No último dia 16 de maio, entrou em vigor a Lei 12.527/11, de Acesso à Informação, também conhecida como “LAI”. Isso significa que agora o princípio vigente no Brasil no tocante aos dados que estão na Administração Pública e nas empresas de Economia Mista é o da publicidade e transparência (art. 3º. Inciso I da Lei), ou seja, toda informação nasce pública e só terá seu acesso protegido se estiver enquadrada nas hipóteses legais que justifiquem esta medida de segurança.

Os artigos 23 e 24 da LAI estabelecem como dever dos órgãos e entidades do poder público assegurar a gestão transparente da informação, propiciando amplo acesso a ela e sua divulgação. Sendo assim, apenas excepcionalmente, as informações serão protegidas, ou seja, só nos casos em que estiverem arroladas como sigilosas, em especial se representarem um risco a segurança ou a soberania nacional, ou se já estiverem protegidas por outra lei como ocorre com o segredo de justiça e com o segredo industrial, este último previsto na Lei 9.279/96.

 Além da Lei, foi publicada também a Portaria n.º 25, de 15 de maio de 2012, com a finalidade de complementar a mesma e se aplica apenas ao Instituto Nacional de Tecnologia da Informação (ITI), que cuida da ICP Brasil,  mas serve de referência para outros órgãos. A Portaria elenca quais seriam as informações e/ou documentos que merecem acesso restrito, ou seja, que são sigilosos ou que pelo menos devam ser protegidos por algum tempo, antes de serem tornados públicos para o cidadão, visto que são imprescindíveis para garantir a segurança da própria sociedade.

 Pela leitura da Portaria pode-se extrair algumas considerações sobre o que poderia ser considerado como documento ou dado secreto, para os efeitos legais aqui tratados, por exemplo, uma série de documentos relacionados a gestão e governança da própria TI dos órgãos, tais como os que tratem de registros e/ou arquivos de logs, registros de câmeras, controles de acesso, senhas, registros de entrada e saída, relação de funcionários que possuem acesso lógico, certificados digitais e chaves criptográficas, documentação de sistemas que provém segurança física, documentação de sistemas redundantes e/ou críticos, planos de continuidade, bem como também papéis de trabalho, relatórios de auditoria, entre outros.

 O que não estiver elencado na Portaria, nem tenha tratamento de sigilo por razão de outra lei já existente, deve ser tornado público imediatamente. Isso afeta, de forma prática, a gestão da segurança nas Instituições Públicas bem como a classificação da informação. Até então, a informação era classificada como de natureza interna ou confidencial logo na sua geração e, a partir da lei, toda a informação nasce classificada como pública e só receberá outro tipo de classificação, como sigilosa, se houver justificativa legal para tanto.

Por certo, cidadãos terão mais acesso a informação, mas também há o outro lado, da preocupação de pessoa e empresas sobre a exposição de seus dados pessoais ou corporativos que estão armazenados em órgãos públicos ou de economia mista. Como um balanço de empresa privada fechada que possa estar na Secretaria da Fazenda, ou ainda as informações de imposto de renda de um indivíduo depositadas junto a Receita Federal, entre outros.

 Concluindo, com esta mudança, há uma série de Políticas, Normas e Procedimentos de SI e TI que precisam ser revistos e adaptados para atender a nova regra estabelecida. Bastante trabalho para os gestores públicos que necessitarão de apoio jurídico para reverem toda a documentação. Que tenhamos um Brasil mais transparente e mais seguro também. Ficamos no aguardo do próximo passo, que é o andamento e a aprovação de uma lei de proteção de dados sensíveis para então assim haver maior governança corporativa na gestão pública e privada dos dados.