O Diretor-Presidente da Agência Nacional de Vigilância Sanitária, no uso das atribuições que lhe confere o Decreto do Presidente da República, de 30 de junho de 2005, tendo em vista o disposto no inciso I do art. 15 e no inciso IX do art. 16 da Lei nº 9.782, de 26 de janeiro de 1999, aliado ao que dispõem o inciso I do art. 11 e os incisos X e XI do art. 13 do Regulamento da ANVISA, aprovado pelo Decreto nº 3.029, de 16 de abril de 1999, bem como o inciso I do art. 11, os incisos VIII e IX do art. 16, o inciso I e os §§ 1º e 3º do art. 54 e o inciso IV e o § 3º do art. 55 do Regimento Interno da ANVISA aprovado nos termos do Anexo I da Portaria nº 354, de 11 de agosto de 2006, republicada no DOU de 21 de agosto de 2006,

Considerando que é assegurado a todos o acesso à informação, resguardado o sigilo da fonte, quando necessário ao exercício profissional, nos termos do inciso XIV do art. 5º da Constituição da República Federativa do Brasil, de 5 de outubro de 1988;

considerando, igualmente, que todos têm o direito a receber dos órgãos públicos informações de seu interesse particular, ou de interesse coletivo ou geral, ressalvadas aquelas cujo sigilo seja imprescindível à segurança da sociedade e do Estado, nos termos do inciso XXXIII do art. 5º da Constituição Federal; considerando que é dever de todo servidor público prestar as informações requeridas ao público em geral, ressalvadas as protegidas por sigilo, bem como guardar sigilo sobre assunto da repartição, nos termos do art. 116 da Lei nº 8.112, de 11 de dezembro de 1990; considerando que a ANVISA integra o Sistema Brasileiro de Inteligência - SISBIN, instituído pela Lei nº 9.883, de 7 de dezembro de 1999, nos termos do Decreto nº 4.872, de 6 de novembro de 2003; considerando que o art. 30 do Decreto nº 3.029, de 19 de abril de 1999, estabeleceu que a Agência dará tratamento confidencial às informações técnicas, operacionais, econômico-financeiras e contábeis que solicitar às empresas e pessoas físicas que produzam ou comercializem produtos ou que prestem serviços compreendidos no Sistema Nacional de Vigilância Sanitária, desde que sua divulgação não seja diretamente necessária para impedir a discriminação entre consumidor, produtor, prestador de serviço ou comerciante, ou para impossibilitar a ocorrência de circunstâncias de risco à saúde da população; considerando a Política de Segurança da Informação nos órgãos e nas entidades da Administração Pública Federal, instituída por meio do Decreto nº 3.505, de 13 de junho de 2000; considerando as disposições contidas no Decreto nº 4.553, de 27 de dezembro de 2002, que dispõe sobre a salvaguarda de dados, informações, documentos e materiais sigilosos, bem como das áreas e instalações onde tramitam; considerando que o conjunto de dados, informações, conhecimentos, agentes públicos e recursos físicos existentes no âmbito da ANVISA são essenciais ao cumprimento de sua missão institucional e requerem a adoção de medidas especiais de segurança, devido à importância estratégica de suas ações para a defesa dos interesses nacionais e a segurança da sociedade e do Estado; e considerando a deliberação da Diretoria Colegiada em reunião realizada em 4 de setembro de 2006, resolve:

Art. 1º Fica aprovada a Política de Segurança Institucional da Agência Nacional de Vigilância Sanitária - ANVISA, nos termos desta Portaria.

Parágrafo único. A Política de Segurança Institucional de que trata esta Portaria se aplica a todas as áreas, instalações, equipamentos, materiais, documentos, pessoas e sistemas de informação existentes no âmbito da ANVISA.

Art. 2º Para os efeitos da Política de Segurança Institucional, são adotados os seguintes conceitos e definições:

I - agente público: aquele que, por força de lei, contrato ou qualquer outro ato jurídico, preste serviços à ANVISA, remunerados ou não, de natureza permanente, temporária, excepcional ou eventual;

II - ativos de informação: patrimônio composto por todos os dados e informações gerados, manipulados e armazenados durante a execução dos sistemas, procedimentos e processos de trabalho da Instituição;

III - ativos de processamento: patrimônio composto por todos os elementos de hardware e software, produzidos internamente ou adquiridos, necessários à execução dos sistemas, procedimentos e processos de trabalho da Instituição;

IV - autenticidade: garantia de que os dados ou informações sejam verdadeiros e fidedignos, tanto na origem quanto no destino;

V - classificação: atribuição, pela autoridade competente, de grau de sigilo a dados, informações, documentos, materiais, áreas ou instalações da Instituição;

VI - conhecimento: relação que se estabelece entre o sujeito que conhece ou deseja conhecer e o objeto a ser conhecido ou que se dá a conhecer, constituindo conceito contextualizado, situado na subjetividade das pessoas;

VII - credencial de segurança: certificado, concedido por autoridade competente, que habilita determinada pessoa a ter acesso a dados e informações em diferentes graus de sigilo;

VIII - dado: insumo necessário à produção de informação, geralmente composto por números, palavras, códigos, imagens ou áudios;

IX - disponibilidade: facilidade de recuperação ou acesso;

X - informação: é o dado valorado, provido de significado, passível de análise, comparação ou interpretação;

XI - integridade: garantia de não violação dos ativos de informação, na origem, no trânsito ou no destino;

XII - interoperabilidade: possibilidade de ser operado de forma integrada ou conjunta;

XIII - necessidade de conhecer: condição pessoal, inerente ao efetivo exercício de cargo, função, emprego ou atividade, indispensável para que uma pessoa possuidora de credencial de segurança tenha acesso a dados ou informações sigilosos;

XIV - plano de contingência: documento composto pelo conjunto de atos, medidas e procedimentos que garantam a proteção das pessoas, a disponibilidade mínima e a não interrupção das atividades da Instituição;

XV - recursos físicos: áreas, instalações, equipamentos ou materiais, de propriedade ou sob a guarda da ANVISA;

XVI - sensível: condição inerente aos dados, informações, conhecimentos, áreas, instalações e materiais que necessitam de medidas especiais de proteção, por serem sigilosos ou por representarem valor essencial para a missão e a imagem institucional; e

XVII - sigilo: segredo; conhecimento restrito a pessoas credenciadas; proteção contra revelação não-autorizada.

Art. 3º A presente Política tem por objetivo geral estabelecer as diretrizes e o apoio necessários para assegurar o sigilo, a integridade, a autenticidade e a disponibilidade de dados, informações e conhecimentos no âmbito da ANVISA, bem como promover a proteção dos agentes públicos e dos recursos físicos da Instituição, de modo a resguardar a legitimidade de sua atuação e contribuir para o cumprimento de suas atribuições legais.

Art. 4º São objetivos específicos da Política de Segurança Institucional:

I - dotar a ANVISA de instrumentos normativos e organizacionais necessários à efetiva implementação da Política de Segurança Institucional;

II - orientar a adoção de mecanismos, medidas e procedimentos de proteção a dados, informações e conhecimentos relativos à privacidade das pessoas, ao interesse institucional e aos direitos de propriedade intelectual;

III - nortear a adoção de mecanismos, medidas e procedimentos internos para que o acesso a dados e informações sensíveis e sigilosos seja permitido apenas a pessoas e órgãos autorizados, segundo a legislação vigente;

IV - subsidiar ações voltadas à salvaguarda da exatidão e integridade de dados, informações e conhecimentos, bem como dos métodos de trabalho;

V - direcionar a adoção de medidas que assegurem a disponibilidade de dados, informações, conhecimentos e ativos associados às pessoas e órgãos autorizados;

VI - orientar as ações permanentes de conscientização, capacitação e educação sobre a importância da proteção de dados, informações e conhecimentos, com o propósito de internalizar o compromisso com a segurança institucional; e

VII - nortear as ações necessárias à proteção dos agentes públicos e dos recursos físicos da ANVISA.

Art. 5º Além dos princípios aplicáveis à Administração Pública em geral, a implementação e o cumprimento da Política de que trata esta Portaria atenderão às regras de sigilo e aos princípios de integridade, disponibilidade e autenticidade.

Art. 6º São diretrizes da Política de Segurança Institucional:

I - o desenvolvimento de sistema de classificação de dados, informações e conhecimentos, com o objetivo de garantir os níveis de segurança desejados;

II - a utilização de critérios menos restritivos na classificação de documentos e recursos físicos;

III - a definição de procedimentos e níveis de acesso a dados, informações e conhecimentos no âmbito da ANVISA, segundo a necessidade de conhecer e, quando for o caso, mediante credencial de segurança;

IV - o estabelecimento de normas, padrões e procedimentos relacionados à produção, tramitação, transporte, manuseio, custódia, armazenamento, conservação e eliminação de documentos e materiais no âmbito da ANVISA;

V - a adoção de critérios e procedimentos relacionados à disponibilidade e ao uso dos bens e ativos de processamento da ANVISA;

VI - a adoção de procedimentos relacionados ao uso de ativos de processamento particulares no âmbito da ANVISA;

VII - o estabelecimento e o aprimoramento de critérios, medidas e procedimentos de seleção, ingresso, desempenho na função, movimentação ou desligamento de agentes públicos no âmbito da ANVISA, mediante a implementação e a atualização de um sistema de informações;

VIII - a garantia de que todos os privilégios de acesso a ativos e recursos físicos da Agência sejam devidamente revistos, modificados ou revogados quando alteradas ou cessadas as atividades do agente público junto à ANVISA;

IX - o estabelecimento de normas, padrões e procedimentos necessários ao controle de acesso e à proteção dos agentes públicos e dos recursos físicos da ANVISA;

X - o estabelecimento de normas relativas ao desenvolvimento e à implementação dos Sistemas de Informação, com vistas a garantir a sua interoperabilidade e a obtenção dos níveis de segurança desejados;

XI - a conformidade dos processos de aquisição de bens e serviços com os preceitos legais e os princípios de segurança institucional;

XII - o desenvolvimento e a implementação de programas de conscientização e capacitação sobre segurança institucional;

XIII - o desenvolvimento e a implementação de planos de contingência; e

XIV - o estabelecimento de medidas e procedimentos de proteção contra falhas e danos que possam comprometer as atribuições da ANVISA.

Art. 7º O acesso a dados, informações, conhecimentos e recursos físicos deve ser estabelecido segundo as necessidades indispensáveis e inerentes ao cumprimento do dever funcional ou àqueles que exercem atividades relacionadas à ANVISA.

Parágrafo único. O acesso a dados, informações e conhecimentos sensíveis e sigilosos dar-se-á segundo a necessidade de conhecer e, quando for o caso, mediante credencial de segurança.

Art. 8º Além da classificação estabelecida na legislação vigente com relação à salvaguarda de dados, informações, documentos e materiais sigilosos, deve ser adotada classificação institucional, a ser regulamentada em ato próprio, segundo o grau de sensibilidade dos dados, informações, documentos e recursos físicos.

Art. 9º Compete à Assessoria de Segurança Institucional garantir a implementação da Política de Segurança Institucional da ANVISA, segundo os objetivos, os princípios e as diretrizes estabelecidos nesta Portaria.

§ 1º Cabe às demais unidades que compõem a estrutura organizacional da ANVISA dar cumprimento à Política de Segurança Institucional no âmbito de suas respectivas atribuições, bem como atender às solicitações e orientações da Assessoria de Segurança Institucional, relacionadas com a implementação da referida Política.

§ 2º Compete aos dirigentes e às chefias imediatas providenciar para que o pessoal sob sua responsabilidade conheça integralmente as medidas de segurança estabelecidas no âmbito da ANVISA, zelando por seu fiel cumprimento.

Art. 10. A Assessoria de Segurança Institucional deve orientar e assistir às demais unidades organizacionais da ANVISA em questões de segurança relativas às atividades da Agência.

Art. 11. O descumprimento da Política de Segurança Institucional, bem como das normas e dos procedimentos dela decorrentes, acarretará a responsabilização ética e administrativa, sem prejuízo das responsabilidades civis e penais, eventualmente cabíveis.

Art. 12. A Assessoria de Segurança Institucional, em conjunto com as demais unidades da estrutura organizacional da ANVISA, promoverá a comunicação e a ampla divulgação da Política de que trata esta Portaria para que todos a conheçam e a cumpram no âmbito de suas atividades e atribuições.

Art. 13. A Política de Segurança Institucional deve ser implementada no âmbito da ANVISA, segundo as prioridades identificadas pela Assessoria de Segurança Institucional.

Art. 14. As disposições da Política de Segurança Institucional devem ser aplicadas às unidades organizacionais da ANVISA, inclusive àquelas localizadas em unidades da federação diversas da sede da Agência em Brasília-DF, respeitando-se suas especificidades.

Parágrafo único. Normas de segurança específicas poderão ser elaboradas, em conjunto com os demais interessados, quando a unidade organizacional da ANVISA estiver instalada em prédios não destinados exclusivamente às suas atividades.

Art. 15. A ANVISA exigirá dos agentes públicos termo de compromisso de não divulgação de dados, informações e conhecimentos sigilosos ou sensíveis a que, direta ou indiretamente, tenham acesso no exercício de cargos, funções ou empregos públicos.

Parágrafo único. As empresas terceirizadas ou quaisquer entidades que disponibilizem pessoal para exercer atividades para a ANVISA deverão garantir a adoção das medidas previstas neste artigo.

Art. 16. A Política de Segurança Institucional deve ser aplicada, no que couber, a terceiros contratados ou conveniados.

Art. 17. A Assessoria de Segurança Institucional deve estabelecer os critérios e os indicadores para o monitoramento e a avaliação da eficácia, da eficiência e da efetividade da Política de Segurança Institucional.

Parágrafo único. Para os fins deste artigo, a Assessoria de Segurança Institucional poderá contar com o apoio e a colaboração das demais unidades organizacionais da ANVISA, em especial, da Assessoria de Planejamento.

Art. 18. A Política de Segurança Institucional deve ser revisada e atualizada periodicamente, no máximo, a cada quatro anos.

Art. 19. As dúvidas e os casos omissos serão dirimidos pela Assessoria de Segurança Institucional e, em última instância, pela Diretoria Colegiada, segundo os objetivos, os princípios e as diretrizes estabelecidos nesta Portaria.

Art. 20. Esta Portaria entra em vigor na data de sua publicação.

DIRCEU RAPOSO DE MELLO