Regulamentação da Cibersegurança: Participação no Foro Latinoamericano de Ciberseguridad
No último dia 29 de outubro, o Diretor Executivo e fundador da Associação Data Privacy Brasil de Pesquisa (DPBR-P), Bruno Bioni, participou como palestrante do Foro Latinoamericano de Ciberseguridad, evento […]
No último dia 29 de outubro, o Diretor Executivo e fundador da Associação Data Privacy Brasil de Pesquisa (DPBR-P), Bruno Bioni, participou como palestrante do Foro Latinoamericano de Ciberseguridad, evento promovido pela Comissão de Ciência, Tecnologia e Inovação da Câmara dos Deputados mexicana. O evento abordou a temática dos desafios da Cibersegurança no contexto latino-americano. Em sua fala, Bruno deu ênfase a três pontos centrais de iniciativas legislativas que poderiam contribuir com o debate e gerar resultados favoráveis para enfrentar desafios da segurança cibernética.
A primeira iniciativa trata-se da Proposta de Emenda à Constituição nº 3/2020, de autoria do Sen. Eduardo Gomes (MDB/TO), projeto que tramita atualmente no senado brasileiro. O ponto ressaltado sobre a PEC foi seu propósito de definir as competências legislativas e materiais sobre cibersegurança no país,tratando-se de questão que interfere diretamente nas atividades de órgãos dos diferentes níveis da federação.
No que toca às alterações constitucionais, a PEC prevê a inclusão da defesa cibernética como matéria de competência privativa da União no art. 22o, inciso XXVIII, da Constituição. Além disso, acrescenta incisos aos artigos 23o e 24o da Carta, estabelecendo a competência concorrente da União, Estados e Distrito Federal para legislar sobre normas de segurança cibernética aplicáveis aos serviços públicos e, também, a competência comum de todas as unidades federativas para zelar pela segurança cibernética destes.
Assim, o texto distribui poderes de modo a dar espaço à arquitetura dos planos federativos em torno do tema da segurança cibernética, conforme os interesses de cada ente. A determinação de competência privativa da União para legislar sobre a defesa cibernética justifica-se por ser este tema de interesse estratégico da soberania nacional, em sintonia com a Estratégia Nacional de Segurança Cibernética. Quanto ao regime de competência concorrente, à União é a que caberá estipular normas gerais de harmonização, e, aos Estados, a legislar sobre suas próprias definições de estrutura crítica cibernética, responsabilidades, obrigações e assuntos orçamentários.
No âmbito administrativo, a competência material comum aos entes se dá, pois zelar pela segurança cibernética implica assegurar a adequada prestação de serviços públicos, mitigando, prevenindo e reagindo a incidentes cibernéticos indevidos. A proposta sustenta que a possibilidade de ataques cibernéticos sobre autoridades e agentes públicos torna preciso que a responsabilidade pela segurança e manutenção dos sistemas recaia sobre todos os entes federativos. Fora isso, ressalta-se o fato de o Estado ser cada vez mais digitalizado, o que torna necessária a adoção de normas e padrões capazes de assegurar a integridade da própria informação, dos sistemas e da infraestrutura informática dos serviços públicos.
Por tratarem-se de atividades que buscam satisfazer às necessidades coletivas é que a cooperação entre entes federados para preservação da segurança e funcionamento de sua estrutura informática torna-se tão importante. Ao assegurar esta estrutura, a PEC objetiva garantir a continuidade e eficiência de serviços públicos, atividades essenciais que englobam, por exemplo, o fornecimento de energia, água, saúde, educação, transporte, etc. A devida prestação desses serviços é de responsabilidade de todas as unidades federativas, uma tarefa de elevada complexidade que exige não só que as funções e competências de cada ente estejam bem delimitadas, mas que também sejam desempenhadas com alto grau de integração e cooperação.
Fora isso, a proposta ainda destaca justificativas de âmbito internacional. O texto ressalta sua importância para que o Brasil adeque-se ao quadro normativo do cenário externo, levantando que as alterações constitucionais são necessárias para que o país possa aderir à Convenção de Budapeste de Cibercrime, o que seria fundamental para a promoção da justiça penal através da cooperação internacional.
A segunda iniciativa tratada durante o seminário foi a da Diretiva de Segurança das Redes e Sistemas de Informação (NIS Directive) da União Europeia. Foram abordados aspectos da normativa que poderia servir de inspiração, principalmente no que diz respeito à ênfase do texto sobre a cooperação entre Estados-Membros. Nesse sentido, a Diretiva determina a formação de Centros de Relação e Comunicação em diferentes níveis regionais (CSIRTs – Computer Security Incident Response Teams), responsáveis por receber e reportar uns aos outros a respeito das notificações de incidentes de segurança cibernética, as quais são obrigatórias para prestadores de serviços essenciais (como os relacionados aos setores de transporte, energia e água). Assim, destaca-se que não basta apenas que os Estados possuam seus centros de respostas de incidentes, sendo também essencial a criação de obrigações legais de reporte entre os entes, promovendo assim a cooperação em diferentes níveis.
No cenário nacional, alguns destes aspectos da Diretiva poderiam servir de inspiração para a criação de leis ordinárias alinhadas com a PEC no 3/2020. Considerando que o objetivo da proposta de emenda é a manutenção e segurança dos serviços públicos, seriam harmoniosas as iniciativas legislativas que, assim como a NIS, promovam a cooperação entre entes federativos e obriguem a notificação de incidentes de segurança cibernéticos relacionados à prestadores de serviços essenciais.
A Diretiva foi adotada pelo Parlamento Europeu em julho de 2016 e os Estados-Membros tiveram até maio de 2018 para transpô-la às respectivas legislações nacionais, nesse sentido, um de seus pontos-chave é a questão da harmonização das normativas entre si e em relação ao texto supranacional. Manter um regime flexível que permita que os Estados adequem seus regulamentos às suas particularidades é necessário, por tal razão, para garantir a concretização dos objetivos da Diretiva é que surge a importância de incentivar a cooperação e integração dos entes soberanos.
Assim, cada um dos Estados-Membros é quem define e apresenta a lista de empresas enquadradas dentro da definição de serviços essenciais, o que dá espaço para que estes adaptem seu regime de acordo com as particularidades de sua economia e administração pública. Pelo mesmo motivo, a diretiva estabelece um regime mais brando às empresas provedoras de serviços digitais, não obrigando os países a apresentarem uma lista de integrantes e nem incentivando-os a traçar regulamentos mais duros ao setor. Assim, busca garantir, ao mesmo tempo, um regime flexível aos modelos de negócio em constante desenvolvimento e um nível de controle mínimo sobre possíveis incidentes cibernéticos.
Por fim, a terceira iniciativa refere-se à Lei Geral de Proteção de Dados Pessoais, que completa um quadro garantista no que toca ao tema da cibersegurança. A Lei Geral brasileira, assim como a europeia, prevê novas bases legais que legitimam o tratamento de dados, ampliando o espaço antes ocupado quase que exclusivamente pelo consentimento do titular. Assim, torna-se possível que, para fins de garantia da segurança cibernética, um controlador possa tratar dados sustentado-se, por exemplo nas bases legais do(e): a) legítimo interesse (art. 7o, IX da LGPD) ou; b) execução de políticas públicas (art. 7o, III), a depender neste caso de quem for o agente de tratamento de dados (e.g., órgão público de uma dos entes da federação). No caso da GDPR, a consideranda 49 expressamente prevê que o legítimo interesse legitimaria o tratamento de dados pessoais por Centro de Tratamento e Resposta a Incidentes Cibernéticos.
Assim, conclui-se que, dentre os diversos desafios da implementação legislativa da cibersegurança no contexto latino-americano, existem aqueles inscritos em nível local e regional. Localmente, há que se enfrentar, em primeiro lugar, a determinação das competências legislativas do tema, para que a partir disso, possa-se garantir a uniformidade e a materialização das regras do jogo; em segundo lugar, como a lei geral de proteção de dados pessoais será mobilizado para amparar a atuação de Centro de Tratamento e Resposta a Incidentes Cibernéticos. Já em nível regional, o maior desafio é o de estruturar regras de cooperação dos agentes, garantindo uma integração harmônica que respeita as particularidades locais e, ao mesmo tempo, promove a efetiva segurança das redes.
Bruno Bioni & Marina Kitayama
