O governo federal publicou na última semana o Decreto Nº 10.046, que dispõe sobre a governança no compartilhamento de dados no âmbito da administração pública federal e institui o Cadastro Base do Cidadão e o Comitê Central de Governança de Dados. A norma se propõe a estar em harmonia com a Lei Geral de Proteção de Dados (LGPD – Lei n° 13.709/2018), principal legislação sobre o tema, que entrará em vigor em agosto de 2020. Entretanto, ao estabelecer regras para o compartilhamento de dados entre os órgãos da Administração Pública, o texto em questão colide frontalmente com o disposto na lei, desconsiderando fundamentos como a autodeterminação informativa dos cidadãos (art. 2º, II) e o respeito aos direitos humanos, ao livre desenvolvimento da personalidade, à dignidade e ao exercício da cidadania pelas pessoas naturais (Art 2º, VII). Além disso, faz uso de terminologias completamente estranhas à LGPD, como “atributos biográficos” e “atributos biométricos”.
O Decreto foi apresentado como forma de desburocratizar os serviços públicos e trazer facilidades ao cidadão. Contudo, sob a justificativa de melhorar a prestação de serviços públicos, o decreto acaba por prejudicar cidadãos em seu direito à privacidade e proteção de dados. Pela redação do Decreto, o governo se coloca como dono das informações dos cidadãos, e não como um controlador destas para determinadas atividades e serviços, amplificando inclusive a realização de práticas de vigilância sobre os brasileiros.
Incompatibilidades com a LGPD
O decreto em questão apresenta conceitos desalinhados com os apresentados na Lei de Proteção de Dados Pessoais. Ao criar a definição de “dados cadastrais”, o decreto ignora não apenas a definição de dado pessoal da LGPD, mas também a especificidade dos dados pessoais sensíveis, isto é, aqueles relacionados à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou à organização de caráter religioso, filosófico ou político, à saúde ou à vida sexual, bem como dados genéticos ou biométricos. Os dados sensíveis possuem requisitos de tratamento específicos garantidos pela LGPD exatamente pelo potencial discriminatório que seu uso pode gerar sobre a vida de um usuário. Ao criar as terminologias de “atributos genéticos” e “biométricos”, no entanto, o Decreto não menciona quaisquer cuidados específicos ou prerrogativas de segurança, tratando-os de maneira equivalente aos demais.
A mesma incompatibilidade entre Decreto e LGPD ocorre em relação ao inciso I do Art. 6º da LGPD, que apresenta o princípio da finalidade, segundo o qual “a realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades”. Em contraponto, o Decreto dispensa, para a efetivação de compartilhamento de dados entre os órgãos públicos, a existência de convênios, acordos de cooperação técnica ou instrumentos congêneres, o que vai de encontro ao art. 26 da LGPD. Nesse sentido, a leitura do Decreto não permite determinar como será feito o compartilhamento de dados para fins diversos dos quais o titular deu seu consentimento no momento da coleta de suas informações, nem como ele será informado dessa operação. Ou seja, o governo federal pode ter obtido a foto de um cidadão para uma carteira de motorista e utilizar essa imagem para medidas de reconhecimento facial, atividades totalmente distintas.
O Decreto segue na contramão também da maioria dos exemplos internacionais de leis de proteção de dados pessoais que têm na confiança do cidadão um ativo precioso, e por isso oferecem um centro de controle para que os indivíduos possam exercer seu direito à privacidade e à autodeterminação informativa. A confiança dos cidadãos é fundamental para assegurar a confiabilidade dos bancos de dados públicos.
Além dos pontos apresentados acima, o Decreto também aparenta desconsiderar o inciso X do artigo 5º da Constituição, que incrementa a proteção aos direitos da personalidade ao dispor que “são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas”, especialmente em função de o Decreto não delimitar a escala de coleta e tratamento de dados por Parte do Estado. Por mais que estas atividades estejam justificadas na necessidade de execução de Políticas Públicas ou se encontrem respaldadas em contratos, convênios ou instrumentos congêneres, não cabe ao Estado estabelecer um rol de “compartilhamento amplo” de dados pessoais, desconsiderando a titularidade dos cidadãos sobre suas informações.
Ao tentar orientar as atividades de coleta e processamento de dados pessoais por parte dos orgãos da Administração Pública, o Decreto não dá a devida atenção a mecanismos de transparência e controle, e trata os dados pessoais como propriedade do Estado. Aqui, ressaltamos a necessidade da oferta de meios para que o cidadão possa supervisionar e opinar acerca do tratamento de seus dados pessoais pelo poder público, o que não é previsto pelo Decreto.
Cadastro Base do Cidadão
O Decreto cria também uma base de dados integrada denominada Cadastro Base do Cidadão. Esta será composta de informações como nome, inscrição no CPF, filiação, sexo, data de nascimento e naturalidade. A norma prevê a possibilidade da inclusão de qualquer dado – inclusive biométrico – das bases temáticas, institucionalizando um cadastro unificado. A Lei Geral de Proteção de Dados prevê a possibilidade de compartilhamento de dados para execução de políticas públicas, não a integração como um cadastro. Uma base de dados dessa dimensão pode se tornar um instrumento perigoso sob a administração de uma gestão de viés autoritário ou que busca vigiar ou reprimir opositores.
Outro ponto de preocupação é o tocante à segurança das informações dos cidadãos. Vale lembrar que o governo federal já não tem um bom histórico em relação a esse ponto. O recente caso de vazamento da base de dados de 70 milhões de pessoas com Carteira Nacional de Habilitação (CNH) é apenas um exemplo. Diversos casos como esse evidenciam as limitações do armazenamento de informações importantes dos indivíduos pelos órgãos públicos. Uma base centralizada amplia os focos de vulnerabilidade para invasões e outros incidentes deste tipo.
Comitê Central de Governança
Ao criar o Comitê Central de Governança de Dados, responsável pelas orientações e diretrizes para o compartilhamento de dados entre os entes da Administração Pública, o Decreto desconsidera a tradição brasileira de discussão de assuntos dedicados à Internet mediante ampla participação social, facilitada por mecanismos de participação multissetorial, como o Comitê Gestor da Internet (CGI.br) ou o recém-sancionado Conselho Nacional de Proteção de Dados e da Privacidade (CNPD). Além de excluir a possibilidade de participação multissetorial e concentrar a participação no Comitê exclusivamente de entes da Administração Pública Federal, o Decreto ainda concentra neste colegiado a resolução de controvérsias no compartilhamento de dados entre os órgãos e entidades públicas federais sem estabelecer critérios claros para a resolução de tais conflitos.
Por fim, entendemos que algumas das competências atribuídas ao Comitê são conflitantes com as estabelecidas à Autoridade Nacional de Proteção de Dados no âmbito da Lei 13.709/2018. Por ser a autoridade o órgão responsável por fornecer diretrizes e orientações a respeito de atividades de tratamento de dados em todo o território nacional e para os entes da Administração Pública, a atuação do supracitado comitê deveria ser subsidiária às orientações formuladas pelo órgao central.
Insegurança Jurídica
Todos os pontos acima nos permitem afirmar que o Decreto nº 10.046/19 falha em seu papel regulamentador ao gerar insegurança jurídica. O documento possui um caráter ambíguo, que além de ignorar as terminologias instituídas pela LGPD, também desconsidera o princípio da transparência como basilar e norteador das atividades de tratamento de dados no âmbito da Administração Pública Federal.
Tendo isso em vista, não há opção que não seja o exercício da competência do Congresso Nacional de sustar o Decreto, nos termos do art. 49, da Constituição Federal.