2.6 Segurança da Informação e Gestão de Riscos

Todas as informações contidas nas manifestações são sigilosas, ou seja, possuem acesso restrito independente da classificação em grau de sigilo, conforme previsto nos artigos 7º, §3º; 22 e 31 da  Lei n. 12.527, de 18 de novembro de 2011. A restrição de acesso aos elementos de identificação dos usuários será mantida pelo prazo de 100 anos pela unidade de ouvidoria responsável pelo seu tratamento, nos termos do inc. I, § 1º, art. 31, da Lei n. 12.527, de 2011.

Também fundamentam o acesso restrito às informações de uma manifestação, principalmente aos dados de identificação dos usuários manifestantes, a Lei n. 8.112, de11 de dezembro de 1990; a Lei n. 13.460, de 26 de junho de 2017; a Lei n. 13.608, de 10 de janeiro de 2018; o Decreto n. 9.492, de 5 de setembro de 2018; a Lei n. 13.709, de 14 de agosto de 2018; e o Decreto n. 10.153, de 3 de dezembro de 2019.

Portanto, cabe aos colaboradores que irão contribuir para o tratamento de uma manifestação a execução de boas práticas para garantir a segurança das informações e a mitigação de riscos apropriada. 

Dessa forma, são boas práticas a serem adotadas no tratamento das manifestações:

I. sempre encerrar o acesso seguro à plataforma, quando finalizar o tratamento de uma manifestação;

II. garantir que as informações sejam acessadas pelos colaboradores designados que tenham necessidade de conhecê-las. Se for necessário que outro colega contribua com o tratamento, a Ouvidoria-Geral deverá ser contatada para cadastrá-lo no sistema e inserir sua participação no tratamento da manifestação;

III. manter a discrição a respeito do conteúdo das informações a que tiver acesso, nunca comentando sobre seu teor com outros agentes públicos, salvo com aqueles que tenham necessidade de conhecer para contribuir no tratamento e exclusivamente no tempo de tratamento da manifestação;

IV. sempre que for necessário discutir a respeito de uma manifestação com outros colaboradores, para formular a resposta, utilize espaços reservados, evitando discutir o assunto em espaços onde se encontrem outras pessoas que não tenham necessidade de conhecer o assunto;

V. quando o acesso aos anexos da manifestação forem necessários a sua compreensão, deverão ser excluídos da máquina após a leitura, garantindo que a segurança dessas informações.

VI. sob nenhuma hipótese deverá ser mantida cópia das manifestações sobre em arquivos do colaborador.

 

Sempre que a Ouvidoria-Geral considerar que a identidade dos manifestantes deva ser protegida em reclamações, solicitações, sugestões e simplificações, o teor original será pseudonimizado. Serão disponibilizados os dados de identificação nesses casos somente se requerido de forma justificada pelo colaborador responsável, situação em que a unidade de ouvidoria ponderará os riscos e benefícios associados. 

Conforme disposto no art. 7º do Decreto n. 10.153, de 2019 "a unidade de apuração competente poderá requisitar à unidade de ouvidoria informações sobre a identidade do denunciante, quando for indispensável à análise dos fatos relatados na denúncia."(BRASIL, 2019, p.1). Portanto, todo elemento de identificação direta ou indireta dos denunciantes será pseudonimizado antes do envio para as instâncias apuratórias.

Caberá aos órgãos que tenham acesso aos elementos de identificação dos denunciantes adotar as salvaguardas necessárias para resguardá-los do acesso de terceiros não autorizados, conforme previsto no § 2º, art. 7º, do Decreto n. 10.153, de 2019.

Importante destacar que a proteção aos dados das manifestações e dos manifestantes é um dever funcional, tendo em vista estar assegurado na legislação a restrição de acesso. Assim, é imprescindível a leitura da legislação para ciência e a observância das orientações contidas neste guia, garantindo a segurança das informações e a mitigação de riscos aos procedimentos realizados.

Cumpre informar que a Ouvidoria-Geral realizará o mapeamento de processos e de riscos das manifestações junto do Escritório de Processos, cujos resultados serão amplamente divulgados para a comunidade, principalmente para aos agentes públicos que atuem como colaboradores da unidade.