Cadastro Base e amplo compartilhamento de dados pessoais: a que se destina?
Em artigo publicado no Jota, comentamos o Decreto nº 10.046/2019 que regulamenta o compartilhamento de dados no âmbito da administração pública federal e cria o Cadastro Base do Cidadão.
No dia 9/10, o presidente Jair Bolsonaro assinou o Decreto 10.046/2019 que regulamenta o compartilhamento de dados entre órgãos e entidades da administração pública federal. Mais extenso que o anterior e expressamente revogado Decreto nº 8.789/2016, ele categoriza o compartilhamento de dados em diversos níveis e traz duas novidades – o Cadastro Base do Cidadão e o Comitê Central de Governança de Dados.
A nova regulamentação reduz as barreiras ao compartilhamento e cruzamento de bancos de dados da administração pública federal e tem por objetivo declarado endereçar problemas como a duplicidade de informações e as inconsistências em bases de dados públicas. Isso, no entanto, é feito às custas do aprofundamento das lacunas e riscos à privacidade e proteção de dados de cidadãos já identificados no decreto anterior – o que coloca em questão, inclusive, a compatibilidade do decreto com a Lei Geral de Proteção de Dados, prestes a entrar em vigor em agosto de 2020.
Compartilhamento de dados sob o governo Temer: Decreto 8.789/2016
Até a edição do Decreto 8.789/2016 o compartilhamento de bases de dados dependia da celebração de acordos e convênios entre órgãos e entidades, o que passou a ser expressamente dispensado desde então. Publicado em 1/7/2016 e assinado pelo presidente Michel Temer, o Decreto nº 8.789/2016 foi divulgado como medida de modernização da administração pública e promoção de eficiência na gestão de políticas.
Tal “modernização” e simplificação dos mecanismos de compartilhamento e cruzamento de dados foi operacionalizada em dois níveis. Por um lado, a regulamentação liberava o compartilhamento de dados cadastrais entre órgãos e entidades da administração pública federal, a ser feito preferencialmente de forma automática (art. 3º). Por outro, no caso de outros dados individualizados não cadastrais, o compartilhamento seria realizado de acordo com as necessidade dos órgãos interessados (art. 5º).
Para ter acesso a uma determinada base de dados, o órgão interessado deveria dirigir uma solicitação ao responsável, com a descrição dos dados demandados e a finalidade a que o seu uso visa. Uma vez compartilhadas, as informações não poderiam ser retransmitidas, a menos que expressamente previsto na autorização concedida pelo órgão responsável.
Simplificação da oferta de serviços públicos; auxílio na formulação, implementação, avaliação e monitoramento de políticas públicas; análise da regularidade da concessão ou do pagamento de benefícios, ou da execução de políticas públicas; e promoção da melhoria da qualidade e da fidedignidade dos dados constantes das bases dos órgãos e das entidades da administração pública federal constituíam as finalidades a que a norma declarava servir (art. 2º). Entre elas, recebeu destaque o fato de que a facilitação do compartilhamento e cruzamento de dados de diferentes bases governamentais, permitiria identificar de forma mais efetiva o pagamento indevido de benefícios sociais. O decreto previa expressamente, ademais, a possibilidade de implementação de mecanismos eletrônicos de conferência automática dos requisitos de elegibilidade e manutenção de benefícios (art. 5º).
Em suma, o decreto reduziu barreiras e favoreceu a “construção de pontes entre bancos de dados”, enquanto calou sobre as salvaguardas à privacidade, segurança e proteção (limitando-se a excepcionar de sua incidência dados protegidos por sigilo bancário e fiscal). Estabelecendo condições normativas para que uma variedade de bases de dados fossem compartilhadas e cruzadas e ensejando, assim, usos de Big Data no âmbito da administração pública, o decreto falhou em prever limites a tais usos, endereçar os riscos à segurança associados e dispor sobre a proteção de dados.
O que mudou com o novo decreto?
A facilitação do compartilhamento de dados consolidada instituída como padrão de intercâmbio de dados pelo Decreto Temer foi mantida e aprofundada na edição da nova regulamentação. Algumas novidades relevantes foram, no entanto, inseridas.
Primeiro, embora trate da governança no compartilhamento de dados no âmbito da administração pública federal, já no caput do art. 1º é sugerida uma significativa ampliação do campo de abrangência. Ao passo que o decreto anterior restringia-se aos órgãos e às entidades da administração pública federal direta, autárquica e fundacional, [1] este incide sobre os demais Poderes da União (art. 1º). Isto é, o compartilhamento de dados com os poderes legislativo e judiciário também passa a ser regulado por este decreto.
A nova regulamentação também ampliou as finalidades a que o compartilhamento de dados pode servir. Para além daquelas já previstas anteriormente e que amoldavam o decreto anterior à formulação, implementação, avaliação, oferta e análise de políticas públicas, serviços públicos e benefícios sociais e fiscais; a nova regulamentação passou a incluir uma quinta finalidade, “o aumento da qualidade e eficiência das operações internas da administração pública federal” – o que parece ampliar significativamente as hipóteses de justificação para compartilhamento de dados. Tal alargamento está em tensão com a Lei Geral de Proteção de Dados, que, ao prever o tratamento e compartilhamento de dados pela administração pública, dentre as hipóteses elencadas no rol de bases legais do art. 7º, restringe-os aos dados necessários à execução de políticas públicas.
Uma outra alteração relevante trazida pelo novo decreto é a extensão do significado de dados cadastrais. No decreto anterior, dados cadastrais eram definidos como “identificadores cadastrais” de pessoas físicas e jurídicas “junto a órgãos públicos”, com uma lista não exaustiva de informações que incluía CPF, CNPJ, PIS, nome civil, data de nascimento, filiação, endereço. Na nova regulamentação, tais dados permanecem sendo considerados “cadastrais”, mas o conteúdo semântico do termo muda. Ele deixa de ter uma definição geral e passa a ser definido a partir de uma lista que inclui, dentre outros dados já considerados “cadastrais”, “atributos biográficos”.
“Atributos biográficos” são “dados de pessoa natural relativos aos fatos da sua vida”, o que compreende mas não se limita a “nome civil ou social, data de nascimento, filiação, naturalidade, nacionalidade, sexo, estado civil, grupo familiar, endereço e vínculos empregatícios”. Ao se referir a “fatos da vida”, conceito caracterizado pela vagueza semântica e indeterminação, o dispositivo acomoda uma enorme variedade de dados pessoais, que podem extrapolar a noção de dados cadastrais.
Tais conceitos são centrais para a estrutura de compartilhamento de dados definida por ambos os decretos. No caso do decreto 8.789/2016, o art. 3º permitiu o compartilhamento automático de dados cadastrais. Na nova regulamentação esses conceitos são significativamente relevantes para entender a dimensão e as implicações do Cadastro Base do Cidadão, uma base integradora e plataforma de interoperabilidade que possibilitará o intercâmbio de dados entre esta base e outras bases temáticas, como no atual sistema GovData.
Inicialmente, esse Cadastro contará com dados cadastrais, atributos biográficos e atributos biométricos provenientes da base de dados do CPF, mas será acrescido, posteriormente, de informações provenientes de outras bases temáticas – bancos de dados de políticas públicas que contenham dados biográficos e biométricos. Com o Cadastro Base do Cidadão, não apenas os antigos dados cadastrais podem ser compartilhados livremente e de forma automática entre órgãos e entidades, mas uma ampla variedade de dados pessoais produzidos e coletados pelo Estado no curso da execução e implementação de políticas públicas, inclusive dados sensíveis – considerando, por exemplo, que o decreto prevê a inclusão de dados biométricos e não estabelece quaisquer limites quanto a dados de saúde, por exemplo. Excluídos desse Cadastro estão apenas os “atributos genéticos”, conforme expressamente previsto no §6º do art. 18.
Não são banais as constatações de que falta rigor e precisão às definições do conjunto de informações potencialmente absorvido pelo Cadastro Base. Ele exprime a parca preocupação com o adequado sopesamento dos direitos fundamentais à privacidade e intimidade com os objetivos estatais concretizados neste arranjo de tratamento.
Para além do Cadastro Base, que parece substituir o antigo art. 3º do Decreto 8.789/2016, a nova regulamentação estabelece, ainda, três níveis de compartilhamento de dados. Enquanto o Cadastro Base pretende ser uma base de referência de informações sobre cidadãos para os órgãos e entidades do Poder Executivo federal, concentrando grande parte dos dados pessoais dos cidadãos; a categorização de dados em três diferentes níveis de compartilhamento – aberto, restrito, e específico – estabelece regras e estruturas para o compartilhamento de outros dados que não sejam abrangidos pelo escopo do Cadastro Base ou que ainda não estejam integrados a ele. A classificação dos dados – de compartilhamento amplo, restrito ou específico – foi delegada pelo decreto ao gestor do banco ou da base de dados em questão, que estabelecerá a classificação de cada item de informação a partir de orientações e diretrizes a serem definidas pelo Comitê Central de Governança de Dados, também criado pelo decreto.
Os dados de compartilhamento amplo, que compreendem os dados públicos, serão compartilhados sem necessidade de autorização do gestor e catalogados no Portal Brasileiro de Dados Abertos. Os de compartilhamento restrito e específico, por outro lado, são dados protegidos por algum tipo de sigilo. No caso dos “restritos”, o compartilhamento ocorrerá mediante solicitação e a partir de regras que virão a ser estabelecidas pelo Comitê. Por serem dados com concessão de acesso a todos os órgãos e entidades do art. 1º, não há vedação à sua retransmissão e compartilhamento, exceto se expressamente previsto na autorização do gestor. Já no caso dos “específicos”, o compartilhamento ocorrerá mediante solicitação, apenas com órgãos específicos, quando houver previsão legal, e dependerá do cumprimento de requisitos definidos pelo gestor e de sua autorização. Neste caso, os dados não poderão ser retransmitidos ou compartilhados com outros órgãos e entidades, a não ser que o gestor tenha previsto expressamente em sua autorização.
Em complemento a essas duas vias de compartilhamento de dados – o Cadastro Base, por um lado, e o três níveis de compartilhamento, por outro -, outra novidade significativa trazida pelo decreto é a criação do Comitê Central de Governança de Dados. Composto apenas por representantes da administração pública federal, o Comitê tem competência deliberativa sobre uma série de regras, orientações, diretrizes, parâmetros, controvérsias, e decisões relativas à gestão do Cadastro Base e dos níveis de compartilhamento de dados. É ele quem vai definir os parâmetros para classificação de bancos e bases de dados e as regras para o compartilhamento restrito, além de ser responsável pela avaliação das políticas de segurança da informação dos órgãos e entidades no âmbito das atividades relativas ao compartilhamento de dados.
A definição de diretrizes para integração de órgãos e entidades no Cadastro Base e as decisões relativas à inclusão de outras bases temáticas no Cadastro também competem ao Comitê. Sem qualquer participação de representantes da sociedade civil, o decreto ainda confere ao Comitê a competência de instituir outros cadastros base de referência do setor público e de uso obrigatório pelos órgãos e entidades, conferindo poderes significativos de definição de processamento de dados, sem qualquer restrição vinculada à finalidade de tratamento desses dados. Assim, reserva-se a elaboração de dispositivos cruciais para a adequada proteção de dados pessoais contra o uso indevido e abusos a uma instância não participativa e se lhes atribui status infra-legal.
As alterações e ampliações de compartilhamento de dados trazidas pelo novo decreto não são acompanhadas, todavia, de regras e salvaguardas que garantam a proteção e a segurança dos dados dos cidadãos. Apenas os dados protegidos por sigilo fiscal sob gestão da Secretaria Especial da Receita Federal do Brasil do Ministério da Economia ficam excluídos da sua incidência. No decreto anterior, tanto os dados protegidos por sigilo fiscal como bancário tinham o acesso condicionado à forma posta pela legislação específica (art. 198 da Lei n º 5.172, de 25 de outubro de 1966 e Lei Complementar n º 105, de 10 de janeiro de 2001). Além disso, o decreto sequer incorpora princípios centrais e diretrizes já consolidados na Lei Geral de Proteção de Dados Pessoais (LGPD), ignora o termo “dados pessoais”, a exemplo de seu antecessor, e opta pelo uso de expressões estranhas aos regimes de proteção de dados, como “atributos biográficos” e “atributos biométricos”.
Choque de termos e garantias sem dentes: a relação entre o Decreto 10.046/2019 e a LGPD
Aprovada em 2018, a Lei Geral Proteção de Dados Pessoais (Lei nº 13.709/2018) estabeleceu o marco legal para o regime de proteção de dados pessoais no Brasil, que até então carecia de uma norma geral e dependia de regras e previsões pontuais e esparsas. Ainda que a legislação só entre em vigor em agosto de 2020, o período de vacatio legis em curso deve servir à adequação dos setores público e privado, e o regime de proteção de dados consolidado na lei se coloca como referência para elaboração de políticas e regulamentações que abordem a questão.
Central a esse regime são os conceitos de “dados pessoais” e “dados sensíveis” que definem o escopo de incidência da lei, além das bases legais que justificam o tratamento de dados, listadas nos artigos 7 e 11, respectivamente. Como mencionado acima, ao regulamentar o compartilhamento de dados na administração pública federal, o Decreto 10.046/2019 se abstém de mencionar o termo dados pessoais e opta pelo emprego de termos pouco familiares ao regime de proteção de dados, como “atributos biográficos” e “atributos biométricos”.
Editado após a aprovação da lei, o decreto não a desconsidera completamente, chegando a mencioná-la entre as diretrizes para compartilhamento de dados. Seu art. 3º, por exemplo, determina em seus incisos que o mais amplo compartilhamento possível de informação deverá respeitar as restrições e requisitos da LGPD; que a preservação da intimidade e privacidade da pessoa, a proteção dos dados e as normas e os procedimentos previstos na legislação devem ser observados nas hipóteses de tratamento de dados pessoais; e que a coleta, tratamento e compartilhamento de dados devem respeitar o disposto no art. 23 da LGPD.
A Lei Geral de Proteção de Dados Pessoais, de fato, prevê o tratamento e compartilhamento de dados pessoais pela administração pública para fins de políticas públicas e dedica um capítulo inteiro (Capítulo IV) ao tratamento de dados pelo poder público. O tratamento e uso compartilhado de dados pela Administração Pública para execução de política públicas é uma das bases legais estabelecidas pela LGPD para o tratamento de dados pessoais (art. 7). Da mesma forma, o tratamento compartilhado de dados necessários à execução de políticas públicas previstas em leis ou regulamentos, nas hipóteses em que for indispensável para tanto, é base legal para o tratamento de dados pessoais sensíveis sem o consentimento do titular (art. 11).
Diante disso, se, por um lado, o Decreto 10.046/2019 regulamenta e procedimentaliza o compartilhamento já previsto; por outro, ele o faz à revelia das diretrizes e dos princípios que estruturam o regime de proteção de dados, aos quais a LGPD condiciona o tratamento de dados pelo poder público.
O art. 23, ao qual se refere o decreto, dispõe que o tratamento de dados pessoais pelas pessoas jurídicas de direito público deve servir ao atendimento da finalidade pública e ao objetivo de executar e cumprir as respectivas competências e atribuições, condicionando esse tratamento à transparência quanto ao seu fundamento, finalidade, procedimentos e práticas. Quanto ao uso compartilhado de dados pessoais, o art. 26 estabelece que deve atender às finalidades específicas de execução de políticas públicas e à atribuição legal, e respeitar os princípios de proteção de dados pessoais listados no art. 6º da lei: finalidade, adequação, necessidade, livre acesso ao titular, transparência etc.
Embora formal e textualmente reiterada, a compatibilidade do Decreto 10.046/2019 com LGPD é controversa. Ao ter como diretriz o mais amplo compartilhamento, o decreto desafia o princípio da necessidade. Apenas o compartilhamento específico, isto é, o compartilhamento de dados protegidos por sigilo, cujo acesso é garantido apenas “a órgãos e entidades específicos, nas hipóteses e para os fins previstos em lei”, parece guardar alguma observância ao princípio da finalidade e ao que dispõe o artigo 26 da LGPD. O compartilhamento de dados amplo – disponível para qualquer interessado – e o restrito – dados sob sigilo, mas disponíveis a todos os órgãos e entidades de que trata o art. 1º para a execução de políticas públicas – não oneram o solicitante com quaisquer demonstrações sobre a adequação, necessidade e finalidade de acesso para a realização de políticas sob sua competência.
Trata-se, por fim, de dados coletados, sem que tenham sido informados de maneira clara e precisa o tratamento a que seriam – e serão agora – submetidos e, para fins que extrapolam o que inicialmente motivou a coleta. Compartilhados e consumidos do “mais amplo” modo possível, a garantia de que serão tratados para os fins específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior incompatível resta, também comprometida.
Governo mais inteligente: quais os riscos? É possível preveni-los?
Não são banais os limites colocados pela LGPD. A autodeterminação informativa e a privacidade, que estão entre os seus fundamentos, guardam os limites que evitam que informações sensíveis de um contexto transbordem para outros contextos. [2] São, além disso, direitos essenciais para o livre desenvolvimento e a autodeterminação do indivíduo e, consequentemente, para a construção de uma sociedade livre e democrática. Não à toa, a vigilância e o armazenamento de dados são reputados – e efetivamente mobilizados – uma causa de dissuasão da participação democrática.
Foi precisamente na esteira do desenvolvimento dessas considerações que o Tribunal Constitucional Alemão (Bundesverfassungsgericht) cunhou o conceito de separação informacional de poderes, na decisão sobre o censo populacional na década de 80. Para o Tribunal, o Estado não deveria ser considerado uma entidade única no que diz respeito à coleta e utilização de dados pessoais. Apenas os dados absolutamente necessários para a consecução da finalidade informada no momento da coleta e correspondentes à competência específica da respectiva autoridade ou órgão público poderiam ser coletados e tratados [3].
No que diz respeito ao tratamento de dados, portanto, o Estado não deveria ser visto como um, mas uma pluralidade de entes que processam individualmente os dados de que necessitam para desempenhar suas funções. Nesse contexto, a transferência, compartilhamento e integração de dados interna ao Estado consiste num ato de processamento, também carente de previsão legal.
O decreto 10.046/2019, como visto, busca o amplo compartilhamento, mesmo quando referido a dados sigilosos por força da lei ou da Constituição Federal, e estabelece um Cadastro Base para acesso dos órgãos e entidades do poder executivo federal, que, embora seja inaugurado com dados componentes da base do CPF, visa à consolidação inequívoca dos atributos biográficos, biométricos e cadastrais (art. 18, §º) de diversas outras bases temáticas. A essa maneira, ao arrefecer as possibilidades de controle sobre quem – e para que – acessa seus dados, a cidadania fica exposta a alguns riscos.
Conceda ao administrador do governo ou de empresas o uso de um arquivo nacional integrado da população […] e você lhes terá proporcionado uma poderosa ferramenta de interferência na vida privada, para manipular, para vender mais, para condicionar, para coagir [4]
Perfilamento e discriminação, vigilância e controle sem justa causa representam parte desses riscos.
O Perfilamento consiste na construção de modelos (estatísticos) a partir de grandes quantidades de dados de muitos indivíduos, após o que os próprios perfis podem ser explorados para obter novas informações sobre indivíduos específicos. [5] Isto é, para além das vastas informações já disponíveis acerca dos cidadãos, outras podem ser ainda inferidas e utilizadas para a tomada de decisões. Através da combinação de informações disponíveis, outras possivelmente sensíveis podem ser obtidas, sem que o titular nunca as tenha concedido voluntariamente.
Como já apontado acima, o decreto não compreende restrições ao processamento das vastas quantidades de dados coletados pelo Estado nas políticas de saúde pública, assistência social, educação, previdência, trabalho… Isto, por um lado, compromete o exercício do direito à autodeterminação informativa, que, em princípio, confere ao indivíduo o poder conhecer e decidir sobre o tratamento de informações pessoais. Por outro, estabelece uma assimetria de informação e, logo, de poder, já que o titular, sem ciência do perfilamento, não tem dimensão das informações sobre si em poder do Estado.
A discriminação, no sentido de diferenciar e classificar, é constitutiva do perfilamento. Se a distinção, no entanto, se baseia em certos marcadores, como gênero, por exemplo, e tem por objeto ou resultado a geração de prejuízos ou a obstaculização do exercício de direitos humanos e liberdades fundamentais, ela passa a contrariar a lei. Numa sociedade marcada por profundas desigualdades, refletida nos dados coletados sobre seus componentes, o manejo da informação e seu emprego para tomada de decisões deve estar sobre intenso escrutínio, crítica e controle. Nesse sentido, as críticas sobre policiamento preditivo ou acesso desigual à “saúde inteligente” pela população negra.
Finalmente, despertam preocupação certas questões de segurança. O decreto aborda a segurança como uma obrigação pouco precisa, a ser definida pelos gestores e pelo Comitê Central de Governança de Dados. A segurança de dados, no entanto, é elemento constitutivo do direito à privacidade e à autodeterminação informativa. Essencial ao exercício de controle, é o controle de acesso à informação:
Os vários sistemas e componentes de informação do governo demandam segurança em todo o seu “ciclo de vida”, o que inclui o transporte/trânsito, e enseja não só a aplicação das tecnologias apropriadas, mas a formação das pessoas e instituições que os utilizam, com o estabelecimento de processos seguros e a definição clara de responsabilidades.
Há sistemas, por exemplo, que prevêem o registro automático de todos os acessos, eventos e atividades de interesse e permitem, como o estoniano, ao cidadão consultar quem acessou seus registos e, identificando um acesso ilegítimo ou desnecessário, denunciar a invasão de privacidade, para a devida responsabilização. Tal dispositivo habilita um certo controle da privacidade e dos dados por parte do seu titular e, no país, já levou, de fato, à responsabilização de funcionários que acessaram dados privados de cidadãos sem autorização ou justa causa [6].
Há ainda muitas incertezas sobre os impactos e o destino do Decreto 10.046/2019. São já três PDLs visando a sustar seus efeitos: PDL 661/2019, PDL 675/2019 e PDL 673/2019. Seus autores argumentam a extrapolação do poder regulamentar do Poder Executivo e sua incompatibilidade com dispositivos constitucionais, com a LGPD e antecipam uma série de riscos. Seu irmão mais novo, o Decreto 10.047/2019, que trata da governança do Cadastro Nacional de Informações Sociais e do compartilhamento de informações com INSS, para a concessão e fiscalização de benefícios, também está sendo desafiado no legislativo.
Ambos os decretos apontam para uma intensificação afoita do tratamento de dados, pouco atenta ao compromisso auto-imposto pelo Estado brasileiro de proteção à cidadania na era da informação.
[1] Para ser mais preciso, o decreto 8.789/2016 tratava do compartilhamento de dados detidos ou geridos por órgãos e entidades da administração pública federal direta e indireta e demais entidades controladas direta ou indiretamente pela União com os órgãos e às entidades da administração pública federal direta, autárquica e fundacional interessadas. Há uma diferenciação entre os pólos desse compartilhamento. Empresas públicas, por exemplo, podem compartilhar, mas não receber, conforme o decreto revogado.
[2] HORNUNG, Gerrit; SCHNABEL, Christoph. Data protection in Germany I: The population census decision and the right to informational self-determination. Computer Law & Security Review, v. 25, n. 1, p. 85
[3] Ibid., p. 87
[4] “Give the administrator in government or business the use of an integrated national population file […] and you provide him with a powerful tool for interference in private lives, to manipulate, to sell more, to condition, to coerce.” WARNER, Malcolm; STONE, Mike. The data bank society: organizations, computers and social freedom. [s.l.] Allen & Unwin, 1970, p. 124.
[5] VAN OTTERLO, Martijn. A Machine Learning View on Profiling. In: HILDEBRANDT, Mireille; DE VRIES, Katja. (eds.). Privacy, Due process and the Computational Turn – Philosophers of Law meet Philosophers of Technology. Routledge, 2013, p. 41-64.
[6] PRIISALU, Jaan; OTTIS, Rain. Personal control of privacy and data: Estonian experience. Health and technology, v. 7, n. 4, p. 441-451, 2017.
Esse artigo foi originalmente publicado no Jota e pode ser acessado aqui