Há um impasse legal no que diz respeito ao tratamento de dados pessoais por órgãos públicos no Brasil. De um lado está a Lei Geral de Proteção de Dados (LGPD), aprovada por unanimidade no Congresso Nacional e devidamente sancionada pelo presidente da República, determinando uma série de regras a serem seguidas por empresas privadas e órgãos públicos no tratamento de dados pessoais, mas que só entra em vigor em agosto do ano que vem. Do outro lado está o decreto 10.046, publicado pelo governo federal há poucas semanas e que procura facilitar o compartilhamento de dados pessoais entre órgãos públicos, além de instituir o cadastro base do cidadão, um grande banco de dados federal que reunirá informações provenientes de diversas entidades. Farão parte desse cadastro o que o decreto chama de dados cadastrais, dados biográficos e dados biométricos – a única exceção seriam os “atributos genéticos”, ou, em outras palavras, o DNA. Embora o decreto informe explicitamente que respeitará o que está disposto na LGPD, muitas dúvidas pairam no ar e dividem especialistas, principalmente porque a lei ainda não está valendo.
Há muitos pontos conflitantes quando se analisa o decreto 10.046 frente à LGPD, a começar pela própria segmentação dos dados pessoais. Enquanto a LGPD fala em “dados pessoais” e “dados pessoais sensíveis”, o decreto classifica os dados dos cidadãos em “cadastrais”, “biográficos”, “biométricos” e “atributos genéticos”. Para a LGPD, dados relacionados à origem étnica, opinião política, genética e biometria de uma pessoa, por exemplo, são dados sensíveis e requerem um tratamento especial por parte de empresas e órgãos públicos. O decreto, por sua vez, estabelece três categorias de compartilhamento para os dados na esfera pública (amplo, restrito e especifico), cabendo ao gestor dos dados a classificação. Note-se, portanto, que o decreto e a LGPD não falam a mesma língua.
Outra controvérsia é que o decreto determina a criação de um Comitê Central de Governança de Dados (CCGD), para gerir as regras e a operação do cadastro base do cidadão. Ele será constituído apenas por representantes indicados pelo poder executivo. O problema é que a LGPD, por sua vez, estabelece a criação da Autoridade Nacional de Proteção de Dados (ANPD), órgão federal que vai regular e fiscalizar o cumprimento da lei. A ANPD terá um conselho diretor com cinco membros, todos indicados pelo presidente da República, mas que, uma vez escolhidos, não podem ser demitidos pelo poder executivo. Para alguns especialistas ouvidos por Mobile Time haveria sobreposição de atribuições entre ANPD e CCGD, o que poderia provocar impasses que somente seriam resolvidos na Justiça.
“O decreto 10.046 é uma iniciativa no mínimo surpreendente porque acabamos de aprovar a LGPD, que entra em vigor em menos de um ano e que contempla expressamente os poderes públicos. Eu esperava que essa questão de transferência de dados entre órgãos públicos fosse regulamentada pela ANPD. Em certa medida esse decreto esvazia a atribuição da ANPD”, comenta Flávia Lefèvre, representante do coletivo Intervozes.
O advogado Rafael Pellon, especializado em direito digital e sócio do escritório Pellon de Lima, entende como positivo o esforço de digitalização do governo federal e de unificação de dados de cidadãos beneficiados por programas sociais. Porém, lamenta que o decreto 10.046 faça isso à margem da LGPD, sem observar várias das disposições da lei.
“O ideal seria que o governo criasse um grande portal do cidadão, onde este pudesse exercer seus direitos previstos na LGPD, como a visualização, a atualização, a retificação ou mesmo a exclusão dos seus dados. O governo guardaria aqueles que fossem essenciais para políticas públicas e programas sociais”, sugere Pellon.
Vigilantismo
Lefèvre teme que a criação do cadastro base do cidadão seja um primeiro passo na direção de uma política de vigilância da população pelo Estado, como acontece em países com regimes autoritários. “Isso me preocupa muitíssimo. A edição desse decreto é um sintoma de que o governo pretende criar um mundo paralelo para si no que diz respeito ao tratamento de dados. Significa que não quer se submeter ao que está previsto na lei. A sociedade fez um esforço como um todo, somando empresas, academia e terceiro setor, para chegar a um consenso em torno da LGPD, e agora governo edita esse decreto criando um mundo paralelo para o setor público. É um desrespeito à garantia constitucional de proteção à intimidade e à privacidade. É muito invasivo. Abre margem para um grau de vigilantismo nunca visto por aqui, típico de países autoritários”, critica.
Pontos de atenção
Para a reflexão neste debate, vale acrescentar alguns pontos de atenção:
. Um decreto é um ato administrativo. Ele está submetido às leis do País, dentre as quais a LGPD. Qualquer determinação do decreto que conflita com a LGDP está sujeito a questionamento na Justiça.
. A LGPD prevê que dados pessoais só podem ser coletados com o consentimento do usuário e suas finalidades devem ser pré-definidas. Isso vale para empresas e para órgãos públicos.
. É importante lembrar que está excluído da LGPD o tratamento de dados pessoais para finalidades jornalísticas, de segurança pública, defesa nacional, segurança do Estado, e atividades de investigação e repressão de infrações penais.
. Tramita atualmente na Comissão de Trabalho, de Administração e Serviço Público (CTASP) o projeto de decreto legislativo (PDL) 675/2019 cujo objetivo é sustar o efeito do decreto 10.046. Esse PDL foi proposto pelo PSOL.
Mobi-ID
A gestão de dados biométricos será um dos temas abordados no Mobi-ID, seminário sobre o mercado de identificação e autenticação digitais, organizado por Mobile Time, no dia 25 de novembro, no WTC, em São Paulo. O advogado Rafael Pellon fará uma palestra sobre a gestão de identidades na LGPD. O evento contará com representantes de empresas e instituições como Acesso Digital, Cisco, Dinamo Networks, Huawei, IBM, In Loco, LogMeIn, NEC, Opinion Box, PicPay, PM-RJ, Prefeitura de São Paulo, Sky, Visa, Vivo, Thales Gemalto, TSE e Venuxx.
A programação atualizada e mais informações estão disponíveis em www.mobi-id.com.br, ou pelo email [email protected], ou pelo telefone 11-3138-4619.