Governo formaliza exigência por datacenter nacional para dados de governo
O governo federal formalizou a revisão normativa para exigir que os dados criados ou guardados pelos órgãos públicos sejam obrigatoriamente armazenados em território nacional nos contratos de computação em nuvem. A diretriz faz parte da nova redação da Norma Complementar 14 do Departamento de Segurança da Informação e Comunicação, a área do Gabinete de Segurança Institucional da Presidência que coordena normas para toda a administração.
“Deve ser assegurado que dados, metadados, informações e conhecimento, produzidos ou custodiados por órgão ou entidade da Administração Pública Federal, bem como suas cópias de segurança, residam em território brasileiro”, diz textualmente a norma publicada o Diário Oficial da União desta segunda, 19/3.
Como antecipado ao Convergência Digital pelo chefe do DSIC, coronel Arthur Pereira Sabbat, a revisão da NC 14, originalmente publicada em 2012, é consequência natural do crescimento do interesse dos órgãos públicos na contratação de serviços de computação em nuvem.
A redação de 2012 já exigia armazenamento local, mas para isso determina que “a legislação brasileira prevaleça sobre qualquer outra, de modo a ter todas as garantias legais enquanto tomadora do serviço e proprietária das informações hospedadas na nuvem”. No entanto, em 2016 o próprio governo mostrou que dos 25 órgãos públicos com serviços de computação em nuvem, somente 11 exigiam que os dados estivessem no Brasil.
“Temos duas novidades essenciais. Primeiro a parte de classificação de dados. Nenhum dado que possui classificação, consoante à LAI, de ultrassecreto, secreto ou reservado pode ir para nuvem. Os outros dados ficam na decisão do gestor mais alto na sua esfera. O segundo pilar é que os dados produzidos pelo Estado, sob gestão do Estado, devem ficar armazenados em território nacional”, resumiu o diretor do DSIC.
Para isso, a nova redação diz que informação sem restrição de acesso pode ser tratada em nuvem, a critério do órgão ou entidade da administração. Mas a nuvem deve ser evitada no caso de informações sigilosas e expressamente vedada no caso das informações classificadas de acordo com a Lei de Acesso a Informação (12.527/11).