Auditor Mário Filho esclarece a questão sobre a política da Segurança da Informação
Clique Aqui para visualizar a nota de esclarecimento.
++++++++++
SIGILO PESSOAL de 100 ANOS ESTÁ PREVISTO NA LEI – O CGSI Esclarece.
Recentemente, o CGSI (Comitê Gestor de Segurança da Informação) submeteu uma proposta de atualização da Política de Segurança da Informação (PSI) que após análise do setor jurídico e Comissão de Legislação foi aprovada pela Resolução nº 07/2015.
Grande parte das mudanças teve por motivação a necessidade de alinhar a PSI as mudanças naturais do ambiente organizacional e da legislação aplicável ao tema, incluindo a própria Lei de Acesso à Informação (LAI).
Uma das mudanças geraram bastante polêmica junto à imprensa, principalmente em relação as novas formas de classificação da Informação.
Os novos graus de classificação aprovados em Resolução são:
I- Sigiloso:
a)Sigilo Pessoal: 100 anos;
b)Sigilo Legal: a critério de legislação específica ou ato legal da instituidora do sigilo.
II- Ultrassecreto: máximo de 25 (vinte e cinco) anos;
III- Secreto: máximo de 15 (quinze) anos;
IV- Reservado: máximo de 05 (cinco) anos;
O ponto de maior polêmica foi a classificação de “Sigilo Pessoal” que prevê que a informação classificada nesse grau de confidencialidade possa impor a restrição de acesso POR ATÉ 100 anos e NÃO POR EXATOS 100 anos.
O tratamento de informações classificadas como de “Sigilo Pessoal” está alinhado e previsto na própria LAI (Lei nº 12.527, de 18 de novembro de 2011), que foi regulamentada pelo Decreto Nº 7.724, DE 16 DE MAIO DE 2012. O tratamento e classificação desse tipo de informação também foi adotada pelo TCU, mediante Resolução nº 242/2013.
Vejamos o que a LAI estabelece:
Art. 31. O tratamento das informações pessoais deve ser feito de forma transparente e com respeito à intimidade, vida privada, honra e imagem das pessoas, bem como às liberdades e garantias individuais.
§ 1o As informações pessoais, a que se refere este artigo, relativas à intimidade, vida privada, honra e imagem:
I – terão seu acesso restrito, independentemente de classificação de sigilo e pelo prazo máximo de 100 (cem) anos, a contar da sua data de produção, a agentes públicos legalmente autorizados e à pessoa a que elas se referirem; e
II – poderão ter autorizada sua divulgação ou acesso por terceiros diante de previsão legal ou consentimento expresso da pessoa a que elas se referirem.
§ 2o Aquele que obtiver acesso às informações de que trata este artigo será responsabilizado por seu uso indevido.
§ 3o O consentimento referido no inciso II do § 1o não será exigido quando as informações forem necessárias:
O Decreto regulamenta o mesmo:
“Art. 55. As informações pessoais relativas à intimidade, vida privada, honra e imagem detidas pelos órgãos e entidades:
I – terão acesso restrito a agentes públicos legalmente autorizados e a pessoa a que se referirem, independentemente de classificação de sigilo, pelo prazo máximo de cem anos a contar da data de sua produção; e
II – poderão ter sua divulgação ou acesso por terceiros autorizados por previsão legal ou consentimento expresso da pessoa a que se referirem.
Parágrafo único. Caso o titular das informações pessoais esteja morto ou ausente, os direitos de que trata este artigo assistem ao cônjuge ou companheiro, aos descendentes ou ascendentes, conforme o disposto no parágrafo único do art. 20 da Lei no 10.406, de 10 de janeiro de 2002, e na Lei no 9.278, de 10 de maio de 1996.
Art. 56. O tratamento das informações pessoais deve ser feito de forma transparente e com respeito à intimidade, vida privada, honra e imagem das pessoas, bem como às liberdades e garantias individuais.”
Dessa forma, o CGSI ratifica que a PSI do TCE-AM foi atualizada e pautada em uma sólida base técnica e alinhada criteriosamente com a legislação em vigor.
Cabe destacar que toda Organização precisa estabelecer formas estruturadas de proteção e um conjunto de instrumentos que englobam políticas, processos, procedimentos, estruturas organizacionais, softwares e hardware, em conjunto com outros processos da gestão da informação, a fim de garantir os pilares da segurança da Informação (confidencialidade, integridade e disponibilidade), que se traduz na proteção adequada aos ativos.
Um desses instrumentos, denominado Política de Segurança da Informação (PSI), deve ser o primeiro passo na implantação da segurança da informação em uma organização, pois por meio desta são legitimadas e comunicadas a toda a instituição as diretrizes essenciais à proteção dos ativos mantidos pelo órgão.
Angelo Eduardo Nunan
Coordenador do CGSI
Mario José de Moraes Costa Filho – Auditor
Presidente do CGSI