Apesar do caráter ainda principiológico e generalista, e não normativo, ancorado pela preocupação com a Segurança Nacional, o Decreto 10.569/2020, que estabelece a Estratégia Nacional de Segurança de Infraestruturas Críticas, tem sido lido, em análises preliminares, como um preocupante embrião de medidas de intervenção do governo na liberdade operacional das empresas de telecomunicações, sobretudo em relação à escolha de fornecedores.
A Estratégia ainda não estabelece nenhuma obrigação e entes públicos ou privados, ou seja, não manda ninguém fazer nada, ou deixar de fazer. Mas impõe a elaboração de um Plano de Segurança que poderá ter esse caráter, e também pode servir como justificativa de roupagem técnica, por exemplo, para medidas que poderiam vir a ser impostas no edital de 5G, em elaboração pela Anatel, ou em portarias ministeriais. Segundo ouviu este noticiário de fontes que estão olhando com lupa essa questão, por ser muito genérico, o decreto pode servir de base para qualquer medida mais intervencionista.
Apesar de tratar de infraestruturas críticas de uma maneira geral e de estar prevista no Decreto 9.573/2018, ainda do governo Temer, que criou a Política Nacional de Segurança das Infraestruturas Críticas, a estratégia publicada esta semana pelo GSI inclui diretamente o setor de comunicações, em que se inclui telecom, radiodifusão e Internet. E a Estratégia faz referência direta a um futuro Plano Nacional de Segurança de Infraestruturas Críticas, este sim com caráter normativo, ainda a ser elaborado.
Parcerias
Toda a Estratégia é desenhada de forma a trazer para as asas do Gabinete de Segurança Institucional os setores privados e regulados pelo Estado que operam as tais estruturas críticas. "Destaca-se que parte cada vez mais significativa das infraestruturas críticas do País são de propriedade ou operadas pelo setor privado (sic)", diz a estratégia. "Como consequência, é reconhecida a necessidade da construção de uma parceria entre o Governo federal e o setor privado de forma a unir esforços na garantia da segurança e resiliência das infraestruturas críticas". A palavra "parceria" soa como um eufemismo, considerando que a gestão do plano será militar, na visão dos observadores.
Mas o que mais chama a atenção é o grau de envolvimento que o Estado poderia vir a ter no setor privado, segundo apurou este noticiário. Inclusive no compartilhamento de dados. "Essas parcerias dependem do compartilhamento de informações entre esses atores, respeitando a privacidade, a liberdade e a necessidade de sua salvaguarda", diz o texto aprovado por decreto.
Mais adiante, a Estratégia fala que "os investimentos em infraestruturas constituem uma prioridade essencial para fomentar o desenvolvimento econômico e social dos países", e que por isso "torna-se fundamental que a prevenção e a resiliência sejam consideradas em investimentos atuais e futuros", o que tem sido lido como a possibilidade de direcionamento tecnológico.
Mais adiante, a Estratégia afirma que "se não forem construídas e gerenciadas adequadamente, as infraestruturas críticas, tais como aquelas dos setores de energia, de transportes, de águas e saneamento, de finanças e comunicações, podem atuar como vetores na propagação de impactos negativos de desastres". Uma obviedade, mas que pode ser lida como uma justificativa para medidas de interferência até mesmo na gestão das empresas por meio das "parcerias" entre o poder público e o privado.
Institucionalização da gestão de riscos
Um trecho especialmente preocupante é o que diz que "cabe à administração pública desempenhar um papel crucial na promoção da resiliência das infraestruturas críticas, estimulando, por exemplo, a adoção de medidas de redução de riscos pelos proprietários ou operadores dessas infraestruturas". Não se sabe o alcance que pode ser dado a esse "papel crucial" no plano que será elaborado com base nessa estratégia, nem nos instrumentos normativos que possam ser desenvolvidos a partir dela.
Entre os vários pontos previstos para um futuro plano, chamaram mais a atenção os seguintes itens, segundo apontam fontes ouvidas por este noticiário:
- O decreto remete a um plano que traga a "institucionalização da gestão de riscos na administração pública e em entidades privadas". Como seria essa "institucionalização"? Como fazer isso em entidades privadas?
- Também está prevista a "criação de normas que contemplem estrutura de governança visando à prevenção, à proteção, à mitigação, à resposta e à recuperação". Que normas seriam essas, editadas por quem, e com qual base legal?
- Outro ponto da estratégia é apontar para medidas de "integração das estruturas de comando e controle dos setores público e privado". Como seria essa "integração"?
- A estratégia também pede um plano que preveja a "estruturação e compartilhamento dos dados qualificados a serem integrados e armazenados entre os entes envolvidos com a atividade de segurança de infraestruturas críticas". Esse ponto é considerado extremamente crítico uma vez que o compartilhamento e uso de dados pelo setor público não estão plenamente regulamentados. Tampouco ficam claros que dados são esses, e de quem.
- Por fim, a estratégia fala que o plano se segurança para infraestruturas críticas preverá a "implementação de tecnologias e dispositivos voltados para a segurança da informação, com o objetivo de permitir o compartilhamento seguro de dados sobre infraestruturas críticas". Não se sabe que tecnologias serão essas, nem quem será o responsável pela sua implementação, nem se isso poderia servir para excluir determinadas tecnologias, como equipamentos chineses no 5G, por exemplo.
Como a própria estratégia diz, "ficam evidenciados o percurso a ser seguido e as dificuldades que poderão ser encontradas na efetivação das ações a serem adotadas". O problema é a falta de precisão e o que pode vir com base nessa estratégia, apontam observadores.
O que se sabe é que, como a própria estratégia estabelece, "para dar cumprimento aos objetivos estratégicos estabelecidos (…), diversos entes envolvidos com a segurança de infraestruturas críticas deverão formular ações que serão consolidadas no Plano Nacional de Segurança de Infraestruturas Críticas". Ou seja, será um documento produzido a partir da opinião de muita gente dentro do governo.
