computacional ou dispositivos removíveis de memória para armazenamento;

X - gestor de segurança e credenciamento - responsável pela segurança da informação classificada em qualquer grau de sigilo no órgão de registro e posto de controle;

XI - marcação - aposição de marca que indica o grau de sigilo da informação classificada;

XII - medidas de segurança - medidas destinadas a garantir sigilo, inviolabilidade, integridade, autenticidade e disponibilidade da informação classificada em qualquer grau de sigilo;

XIII - órgão de registro nível 1 - ministério ou órgão de nível equivalente habilitado pelo Núcleo de Segurança e Credenciamento;

XIV - órgão de registro nível 2 - órgão ou entidade pública vinculada a órgão de registro nível 1 e por este habilitado;

XV - posto de controle - unidade de órgão ou entidade pública ou privada, habilitada, responsável pelo armazenamento de informação classificada em qualquer grau de sigilo;

XVI - quebra de segurança - ação ou omissão que implica comprometimento ou risco de comprometimento de informação classificada em qualquer grau de sigilo;

XVII - recurso criptográfico - sistema, programa, processo, equipamento isolado ou em rede que utiliza algoritmo simétrico ou assimétrico para realizar cifração ou decifração; e

XVIII - tratamento da informação classificada - conjunto de ações referentes a produção, recepção, classificação, utilização, acesso, reprodução, transporte, transmissão, distribuição, arquivamento, armazenamento, eliminação, avaliação, destinação ou controle de informação classificada em qualquer grau de sigilo. 

O ponto crítico para o tratamento de informações classificadas encontra-se nos órgãos de registro nível 2, que são os órgãos públicos em si. Trata-se de um ponto crítico em razão da dimensão limitada de atuação de tais órgãos e da própria cultura vigente, em que se despreza, por vezes, a relevância do sigilo.

Eventuais pessoas, funcionários da própria Administração Pública Federal de órgãos de registro nível 2 devem assinar o chamado Termo de Compromisso de Manutenção de Sigilo - TCMS, constante no Anexo I do Decreto 7845/2012:

Art. 18.  O acesso, a divulgação e o tratamento de informação classificada ficarão restritos a pessoas com necessidade de conhecê-la e que sejam credenciadas na forma deste Decreto, sem prejuízo das atribuições dos agentes públicos autorizados na legislação.

Parágrafo único.  O acesso à informação classificada em qualquer grau de sigilo a pessoa não credenciada ou não autorizada por legislação poderá, excepcionalmente, ser permitido mediante assinatura de Termo de Compromisso de Manutenção de Sigilo - TCMS, constante do Anexo I, pelo qual a pessoa se obrigará a manter o sigilo da informação, sob pena de responsabilidade penal, civil e administrativa, na forma da lei. 

Os documentos sigilosos deverão ser manuseados com especial metodologia, a fim de preservar as informações nele contidas, como disciplina o referido decreto:

Art. 23.  A marcação será feita nos cabeçalhos e rodapés das páginas que contiverem informação classificada e nas capas do documento.

§ 1º As páginas serão numeradas seguidamente, devendo cada uma conter indicação do total de páginas que compõe o documento.

§ 2º A marcação deverá ser feita de modo a não prejudicar a compreensão da informação. 

 E continua o Decreto 7.845/2012 estabelecendo um protocolo para a guarda e manuseio de documentos físicos classificados:

Art. 26.  A expedição e a tramitação de documentos classificados deverão observar os seguintes procedimentos:

I - serão acondicionados em envelopes duplos;

II - no envelope externo não constará indicação do grau de sigilo ou do teor do documento;

III - no envelope interno constarão o destinatário e o grau de sigilo do documento, de modo a serem identificados logo que removido o envelope externo;

IV - o envelope interno será fechado, lacrado e expedido mediante recibo, que indicará remetente, destinatário e número ou outro indicativo que identifique o documento; e

V - será inscrita a palavra “PESSOAL” no envelope que contiver documento de interesse exclusivo do destinatário.

Como mencionamos, há uma hierarquia de documentos classificados de acordo com a sua relevância e confidencialidade demandada pelo conteúdo que nele se encerra. A condução de informações classificadas como ultrassecretas devem ser feitas pessoalmente, através de agentes do governo autorizados, contendo, em reforço, chaves criptográficas de uso restrito do governo:

Art. 27.  A expedição, a condução e a entrega de documento com informação classificada em grau de sigilo ultrassecreto serão efetuadas pessoalmente, por agente público autorizado, ou transmitidas por meio eletrônico, desde que sejam usados recursos de criptografia compatíveis com o grau de classificação da informação, vedada sua postagem. 

Nenhum sigilo sobre informações públicas pode ser eterno, a memória do povo depende do acesso as informações relevantes sobre a sua história. Seguido essa lógica a Lei 12527/2011 estipula, por via oblíqua ao decreto, os limites temporais para a manutenção do sigilo:

Art. 24.  A informação em poder dos órgãos e entidades públicas, observado o seu teor e em razão de sua imprescindibilidade à segurança da sociedade ou do Estado, poderá ser classificada como ultrassecreta, secreta ou reservada. 

§ 1o  Os prazos máximos de restrição de acesso à informação, conforme a classificação prevista no caput, vigoram a partir da data de sua produção e são os seguintes: 

I - ultrassecreta: 25 (vinte e cinco) anos; 

II - secreta: 15 (quinze) anos; e 

III - reservada: 5 (cinco) anos. 

Como visto neste capítulo, a Administração Pública já conta com importantes ferramentas para assegurar a integridade e confidencialidade de informações estratégicas, de relevante interesse nacional. Por esta razão, não haveria qualquer motivo ou justificativa para não conferir o mesmo tratamento as informações confidenciais de documentos particulares, no qual constam dados comerciais. O país deve ser sensível a demanda de uma economia cada vez mais globalizada, na qual grandes corporações dependem da manutenção do ativo de seus ativos intangíveis amparados por trade secrets, como estratégias comerciais, informações sobre P&D (Pesquisa e Desenvolvimento), precificação de intangíveis, dentre outras.

Como mencionado no capítulo anterior, tanto o Estado quanto o meio corporativo sempre buscaram adotar mecanismos de proteção as suas informações confidenciais. Contudo, por uma questão de mercado, o meio corporativo evoluiu a passos largos em termos de segurança da informação em relação ao Estado. Anos a fio de pesquisa e investimento geraram e ainda geram um ambiente propício para o desenvolvimento de novas tecnologias de segurança da informação - grandes empresas se ergueram e se mantem no mercado graças a estratégias inovadoras, protegidas até a sua descoberta por meio do sigilo.

Por mais que a Administração Pública, por vezes, se mostre insensível com relação ao sigilo de dados confidenciais de particulares, sobretudo, do ponto de vista comercial, a mesma perde e muito com isso, pois diminuiu o seu grau de respeitabilidade perante toda comunidade. Contratos administrativos devem ser autuados com informações sigilosas dos concorrentes e das empresas em separado, como ocorre na prática com os procedimentos administrativos junto ao CADE (Conselho Administrativo de Defesa Econômica), como preceitua o seu Regimento Interno:

Art. 52. No interesse das investigações e instrução processual, o CADE assegurará, no procedimento preparatório e no inquérito administrativo para apuração de infrações à ordem econômica e no processo administrativo para imposição de sanções administrativas por infrações à ordem econômica, no âmbito de aplicação da Lei nº 12.529, de 2011, tratamento sigiloso de autos, documentos, objetos ou informações e atos processuais, dentro do estritamente necessário à elucidação do fato e em cumprimento ao interesse social.

 Outro ponto a ser ressaltado é a vedação da prática da concorrência desleal, trazida pela Lei nº. 9.279/98 (Lei da Propriedade Industrial - “LPI”), que pode ser facilitada pela própria Administração Pública na eventualidade do vazamento de informações comerciais confidenciais.

“Art. 195. Comete crime de concorrência desleal quem:

XI - divulga, explora ou utiliza-se, sem autorização, de conhecimentos, informações ou dados confidenciais, utilizáveis na indústria, comércio ou prestação de serviços, excluídos aqueles que sejam de conhecimento público ou que sejam evidentes para um técnico no assunto, a que teve acesso mediante relação contratual ou empregatícia, mesmo após o término do contrato;

XII - divulga, explora ou utiliza-se, sem autorização, de conhecimentos ou informações a que se refere o inciso anterior, obtidos por meios ilícitos ou a que teve acesso mediante fraude;”

A “nova” Lei de Falências (Lei nº 11.101/05) prevê o crime de violação de sigilo empresarial, tamanha é a importância atribuída ao sigilo comercial:

Art. 169. Violar, explorar ou divulgar, sem justa causa, sigilo empresarial ou dados confidenciais sobre operações ou serviços, contribuindo para a condução do devedor a estado de inviabilidade econômica ou financeira:

Pena – reclusão, de 2 (dois) a 4 (quatro) anos, e multa.

Exige-se do Administrador Público a mesma perspicácia no emprego da confidencialidade na esfera dos documentos públicos aos particulares, por pura aplicação do Princípio da Isonomia. Não pode haver dois pesos e duas medidas, a relevância da informação confidencial deve encontrar o mesmo grau de respeitabilidade em todas as esferas, públicas e privadas.  


5.  Segredos Comerciais em Contratos Administrativos

Segundo a World Intellectual Property Organization - WIPO (2013), podemos definir os segredos comerciais ou trade secrets da seguinte forma:

“Broadly speaking, any confidential business information which provides an enterprise a competitive edge may be considered a trade secret. Trade secrets encompass manufacturing or industrial secrets and commercial secrets. The unauthorized use of such information by persons other than the holder is regarded as an unfair practice and a violation of the trade secret. Depending on the legal system, the protection of trade secrets forms part of the general concept of protection against unfair competition or is based on specific provisions or case law on the protection of confidential information. The subject matter of trade secrets is usually defined in broad terms and includes sales methods, distribution methods, consumer profiles, advertising strategies, lists of suppliers and clients, and manufacturing processes. While a final determination of what information constitutes a trade secret will depend on the circumstances of each individual case, clearly unfair practices in respect of secret information include industrial or commercial espionage, breach of contract and breach of confidence”.

 A Lei de Acesso a informação assegura a confidencialidade de informações de particulares:

Art. 31.  O tratamento das informações pessoais deve ser feito de forma transparente e com respeito à intimidade, vida privada, honra e imagem das pessoas, bem como às liberdades e garantias individuais. 

§ 1o  As informações pessoais, a que se refere este artigo, relativas à intimidade, vida privada, honra e imagem: 

I - terão seu acesso restrito, independentemente de classificação de sigilo e pelo prazo máximo de 100 (cem) anos a contar da sua data de produção, a agentes públicos legalmente autorizados e à pessoa a que elas se referirem; e 

II - poderão ter autorizada sua divulgação ou acesso por terceiros diante de previsão legal ou consentimento expresso da pessoa a que elas se referirem. 

§ 2o  Aquele que obtiver acesso às informações de que trata este artigo será responsabilizado por seu uso indevido. 

§ 3o  O consentimento referido no inciso II do § 1o não será exigido quando as informações forem necessárias: 

 O Regimento Interno do CADE inovou a especificar quais os documentos privados que mereceriam de antemão sigilo no processo administrativo, sagrando-se, o acesso a informação como regra e o sigilo, como exceção – zelando pela transparência da coisa pública:

Art. 53. Conforme o caso e no interesse da instrução processual, de ofício ou mediante requerimento do interessado, poderá ser deferido, em virtude de sigilo decorrente de lei ou por constituir informação relativa à atividade empresarial de pessoas físicas ou jurídicas de direito privado cuja divulgação possa representar vantagem competitiva a outros agentes econômicos (arts. 22 da Lei 12.527/2011 e 6º, inciso I e 5º, § 2º do Decreto 7.724/12), o acesso restrito de autos, documentos, objetos, dados e informações, que forem relacionados a:

I - escrituração mercantil;

II - situação econômico-financeira de empresa;

III - sigilo fiscal ou bancário;

IV - segredos de empresa;

V - processo produtivo e segredos de indústria, notadamente processos industriais e fórmulas relativas à fabricação de produtos;

VI - faturamento do interessado;

VII - data, valor da operação e forma de pagamento;

VIII - documentos que formalizam o ato de concentração notificado;

IX - último relatório anual elaborado para os acionistas ou quotistas, exceto quando o documento tiver caráter público;

X - valor e quantidade das vendas e demonstrações financeiras;

XI - clientes e fornecedores;

XII - capacidade instalada;

XIII - custos de produção e despesas com pesquisa e desenvolvimento de novos produtos ou serviços; ou

XIV - outras hipóteses, a critério da autoridade concedente, respeitados os arts. 22 da Lei 12.527/2011 e 6º, inciso I e 5º, § 2º do Decreto 7.724/12.

Como visto, o avançado Regimento Interno do CADE contribuiu de forma exemplar para a criação de figuras normativas essenciais para se averiguar quais informações comerciais seriam relevantes a ponto de serem consideradas sigilosas. O rol acima transcrito deve ser tido como um rol meramente exemplificativo.

 Da mesma forma, garantindo a segurança dos aspectos sigilosos das informações dos particulares, a Portaria nº 01/2003, em seu art. 17, firma também o compromisso de sigilo sobre as informações comerciais confidenciais:

“Art. 17. A ANP se compromete a não divulgar quaisquer documentos e informações de caráter comercial constantes dos contratos firmados entre as partes”.

A segurança jurídica conferida pela ANP aos concessionários é de vital importância, sobretudo, ao considerarmos o grau de sofisticação que as operações da indústria de petróleo e gás demandam.  A tutela deste direito, antes de mais nada, é também um dever da administração pública e a sua infração além das sanções civis sujeita-se também as sanções penais, consoante previsão contida no Código Penal.


6. CONCLUSÃO.

O segredo comercial tem se tornado cada vez mais importante na estrutura de grandes corporações e do próprio Estado, que deve garantir a manutenção destes segredos quando por ele requisitados. O grau de respeitabilidade de uma Nação, sua principal riqueza, varia de acordo também com a forma a qual ela lida internamente em suas relações público-privadas.

Para que haja uma política eficaz de atração ao capital internacional, o Estado deve provar que é capaz de garantir as condições mínimas de segurança jurídica dos bens incorpóreos, como os segredos comerciais. No âmbito interno tais garantias também devem ser respeitadas, sobretudo, no âmbito interno.

 A garantia ao acesso a informação reveste-se também com um importante aliado à elevação do patamar do Brasil à condições mais elevadas do ponto de vista internacional. Tais medidas vieram em boa hora e poderão auxiliar a sociedade na prestação de contas dos administradores públicos - algo sem precedentes na história do Brasil.

A classificação de informações sigilosas no âmbito público, como dito, deve encontrar a mesma acuidade no viés das informações confidenciais dos particulares confiadas a Administração Pública. A manutenção do sigilo comercial, quando indispensável ao exercício da atividade empresarial, deve ser analisada com extrema cautela pelo administrador, por consistir numa garantia constitucionalmente amparada e essencial a função social da empresa.


7. REFERÊNCIAS.

BRASIL. LEI No 8.159, DE 8 DE JANEIRO DE 1991. Dispõe sobre a política nacional de arquivos públicos e privados e dá outras providência. http://www.planalto.gov.br/ccivil_03/leis/L8159.htm. Acesso em 01/12/2013

BRASIL. LEI Nº 12.527, DE 18 DE NOVEMBRO DE 2011. Regula o acesso a informações previsto no inciso XXXIII do art. 5o, no inciso II do § 3o do art. 37 e no § 2o do art. 216 da Constituição Federal; altera a Lei no 8.112, de 11 de dezembro de 1990; revoga a Lei no 11.111, de 5 de maio de 2005, e dispositivos da Lei no 8.159, de 8 de janeiro de 1991; e dá outras providências. Acesso em XXX.

BRASIL. Controladoria-Geral da União – Ouvidoria Geral da União. Parecer nº. 99903.000274/2013-15. Brasília: 2013. Disponível em:  http://www.acessoainformacao.gov.br/acessoainformacaogov/recursos-cgu/pareceres/MDIC/BNDES/PA29512013.pdf Acesso em 01/12/2013

BRASIL. Tribunal de Contas da União. - Boas Práticas em Segurança da Informaçã – 2ª Ed. Brasília: Secretaria de Fiscalização de Tecnologia da Informação, 2007. Disponível em: http://portal2.tcu.gov.br/portal/pls/portal/docs/2059162.PDF

JUNIOR, Tércio Sampaio Ferraz. Revista de Direito Bancário do Mercado de Capitais e da Arbitragem, ano 4 – Outubro-Dezembro de 2001, RT, São Paulo: 2001, pp. 13-27. Disponível em: http://www.terciosampaioferrazjr.com.br/?q=/publicacoes-cientificas/98

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 17799:2005: tecnologia da informação, técnicas de segurança, código de prática para a gestão da segurança da informação. 2. ed. Rio de Janeiro: ABNT, 2005.

CEPIK, Marco. 2003. Espionagem e democracia : agilidade e transparência como dilemas na institucionalização de serviços de inteligência. Rio de Janeiro : Fundação Getúlio Vargas.

CONDEIXA, Fábio. Comentários à Lei de Acesso à Informação. Jus Navigandi, Teresina, ano 17, n. 3199, 4 abr. 2012 . Disponível em: <http://jus.com.br/artigos/21436>. Acesso em: 17 dez. 2013.

DIAS, Cláudia. Segurança e auditoria da tecnologia da informação. Rio de Janeiro: Axcel Books, 2000.

ISACA (2006). CISA Review Manual 2006. Certified Information Systems Auditor. Estados Unidos: 2006.

ISO (International Organization for Standardization). ISO/IEC 27001 - Information Security Management. Disponível em: http://www.iso.org/iso/home/policies.htm  Acesso em 17/12/2013

SILVEIRA, Newton. Aplicação do acordo TRIPs no Brasil. Revista de Direito Mercantil, Industrial, Econômico e Fiananceiro. São Paulo, 1999.

SEGADE, José Gomes. La ley de patentes y modelos de utilidad. Madrid: Civitas, 2001.


Autor


Informações sobre o texto

Como citar este texto (NBR 6023:2018 ABNT)

EICHLER, Matheus dos Santos Buarque. Informações confidenciais no âmbito da administração pública: o dever de sigilo em contratos administrativos. Revista Jus Navigandi, ISSN 1518-4862, Teresina, ano 18, n. 3824, 20 dez. 2013. Disponível em: https://jus.com.br/artigos/26185. Acesso em: 29 mar. 2024.