Lei de Acesso à Informação
e a Governança de TI:
visão geral
Cláudio Silva da Cruz, MSc, CGEIT
Auditor Federal de Controle Externo, SEFTI/TCU
Tesoureiro da ISACA – Capítulo Brasília
6º Encontro de Governança Aplicada, Brasília-DF, 14/6/2012

Precedida por acordos assinados, e.g.:
(Ac1050/12-P)
 Declaração
Universal dos Direitos Humanos (art. 19)
 Convenção das Nações Unidas contra a Corrupção (arts. 10 e 13)
 Declaração Interamericana de Princípios de Liberdade de
Expressão (item 4)
 Pacto Internacional dos Direitos Civis e Políticos (art. 19)

Participação no Open Government Partnership
 assegurar
compromissos de governos nas áreas de
promoção da transparência, luta contra a corrupção,
participação social e de fomento ao desenvolvimento de
novas tecnologias, de maneira a tornar os governos mais
abertos, efetivos e responsáveis.
Veja: Declaração de Governo Aberto (Set2011)
www.isaca‐brasilia.org
2

Atende a comando constitucional:
Art. 5º [...] XXXIII - todos têm direito a receber dos órgãos
públicos informações de seu interesse particular, ou de
interesse coletivo ou geral, que serão prestadas no prazo da lei,
sob pena de responsabilidade, ressalvadas aquelas cujo sigilo
seja imprescindível à segurança da sociedade e do Estado;
Art. 37 [...] § 3º A lei disciplinará as formas de participação do
usuário na administração pública direta e indireta, regulando
especialmente: [...] II - o acesso dos usuários a registros
administrativos e a informações sobre atos de governo,
observado o disposto no art. 5º, X e XXXIII;
Art. 216 [...] § 2º Cabem à administração pública, na forma da lei,
a gestão da documentação governamental e as providências
para franquear sua consulta a quantos dela necessitem;".
www.isaca‐brasilia.org
3

Precedida por outras iniciativas legislativas, e.g.:
 Lei
9755/1998 (“Lei Hauly”)
Obrigação de publicar informações sobre contas públicas
Todos os poderes, todas as esferas
TCU como consolidador das informações
 Lei
Complementar 101/2000 (modif. LC131/2009)
Responsabilidade pressupõe ação planejada e transparente
Publicação det. da execução orçament./financeira na internet
Estímulo à adoção de práticas de transparência
Sistema integrado de adm. financeira e controle
www.isaca‐brasilia.org
4

Já havia agentes designados para estimular a
transparência, e.g.:
Lei 10.683/2003, art. 17. À Controladoria-Geral da União compete
assistir direta e imediatamente ao Presidente da República no
desempenho de suas atribuições quanto aos assuntos e providências
que, no âmbito do Poder Executivo, sejam atinentes à defesa do
patrimônio público, ao controle interno, à auditoria pública, à
correição, à prevenção e ao combate à corrupção, às atividades de
ouvidoria e ao incremento da transparência da gestão no âmbito da
administração pública federal.
Decreto 7.063/2010, art. 6º Ao Departamento de Coordenação e
Governança das Empresas Estatais compete: [...] XII - contribuir para
o aumento da eficiência e transparência das empresas estatais e para
o aperfeiçoamento e integração dos sistemas de monitoramento
econômico-financeiro, bem como para o aperfeiçoamento da gestão
dessas empresas.
www.isaca‐brasilia.org
5


Publicidade e transparência são a mesma coisa?
Princípio da publicidade (CF, art. 37):
 Publicar,
por coerção legal, os atos administrativos
(tomada de decisão) e sua fundamentação (L9784, arts. 2º e 50)

Princípio da transparência
art. 1º, §1º; IBGC, 2009):
(CF, arts. 5º, XXXIII, 37, §3º, e 216, §2º; LC101,
 Publicar,
mesmo sem coerção legal específica, toda
informação potencialmente útil ao interesse público
(IBGC: “desejar ser transparente”)


Conceitos distintos, mas não independentes!
Às vezes os termos se confundem na legislação!
www.isaca‐brasilia.org
6

Diretrizes:
 Publicidade/transparência
como regra; sigilo é exceção
 Divulgação independentemente de solicitação
 Uso dos meios disponíveis de comunicação (textualmente,
TI!!!)
 Fomento à cultura de transparência
 Desenvolvimento do controle social
www.isaca‐brasilia.org
7

Do acesso e da divulgação:
 Obrigações
das instituições públicas:
Gestão transparente da informação, dando acesso e divulgação
Proteção da informação (disponib./autenticid./integridade)
Proteção da informação sigilosa e da informação pessoal
 Algumas
formas básicas:
Acesso eletrônico ou qualquer outro meio
Catálogo de informações disponíveis
Ferramentas de pesquisa
Linguagem clara/acessível
Formatos fáceis e documentados
Interoperabilidade
Acessibilidade
www.isaca‐brasilia.org
8

Da restrição de acesso:
 Classificação
da informação (em até 2 anos depois da lei)
 Somente PESSOAS AUTORIZADAS podem classificar:
Ultrassecreta (25 anos): autoridades de Estado
Secreta (15 anos): anteriores+titulares autarquias/fundações
e adm. Indireta
Reservado (5 anos): anteriores+altos gestores locais,
conforme regulamento local

Atenção!!!!:
 Descumprir
a L12527 ensejará a aplicação das sanções
previstas na L8112 (servidores) ou semelhantes à L8666
(contratados).
e.g. impedir ou dificultar o acesso à informação público ou
gerir incorretamente a informação sigilosa/pessoal
www.isaca‐brasilia.org
9

Pergunta ...
As instituições públicas estão
maduras para esse desafio?
Quais as implicações da LAI em
termos de Governança de TI?
www.isaca‐brasilia.org
10
2º Levantamento de Governança de TI
•
jurisdicionados pesquisados:
•
•
•
•
265 no prazo, incorporados ao relatório (Ac2308/10-P)
301 (100% alcançado em Jun2011)
30 perguntas – 152 subitens
Divididas segundo 7 das 8* dimensões do Gespública
 Liderança
 Estratégias e planos
 Cidadãos
 Sociedade
 Informações e conhecimento
 Pessoas
 Processos
*A dimensão ‘Resultados’ será incluída no ciclo 2012 da pesquisa
www.isaca‐brasilia.org
link
11
Instituições x estágios do iGovTI
(Ac2308/10-P)
Í n d i c e Aprimorado
Intermediário
Inicial
5%
iGovTI de 0,6 a 0,79
36%
iGovTI de 0,4 a 0,59
iGovTI de 0,0 a 0,39
59%
0
25
50
75
100
125
150
175
200
Quantidade de Instituições
N=301
12
Resultados
(Dimensão Liderança)
A Alta Administração NÃO :
• ... se responsabiliza pelas políticas de TI (51%)
• ... designou formalmente um comitê de TI (48%)
• ... estabeleceu objetivos de desempenho de gestão e uso de TI (57%)
• ... definiu indicadores de desempenho de gestão e uso de TI (76%)
N=265
Isto é governança
frágil!
13
Resultados
(Dimensão Processos)
53% NÃO têm processo de software ao menos gerenciado
63% NÃO aprovam e publicam PDTI interna ou externamente
65% NÃO possuem política corporativa de segurança da informação
74% NÃO inventariam todos os ativos de informação
75% NÃO gerenciam os incidentes de segurança da informação
83% NÃO analisam os riscos aos quais a informação está submetida
89% NÃO classificam a informação para o negócio
97% NÃO possuem plano de continuidade de negócio em vigor
N=265 frágil!
Isto é gestão
14
Correlação entre governança em liderança e governança em Correlação entre governança em liderança e governança em processos de TI
100%
100%
+liderança
+processo
90%
governança em processos de TI
governança em processos de TI
90%
80%
80%
70%
70%
60%
60%
50%
50%
40%
40%
30%
30%
20%
20%
10%
10%
0%
0% 0%
0%
10%
-liderança
10%
-processo
20%
20%
30%
40%
50%
60%
30%
governança em liderança de TI
40%
50%
60%
70%
70%
80%
80%
90%
90%
100%
100%
governança em liderança de TI
Coeficiente de correlação=0,60
15

Orientar a alta administração a estabelecer
formalmente:
 os
objetivos institucionais de TI alinhados às
estratégias de negócio (dirigir)
 os indicadores para cada objetivo (dirigir)
 as metas para cada indicador (dirigir)
 os mecanismos que a alta administração
adotará para acompanhar o desempenho da TI
da instituição (monitorar)
As instituições públicas estão
maduras para esse desafio?
A maioria não está!!!
Mas ... e as implicações da LAI na
Governança de TI e vice-versa?
www.isaca‐brasilia.org
17
A LAI determina que a Alta
Administração governe a gestão da
informação !!! Veja exemplos ...
Art. 26. As autoridades públicas adotarão as providências
necessárias para que o pessoal a elas subordinado
hierarquicamente conheça as normas e observe as
medidas e procedimentos de segurança para tratamento
de informações sigilosas.
Parágrafo único. A pessoa física ou entidade privada que,
em razão de qualquer vínculo com o poder público,
executar atividades de tratamento de informações
sigilosas adotará as providências necessárias para que
seus empregados, prepostos ou representantes observem
as medidas e procedimentos de segurança das
informações resultantes da aplicação desta Lei.
www.isaca‐brasilia.org
19
Art. 27. A classificação do sigilo de informações no âmbito
da administração pública federal é de competência:
I - no grau de ultrassecreto, das seguintes autoridades:[...]
II - no grau de secreto, das autoridades referidas no inciso
I, dos titulares de autarquias, fundações ou empresas
públicas e sociedades de economia mista; e
III - no grau de reservado, das autoridades referidas nos
incisos I e II e das que exerçam funções de direção,
comando ou chefia, nível DAS 101.5, ou superior, do
Grupo-Direção e Assessoramento Superiores, ou de
hierarquia equivalente, de acordo com regulamentação
específica de cada órgão ou entidade, observado o
disposto nesta Lei.
www.isaca‐brasilia.org
20
Art. 30. A autoridade máxima de cada órgão ou entidade
publicará, anualmente, em sítio à disposição na internet e
destinado à veiculação de dados e informações
administrativas, nos termos de regulamento:
I - rol das informações que tenham sido desclassificadas
nos últimos 12 (doze) meses;
II - rol de documentos classificados em cada grau de
sigilo, com identificação para referência futura;
III - relatório estatístico contendo a quantidade de pedidos
de informação recebidos, atendidos e indeferidos, bem
como informações genéricas sobre os solicitantes.
www.isaca‐brasilia.org
21
Relatório do Acórdão 1233/2012-TCU-Plenário:
“A governança de TI exerce grande influência sobre as definições da
governança corporativa em virtude das possibilidades que a
tecnologia da informação oferece de suporte e alavancagem do
negócio.
Por outro lado, a construção de um modelo de governança de TI sofre
a influência dos princípios gerais da governança corporativa, em
especial dos princípios da transparência e da prestação de contas, e a
forma como cada organização implementa esses princípios dirige a
maneira de construir o modelo de governança de TI.
Portanto, embora possa até haver interesse da alta administração de
uma instituição pública em alcançar um bom nível de governança de
TI, isso não será possível até que essa mesma alta administração
lance os fundamentos e construa as estruturas de governança
corporativa necessários para governar todos os seus recursos
críticos, tais como pessoas, finanças, TI etc.”
www.isaca‐brasilia.org
22




APOIAR o alcance dos resultados da instituição,
legitimando-a ante à sociedade
IDENTIFICAR e mitigar os riscos, diminuindo,
entre outros, o risco de exposição da imagem
GERIR os recursos públicos de forma
responsável, corrigindo rumos quando necessário
APROVEITAR as oportunidades que a TI
proporciona para melhorar os serviços prestados
à sociedade

a)
b)
c)
d)
e)
f)
g)
h)
i)
O sucesso do Governo Aberto depende de:
Diretrizes, políticas e normas claras que induzam a transparência
Levantar e priorizar a demanda de publicação de informação
Inventariar a informação com potencial de divulgação (bases de dados)
Classificar a informação (norma interna urgente: prazo = 2 anos)
Estabelecer objetivos, indicadores e metas pró-transparência
Estabelecer mecanismos de controle pró-transparência
Estabelecer acordos de nível de serviço claros para disponibilização da
informação (entes externos dependerão desse serviço)
Estabelecer mecanismos de verificação e de melhoria da qualidade da
informação oferecida
Estabelecer mecanismos de mensuração do efeito da publicação
Conclusão
Diante da grave situação da governança de
tecnologia da informação na Administração
Pública Federal, deve-se incentivar a sua
melhoria paralelamente à implantação do
Governo Aberto, para o pleno alcance de seus
objetivos.