REQUISITOS MÍNIMOS DE SEGURANÇA DOS BANCOS DE DADOS PÚBLICOS - Fato Amazônico


REQUISITOS MÍNIMOS DE SEGURANÇA DOS BANCOS DE DADOS PÚBLICOS

Pouca gente sabe, mas os bancos de dados públicos (entenda-se: os softwares utilizados pelo governo federal, estadual e municipal para administrar os seus negócios) já possuem normativos que fixam requisitos mínimos de segurança. A Lei Complementar nº 131/2009 se referiu a esse banco de dados públicos como Sistema Integrado de Administração Financeira e Controle (inciso III, § 1º, art. 48, da LC 101/2000, alterado pela LC 131/2009). Posteriormente, a LC 156/2016 dispôs que “todos os Poderes e órgãos referidos no art. 20, incluídos autarquias, fundações públicas, empresas estatais dependentes e fundos, do ente da Federação devem utilizar sistemas únicos de execução orçamentária e financeira, mantidos e gerenciados pelo Poder Executivo, resguardada a autonomia”. A inovação trazida foi profunda e oportuna.

Foi profunda, porque, de agora em diante, cada ente da federação deverá contar com apenas um único banco de dados. Num município, por exemplo, nesse modelo, tanto o poder executivo quanto o poder legislativo municipal deverão compor um só banco de dados. Ora, sabemos que hoje cada chefe de poder adquire os softwares que entender necessários à sua gestão. A partir da LC 156/2016 isso não será mais possível. Os chefes dos poderes deverão definir, em conjunto, o banco de dados que será melhor para a municipalidade devendo, qualquer que seja o banco de dados escolhido, preservar a autonomia de cada poder. Quebra-se um paradigma municipal vivido há anos em que os chefes de poderes geriam suas informações segundo critérios pessoais. Agora tais critérios deverão ser institucionais. A mesma regra deve ser observada pela União e pelos estados e Distrito Federal.

A novidade trazida pela LC nº 156/2016 é também oportuna, na medida em que as informações orçamentárias, financeiras e contábeis dos entes devem ser enviadas para a Secretaria do Tesouro Nacional – STN consolidá-las periodicamente (§ 1º, art. 51, LRF). Ora, é comum, nos pequenos municípios, a falta de diálogo entre os chefes de poder por razões políticas fato que tem prejudicado o processo de consolidação dos dados públicos municipais. A consequência dessa falta de comunicação é que os dados não migram em toda a sua integralidade para a STN prejudicando a consolidação da informação municipal. A partir da unificação dos bancos de dados esse problema será finalmente solucionado, pois o próprio sistema integrado ficará responsável por consolidá-los no âmbito municipal e enviá-los eletronicamente para o sistema da STN.

No tocante aos normativos que fixam requisitos mínimos de segurança do banco de dados, trata-se do Decreto federal nº 7.185/2010 e da Portaria/MF nº 548/2010. Esses normativos disciplinam como os bancos de dados públicos devem preservar as informações nele inseridas, evitando que elas se percam, sofram sinistros ou não representem fielmente a realidade. É importante destacar que, muito embora se tratem de normativos formulados pelo governo federal, eles regulamentam dispositivos da Lei de Responsabilidade Fiscal, alterada, nesse particular, sucessivamente, pelas Leis Complementares nºs 131/2009 (Lei da Transparência) e 156/2016. Ora, como a Lei Complementar nº 101/2000 é uma lei nacional, então tais normativos também adquirem essa natureza impondo-se, em decorrência, a todos os entes federativos (União, estados, DF e municípios).

Entretanto, os órgãos de fiscalização (ministérios públicos federal e estadual, tribunais de contas, controladorias) ainda não despertaram para a importância de fiscalizarem o fiel cumprimento das diretrizes ali descritas por parte do poder público federal, estadual e municipal.

Passemos rapidamente em revista os principais aspectos neles destacados.

DECRETO nº 7.185/2010

Finalidade do Sistema Integrado de Administração Financeira e Controle

O sistema integrado de administração financeira e controle utilizado no âmbito de cada ente da Federação, doravante denominado SISTEMA, deverá permitir a liberação em tempo real das informações pormenorizadas sobre a execução orçamentária e financeira das unidades gestoras, referentes à receita e à despesa, com a abertura mínima estabelecida neste Decreto, bem como o registro contábil tempestivo dos atos e fatos que afetam ou possam afetar o patrimônio da entidade (art. 2º).

Abrangência do Sistema Integrado de Administração Financeira e Controle

Integrarão o SISTEMA todas as entidades da administração direta, as autarquias, as fundações, os fundos e as empresas estatais dependentes, sem prejuízo da autonomia do ordenador de despesa para a gestão dos créditos e recursos autorizados na forma da legislação vigente e em conformidade com os limites de empenho e o cronograma de desembolso estabelecido (§ 1º, art. 2º).

Características do Sistema Integrado de Administração Financeira e Controle

I – disponibilizar ao cidadão informações de todos os Poderes e órgãos do ente da Federação de modo consolidado;

II – permitir o armazenamento, a importação e a exportação de dados; e

III – possuir mecanismos que possibilitem a integridade, confiabilidade e disponibilidade da informação registrada e exportada (art. 4º)

PORTARIA/MF nº 548/2010

Requisitos de segurança do Sistema Integrado de Administração Financeira e Controle

Esse é, talvez, o capítulo mais importantes dos normativos, pois ele trata da qualidade e integridade da informação registrada nos bancos de dados públicos. Vejamos as principais disposições sobre as funcionalidades de segurança:

SISTEMA deverá possuir mecanismos de controle de acesso de usuários baseados, no mínimo, na segregação das funções de execução orçamentária e financeira, de controle e de consulta (art. 2º)

O acesso ao SISTEMA para registro e consulta aos documentos apenas será permitido após o

cadastramento e a habilitação de cada usuário, com código próprio (§ 1º, art. 2º)

O cadastramento de usuário no SISTEMA será realizado mediante:

I – autorização expressa de sua chefia imediata ou de servidor hierarquicamente superior; e

II – assinatura do termo de responsabilidade pelo uso adequado do SISTEMA (§ 2º, ar. 2º)

O SISTEMA deverá adotar um dos seguintes mecanismos de autenticação de usuários:

I ‐código e senha; ou

II ‐certificado digital, padrão ICP Brasil.

Caso seja adotado o mecanismo a que se refere o inciso I do parágrafo anterior, o SISTEMA

deverá manter política de controle de senhas (§§ 3º e 4º, art. 2º).

O registro das operações de inclusão, exclusão ou alteração de dados efetuadas pelos

usuários será mantido no SISTEMA e conterá, no mínimo:

I ‐código do usuário;

II ‐operação realizada; e

III ‐ data e hora da operação (art. 3º)

Cópia de segurança do Sistema Integrado de Administração Financeira e Controle

A imposição aos entes de gerarem cópias de seguranças  periódicas do banco de dados (backups)  é INOVADOR também. Sabemos que nos pequenos municípios, a cada virada de mandato, parte ou a totalidade dos bancos de dados se perdem. Muitas informações são criminalmente apagados. A geração de cópias periódicas preserva todas as informações pondo fim a esse problema crônico que temos enfrentados em todo o País.

Sobre o armazenamento dessas cópias, é de boa prática que elas sejam armazenadas em locais diversos. Uma sugestão é que uma cópia esteja guardada no ministério público, outra no respectivo tribunal de contas e uma terceira na associação dos municípios (caso se trate de ente público municipal).

Vejamos o que diz a Portaria sobre essa obrigatoriedade:

Deverá ser realizada cópia de segurança periódica da base de dados do SISTEMA que permita a sua recuperação em caso de incidente ou falha, sem prejuízo de outros procedimentos (art. 6º).  

Lembrando, por fim, que há muito tempo os bancos de dados públicos já deveriam ter sido integrados. A LC nº 131/2009 estabeleceu prazos para que eles adotassem essa providência. Infelizmente, todavia, passado já muitos anos, quase nada foi feito nesse sentido e quase nada tem sido igualmente cobrado. Vejamos os prazos por ela estabelecidos (incisos I, II e III, art. 73-B, da LRF):

I – 1 (um) ano para a União, os Estados, o Distrito Federal e os Municípios com mais de 100.000 (cem mil) habitantes;                   

II – 2 (dois) anos para os Municípios que tenham entre 50.000 (cinquenta mil) e 100.000 (cem mil) habitantes;                      

III – 4 (quatro) anos para os Municípios que tenham até 50.000 (cinquenta mil) habitantes.                        

Parágrafo único.  Os prazos estabelecidos neste artigo serão contados a partir da data de publicação da lei complementar que introduziu os dispositivos referidos no caput deste artigo. 

Em síntese, tanto a sociedade quanto os órgãos de fiscalização (ministérios públicos, tribunais de contas, controladorias) já dispõem de ferramentas jurídicas para preservar a qualidade da informação pública veiculada nos bancos de dados. Basta agora arregaçar as mangas e passar a cobrá-las.

ALIPIO REIS FIRMO FILHO

Conselheiro Substituto – TCE/AM