No ano passado, foi editada a Política Nacional de Cibersegurança, pelo Decreto 11.856/2023, em meio a invasões hacker das redes sociais da primeira-dama do Brasil.
A segurança cibernética é uma das grandes pautas no desenvolvimento tecnológico global. Em 2019, a União Europeia aprovou o Cibersecurity Act. Os Estados Unidos editaram uma série de leis para defesa da segurança cibernética, com destaque para a Cybersecurity and Infrastructure Security Agency Act, de 2018, que criou a autoridade regulatória Cybersecurity and Infrastructure Security Agency.
Ao contrário das experiências internacionais de referência, o Brasil preferiu regular por ato infralegal. Primeiramente, criou a Política Nacional de Segurança da Informação (Decreto 9.637/2018). A Anatel, por sua vez, editou o Regulamento de Segurança Cibernética (Resolução 740/2020) e obrigou as empresas a elaborarem suas próprias políticas, atendidos os princípios e o conteúdo mínimo da norma. Há projetos de lei em andamento, mas, hoje, a segurança cibernética é um caso de metarregulação no Brasil: suas regras são produzidas por regulamentos públicos e normas privadas de autorregulação.
Política Nacional de Cibersegurança até pode ser veiculada por decreto, ao invés da lei, para uma resposta rápida diante da gravidade dos fatos. Mas não se pode desconsiderar que ela é um claro exemplo de governo por regulamento, em que decretos e outras normas infralegais editadas por autoridades públicas disciplinam juridicamente um tema.
O direito administrativo tem um papel relevante no tema do governo por regulamento. Nele, mantras clássicos (como “só a lei inova na ordem jurídica” e “o Executivo é braço mecânico do Legislador”) não têm ajudado a examinar a atividade regulamentar como ela efetivamente é, um verdadeiro estudo de caso. Meu ponto é que, ao invés de colocá-la na ilegalidade, o direito administrativo deveria contribuir com estudos empíricos que permitissem compreender a realidade regulamentar, ajudando a evitar o desvio de finalidade, o abuso do poder regulamentar e o chamado infralegalismo autoritário.
O valor do processo regulamentar para a tomada de decisão qualificada, com instrução técnica e participativa, precisa ser considerado. No caso concreto, houve processo normativo na Anatel, mas não para edição do decreto que instituiu a Política Nacional de Segurança da Informação. O simples fato de uma regulação ser veiculada por decreto não deveria afastar o processo, ainda que simplificado. Afinal, nele não há qualquer exercício de atos político-constitucionais.
A segurança cibernética aponta para a fragmentação da atividade normativa e fortalecimento das regras privadas, especialmente em tecnologias com alta especialização técnica e assimetria informacional. O direito administrativo deveria contribuir assimilando a realidade, a produção normativa privada em suas fontes, bem como com a elaboração de teorias para viabilizar que decisões sejam tomadas por quem se encontre na melhor posição, evitando desnecessárias sobreposições e conflitos.
Governar por regulamento não é novidade no Brasil, mas são imprescindíveis novas diretrizes para sua legitimidade.