Em 27 de dezembro de 2023, foi publicado no Diário Oficial da União o Decreto nº 11.856, que estabelece a Política Nacional de Cibersegurança (PNCiber). Proposto pelo Gabinete de Segurança da Presidência da República, o Decreto foi assinado em 26 de dezembro de 2023 pelo presidente da república.
O texto traz como pontos relevantes os princípios, objetivos e instrumentos da PNCiber, além de instituir o Comitê Nacional de Cibersegurança (CNCiber), que será responsável por acompanhar a implementação e a evolução da PNCiber.
Para muitos especialistas nas áreas de segurança da informação e cibersegurança, o Decreto 11.856/23 representa um marco regulatório necessário para um dos países mais visados quando o assunto é segurança em ambiente digital. De acordo com uma pesquisa realizada pela empresa de segurança Fortinet[1], o Brasil figurou como o segundo país no mundo em número de tentativas de ataques cibernéticos no ano de 2022 (103 bilhões), ficando atrás apenas do México (187 bilhões).
De acordo com a SERPRO[2], “a cibersegurança, ou segurança cibernética, refere-se à prática de proteger sistemas, redes e programas de ataques digitais. Esses ataques geralmente visam acessar, alterar ou destruir informações sensíveis, extorquir dinheiro de usuários ou interromper processos empresariais”.
Certo, mas qual o impacto do Decreto 11.856/23 no setor privado e o que a Lei Geral de Proteção de Dados (LGPD) tem a ver com a PNCiber?
Pois bem, em seu art. 2º, II, o Decreto estabelece como um dos princípios da PNCiber “a garantia dos direitos fundamentais, em especial a liberdade de expressão, a proteção de dados pessoais, a proteção da privacidade e o acesso à informação”.
No art. 3º, VI, do Decreto, está previsto que um dos objetivos da PNCiber é “incrementar a resiliência das organizações públicas e privadas a acidentes e ataques cibernéticos”.
O Decreto também estabelece, em seu art. 4º, incisos I e II, que são instrumentos da PNCiber “a Estratégia Nacional de Cibersegurança e o Plano Nacional de Cibersegurança”.
Portanto, embora o Decreto, por si só, não estabeleça quaisquer deveres ou obrigações em relação à cibersegurança, tudo indica que, através de seus instrumentos regulatórios, é uma questão de tempo até que a PNCiber, que já está em vigor, passe a estabelecer diretrizes aplicáveis aos “agentes de tratamento”, conforme definido pela LGPD, como meio de garantir que a cooperação entre as esferas pública e privada seja efetiva na proteção de dados pessoais.
Inclusive, o CNCiber é formado por representantes de diversos Ministérios do poder executivo em âmbito federal, pelo Banco Central e pela Agência Nacional de Telecomunicações (ANATEL), o que permitirá ao Comitê uma visão macro de diversos setores em sua atuação regulatória.
Por sua vez, a LGPD utiliza em seu texto o termo “medidas técnicas” ao abordar a segurança e sigilo dos dados pessoais, dando poder à Autoridade Nacional de Proteção de Dados (ANPD) para dispor sobre padrões e técnicas a serem utilizados no tratamento de dados pessoais, de acordo com o estado atual da tecnologia.
Por exemplo, em seu art. 44, III, a LGPD estabelece que o tratamento de dados pessoais será irregular quando não fornecer a segurança que o titular dele pode esperar, sendo considerada como uma das circunstâncias relevantes: “as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado”.
Assim, nota-se uma clara sinergia entre os princípios e objetivos da PNCiber e as obrigações e responsabilidades atribuídas aos agentes de tratamento, as quais, futuramente, devem ser impactadas por eventuais diretrizes propostas pelo CNCiber.
Apesar da PNCiber falar de segurança digital como um todo, indo além dos dados pessoais, esses são certamente os mais relevantes, merecendo a máxima atenção em sua proteção.
Às empresas, caberá investir em segurança da informação e cibersegurança para sustentar um Programa de Privacidade de Dados robusto, pois, embora sejam de extrema importância, as boas práticas implementadas através das políticas de privacidade, dos treinamentos e da comunicação interna podem não se sustentar sem um ambiente digital seguro.
[2] https://www.serpro.gov.br/menu/noticias/noticias-2023/brasil-lanca-pnciber