Saiu hoje a Instrução Normativa nº5 do Gabinete de Segurança Institucional da Presidência da República, que estabelece “requisitos mínimos de segurança da informação para utilização de soluções de computação em nuvem pelos órgãos e pelas entidades da administração pública federal”.
Chama a atenção o inciso primeiro do Artigo 8º, que confere ao terceiro escalão de um ministério poderes para definir quais os países em que os dados e informações custodiadas pela administração pública federal poderão ser armazenados em nuvem:
Art. 8º Ao Comitê de Segurança da Informação ou à estrutura equivalente compete:
I – estabelecer os países nos quais dados e informações custodiados pela administração pública federal poderão ser armazenados em soluções de computação em nuvem;
Ou seja, da forma como foi redigida a IN, um pequeno grupo de técnicos de um ministério, que provavelmente contará com a presença do Encarregado de Proteção de Dados, terá poderes para decidir qual o país em que um banco de dados federal deve ou não ser armazenado na nuvem.
E isso gera uma certa polêmica. Uma decisão meramente baseada em requisitos técnicos de segurança, embora seja bem vinda como contribuição para uma discussão mais profunda de governo, não poderia colocar o Brasil numa posição delicada em questões comerciais com outros países? Tal decisão não deveria ser tomada por escalões superiores do governo?
Independentemente dessa questão, a legislação brasileira prevalecerá sobre qualquer imposição legal de outro país, para onde for transferido e armazenado o banco de dados sob a custódia federal. A Lei Geral de Proteção de Dados é citada de forma ambígua diversas vezes nesse documento e mais especificamente no Artigo 11.
No Artigo 19, inciso VII aparentemente há uma confusão. Segundo esse dispositivo da IN, os órgãos federais deverão garantir “o direito ao esquecimento” para dados pessoais, conforme art. 16 da Lei nº 13.709, de 14 de agosto de 2018 – LGPD”.
O Artigo 16 da LGPD não trata de “direito ao esquecimento”. Apenas define a eliminação de dados pessoais após o tratamento e os casos em que estes devem ser conservados para:
I – cumprimento de obrigação legal ou regulatória pelo controlador;
II – estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
III – transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos nesta Lei; ou
IV – uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.
.*Veja a íntegra da INSTRUÇÃO NORMATIVA Nº5 DO GSI.