Política Nacional de segurança cibernética: Os possíveis impactos da exclusão da ABIN, da ANPD e da PF
O decreto 11.856/23, que institui a Política Nacional de segurança cibernética, não previu a participação da ANPD, da ABIN e da PF no Comitê responsável. Mas o que essa exclusão pode gerar?
quinta-feira, 11 de abril de 2024
Atualizado às 14:51
O acesso à internet, o surgimento de redes sociais, a disseminação de informações, o avanço da tecnologia da informação e comunicação, bem como os novos modelos de negócios, representam apenas algumas das transformações cada vez mais evidentes e duradouras da era digital. Contudo, embora o ciberespaço ofereça novas oportunidades, também traz consigo novas ameaças, expondo a administração pública e a sociedade a riscos. Por conseguinte, garantir e aprimorar as tecnologias e os mecanismos de proteção para a segurança nacional, a economia e a liberdade de expressão tornam-se uma tarefa cada vez mais complexa.
Nos últimos anos, a UE1 e muitos países, a exemplo dos EUA2, têm apresentado estratégias e legislações voltadas ao tratamento do tema da cibersegurança. No Brasil, em 26 de dezembro de 2023, foi publicado o decreto 11.856/23, que institui a PNCiber - Política Nacional de Cibersegurança, com a finalidade de orientar a atividade de segurança cibernética no País. De modo a acompanhar a implementação e evolução da Política, o Decreto institui, ainda, o CNCiber - Comitê Nacional de Cibersegurança, delimitando sua composição, competências e demais aspectos essenciais ao seu funcionamento.
No art. 3º do referido decreto, foram estabelecidos 11 objetivos a serem alcançados pela PNCiber. Para cumprir esses objetivos, é essencial a atuação do CNCiber, o qual é composto, de acordo com o art. 7º do mesmo decreto, por 16 membros permanentes indicados por órgãos da Administração Pública federal e 9 representantes igualmente distribuídos entre a sociedade civil, o setor empresarial e as instituições científicas, tecnológicas e de inovação.
A análise da composição do Comitê revela a ausência de órgãos como a ABIN - Agência Brasileira de Inteligência e a PF - Polícia Federal, além de entidades como a ANPD - Autoridade Nacional de Proteção de Dados, apesar de sua relevância na área de segurança cibernética. Essa exclusão pode resultar em lacunas de conhecimento e na falta de contribuições essenciais para a efetiva implementação e cumprimento da Política.
ABIN
A ABIN, como órgão da Presidência da República, anteriormente esteve vinculada à estrutura do GSI/PR - Gabinete de Segurança Institucional, que presidiu o CNCiber durante parte do processo de elaboração do decreto 11.856/23, embora atualmente esteja ligada à Casa Civil.
De acordo com o decreto 11.816, de 6/12/233, a ABIN tem entre suas competências o planejamento, a execução, a coordenação, a supervisão e o controle das atividades de inteligência do país, seguindo a política e as diretrizes estabelecidas em legislação específica. O parágrafo 1º do art. 1º deste Decreto também menciona o planejamento e a execução da proteção de conhecimentos sensíveis relativos aos interesses e à segurança do Estado e da sociedade, assim como a avaliação das ameaças internas e externas à ordem constitucional. Tais competências, alinhadas com a proteção da privacidade e das liberdades civis, servem como base para a segurança cibernética.
Dentre os órgãos que compõem a estrutura da ABIN, está o CEPESC/ABIN - Centro de Pesquisa e Desenvolvimento para a Segurança das Comunicações, que possui competências4 para fornecer inteligência na pauta de segurança cibernética e de alertas sobre ameaças cibernéticas maliciosas, bem como o desenvolvimento de produtos e serviços criptográficos.
Diante disso, torna-se evidente a relação direta entre uma série de objetivos a serem alcançados pela PNCiber e as competências da ABIN.5, b Ao CEPESC/ABIN cabe, por exemplo, o desenvolvimento de soluções de tecnologia da informação e comunicação, assim como a condução da seleção, aquisição e implementação de soluções de tecnologia da informação e comunicação de terceiros, para uso na ABIN, no SISBIN - Sistema Brasileiro de Inteligência e na Administração Pública federal6. Nesse contexto, a atuação da ABIN é fundamental para alcançar o objetivo de promover o desenvolvimento de produtos, serviços ou tecnologias de caráter nacional destinados à segurança cibernética, bem como na aquisição destes7.
Assim, cabe à ABIN realizar pesquisas em tecnologia da informação e comunicação, em inteligência cibernética, em criptologia e em segurança cibernética, de informações, de comunicações e de dados8, estando, pois, envolvida na salvaguarda de sistemas e infraestruturas, protegendo a confidencialidade, a integridade e a disponibilidade de informações e ampliando e aperfeiçoando a resiliência das organizações a incidentes e ataques cibernéticos9. Pelas mesmas razões, relevante a atuação da Agência no que diz respeito à consecução do objetivo de fomentar atividades de pesquisa científica, de desenvolvimento tecnológico e de inovação relacionadas à segurança cibernética10.
A exclusão da Agência da composição do CNCiber pode implicar na falta de atendimento a alguns dos princípios expressos pela própria Política no art. 2º do decreto 11.856/23, como a soberania nacional e a priorização dos interesses nacionais, a prevenção de incidentes e ataques cibernéticos, e a resiliência das organizações públicas e privadas diante desse cenário.
ANPD
A ANPD, autarquia de natureza especial vinculada ao Ministério da Justiça e Segurança Pública, está prevista na da lei 13.709, de 14/8/18 - LGPD como entidade responsável por zelar, implementar e fiscalizar o cumprimento desta lei em todo o território nacional. Com efeito, as competências da ANPD estão definidas no art. 55-J da LGPD.
De fato, a proteção de dados pessoais e a segurança cibernética têm sido consideradas temas diferentes: enquanto esta é entendida como a prática de proteger sistemas, redes e programas de ataques digitais, aquela tem com a observância de limitações para a coleta e utilização de dados que identificam ou permitem a identificação de uma pessoa.
As pautas são complementares entre si, considerando que, normalmente, as principais violações de dados começam com o acesso a dados pessoais e organizacionais
Considerando-se o cenário exposto, a não inclusão da ANPD no CNCiber parece gerar mais desafios para que sejam atingidos os objetivos desejados à PNCiber. Note-se, por oportuno, que a LGPD regula o tratamento de dados pessoais não apenas no âmbito privado, de modo que os órgãos públicos também estão sujeitos às diretrizes elaboradas pela ANPD, bem como sujeitos às sanções por ela impostas. Em outros termos, ela é responsável por promover, também nestes órgãos, políticas que estimulem a adoção do conhecimento das medidas de segurança necessárias.
Entende-se também que o desenvolvimento de mecanismos de regulação, fiscalização e controle destinados a aprimorar a segurança e resiliência cibernéticas nacionais deve estar alinhado com o que é definido na proteção de dados. Um exemplo disso é a criptografia e a encriptação, que são cruciais para preservar a confidencialidade e integridade dos dados pessoais. Nesses e em outros casos, a proteção de dados e a cibersegurança funcionam como referências mútuas, complementando suas próprias normas.
Por fim, a ANPD tem a competência de promover ações de cooperação com autoridades de proteção de dados pessoais de outros países, de natureza internacional ou transnacional11. Oportuna, pois, a abordagem conjunta do tema com a cooperação internacional em segurança cibernética.
PF
A PF é órgão permanente de Estado e integra a estrutura do Ministério da Justiça e Segurança Pública, tendo suas competências previstas no § 1º do art. 144 da Constituição Federal12 e no decreto 11.348, de 1/1/23. Apesar da inegável atuação na prevenção, repressão e apuração de ilícitos, a PF, assim como a ABIN e a ANPD, não foi incluída na lista dos órgãos integrantes do CNCiber.
Em junho de 2023, em audiência pública realizada pelo GSI, o delegado Valdemar Latance Neto, chefe do Serviço de Análise e Inteligência Policial da Diretoria de Combate a Crimes Cibernéticos da PF, criticou13 o encaminhamento do projeto de lei para a criação da política de cibersegurança sem a inclusão da PF, por entender que não há razões constitucionais nem legais para essa exclusão.
Da análise dos objetivos da PNCiber, nota-se uma relação direta entre alguns deles e as competências previstas para a PF. Em primeiro lugar, apesar de a Política estabelecer como objetivo a contribuição para o combate aos crimes cibernéticos14, o Comitê exclui de sua composição o principal órgão responsável pela repressão desses ilícitos. O tema é tão relevante para a PF que o órgão possui em sua estrutura uma DCIBER - Diretoria de Combate a Crimes Cibernéticos, com competência para dirigir, planejar, coordenar, controlar, executar e avaliar as atividades de prevenção e repressão das infrações penais praticadas no ambiente digital15.
Do mesmo modo, o decreto 11.856/23 fala em atuação coordenada e intercâmbio de informações de segurança cibernética entre os mais diversos entes, órgãos, poderes e setores16, mas exclui o principal órgão de investigação, prevenção e repressão de cibercrimes. Note-se, mais, que incumbe à PF, mediante atuação da DCIBER, apoiar operacionalmente investigações conduzidas por outras unidades que demandem o emprego de recursos ou técnicas especiais17.
Finalmente, a exclusão da PF pode significar a inobservância de princípios da Política - a exemplo da prevenção de incidentes e de ataques cibernéticos, a cooperação entre órgãos e entidades na matéria de segurança cibernética e a cooperação técnica internacional na área.
CONCLUSÃO
O decreto 11.856/23, que institui a PNCiber e o CNCiber, representa sem dúvida um avanço significativo no tratamento da segurança cibernética no Brasil. No entanto, à luz do exposto neste artigo, fica claro que a exclusão de órgãos como a ABIN, a PF e a ANPD do Comitê e, consequentemente, da implementação e execução da PNCiber, pode resultar na não observância de uma série de princípios da Política e na redução ou até mesmo na inviabilização do alcance dos objetivos propostos.
É nesse contexto que, em 20/3/24, o Comitê realizou sua primeira reunião, em que foram discutidos a elaboração do Regimento Interno do Comitê e o estabelecimento de 3 grupos de trabalho. Esses grupos foram formados para debater o aprimoramento da E-Ciber - Estratégia Nacional de Cibersegurança, propor a criação de um órgão de governança da cibersegurança nacional e coordenar as manifestações brasileiras nos diferentes organismos internacionais sobre cibersegurança, visando consolidar uma posição coerente e consistente do Brasil. Nesse contexto, duas certezas se destacam: as ameaças e eventos maliciosos no ambiente cibernético continuarão ocorrendo e evoluindo, e ainda há muito a ser feito para estabelecer uma verdadeira cultura de segurança cibernética no país.
----------------------
1 A União Europeia possui uma legislação compreensiva sobre cibersegurança: a Directive (EU) 2022/2555[1]. Ela cria uma harmonização de requisitos para cibersegurança de vários setores econômicos, traz regras para todos os países-membros do bloco quanto à necessidade de criação de políticas nacionais, e estabelece a European Union Agency for Cibersecurity (ENISA)[1] como órgão responsável para a interlocução entre os setores públicos, privado e terceiro setor.
2 Em 1º de março de 2023, a Casa Branca apresentou a Estratégia Nacional de Cibersegurança[2], priorizando uma internet segura, concentrando-se na segurança econômica, direitos humanos, democracia e diversidade. Mudanças notáveis incluem redistribuir os deveres de defesa e promover investimentos de longo prazo. A Estratégia se baseia em políticas existentes e engloba 5 (cinco) pilares críticos, quais sejam: 1) defender infraestruturas críticas; 2) neutralizar ameaças; 3) moldar forças de mercado para segurança e resiliência; 4) investir em um futuro resiliente; 5) cultivar parcerias internacionais para atingir objetivos comuns.
3 Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2023-2026/2023/decreto/D11816.htm
4 Art. 7º do Decreto 11.816/2023
5 Art. 7º, II, do Decreto 11.816/2023
6 Art. 7º, IV, do Decreto 11.816/2023
7 Art. 3º, I, do Decreto 11.856/2023
8 Art. 7º, I, do Decreto 11.816/2023)
9 Art. 3º, II, do Decreto 11.856/2023
10 Art. 3º, VIII, do Decreto 11.856/2023
11 Art. 55-J, IX, da LGPD
12 Disponível em: https://www.planalto.gov.br/ccivil_03/constituicao/constituicao.htm
13 Disponível em: https://www.pressreader.com/brazil/o-estado-de-s-paulo/20231230/281694029600717
14 Art. 3º, IV, do Decreto 11.856/2023
15 Art. 48 do Decreto 11.348/2023
16 Art. 3º, IX, do Decreto 11.856/2023
17 Art. 48 do Decreto 11.348/2023