Legislação de TI no Contexto Público A Importância do Marco Legal para a Tecnologia da Informação no Setor Público A Tecnologia da Informação (TI) no setor público brasileiro é regida por um conjunto de leis, decretos, instruções normativas e resoluções que visam garantir a segurança, a transparência, a eficiência, a interoperabilidade e o respeito aos direitos fundamentais dos cidadãos. Diferentemente do setor privado, onde as decisões tecnológicas são orientadas principalmente por critérios de mercado, no governo as escolhas de TI devem observar os princípios constitucionais da administração pública (legalidade, impessoalidade, moralidade, publicidade e eficiência – art. 37 da Constituição Federal) e normas específicas que tratam de dados pessoais, acesso à informação, governança digital e segurança cibernética. Para concursos e vestibulares, é essencial conhecer as principais leis e seus dispositivos mais cobrados, bem como a jurisprudência dos tribunais superiores (STF, STJ) sobre a aplicação dessas normas no contexto público. Marco Civil da Internet (Lei nº 12.965/2014) O Marco Civil da Internet é a lei que estabelece princípios, garantias, direitos e deveres para o uso da internet no Brasil. Embora seja aplicável a todos os setores, tem especial relevância para o setor público, que deve atuar como provedor de serviços digitais e como guardião de dados dos cidadãos. 2.1. Princípios Fundamentais (art. 3º) A lei lista princípios que devem nortear o uso da internet no Brasil, entre eles: Liberdade de expressão (inciso I). Proteção da privacidade (inciso II). Proteção dos dados pessoais (inciso III) – posteriormente aprofundada pela LGPD. Neutralidade da rede (inciso IV) – tratamento isonômico dos pacotes de dados, sem discriminação por conteúdo, origem, destino ou serviço. Estabilidade, segurança e funcionalidade da rede (inciso V). 2.2. Neutralidade da Rede (arts. 9º a 11) A neutralidade de rede é um dos pilares do Marco Civil. O art. 9º estabelece que o responsável pela transmissão, comutação ou roteamento tem o dever de tratar de forma isonômica qualquer pacote de dados, sem distinção por conteúdo, origem, destino, serviço, terminal ou aplicação. Exceções permitidas (art. 9º, §1º): requisitos técnicos indispensáveis à prestação adequada dos serviços e aplicações (ex.: priorização de tráfego de voz sobre dados em redes congestionadas) e priorização de serviços de emergência. Não é permitida a degradação ou discriminação por razões comerciais. Relevância para o setor público: Órgãos públicos que oferecem acesso gratuito à internet (ex.: telecentros, escolas, praças com Wi-Fi público) devem respeitar a neutralidade, não podendo bloquear ou priorizar determinados serviços. 2.3. Guarda de Registros (arts. 13 a 16) Provedores de acesso e de aplicações devem guardar registros de conexão e de acesso a aplicações por prazos determinados, para fins de investigação criminal ou instrução processual (art. 13 e 15). Registro de conexão (art. 13): deve ser guardado pelo prazo de 1 ano (sigiloso, acessível apenas mediante ordem judicial). Registro de acesso a aplicações (art. 15): prazo de 6 meses (também sigiloso). No setor público, órgãos que operam provedores de acesso (ex.: rede Governo) ou mantêm logs de acesso a sistemas (ex.: SIAFI, SEI) devem observar esses prazos. 2.4. Responsabilidade de Provedores (arts. 18 e 19) O art. 19 estabelece o regime de responsabilidade civil de provedores de aplicações por danos decorrentes de conteúdo gerado por terceiros: só respondem se, após ordem judicial específica, não tomarem providências para tornar indisponível o conteúdo apontado como infringente. Esse dispositivo é aplicável a redes sociais, plataformas de vídeo, etc. Jurisprudência relevante (STF): O Supremo Tribunal Federal declarou a constitucionalidade do art. 19 (RE 1.037.396, Tema 987), entendendo que a exigência de ordem judicial prévia não viola a liberdade de expressão nem a proteção dos direitos da personalidade, desde que haja mecanismos extrajudiciais de notificação (como previsto no art. 21 do Marco Civil). O Tribunal fixou tese: "Na responsabilização civil de provedores de internet por danos decorrentes de conteúdo gerado por terceiros, é necessária prévia e específica ordem judicial de remoção do conteúdo, sob pena de responsabilidade subsidiária." Lei Geral de Proteção de Dados (LGPD) – Lei nº 13.709/2018 A LGPD é a legislação brasileira que regula o tratamento de dados pessoais, inclusive por órgãos públicos. Ela se aplica a qualquer operação de tratamento realizada no território nacional ou com dados de pessoas localizadas no Brasil. 3.1. Base Legal para Tratamento de Dados pelo Setor Público (art. 23) Enquanto o setor privado pode tratar dados mediante consentimento do titular ou outras bases legais (art. 7º), o setor público tem regras específicas: Art. 23: O tratamento de dados pessoais pelas pessoas jurídicas de direito público referidas no art. 1º da Lei Complementar nº 101/2000 (Lei de Responsabilidade Fiscal) – União, Estados, Distrito Federal, Municípios – deverá ser realizado para o cumprimento de finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público. Ou seja, a base legal primária para o tratamento de dados pelo governo é o interesse público e o cumprimento de obrigação legal ou atribuição legal. Não se exige consentimento do cidadão para o tratamento de dados necessários à prestação de serviços públicos (ex.: cadastro no SUS, inscrição no CPF, declaração de imposto de renda). 3.2. Direitos do Titular (arts. 17 a 22) Os titulares de dados pessoais têm direitos garantidos pela LGPD, inclusive em relação ao setor público: Confirmação da existência de tratamento (art. 18, I). Acesso aos dados (art. 18, II). Correção de dados incompletos, inexatos ou desatualizados (art. 18, III). Portabilidade dos dados a outro fornecedor de serviço ou produto (art. 18, V – aplicável quando tecnicamente viável). Eliminação dos dados tratados com consentimento (art. 18, VI). Informação sobre compartilhamento de dados (art. 18, VIII). Os órgãos públicos devem implementar canais (ex.: Serviço de Informação ao Cidadão – SIC, ouvidorias) para atender a essas solicitações. 3.3. Encarregado (Data Protection Officer – DPO) (art. 41) A LGPD exige que os órgãos públicos indiquem um encarregado (DPO) responsável por receber reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências. No setor público, o DPO pode ser um servidor ou uma comissão. 3.4. Segurança e Boas Práticas (arts. 46 a 50) Os agentes de tratamento (incluindo órgãos públicos) devem adotar medidas de segurança técnicas e administrativas para proteger os dados pessoais de acessos não autorizados, situações acidentais ou ilícitas (art. 46). A ANPD (Autoridade Nacional de Proteção de Dados) pode editar regras sobre boas práticas e governança. 3.5. Comunicação de Incidente de Segurança (art. 48) O controlador (órgão público) deve comunicar à ANPD e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, em prazo razoável (definido pela ANPD). Exemplo: Um ataque de ransomware que exponha dados de cidadãos armazenados em servidor público exige comunicação à ANPD e aos titulares afetados. 3.6. Penalidades (arts. 52 e 53) O descumprimento da LGPD sujeita o infrator (pessoa jurídica de direito público ou privado) a sanções administrativas aplicadas pela ANPD, incluindo advertência, multa simples de até 2% do faturamento do grupo (limitada a R$ 50 milhões por infração), multa diária, publicação da infração, bloqueio dos dados e eliminação dos dados. Importante: A LGPD também se aplica a órgãos públicos, mas as sanções pecuniárias são aplicáveis à pessoa jurídica de direito público? A lei não exclui expressamente, mas a doutrina majoritária entende que, pela impossibilidade de executar multa contra o Erário (princípio da continuidade do serviço público), a ANPD deverá notificar os órgãos de controle (TCU, CGU) para apuração de responsabilidade de agentes públicos. A jurisprudência ainda está em formação. 3.7. Jurisprudência do STJ sobre LGPD O Superior Tribunal de Justiça (STJ) tem decidido, em caráter ainda incipiente, sobre a aplicação da LGPD. Em decisão monocrática no REsp 2.096.911/SP (2023), o Ministro Moura Ribeiro destacou que a LGPD estabelece um novo regime de responsabilidade civil pelo tratamento inadequado de dados, independentemente de culpa comprovada, nos casos de violação de segurança (art. 43). Para o setor público, isso significa que os órgãos devem implementar controles robustos sob pena de responsabilização objetiva. Lei de Acesso à Informação (LAI) – Lei nº 12.527/2011 A LAI regula o direito constitucional de acesso às informações públicas (art. 5º, XXXIII e art. 37, §3º, II da CF). Ela é fundamental para a transparência na gestão da TI, pois os cidadãos podem solicitar dados sobre contratos, sistemas, gastos e políticas de segurança. 4.1. Transparência Ativa (art. 8º) Os órgãos públicos devem divulgar, independentemente de solicitação, informações de interesse coletivo em local de fácil acesso (ex.: sítios oficiais na internet). Entre as informações obrigatórias: Registro de despesas (art. 8º, §1º, I). Respostas a perguntas mais frequentes (art. 8º, §1º, II). Informações sobre licitações e contratos (art. 8º, §1º, III). Estrutura organizacional, competências, cargos e salários (art. 8º, §1º, IV). 4.2. Transparência Passiva (arts. 9º a 14) Qualquer pessoa pode formular pedido de acesso a informações públicas por meio do Serviço de Informação ao Cidadão (SIC), físico ou eletrônico. O órgão tem prazo de 20 dias (prorrogável por mais 10) para responder (art. 11, §1º). As hipóteses de sigilo (informação classificada como ultrassecreta, secreta ou reservada) estão previstas na Lei nº 12.527/2011 e na Lei de Sigilo (Lei nº 11.111/2005), com prazos de até 25 anos (art. 24). 4.3. Aplicação à TI A LAI é frequentemente utilizada para solicitar: Códigos-fonte de sistemas desenvolvidos com recursos públicos (a jurisprudência do STJ tem decidido que o código-fonte é informação pública, ressalvados os casos de sigilo industrial ou segredo de negócio – REsp 1.526.985/RS). Contratos de TI (inclusive valores e aditivos). Políticas de segurança da informação e planos de contingência. Logs de acesso a sistemas (resguardada a privacidade de terceiros). 4.4. Jurisprudência do STF sobre LAI No MS 34.141/DF (julgado em 23/02/2021), o STF decidiu que a Lei de Acesso à Informação se aplica ao Conselho Nacional de Justiça (CNJ) e aos tribunais, não podendo estes se recusar a fornecer informações sob alegação de sigilo processual quando o pedido for de interesse público. O relator, Min. Alexandre de Moraes, destacou que a transparência é princípio constitucional e a LAI é norma geral aplicável a todos os Poderes e órgãos. No RE 1.148.065/SC (Tema 1.159, repercussão geral), o STF ainda não concluiu julgamento, mas já há entendimento firmado em decisões monocráticas de que a LAI não autoriza o acesso a informações cujo sigilo seja imprescindível à segurança da sociedade ou do Estado (art. 23 da LAI), mas a mera alegação de sigilo não é suficiente; é necessária a classificação formal nos termos da lei. Lei de Governo Digital (Lei nº 14.129/2021) A Lei de Governo Digital estabelece princípios e diretrizes para a digitalização de serviços públicos e a integração de sistemas governamentais. 5.1. Princípios e Objetivos (art. 1º) Entre os princípios destacam-se: a eficiência, a economicidade, a transparência, a interoperabilidade, a acessibilidade, a segurança da informação, a proteção de dados e a inovação. O art. 2º lista objetivos como: Oferecer serviços públicos digitais contínuos e integrados. Simplificar obrigações administrativas. Ampliar a transparência e o acesso a informações públicas. Fomentar o uso de dados abertos. 5.2. Plataforma de Governo Digital (gov.br) O art. 3º institui a Plataforma de Governo Digital (gov.br) como canal único para acesso a serviços públicos digitais, com níveis de assinatura eletrônica (básico, prata e ouro). O cidadão pode utilizar o gov.br para acessar serviços de diferentes órgãos com uma única identidade digital. 5.3. Interoperabilidade (arts. 6º a 8º) A lei determina que os órgãos públicos adotem padrões de interoperabilidade para permitir a troca de informações e a integração de sistemas. O Comitê Central de Governança de Dados (art. 9º) é responsável por editar normas sobre compartilhamento de dados entre órgãos. 5.4. Eliminação de Comprovações Desnecessárias (art. 10) Os órgãos devem eliminar exigências de comprovação de fatos ou dados que já estejam disponíveis em bases governamentais (ex.: comprovante de residência, certidão de nascimento) por meio da Plataforma de Governo Digital. 5.5. Canais de Atendimento Digital (art. 12) Os órgãos devem disponibilizar canais de atendimento digitais (chatbots, e-SIC, formulários eletrônicos) para a maioria dos serviços, mantendo canais físicos apenas para situações excepcionais (pessoas sem acesso digital). Decreto nº 10.332/2020 – Estratégia de Governo Digital Este decreto estabelece a Estratégia de Governo Digital para o período 2020-2022 (prorrogado). Ele detalha metas e ações para implementar a Lei de Governo Digital. 6.1. Metas Principais Digitalização de serviços: Transformar 100% dos serviços públicos federais em serviços digitais até 2022 (meta parcialmente alcançada). Interoperabilidade: Integrar 100% dos sistemas que tratam de informações de pessoas e empresas. Assinatura eletrônica: Implantar assinatura eletrônica gratuita para todos os cidadãos (gov.br prata/ouro). Dados abertos: Disponibilizar todos os conjuntos de dados de alto valor como dados abertos. 6.2. Governança e Monitoramento O decreto cria o Comitê Gestor da Estratégia de Governo Digital e define indicadores de desempenho (KPIs) a serem acompanhados periodicamente. Instrução Normativa nº 4/2019 da SEGES/ME (Governança de TI no SISP) Esta IN estabelece diretrizes para a governança de TI no âmbito do Sistema de Administração dos Recursos de Tecnologia da Informação (SISP), que abrange órgãos da administração pública federal direta, autárquica e fundacional. 7.1. Principais Obrigações Elaboração do Plano Diretor de Tecnologia da Informação (PDTI) com vigência de 3 anos (art. 5º). Política de Segurança da Informação (PSI) com revisão anual (art. 18). Gestão de riscos de TI (art. 24). Plano de Continuidade de Negócios (PCN) para serviços críticos (art. 25). Transparência e publicação de dados sobre contratos, gastos e indicadores de TI (art. 32). Jurisprudência do STF e STJ sobre Legislação de TI no Setor Público 8.1. STF – ADI 5.529/DF (Marco Civil da Internet) O STF julgou a Ação Direta de Inconstitucionalidade (ADI) 5.529 proposta pela Associação Brasileira de Provedores de Internet e Telecomunicações (ABRINT) contra dispositivos do Marco Civil. Em 2020, o Tribunal, por maioria, confirmou a constitucionalidade do art. 19 (regime de responsabilidade de provedores) e do art. 12 (obrigação de guarda de registros), fixando a tese já mencionada. 8.2. STJ – REsp 1.730.422/SP (LGPD e Dados Públicos) No REsp 1.730.422/SP, julgado em 2022, a Terceira Turma do STJ entendeu que o portal "Consultar CPF" da Receita Federal, que disponibiliza informações cadastrais básicas (situação do CPF, nome, município), não viola a LGPD quando o acesso é restrito a quem possui interesse legítimo (ex.: empregador, instituição financeira) e mediante consentimento do titular ou outra base legal. O relator, Min. Nancy Andrighi, destacou que a publicidade de dados cadastrais deve ser balanceada com o direito à privacidade, sendo necessária a observância dos princípios da necessidade e da transparência. 8.3. STJ – REsp 1.526.985/RS (Acesso ao Código-Fonte) No REsp 1.526.985/RS, a Segunda Turma decidiu que o código-fonte de software desenvolvido com recursos públicos é informação pública, acessível por meio da LAI, ressalvadas as hipóteses de sigilo industrial ou segredo de negócio quando a empresa desenvolvedora demonstrar que o código contém algoritmos proprietários não financiados pelo contrato público. O tribunal determinou que o órgão deve realizar a análise caso a caso, não podendo negar o acesso de forma genérica. Quadro Comparativo: LGPD vs. LAI vs. Marco Civil | Aspecto | LGPD (Lei 13.709) | LAI (Lei 12.527) | Marco Civil (Lei 12.965) | |---------|--------------------|--------------------|---------------------------| | Objeto | Proteção de dados pessoais | Acesso a informações públicas | Direitos e deveres na internet | | Aplicação ao setor público | Sim (arts. 23 a 26) | Sim (integral) | Sim (arts. 2º, III e IV) | | Princípio central | Privacidade, autodeterminação informativa | Transparência, controle social | Liberdade de expressão, neutralidade | | Consentimento | Necessário para bases legais (exceto interesse público) | Não se aplica (informação pública) | Não se aplica | | Sanções | Multas, bloqueio de dados | Responsabilização do agente público | Remoção de conteúdo, indenização | | Órgão fiscalizador | ANPD (Autoridade Nacional de Proteção de Dados) | CGU, tribunais de contas | Judiciário (ordem judicial específica) | Considerações Finais A legislação de TI no contexto público é complexa e exige que gestores e servidores conheçam não apenas as normas específicas (Marco Civil, LGPD, LAI, Lei de Governo Digital), mas também os princípios constitucionais e a jurisprudência dos tribunais superiores. Para concursos e vestibulares, o candidato deve ser capaz de identificar qual lei se aplica a cada situação (ex.: pedido de acesso a dados pessoais → LGPD e LAI; remoção de conteúdo ofensivo em site governamental → Marco Civil; digitalização de serviço público → Lei de Governo Digital). O estudo deve incluir a leitura dos artigos mais relevantes e a análise de casos práticos julgados pelo STF e STJ. Exercícios: Complete a frase: De acordo com o Artigo 13 do Marco Civil da Internet, na provisão de conexão, cabe ao administrador de sistema autônomo o dever de manter os registros de conexão pelo prazo de _____ . Complete a frase: Nos termos do Artigo 23 da LGPD, o tratamento de dados pessoais por pessoas jurídicas de direito público deverá ser realizado para o atendimento de sua _____ . Complete a frase: O princípio do Marco Civil da Internet que impõe ao responsável pela transmissão o dever de tratar de forma isonômica quaisquer pacotes de dados é a _____ . Complete a frase: Segundo a Lei de Acesso à Informação (LAI), a informação considerada imprescindível à segurança do Estado e classificada como _____ pode ter seu acesso restrito pelo prazo de 25 anos. Complete a frase: Conforme o Artigo 41 da LGPD, o controlador de dados pessoais no setor público deve obrigatoriamente indicar o _____, que atuará como canal de comunicação com os titulares e a ANPD. Complete a frase: A Lei de Governo Digital institui a plataforma gov.br como canal único, oferecendo níveis de assinatura eletrônica para o cidadão, sendo o nível mais básico denominado _____ . Complete a frase: Segundo tese do STF no Tema 987, para a responsabilização civil de provedores por danos decorrentes de conteúdo gerado por terceiros, é necessária prévia e específica _____ de remoção. Complete a frase: De acordo com o Artigo 15 do Marco Civil da Internet, o provedor de aplicações de internet deve manter os registros de acesso a aplicações, sob sigilo, pelo prazo de _____ . Complete a frase: Segundo a Instrução Normativa nº 4/2019 da SEGES/ME, os órgãos integrantes do SISP devem elaborar o Plano Diretor de Tecnologia da Informação (PDTI) com vigência de _____ . Complete a frase: Conforme jurisprudência do STJ, o _____ de software desenvolvido integralmente com recursos públicos é considerado informação pública, acessível por meio da Lei de Acesso à Informação. Sobre a Lei Geral de Proteção de Dados (LGPD - Lei nº 13.709/2018), é correto afirmar que: Segundo a Lei de Governo Digital (Lei nº 14.129/2021), marque a opção que descreve corretamente um dos seus objetivos: No contexto do setor público, o Marco Civil da Internet (Lei nº 12.965/2014) determina que os órgãos governamentais devem: A respeito da Lei de Acesso à Informação (LAI - Lei nº 12.527/2011), assinale a alternativa correta: Assinale a alternativa que corresponde corretamente a uma meta do Decreto nº 10.332/2020, que trata da Estratégia de Governo Digital: