Novas regras põem em risco a privacidade e autonomia de centenas de milhões no Brasil

Ignorando os resultados de anos de amadurecimento na discussão sobre privacidade e proteção de dados no Brasil, o governo Bolsonaro ampliou seus poderes para a vigilância e controle da população.

CC: BY (Sergio Souza)-SA

Anos de debate democrático que resultaram na Lei Geral de Proteção de Dados (LGPD) foram literalmente ignorados em mais um episódio de autoritarismo do governo brasileiro. Há duas semanas, o cenário político foi surpreendido com a edição do confuso Decreto 10.046, que cria um Cadastro Base do Cidadão e regula o compartilhamento de dados pessoais na administração pública, e do Decreto 10.047, que, entre outras disposições, aprofunda a base de dados disponíveis no Cadastro Nacional de Informações Sociais. Este movimento fragiliza a autonomia da cidadania na gestão de seus dados pessoais, falta com meios de transparência e amplia ainda mais o terreno para a  vigilância.

Entre retóricas como «simplificação a ofertas de serviços públicos», «otimização de políticas públicas» e a «melhoria da qualidade dos dados da administração pública», a legislação procura estabelecer regras para o compartilhamento de dados no âmbito da administração pública federal, porém sugere controvertidas intenções. São omissos quanto à possibilidade de fiscalização e representação civil, instituem conceitos contrários a leis preexistentes e avançam sobre a privacidade dos cidadãos.

A intenção dos decretos salta aos olhos de quem quer ver: limitar o acesso a direitos sociais ou condicioná-los à vigilância. Com o auxílio de poderes de acesso ampliados à imensa quantidade de dados coletados da população e de uma base de dados unificada, o governo poderá monitorar em detalhes a vida de qualquer pessoa que requisite participar de um programa social ou apoio para pesquisa científica, por exemplo. Questões como orientação sexual, religião ou preferências políticas – obtidas de forma direta ou inferidas a partir de outras informações – poderão definir o destino de milhões de pessoas.

O perigo mora nos detalhes

O Decreto 10.046/2019 lista 24 definições relacionadas a atributos e gestão pública de dados, mas não inclui qualquer referência ao conceito de dado pessoal, dado pessoal sensível ou dado anonimizado. Ao contrário, preferiu-se fazer uso de nomenclaturas conflitantes que evidenciam intenção de evadir as obrigações associadas previstas em lei.

Chamam atenção conceitos como «atributos biográficos», ou seja, aqueles «relativos aos fatos da vida». Esses também se encontram entre os dados pessoais que irão compor esse oceano de perfis dos cidadãos. Aparentemente na mesma caixa e sob as mesmas regras de proteção, o sentido amplo e impreciso sugere tanto dados objetivos, como CPF e endereço, como dados subjetivos, como orientação sexual e política. A pobreza de precisão contradiz, por exemplo, as definições trazidas pela LGPD, como o conceito de «dados sensíveis», os quais carregam mais rígidas regras de coleta e tratamento por possibilitarem altos níveis de preconceito e discriminação.

Talvez a definição que mais expressa o caráter do texto seja a de «atributos biométricos», entre eles a «palma da mão, as digitais dos dedos, a retina ou a íris dos olhos, o formato da face, a voz e a maneira de andar», também constantes no Cadastro Base. Para além da finalidade «desburocratizante» da iniciativa, os exemplos trazidos na definição indicam com clareza uma tendência de policiamento vigilantista observada em países como a China, conhecido pelo monitoramento social e violações aos direitos humanos a partir de tecnologias de identificação biométrica automática, como o reconhecimento facial e o «gait recognition«. Não é de se estranhar a semelhança, vide a ideologia do governo de Bolsonaro e os sistemáticos encontros da sua cúpula com representantes de empresas fabricantes de tecnologias de vigilância, inclusive chinesas. No entanto é espantosa –e sugestiva– a literalidade das informações que o governo quer manipular de forma ampla e compartilhada.

O decreto introduz ainda uma definição de confidencialidade enquanto propriedade da informação, que impede que ela “fique disponível ou possa ser revelada à pessoa natural, sistema, órgão ou entidade não autorizado e não credenciado”. Novamente, trata-se de um conceito não respaldado pela LGDP ou pela normativa de acesso à informação brasileira, de acordo com a qual o caráter de sigilo é excepcional e condição temporária ao invés de atributo intrínseco de certas informações, como o decreto faz parecer. A medida se enquadra em um contexto de graves  movimentos do governo em favor, por exemplo, da ampliação de poderes para que servidores públicos classifiquem com grau máximo de sigilo documentos de interesse público.

Particularmente preocupante é a definição de dados cadastrais, que também contradiz o disposto no decreto que regulamenta o Marco Civil da Internet ampliando consideravelmente a insegurança sobre os poderes de autoridades de investigação no acesso a dados sem ordem judicial. Regras que visam proteger a privacidade e o devido processo legal, conforme previstos na Constituição de 1988,correm o risco de serem totalmente esquecidas caso a definição seja adotada como base em ações penais. O decreto coleciona conflitos com leis preexistente e esvazia direitos estabelecidos.

Onde estão as pessoas?

Não é só nas definições que o adjetivo “pessoal” está ausente. Previsões de mecanismos de participação, transparência, direitos de acesso à informação e de correção dos dados não aparecem mencionados no texto, em detrimento do nível de invasão que as novas regras implicam. Ao contrário da cultura progressista das leis que dizem respeito à governança de dados no mundo, não é possível observar qualquer interface do titular dos dados com ouvidorias, por exemplo. 

De fato, a cidadania, seus interesses e direitos se encontram totalmente excluídos do decreto. Trata-se do sujeito oculto que funciona apenas como fonte inesgotável de dados que, ao que tudo indica, serão maiormente utilizados em seu desfavor. A finalidade de “possibilitar a análise das condições de acesso e manutenção de benefícios sociais e fiscais” explicita a possibilidade de restringir o acesso a programas sociais a partir de critérios extraídos da combinação de inesgotáveis e desconhecidos dados e fatores. A medida dá continuidade à política de diminuição do Estado iniciada por Michel Temer em resposta à crise econômica que assola o país. Em meio ao aumento do desemprego, fome e desigualdade, o governo sinaliza por meio do decreto que utilizará todos os meios ao seu alcance para justificar a retirada de direitos sociais. Os serviços públicos que restarão ficarão sujeitos a mais e mais níveis vigilância.

Autoridade desautorizada

Para fiscalizar e impor o cumprimento das novas regras de compartilhamento de dados no âmbito do Estado, encontra-se a previsão de criação do «Comitê Central de Governança dos Dados», responsável, entre outras coisas, por orientar e estabelecer regras para o compartilhamento de dados pelo setor público. Cabe observar que a LGPD, prevista para entrar em vigor em agosto de 2020, prevê que a Autoridade Nacional de Proteção de Dados (ANDP)  detalharia aspectos relativos à aplicação da lei no setor público. A publicação de regras de compartilhamento antes da vigência da lei ou da criação da ANDP é mais uma evidência do objetivo de se superpor à normativa de proteção de dados. Ainda, tendo em vista a largamente criticada vinculação da ANPD à presidência da república, minando sua independência, é justo temer pelo risco de usurpação das suas competências por tal Comitê em aspectos de regulação e fiscalização, afinal, um conflito  começa a ser induzido pelo Decreto.

 Apenas representantes do setor público irão compor o Comitê em mais um mecanismo de exclusão da cidadania. Esse desenho institucional vai na contramão das mais modernas tendências de governança, baseadas no modelo multissetorial, o qual prevê a participação de setores de interesse, como a sociedade civil, da comunidade técnica-acadêmica e do setor privado, como é possível observar no Conselho Nacional de Proteção de Dados ou no Comitê Gestor da Internet no Brasil

Unificando bases de dados

Além de facilitar o compartilhamento de dados entre os órgãos da administração pública federal, o decreto cria uma monumental e sensível base de dados de mais de 200 milhões de pessoas: o Cadastro Base do Cidadão. As intenções centralizadoras ganham destaque no Decreto 10.047, que procura unificar não menos que 51 bases de dados no Cadastro Nacional de Informações Sociais (CNIS). Desde bases que alcançam sistemas de informações sobre câncer de mama e monitoramento de gestantes a, até mesmo, frequência escolar, Ponatec, ProUni, Sisu e diversos outros programas sociais, um poço sem fim de informações sensíveis estarão disponíveis em um só banco de dados pertencente ao Estado – e não o cidadão. A finalidade específica, princípio basilar para qualquerpara tratamento de dados, pode estar sendo negligenciada ao ser proposta uma reunião genérica dessas informações. 

O Decreto ainda cria o Observatório de Previdência e Informações do CNIS, sob o pretexto de fomentar a produção acadêmica e incentivar o intercâmbio de conhecimento a partir do compartilhamento desse banco de dados. No entanto,  dispensa a necessidade de convênios ou outro instrumento formal com a entidade que venha a requerer informações. Caso não haja o devido protocolo por parte do requerente, fica à critério do INSS (guardião do CNIS) compartilhar ou não a base de dados? Se sim, abre-se evidente brecha à discricionariedade. A desconfiança dialoga não somente com a vigilância sobre os dados de programas sociais –criticados abertamente pelo governo– mas também com o histórico de tentativas de interferência governamental em universidades e centros de pesquisa brasileiros.

Iniciativas de centralização de dados na esfera pública não são novas e, historicamente, geram oposições devido aos grandes problemas de inclusão, bem como riscos e vulnerabilidades à segurança da informação. Nesse sentido, o caso da Índia é uma referência global. A base de dados da Aadhaar, programa de identificação numérica única que contém dados biométricos e demográficos dos cidadãos indianos, sofreu e sofre grande oposição. O programa possui falhas na identificação de parcelas da população e guarda possíveis semelhanças com o cenário brasileiro. Em países de dimensões continentais e onde o acesso à Internet ainda é restrito – no Brasil à 70% da população, chegando à 50% nas zonas rurais –, iniciativas de digitalização repercutem no acesso a serviços públicos por parte, principalmente, de grupos historicamente marginalizados, acentuando desigualdades estruturais.

O sistema indiano teve de lidar com um massivo vazamento de dados biométricos amplamente noticiado como #aadhaarleaks. Vazamentos de dados também não são raros no Brasil. Recentemente, o DETRAN – Departamento Estadual de Trânsito – do Rio Grande do Norte deixou os dados das carteiras de motorista de 70 milhões de brasileiros descobertos e à disposição para quem quisesse ter acesso. Elementos mínimos de segurança, integridade e disponibilidade das informações não são sequer mencionados no Decreto, tal como métodos de criptografia ou backup dos bancos de dados. E ainda, para especialistas, sem padrões mínimos de segurança bem estabelecidos, um sistema único de identificação é suscetível de gerar graves riscos de fraude ideológica ou financeira.

Vale notar que a publicação dos decretos não passou sem encontrar reação. Além de uma coalizão de respostas negativas e sérios questionamentos provenientes de diversos setores da sociedade, já foram propostos dois projetos de decretos legislativos buscando anular o Decreto 10.046/2019. Com razão, sustenta que as medidas são imprecisas e falta com mecanismos de transparência para o cidadão, além de estar em conflito com a LPGD. No entanto, uma guerra de decretos parece tomar conta de um debate de interesse coletivo. 

Devido ao limitado tempo de amadurecimento do debate e à imposição vertical da medida, o texto gera mais inseguranças do que contempla a sociedade. Devemos lembrar que o titular dos dados pessoais é o cidadão – e não o Estado. Da forma como está posto, o Decreto esvazia a autonomia informativa e a autodeterminação do indivíduo, afastando-o do controle sobre suas informações. Para impedir o surgimento de um leviatã dos dados, a governança deve ser construída em harmonia com leis preexistentes e, sobretudo, com a participação e engajamento político democrático.