Para além dos escândalos: dados pessoais e segurança da informação no poder público

Em 2020, grandes escândalos envolvendo incidentes de segurança da informação no poder público ganharam o noticiário nacional. Em novembro, o Superior Tribunal de Justiça sofreu um ataque que resultou na cifragem de múltiplas bases de dados. Em seguida, outras cortes foram alvo de invasões em diferentes escalas. Na mesma época, uma falha na segurança dos dados do Ministério da Saúde deixou vulnerável por um mês mais de 16 milhões de dados de brasileiros que já haviam tido diagnóstico ou suspeita de covid-19. Esses incidentes levantaram preocupações sobre como tem sido a implementação das políticas de segurança pelos órgãos públicos, assim como das repercussões potenciais de incidentes futuros sobre o funcionamento das instituições. Ainda, provocaram debates sobre as complexas relações entre segurança da informação e proteção de dados num cenário de crescente coleta e centralização dos dados pessoais dos cidadãos para fins de modernização do serviço público e digitalização do governo. Com o objetivo de constituir um espaço para reflexão sobre os aprendizados institucionais que podem ser desenvolvidos a partir desses acontecimentos, o workshop mobilizará contribuições dos diferentes setores e das cinco regiões, de modo a trazer à tona diferentes perspectivas sobre a tópica. Com a finalidade de orientar o debate, as exposições dos palestrantes buscarão responder às seguintes questões: que condições possibilitaram os últimos escândalos de segurança da informação no Brasil? Como têm sido as respostas institucionais aos incidentes e quais respostas devemos esperar daqui em diante? Qual o papel da ANPD, cujas atribuições incluem fiscalizar o tratamento realizado pelo poder público, nesse cenário? E de que modo os demais setores podem contribuir?

Do ponto de vista principiológico, o desenvolvimento e a implementação de boas práticas de segurança e medidas técnicas compatíveis com os padrões internacionais é fundamental para o princípio de funcionalidade, segurança e estabilidade da rede. Na mesma seara, o estabelecimento de políticas efetivas de segurança é condição para o respeito ao princípio de liberdade, privacidade e direitos humanos, uma vez que incidentes de segurança envolvendo bases de dados públicas frequentemente resultam na exposição dos dados pessoais dos cidadãos brasileiros. Nesse sentido, é preciso observar que proteção de dados pessoais e segurança da informação se encontram fortemente relacionadas, ainda que os dois conceitos não se confundam. Na presente conjuntura, os riscos aos direitos dos titulares são agravados pelo impulsionamento recente da agenda de digitalização do serviço público e integração de diversas bases de dados nos âmbitos executivo e legislativo, a qual se exemplifica por iniciativas como o PL 317/2021 (PL do Governo Digital) e pelo Decreto 10.046/2019 (Cadastro Base do Cidadão). Num ambiente de centralização progressiva dos dados em megabases, tanto os incentivos para atacantes quanto os danos potenciais decorrentes de incidentes de segurança aumentam substancialmente. A urgência de se avançar o debate sobre incidentes de segurança é tamanha que o tópico foi tematizado imediatamente pela ANPD em sua Tomada de Subsídios 02/21. Adicionalmente, a ausência de medidas adequadas de segurança e mitigação quando da ocorrência de incidentes pode prejudicar a confiança da sociedade nas infraestruturas tecnológicas das quais a manutenção de um ambiente inovativo depende e por meio das quais as políticas públicas são crescentemente viabilizadas. Desse modo, debater a relação entre dados pessoais e segurança da informação no poder público é crucial para a confiança, que por sua vez é cada vez mais reconhecida como um valor fundamental na governança da internet.

O workshop acontecerá em formato de painel. A fim de melhor conduzir a dinâmica, enviaremos uma pergunta a cada um dos convidados para nortear a sua intervenção. As perguntas serão formuladas por nós, proponentes, tendo em vista a experiência e expertise de cada expositor no assunto. Cada um dos expositores terá 10 minutos, seguidos de 30 minutos para debate com a audiência. Assim, poderemos reunir contribuições e perspectivas de diferentes setores sobre os desafios na gestão da segurança da informação no poder público. Os painelistas serão orientados a fazerem exposições tão claras quanto possível para que o debate possa integrar de forma efetiva as discussões da esfera técnica e social, sem que se perca, contudo, a profundidade e qualidade das apresentações.

O fomento à participação da audiência presencial e remota se dará das seguintes formas: (i) convidaremos a comunidade a participar do workshop através das redes sociais da instituição proponente com antecedência e faremos peças para divulgação do painel e (ii) divulgaremos o contexto e a justificativa da discussão convidando as pessoas interessadas a enviarem, previamente, as suas perguntas através de um formulário. (iii) Essas perguntas poderão ser colocadas em pauta, assim como outras intervenções do público que estiver acompanhando o evento, presencial ou remotamente. Além disso, (iv) disponibilizaremos materiais de apoio para as pessoas interessadas em aprofundar nas discussões sobre segurança da informação.

O workshop avançará na construção de entendimentos coletivos sobre os riscos e as formas mais adequadas de se responder a incidentes de segurança no setor público, bem como sobre quais abordagens normativas e melhores práticas podem favorecer a prevenção desse tipo de incidente. Esses entendimentos serão construídos a partir das contribuições de representantes dos diversos setores e das cinco regiões do Brasil, de modo a trazer uma real diversidade de olhares sobre o presente cenário, marcado por grandes escândalos de incidentes de segurança. Nessa seara, os registros das exposições e do diálogo com a audiência poderão se converter em documentação de referência acerca das reações da sociedade aos recentes escândalos, bem como para fornecer caminhos a serem aprofundados em debates futuros. Desse modo, o workshop beneficiará, também, o fortalecimento de uma cultura de proteção de dados pessoais em um setor público em processo de digitalização acelerada.