Sumário Executivo
Neste documento, a ARTIGO 19 analisa a Estratégia de Segurança da Informação e Comunicações e da Segurança Cibernética da Administração Pública Federal do Brasil para 2015-2018.
A Estratégia está vinculada ao arcabouço mais amplo de planejamento estratégico geral do Governo brasileiro. Ela foi desenvolvida a partir da instrução normativa GSI/PR nº 01/2008 do antigo Gabinete de Segurança Institucional da Presidência da República – GSI/PR – relacionada à gestão da segurança da informação e das comunicações da Administração Pública Federal, tendo sido preparada e aprovada pelo já mencionado Gabinete. O texto tem o objetivo de buscar as melhores práticas na área de segurança da informação e cibersegurança, além estabelecer as principais metas e objetivos estratégicos para os próximos quatro anos, que deverá inspirar e guiar ações futuras e específica.
A ARTIGO 19 acredita que essa Estratégia é importante para a proteção de uma ampla gama de direitos humanos e, em particular, a liberdade de expressão. Por essa razão ela deve ser avaliada para que possam ser observada a conformidade com os padrões internacionais e, não obstante, com as leis domésticas de direitos humanos e liberdade de expressão. A Estratégia propõe princípios relevantes relacionados à proteção de direitos, abordagem multissetorial, acesso à informação e participação.
Entretanto, nossa análise identifica que existem sérias deficiências. Em particular:
- O governo falha em fundamentar de maneira firme a Estratégia em padrões nacionais e internacionais de proteção aos direitos humanos. Existe referenciamento mínimo à proteção doméstica de direitos, principalmente aqueles relacionados à liberdade de expressão e às tecnologias digitais.
- Dentre as metas da Estratégia está obtenção de determinados resultados para beneficiar a sociedade, dentre os quais estão incluídos a transparência, a proteção à privacidade, a democratização do acesso à informação e a salvaguarda de informações confidenciais. Este objetivo é relevante e em consonância com os padrões legais aplicáveis nacionais e internacionais. Porém, o documento falha ao não elaborar recomendações mais profundas e específicas na área. Ademais, a enumeração dos diferentes objetivos estratégicos concretos na parte central da Estratégia sequer menciona ou leva em consideração estes importantes valores e direitos.
- Na medida em que a execução de algumas das orientações determinadas no documento vão requerer o envolvimento de diferentes grupos de atores privados, os responsáveis primários pela aplicação e acompanhamento das diretivas serão os vários departamentos e agências da Administração Federal. Significativamente, a imprecisão das disposições que guiam as ações destes atores públicos é a parte mais problemática da Estratégia, com severas implicações para os direitos humanos.
- No desenvolvimento da Estratégia não houve consultas relevantes com as diferentes partes interessadas. Houve consultas apenas no interior da administração federal e ao CGI.br. Consideramos problemático que a sociedade civil, organizações, indivíduos e outros stakeholders não tiveram a oportunidade de analisar e fazer contribuições ao documento. Apesar do texto formalmente estabelecer a estratégia de cibersegurança da administração federal e reconhece as principais responsabilidades das instituições públicas, ele não deve ser confundido como um mero conjunto de regras “internas”. Também notamos que este tipo de consulta já foi organizado previamente ao redor de questões importantes, principalmente em legislações, como na elaboração do Marco Civil da Internet; tais consultas foram amplamente apreciadas como uma abordagem positiva.
A ARTIGO 19 solicita ao governo brasileiro que revise a Estratégia à luz das recomendações destacadas nessa análise, a fim de garantir que uma maior variedade de atores da sociedade em geral sejam envolvidos no processo.
Resumo das Recomendações
- Como uma questão de princípio, políticas públicas – incluindo aquelas relacionadas à segurança da informação e comunicações e cibersegurança – devem ser abertas à uma discussão ampla e compreensível a todas as partes interessadas relevantes. A discussão deve basear-se em documentos e propostas elaborados por órgãos governamentais competentes que sejam claros e inteligíveis; as propostas também devem levar em consideração todos os parâmetros legislativos relevantes estabelecidos em nível nacional, bem como os padrões internacionais;
- Respeito aos direitos humanos, especialmente aos direitos de liberdade de expressão e proteção à privacidade, deveriam ser apropriadamente incorporados no conjunto dos princípios e objetivos que orientam a Estratégia, assim como referências a participação pública, à prestação de contas à sociedade e ao acesso à informação de interesse público. Uma visão de cibersegurança para além das dinâmicas internas administrativas também deveria ser integrada às premissas e propósitos do documento;
- Todos os princípios norteadores e objetivos deveriam ser esboçados de maneira mais precisa, incorporando os valores estabelecidos de maneira clara na legislação nacional, bem como a linguagem e as metas presentes nos diversos documentos internacionais;
- Devem ser introduzidas e desenvolvidas diretrizes para as discussões multissetoriais que envolvem decisões sobre investimentos nacionais em SIC e SegCiber;
- Qualquer treinamento ou programa de formação na área não deve dar importância desproporcional à defesa da soberania nacional como constituinte da cibersegurança. As preocupações relacionadas à segurança nacional devem ser propriamente balanceadas com os direitos humanos, necessidade de transparência e o acesso à informação;
- Pesquisas em SIC e SegCiber devem ser inteligíveis e completas e, portanto, devem ir além de questões tecnológicas para cobrir áreas como os direitos humanos e políticas públicas, no sentido mais amplo desses termos;
- O modelo de governança a ser implementado relacionado à SIC e à SegCiber deve ser definido apropriadamente; mais especificamente, deve ser desenvolvido em consulta com diferentes atores e deve incorporar dentre suas prioridades a proteção adequada aos direitos humanos, a prestação de contas à sociedade e a adotação de uma abordagem multissetorial.
- Referências a parcerias para aperfeiçoar a confidencialidade ou integridade das informações deve ser acompanhado de diretivas mais claras e específicas vis-à-vis à proteção da privacidade e ao exercício adequado do direito à liberdade de expressão.
- A Estratégia deve ser mais específica nas ações sugeridas relacionadas à proteção de infraestruturas críticas; em particular, ela deve focar nas elaboração de busca de envolvimento com os diferentes atores, do direito à informação dos cidadãos nestas questões e, também, no estabelecimento de salvaguardas apropriadas para a proteção adequada aos direitos humanos. Ela também precisa delimitar diretrizes claras relacionadas à cooperação entre instituições públicas e atores privados na área.
- Com o objetivo de atingir o objetivo estratégico de promover a conscientização dos cidadãos nas temáticas de SIC e SegCiber, a Estratégia precisa estabelecer mecanismos para a disseminação adequada e compreensível de informação, particularmente as relacionadas ao exercício e proteção efetivos dos direitos humanos, e aos diferentes mecanismos disponíveis para a realização de tais metas.