ESPECIAL | Por que se preocupar com o que o Estado faz com nossos dados pessoais?
Analisamos políticas e práticas de privacidade de aplicativos oferecidos pelos órgãos e entidades estatais.
Há mais de quarenta anos se fala na necessidade de proteção de dados pessoais ao redor do mundo, mas foi sempre muito difícil captar a dimensão dos riscos de discriminação, mau-uso manipulação, fraude, extorsão e falsidade ideológica, a que estamos sujeitos.
Quando a consultoria britânica de marketing digital Cambridge Analytica obteve ilegalmente dados de 87 milhões de usuários do Facebook, analisados e utilizados para segmentar eleitores e assim influenciar votos que podem ter ajudado a eleger Trump nos Estados Unidos, a grandeza e o impacto dos riscos associados à manipulação de dados pessoais se tornaram palpáveis para muitos pela primeira vez.
Esse escândalo começou com um aplicativo, usado como fonte dos dados extraídos da rede social. É tempo de olhar mais de perto o que outros apps estão fazendo por aí e de compreender melhor como os dados pessoais por eles tratados nos afetam.
Apps do Governo no Brasil: e os seus dados pessoais com isso?
É possível encontrar nas lojas de dispositivos móveis uma série de aplicativos da administração pública que oferecem serviços e funcionalidades associados a órgãos e entidades estatais, sejam eles federais, estaduais ou municipais.
Mesmo que disponibilizados por órgãos e entidades da administração pública, enquanto aplicações de internet, esses aplicativos também se submetem às normas doMarco Civil da Internet (Lei. 12965/14), que estabelece uma série de deveres a provedores de aplicações e de direitos a usuários da internet.
Art. 7o O acesso à internet é essencial ao exercício da cidadania, e ao usuário são assegurados os seguintes direitos:
VII – não fornecimento a terceiros de seus dados pessoais, inclusive registros de conexão, e de acesso a aplicações de internet, salvo mediante consentimento livre, expresso e informado ou nas hipóteses previstas em lei;
VIII – informações claras e completas sobre coleta, uso, armazenamento, tratamento e proteção de seus dados pessoais, que somente poderão ser utilizados para finalidades que:
a) justifiquem sua coleta;
b) não sejam vedadas pela legislação; e
c) estejam especificadas nos contratos de prestação de serviços ou em termos de uso de aplicações de internet;
IX – consentimento expresso sobre coleta, uso, armazenamento e tratamento de dados pessoais, que deverá ocorrer de forma destacada das demais cláusulas contratuais;
X – exclusão definitiva dos dados pessoais que tiver fornecido a determinada aplicação de internet, a seu requerimento, ao término da relação entre as partes, ressalvadas as hipóteses de guarda obrigatória de registros previstas nesta Lei;
Nesse contexto, nos perguntamos: aplicativos do governo estão observando as regras de proteção de dados estabelecidas no Marco Civil?
Para fazer esse ESPECIAL, nós estudamos 13 aplicativos do governo – oito da administração pública federal e cinco do estado de São Paulo – que consideramos que mais afetam cidadãos brasileiros cotidianamente por estarem relacionados a serviços especialmente relevantes ao dia-a-dia e à relação Estado-cidadão. Nosso objetivo era conhecer os tipos de dados que processam, as permissões que pedem, e, quando existente, conhecer suas políticas de privacidade em face dos direitos que possuímos hoje em vigor.
Os resultados de nossa análise foram divididos em três posts:
#1 As “permissões” de acesso a dados em apps do governo
#2 As políticas de privacidade de apps do governo
#3 A obtenção do consentimento sobre tratamento de dados em apps do governo
Por que isso é importante?
A estratégia digital
Com a expansão do uso das Tecnologias de Informação e Comunicação por brasileiras e brasileiros, não são apenas os atores privados que investem em aplicativos como meio de se aproximar dos usuários para oferecer funcionalidades e facilitar a venda de produtos, a prestação de serviços e a difusão de informações.
De acordo com dados da última pesquisa TIC Domicílios [1], quase 70% dos brasileiros eram usuários de internet em 2016, sendo que destes, 93% usavam o telefone celular como um meio de acesso. Nesse cenário, a Administração Pública também passa a adotar gradativamente o uso de aplicações de internet como estratégia para se aproximar de cidadãos e facilitar o acesso à informação e a prestação de determinados serviços.
Um dos objetivos da Estratégia de Governança Digital [2] lançada pelo Governo Federal em 2016 é “ampliar a oferta e aprimorar os serviços públicos por meio da transformação digital”, o que inclui, dentre outras ações, também a oferta de serviços públicos digitais [3] por meio de aplicativos. Não obstante, essa é uma estratégia que vem sendo adotada não só no âmbito federal, mas também pelos governos estaduais. Em 2017, de acordo com a pesquisa TIC Governo Eletrônico [4], 30% dos órgãos públicos federais e estaduais criaram aplicativos para oferecer recursos ao cidadão por meio de dispositivos móveis. Em 2015 esse índice era de 21%. É de se esperar que essas estatísticas cresçam ao longo dos próximos anos.
O universo de dados pessoais
A Administração Pública está, assim, cada vez mais ingressando em um universo digital movido por dados. Entre eles, há vários que são necessários para que um aplicativo funcione e que não são, em si, obrigatoriamente pessoais. É o caso de informações como a versão do sistema operacional instalado no aparelho, tamanho e resolução de tela, que podem ser fundamentais para que o aplicativo seja executado da melhor forma possível.
Mas esses e outros dados podem implicar operações de “tratamento de dados pessoais” quando associados a indivíduos identificados ou identificáveis. A geo-localização de uma pessoa aferida pelo seu GPS, para descobrir ‘a agência mais próxima’, por exemplo, se usada de forma não anonimizada, é também um dado pessoal.
Além desses dados, outras informações pessoais podem ser tratadas para se ter acesso a algum serviço facilitado pelo app: esse é o caso quando se preenche cadastros com nome, email, data de nascimento, endereço, RG, CPF etc., e se escolhe uma senha para logar no serviço. No caso de apps da Administração Pública, a utilização de identificações de natureza oficial (RG, CPF, PIS, CNH, número do bolsa família, NIS) são ainda mais frequentes.
Há também os conteúdos de mensagem, reclamação, denúncia ou solicitação feita e enviada por usuários e usuárias para os aplicativos, por exemplo, que geram registros relacionados a uma pessoa e assim podem compor dados pessoais. As informações inseridas e obtidas por meio do acesso ao app – como as relativas ao imposto de renda e as de notas fiscais também ficam associadas em um registro histórico de uma pessoa natural.
Ao lado disso, todas as atividades realizadas nos apps – recursos acessados, operações efetuadas, erros e falhas constatadas, a que horário e a partir de qual IP- podem ser também registrados. Tais dados são gerados automaticamente para o próprio funcionamento do app. Quando armazenados e registrados por um longo período de tempo, oferecem informações sobre os modos e padrões de uso do usuário e do aplicativo, também ganhando conotação pessoal.
Sem contar que, ao se instalarem em aparelhos, como celulares e tablets, tais aplicativos solicitam permissões ao sistema operacional de dispositivos que lhes conferem acesso a funcionalidades sensíveis e dados de natureza pessoal já contidos no celular, agravando-se a necessidade de garantir que tais acessos não se tornem vulnerabilidades e fontes de vazamentos.
Discussões sobre uma Lei Geral de Proteção de Dados
Frente a esse cenário, vale lembrar que o Brasil ainda não possui uma lei geral de proteção de dados pessoais que estabeleça sistematicamente direitos de titulares de dados e deveres de processadores de dados – o que temos nessa matéria, relevante para esse ESPECIAL, é o Marco Civil da Internet, já comentado. No mais, há apenas projetos de lei, há anos no Congresso Nacional.
Uma lei geral faz muita falta. Ela reforçaria os princípios que devem nortear toda operação de “tratamento” de dados pessoais e criaria mecanismos de fiscalização do cumprimento deles e de outras normas, protegendo titulares de informações de um fluxo desgovernado e perigoso de dados pessoais. Para empresas e entidades públicas, esse instrumento é também importante porque pode promover novos modelos de negócio e de gestão eficiente com segurança jurídica. (Você pode ler mais sobre isso no nosso ESPECIAL sobre Proteção de Dados Pessoais.)
Se diversos setores concordam sobre a necessidade de uma tal lei, há ainda muita controvérsia sobre como ela deve ser. Recentemente, foi relatada movimentação no Congresso Nacional para tentar retirar justamente o Poder Público do grupo de destinatários dessa futura (e urgente) Lei Geral de Proteção de Dados Pessoais. No mais novo substitutivo sobre o tema apresentado nos trâmites do PL 330/13, de relatoria do Senador Ricardo Ferraço, essa tentativa não se concretizou completamente: por ele, a Administração Pública ainda teria que observar as diretrizes estabelecidas pela lei.
Mesmo assim o alerta persiste: o regime pretendido para a Administração Pública seria mais brando que aquele para agentes privados nos projetos de lei que hoje correm no congresso nacional.
Enquanto hoje, por exemplo, o Marco Civil confere centralidade para o consentimento para tratamento de dados, os projetos de lei em discussão preveem outras bases jurídicas para o tratamento, como a existência de interesse público no tratamento de dados pessoais. Além disso, a transparência no tratamento de dados pessoais seria mais flexibilizada (arts. 17, §2 e 18 do PL 330) [5].
Esse ESPECIAL surge nesse contexto, buscando reforçar a sensibilidade do que está em jogo.
[1] Núcleo de Informação e Coordenação do Ponto BR [editor]. Pesquisa sobre o uso das tecnologias de informação e comunicação nos domicílios brasileiros : TIC domicílios 2016. São Paulo: Comitê Gestor da Internet no Brasil, 2017. Disponível em: http://www.cetic.br/media/docs/publicacoes/2/TIC_DOM_2016_LivroEletronico.pdf. Acesso em 8 de maio de 2018.
[2] O documento completo da Estratégia de Governança Digital pode ser acessado em: http://editor.planejamento.gov.br/seminariodigital/seminario/egd_cartilha_capa_miolo_final_avulsascorrecao.pdf. Acesso em 8 de maio de 2018.
[3] O conceito de serviço público aqui utilizado é mais amplo e tem por referência a definição contida na própria Estratégia de Governança Digital, a qual define serviço público como a “ação dos órgãos e das entidades da administração pública federal para atender, direta ou indiretamente, às demandas da sociedade relativas a exercício de direito ou a cumprimento de dever”.
[4] Fonte: Fonte: CGI.br/NIC.br, Centro Regional de Estudos para o Desenvolvimento da Sociedade da Informação (Cetic.br), Pesquisa sobre o uso das tecnologias de informação e comunicação no setor público brasileiro – TIC Governo Eletrônico 2017. Indicadores disponíveis em: http://cetic.br/pesquisa/governo-eletronico/indicadores
[5] O PL 330, na redação mais atual, afasta a necessidade de o poder público atender ao princípio da “transparência no tratamento de dados, por meio inclusive da comunicação ao titular de todas as informações necessárias ao tratamento dos seus dados, tais como finalidade, forma de coleta e período de conservação, dentre outras” (art. 17, §2, c/c art. 4), mas impõe o dever de fornecer “fornecendo informações claras e atualizadas sobre essas atividades” (art. 18).
Por Jacqueline de Souza Abreu (jacqueline@internetlab.org.br), Lucas Lago (lucas.lago@internetlab.org.br) e Heloisa Massaro (heloisa.massaro@internetlab.org.br).