Nova norma do GSI regulamenta armazenamento de dados do governo federal na nuvem

Uma nova instrução normativa do Gabinete de Segurança Institucional (GSI), publicada no Diário Oficial da União da terça-feira (31/08) da semana passada, regulamentou alguns requisitos para o armazenamento de dados da administração pública federal em ambientes de computação em nuvem. A norma trata de mecanismos de segurança, estímulo ao uso da criptografia e traz exigências que os servidores de computação em nuvem têm que cumprir para receber os dados da União.  

Especialistas ouvidos pelo JOTA fizeram ressalvas à nova norma por envolver apenas o GSI, excluindo outras pastas importantes para o tema, como o Ministério de Ciência e Tecnologia, além de ter sido publicada sem discussões mais abrangentes a respeito do conteúdo e ter poucas referências à Lei Geral de Proteção de Dados (LGPD) e ao Marco Civil da Internet. Outra crítica é a falta de diferenciação sobre o tipo de dados dos quais a norma trata – se dados gerais ou dados pessoais dos brasileiros que o governo mantém sob sua custódia por causa dos inúmeros cadastros dos cidadãos em diferentes órgãos. 

O tratamento de informações do governo federal em ambiente de computação em nuvem já havia sido objeto da portaria nº 9, de 15 de março de 2018, também publicada pelo GSI. A formulação da norma à época foi fomentada, principalmente, devido ao episódio envolvendo as revelações do ex-técnico da  Agência Nacional de Segurança americana (NSA, na sigla em inglês) Edward Snowden. Programas de vigilância eram usados pelos Estados Unidos para espionar a população americana e de vários países da Europa e da América Latina utilizando servidores de empresas como Google, Apple e Facebook.

“O que essa nova instrução normativa faz é esmiuçar essa antiga portaria. Traz agora, por exemplo, a obrigação de o órgão da administração pública federal fazer um relatório de impacto antes de contratar esses serviços. Esse é um passo interessante e importante. Além disso, traz vários requisitos para gerenciamento de identidade e registro de atividades, o que não tinha sido listado na norma anterior”, afirma Ana Carolina Heringer Castellano, advogada especialista em proteção de dados e cibersegurança. 

A advogada diz que a norma também designa uma série de requisitos que o servidor de computação em nuvem tem que cumprir. “Isso me parece ser bastante oneroso para os servidores. Ficou um pouco pesada nesse sentido. E esses requisitos têm que estar no contrato”, explica.  

Dados no exterior

Na comparação entre as duas normas, Castellano disse não ter havido alteração sobre a política de localização dos dados do governo brasileiro – se devem ficar exclusivamente no Brasil ou se podem ficar no exterior. Embora boa parte dos especialistas em cibersegurança afirme que a descentralização faz parte da premissa da computação em nuvem e defenda que dados podem ser armazenados em servidores no exterior de forma segura, é comum que profissionais mais voltados à segurança nacional argumentem que as informações do governo devam permanecer exclusivamente em data centers no Brasil – o que deixa o serviço mais caro e menos eficaz na opinião de experts em cibersegurança. 

“Na norma anterior, já existia a permissão para a administração pública federal manter cópia dos dados fora do Brasil para determinados tipo de informação, aquelas sem restrição de acesso. Para aquelas com restrição de acesso, e essa instrução normativa define o que é isso, não pode haver cópias fora do Brasil. Nesse caso, pode ser usado um sistema de computação em nuvem, mas os dados e as cópias de segurança têm que estar no Brasil”, explica a advogada, afirmando que essa política de localização de dados já era criticada antes. A norma traz uma tabela sobre os tipos de informações consideradas sigilosas devido à classificação do grau de sigilo ou por causa de legislação específica, caso de dados bancários e fiscais, por exemplo. 

Os provedores de serviço de nuvem argumentam que a exigência de que os dados sejam mantidos exclusivamente em território nacional (não permitindo nem cópia no exterior) é ruim em termos de viabilidade do negócio e da própria segurança em si. Especialistas dizem que a  descentralização é uma premissa importante para garantir rapidez, segurança e eficiência do serviço e que a obrigação de que os dados permaneçam armazenados dentro do país  – a chamada localização forçada de dados – não necessariamente garantem a segurança das informações. 

“Essa obrigação, muito voltada para a segurança nacional, é o pensamento de pessoas que acham que os dados só estão seguros se estiverem armazenados no Brasil, o que, na minha opinião, é uma falácia”, diz Castellano, explicando que a localização forçada de dados é uma medida tomada por países mais autoritários. 

Cloud broker

Advogado especialista em tecnologia da informação, Thiago Sombra salienta que a instrução normativa editada traz a possibilidade de as transferências dos dados da administração pública federal – seja ela direta ou indireta – serem reguladas com os objetivos estabelecidos pelos próprios órgãos, além de tratar dos mecanismos de segurança e estimular o uso da criptografia. De inédito, a norma destina  um capítulo à figura do Cloud Broker – uma empresa ou mesmo pessoa física que atua como um agente intermediário entre um provedor de serviços na nuvem e um cliente final.

O advogado apontou algumas falhas da instrução normativa. “É uma regulamentação do GSI espelhada na Portaria GSI n.9, sem muitas novidades, mas com o destaque de que não foi objeto de discussão. Tem pouca reflexão do que consta na LGPD e Marco Civil da Internet. Além disso, tem uma imprecisão terminológica que é muito ruim, de como e quais dados estão sendo tratados ali na norma”.

Um dos maiores pesquisadores do país no tema e um dos idealizadores do Marco Civil na Internet, o advogado Ronaldo Lemos fez ressalvas à nova instrução normativa. “Tem alguns problemas: um é um potencial conflito com a Lei Geral de Proteção de Dados e com a Autoridade Nacional de Proteção de Dados, que é quem, por lei, tem a atribuição de regular a questão da transferência e armazenamento internacional de dados. O GSI não tem uma atribuição clara da lei a esse respeito, por isso sua competência para normatizar essa questão é duvidosa”. 

Coordenador da área de Direito e Tecnologia do Instituto de Tecnologia e Sociedade do Rio (ITS Rio), Christian Perrone também salienta que discutir a questão apenas no âmbito do GSI não é o melhor caminho. “Em tese, muitas das coisas que estão sendo discutidas da cyber informação estão sendo discutidas no GSI, quando seria melhor que fosse uma instrução normativa compartilhada por vários órgãos, como, por exemplo, o de Ciência e Tecnologia e a Autoridade Nacional de Proteção de Dados”. 

Para ele, há ainda outras ressalvas à norma: “Deveria ter mais referência à LGPD e estar mais claro a diferenciação de dados pessoais e de dados em geral”. Fora isso, Perrone opina que há uma discussão sobre como compatibilizar dois artigos da norma. O 8º prevê que ao Comitê de Segurança da Informação compete, por exemplo, estabelecer os países nos quais dados e informações custodiados pela administração pública federal poderão ser armazenados em soluções de computação em nuvem. Enquanto que o 18º diz que “os dados, metadados, informações e conhecimentos produzidos ou custodiados pelo órgão ou pela entidade, transferidos para o provedor de serviço de nuvem, devem estar hospedados em território brasileiro” e traz algumas disposições. Para ele, esse último artigo foi mantido com uma redação demasiadamente ampla. 

“Creio que, se  houvesse uma discussão no Supremo Tribunal Federal (STF), deveria haver a necessidade de uma interpretação mais conforme da normativa. Isso quer dizer que deveria haver a necessidade de compatibilização, ou seja, se houvesse a possibilidade de utilizar serviços na nuvem no exterior, e envolvesse a transferência de dados pessoais, então, isso só poderia ocorrer quando a lei nacional, a LGPD, mais que tudo, permitisse”, declara.