Opinião & Análise

cultura da autoridade

O poder público e a Lei Geral de Proteção de Dados

É preciso insistir na defesa da prestação de contas e da participação ativa da sociedade civil nas instâncias decisórias

Imagem: Pixabay

A Lei Geral de Proteção de Dados (Lei nº 13.709, de 14 de agosto de 2018 – LGPD) entra em vigor em agosto de 2020 e trará impactos significativos sobre a atuação de entidades e órgãos públicos das três esferas de governo.

A fim de se adequar à lei, todos os entes públicos deverão identificar os dados pessoais objeto de “tratamento” – isto é, coletados, armazenados,utilizados e compartilhados, entre outras operações realizadas com dados pessoais no âmbito de sua esfera de competência. Após, devem verificar se as práticas administrativas, as normas jurídicas, os instrumentos contratuais e os padrões técnicos e de segurança adotados são compatíveis com a LGPD, efetuando-se os ajustes necessários.

Entre outras, devem ser adotadas medidas de transparência, por meio das quais seja garantido aos usuários de serviços públicos o acesso a “informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades, em veículos de fácil acesso, preferencialmente em seus sítios eletrônicos”, conforme determinação do art. 23, I, da LGPD.

Na mesma linha, será necessária a indicação de um encarregado, servidor que atuará como ponto focal da proteção de dados, com competência para se relacionar com a Autoridade Nacional de Proteção de Dados (ANPD), orientar os demais funcionários a respeito do tema, bem como receber reclamações de usuários (art. 41).

Neste ponto, situa-se mais uma mudança importante: a necessidade de preparação técnica, jurídica e operacional para o recebimento e a análise tempestiva de requerimentos administrativos, por meio dos quais os cidadãos poderão exercer alguns dos diversos direitos assegurados na lei, tais como os de requisição (art. 18), oposição (art. 18, § 2º) e revisão (art. 20).

Assim, por exemplo, entidades e órgãos públicos devem estar prontos para fornecer informações aos titulares a respeito do tratamento realizado ou do eventual compartilhamento de dados pessoais com entes públicos ou entidades privadas. Da mesma forma, quando solicitados, devem efetuar a correção de dados incompletos, inexatos ou desatualizados, garantir a eliminação de dados nas hipóteses legais, interromper o tratamento efetuado sem consentimento quando pertinente a oposição do titular e assegurar a revisão de decisões tomadas com base em procedimentos automatizados.

A materialização ou, ainda, a maior ou menor amplitude das medidas de transparência e de garantia de direitos estabelecidas pela LGPD dependerão da interpretação a ser dada a conceitos abstratos, estipulados na própria lei como critérios para o tratamento legítimo de dados pessoais pelo Poder Público.

Nesse sentido, entre outras hipóteses, o tratamento e o uso compartilhado de dados pessoais pela administração públicasão autorizados, de forma genérica, quando “necessários à execução de políticas públicas” (art. 7º, III; 11, II, b) ou para o “cumprimento de obrigação legal ou regulatória”(art. 7º, II; art. 11, II, a) edesde que vinculados à “persecução do interesse público” e ao “atendimento de sua finalidade pública” (art. 23).

Embora em determinadas situações seja fácil enquadrar o tratamento de dados nesses conceitos, em outras tantas surgirão dúvidas e controvérsias, como nas situações de compartilhamento e utilização de dados pessoais para propósitos distintos da finalidade original de coleta. É o caso da recente polêmica em torno da utilização de dados de estudantes, disponíveis na base do Censo da Educação Superior, para fins de auditoria no Bolsa Família (visando ao controle de fraudes neste programa pelo Tribunal de Contas da União) ou para a emissão de carteiras estudantis (neste caso, pelo Ministério da Educação).[i]

Em outro caso controverso, uma concessionária do metrô de São Paulo anunciou que iria utilizar dados de usuários recolhidos por sistemas de reconhecimento facial para a melhoria do serviço e para a oferta de anúncios personalizados por empresas parceiras. As câmeras registravam, inclusive, a reação dos passageiros em face de determinado anúncio exibido em painéis instalados nas estações.[ii]

Seriam estas hipóteses legítimas de tratamento e uso compartilhado de dados pessoais por entidades e órgãos públicos? Mais especificamente, tal uso seria necessário e atenderia a fins específicos de execução de políticas públicas, dentro das finalidades públicas e das atribuições legais dos órgãos e entidades envolvidos, visando à persecução do interesse público, conforme demanda a LGPD?

Certamente, questões e controvérsias desse tipo serão recorrentes e estarão no cerne da aplicação da LGPD no âmbito do Poder Público.

O ponto é que, se os conceitos legais em questão (“execução de políticas públicas”, “finalidades públicas” etc.) não forem adequadamente delimitados, ampliam-se os riscos de seu uso arbitrário por autoridades públicas, que podem recorrer a esse verdadeiro “cheque em branco legal” para justificar quaisquer operações de tratamento de dados pessoais, nos mais variados contextos e para as mais diversas finalidades.

Tal risco se amplia ao se considerar que todo o processo de tratamento de dados gera um “excedente comportamental”, isto é, um sobrevalor, que transcende os propósitos originais da operação de coleta.[iii]

Com isso, os dados pessoais podem ser utilizados para fins não imagináveis originalmente, seja mediante a inferência ou a associação com outros dados fornecidos pelo usuário ou por terceiros, entre outras possibilidades, numa cadeia infinita visando ao controle, à previsão e ao direcionamento de comportamentos.

Tal excedente é valioso tanto do ponto de vista econômico – de modo a gerar retornos financeiros, como no exemplo da venda de anúncios –quanto do ponto de vista político, a exemplo da possibilidade de ampliação do controle e da vigilância sobre os cidadãos.

Como consequência,surgem fortes pressões ou incentivos estruturais visando:(i) ao ganho de escala nos processos de extração de dados pessoais, de modo a serem obtidoscada vez mais dados a um custo reduzido de coleta e tratamento; e (ii)à redução do alcance e da efetividade de direitos, restrições legais e obrigações de transparência e prestação de contas, de modo a ampliar a discricionariedade no tratamento de dados pessoais.

É esse o embate central a ser travado na aplicação da LGPD e, mais precisamente, na interpretação dos conceitos abstratos e genéricos utilizados pela lei como critérios para autorizar o tratamento de dados no setor público. Em última análise, a questão de fundo a ser enfrentada passa pela definição do modo pelo qual – e em benefício de quem – deve ser apropriado o sobrevalor (econômico e político) gerado pelo tratamento de dados pessoais.

Infelizmente, até o momento, muitas das iniciativas públicas relacionadas ao tratamento de dados pessoais refletem uma espécie de “cultura da autoridade”, por meio da qual se presume que as informações coletadas dos cidadãos constituem um bem de propriedade do Estado, submetido aos interesses de uma burocracia autorreferenciada.

Nesse contexto, a discricionariedade, a vigilância e a opacidade se impõem como práticas administrativas, relegando os direitos de proteção de dados de cidadãos e de usuários de serviços públicos a um segundo plano, no qual são vistos como um entrave para o regular funcionamento da administração pública e a implementação de suas principais políticas.

A esse respeito, além dos exemplos já mencionados, vale citar o Decreto nº 10.046, de 9 de outubro de 2019, que instituiu o Cadastro Base do Cidadão e fixou normas para o compartilhamento de dados no âmbito da administração pública federal.

Como apontado por diversos analistas, a norma trouxe conceitos em descompasso com o previsto na LGPD (como “atributos biográficos”, “atributos biométricos” e “fatos da vida”), aparentemente ignorando as especificidades que cercam o tratamento de dados pessoais, em particular dos dados sensíveis, expressão esta, aliás, que sequer é mencionada no Decreto.

Outro conceito questionável é o de “política de governança de dados” (art. 19, II), especialmente ao se considerar que a LGPD se vale do conceito de “programa de governança em privacidade” (art. 50, § 2º, I), cujo conteúdo mínimo foi delimitado na própria lei.

De outro lado, foram ampliadas as hipóteses e os propósitos aptos a justificar o compartilhamento de dados,muitas vezes mediante o recurso a expressões genéricas e indeterminadas,suscitando dúvidas quanto à sua compatibilidade com princípios fundamentais estabelecidos na LGPD, tais como os da“finalidade”, “adequação” e “necessidade” (art. 6º, I, II e III).

Além disso,o regulamento é omisso quanto aos procedimentos a serem seguidos para o exercício de direitos pelos cidadãos, os quais também não possuem assento no Comitê Central de Governança de Dados, instância colegiada com larga competência decisória a respeito da matéria, a quem caberá, especialmente, delimitar diversos conceitos estabelecidos no regulamento.[iv]

Frente a esse cenário, o desafio posto à aplicação da LGPD no âmbito do setor público será o de construir e afirmar uma “cultura dos direitos”, estruturada sobre o estabelecimento de parâmetros procedimentais e materiais claros e objetivos para o tratamento de dados pessoais. Mais do que isso, é preciso insistir na defesa da transparência, da prestação de contas e da participação ativa da sociedade civil nas instâncias decisórias. Somente assim, isto é, levando a sério a privacidade e a proteção de dados dos cidadãos, será possível assegurar que o uso de dados pelos governos seja orientado para a efetiva melhoria de políticas e de serviços públicos.

 

————————————————————————————————————–

[i] “MEC quer acessar dados sigilosos de alunos para emitir nova carteirinha estudantil”. O Globo, 16/05/2018. Disponível em: https://glo.bo/2H1Odgu. Em razão dos questionamentos à legalidade do compartilhamento dos dados de estudantes com o MEC, foi editada a Medida Provisória nº 895, de 6 de setembro de 2019, ainda não apreciada pelo Congresso Nacional. Entre outros pontos, a norma autoriza a emissão da carteira estudantil pelo MEC, prevendo a possibilidade de compartilhamento dos dados pessoais coletados para fins de alimentação do cadastro do Sistema Educacional Brasileiro, bem como para “a formulação, a implementação, a execução, a avaliação e o monitoramento de políticas públicas”. Consta, ainda, previsão expressa de compartilhamento dos dados com “os órgãos e as entidades da administração pública federal […] e com outras entidades do Sistema Nacional de Educação” (art. 1º-A, § 4º; art. 1º-B, § 4º, ambos da Lei nº 12.933/2013, com redação dada pela MP nº 895/2019).Registre-se, por fim, que o compartilhamento de dados pessoais de estudantes para fins de auditoria no programa Bolsa Família, conforme anteriormente requisitado pelo Tribunal de Contas da União, foi suspenso por decisão liminar proferida peloMinistro Roberto Barroso, do Supremo Tribunal Federal, no MS nº 36150/DF, no dia 10/12/2018.

[ii]Para fins deste artigo, considero que a concessionária em questão presta um serviço público e atua como delegatária da administração pública. Sobre o caso, ver LEMOS, R.; AMADI, M.; SUNDFELD, P. Proteção de dados na Administração Pública. Jota, 14/05/2018. Disponível em:http://bit.ly/3723h8v. Posteriormente, a utilização dos dados de usuários do metrô para fins de publicidade foi proibida pela Justiça de São Paulo. “Justiça de SP proíbe uso de câmeras de reconhecimento facial em painel do Metrô”, G1 SP, 14/09/2018. Disponível em: https://glo.bo/376pqCy.

[iii] ZUBOFF, Shoshana. The age of surveillance capitalism: the fight for a human future at the new frontier of power. New York: Public Affairs, 2019, pp. 74-75.

[iv]Cf. AFFONSO, Carlos. Por que é um risco um cadastro com rosto, RG e até nosso modo de andar. Tecfront, 11/10/2019. Disponível em:http://bit.ly/2tvmUbg. FRAGOSO, N.; MASSARO, H. Cadastro Base e amplo compartilhamento de dados pessoais: a que se destina?Jota, 19/12/2019. Disponível em: http://bit.ly/31Gq8pj.


Cadastre-se e leia 10 matérias/mês de graça e receba conteúdo especializado

Cadastro Gratuito