GSI não será transparente sobre informação de vazamentos de dados

Foi publicado hoje (19) um decreto que cria uma “Rede Federal de Gestão de Incidentes Cibernéticos”, que será controlado pelo Gabinete de Segurança Institucional da Presidência da República (GSI). Essa decisão regulamenta a Política Nacional de Segurança da Informação criada em 2018.

O novo decreto definiu as competências que já existiam e fez duas distinções claras quanto a participação do setor público nessa rede:

1 – Participação Obrigatória – órgãos e das entidades da administração pública federal direta, autárquica e fundacional.
2 – Participação Voluntária (adesão) – estatais e sociedades de economia mista federais e das suas subsidiárias.

Acesso à informação

Porém ele lança dúvidas sobre como será a transparência no procedimento de informar ao público, em que nível tais “incidentes cibernéticos” provocaram estragos para a privacidade do cidadão. Não há nenhuma menção sobre a forma de comunicação dos fatos ocorridos na rede federal à luz da Lei Geral de Proteção de Dados (LGPD).

No Artigo 15º, que trata sobre tal comunicação, ficou claro apenas que o GSI terá o controle do fluxo dela e a classificará de acordo com o seu interesse. No máximo disponibilizará dados estatísticos sobre incidentes ocorridos nessa rede federal, mas de forma anonimizada.

Somente os técnicos diretamente envolvidos com Segurança nessa rede terão acesso completo às informações. Ninguém fora desse ambiente saberá se teve ou não os seus dados expostos num ataque à determinado órgão integrante dessa rede.

LGPD

Pode-se argumentar que isso será tarefa posteriormente do encarregado de proteção de dados, figura criada pela LGPD para cuidar dessa questão.

Mas, se as áreas de Segurança da Informação dos órgãos federais estiverem subordinadas ao GSI e este deixa claro que irá classificar as informações, então como será a divulgação delas pelos encarregados de proteção de dados, que são obrigados a reportar imediatamente tais vazamentos para a Autoridade Nacional de Proteção de Dados (ANPD)?

Essa questão não está clara nesse decreto.

** Veja a íntegra do decreto nº 10.748/21, que institui a “Rede Federal de Gestão de Incidentes Cibernéticos”.