Cadastro dos cidadãos ganha primeiras regras e órgãos têm 90 dias para classificar dados
O Comitê Central de Governança de Dados, instância supervisora do cadastro unificado de dados dos cidadãos brasileiros em poder do Estado, baixou nesta sexta, 20/3, as primeiras orientações aos órgãos federais sobre como proceder na trajetória de simplificar a troca de informações entre eles.
Como apontado expressamente na Resolução 2/2020 – a 1, também publicada nesta sexta, trata do regimento interno do Comitê – “o objetivo deste trabalho é facilitar o compartilhamento de dados dentro do governo, esclarecendo conceitos e procedimentos operacionais básicos para cumprimento do Decreto nº 10.046, de 2019”.
Para esse objetivo, a fase atual de implantação do ‘Cadastrão’ envolve “”reduzir a ambiguidade das normas legais existentes”, “categorizar dados para facilitar o compartilhamento de dados” e “adequar os requisitos de segurança para o compartilhamento de dados”.
A primeira instrução efetiva determina que os “órgãos e às entidades da administração pública federal direta, autárquica e fundacional (…) têm 90 dias, a partir da data de publicação desta Resolução, para categorizar seus conjuntos de informações para fins de compartilhamento de dados”.
A valiosa leitura da Resolução 2/20, disponível neste link, já indica que a tarefa não é simples. “Embora exista a interpretação de que, em face do disposto no inciso X do art. 5º da Constituição Federal, toda a informação pessoal deve ter seu acesso a restrito, isso conflita com outras normas e princípios, como o da publicidade da informação do governo, e com práticas sociais que publicam, por exemplo, resultados de provas e de concursos. É necessário fornecer orientações mais precisas aos gestores de dados para que estes possam definir se os dados sob sua gestão são públicos ou não”, aponta o documento.
Mais complexo ainda, lembra que “as previsões de restrição de acesso a serem aplicadas também a determinadas informações são pouco detalhadas nas normas legais. A legislação apenas estabelece comandos de que determinadas informações ‘são invioláveis’, que em relação a elas se deve ‘assegurar sigilo’ ‘guardar sigilo’ e ‘assegurar a proteção da informação sigilosa e da informação pessoal’. Contudo, nenhuma dessas normas detalha o que é ser inviolável, assegurar ou guardar sigilo, ou assegurar a proteção.”
Como conclusão, o Comitê reconhece que “as informações protegidas não podem ser de livre acesso para a sociedade e o seu tratamento dentro do governo é variado. Muitas são compartilhadas regularmente, outras não. Hoje, não temos clareza sobre quais informações podem ser compartilhadas dentro do governo nem sobre como fazê-lo”.
Fica evidenciado no conjunto de considerações e instruções da Resolução 2/20 que os órgãos públicos precisam consolidar a figura do “gestor de dados”, responsável pela classificação, integridade, segurança, compartilhamento e interlocução sobre o tema com demais esferas do governo.
A norma repete instruções anteriores ao permitir tratamento de dados por terceiros, como empresas contratadas – mas mantendo os órgãos que as utilizem solidariamente responsáveis, ao mesmo tempo que cobra políticas de segurança da informação, análise de risco e uso de ferramentas como criptografia para a transmissão dos dados.