Após anos de avanço no debate sobre proteção de dados pessoais, o governo de Jair Bolsonaro editou os Decretos nº 10.046/2019 e 10.047/2019, a um só tempo retrocedendo e lançando incertezas e desconfianças sobre a administração pública, o direito à privacidade dos brasileiros e acerca da governança dos dados no Brasil. 

O texto do decreto 10.046 trata da “governança no compartilhamento de dados no âmbito da administração pública federal e institui o Cadastro Base do Cidadão e o Comitê Central de Governança de Dados”. Já o do decreto 10.047 “dispõe sobre a governança do Cadastro Nacional de Informações Sociais e institui o programa Observatório de Previdência e Informações, no âmbito do Cadastro Nacional de Informações Sociais”. De pronto, importa destacar que, ainda que a regulamentação do compartilhamento de dados pelo setor público no País seja desejável, a iniciativa é fonte de preocupação para diversos setores da sociedade devido à falta de transparência em seu processo de construção legislativa e à obscuridade em vários pontos de sua redação, introduzindo conceitos na contramão da Lei Geral de Proteção de Dados – LPGD.

Sorria, você está sendo vigiado

Tradicionalmente, em um Estado de Direito, é preciso primeiro tornar-se um “suspeito” (através das medidas impostas legalmente pelas autoridades investidas do poder de investigação, como delegacias ou Ministério Público) antes que certas práticas de vigilância possam ser adotadas em investigações legais. No entanto, o Decreto busca a via inversa: busca coletar, a priori, a maior e mais diversa quantidade de dados dos cidadãos sem estabelecer as regras de uso e as permissões de acordo com finalidades específicas. Como já apontado por diversos estudiosos da área, caso uma base de dados unificada venha a existir, essa deve ter o seu acesso limitado a usos justificados, uma vez que o armazenamento de dados para um “propósito geral” pode dar (e ampliar) margem a abusos.

Apesar de prometer simplificar a relação do indivíduo com serviços público, é problemática a construção da Base Única do Cidadão. Primeiramente, criam uma nova categoria de dados, chamados “atributos biográficos”, divergindo da terminologia adotada pela LGPD. Esses dados são caracterizados como aqueles “relativos aos fatos da vida”. Extrair fatos da vida de um indivíduo, de forma ampla, é uma tarefa digna de biógrafos. Uma interpretação possível da lei é a de que seria possível coletar informações sobre a participação em atos públicos, protestos, ideologias, reuniões e associações políticas de um indivíduo. Sendo essa a categoria de dados mais básica do Cadastro Único e a mais permissiva, dados sensíveis – termo adotado pela LGPD – recebem o mesmo nível de proteção de dados mais objetivos como CPF e filiação. 

Como se não bastasse, outra parte da base de dados, que será compartilhada pelo Poder Público, é formada pelo que a legislação chama de “atributos biométricos”, talvez a categoria que mais sugere violações aos direitos fundamentais no país. Definida por 

“características biológicas e comportamentais mensuráveis da pessoa natural que podem ser coletadas para reconhecimento automatizado, tais como a palma da mão, as digitais dos dedos, a retina ou a íris dos olhos, o formato da face, a voz e a maneira de andar”,

é assustadoramente literal quando sugere que seremos monitorados de acordo com características fisiológicas e comportamentos corporais. Imediatamente, lembramos da região de Xinjiang, onde o reconhecimento facial é utilizado sistematicamente para perseguir minorias étnicas e controlar fluxo migratório em áreas de fronteira com países de cultura muçulmana. Da mesma forma, o reconhecimento do modo de andar, conhecido como gait recognition, também é utilizado pelo governo chinês para operar seu amplamente criticado sistema de score social. 

A inspiração no cenário chinês parece ser clara. Datificar o corpo dos cidadãos – ou seja, transformar o indivíduo em cada vez mais dados – é um processo profundamente delicado e no qual não pode se basear uma política pública sem prévio, amplo e maduro debate. Compartilhar essas informações em meio à máquina da administração pública levanta sérias preocupações, pois, além dos riscos de vazamento, fraude e segurança, sujeitam os titulares desses dados a discriminações e podem gerar até mesmo negativas de acesso a benefícios sociais.

Outro desencontro pode ser observado entre o decreto e os fundamentos previstos na Lei Geral de Proteção de Dados. Esta estabelece como fundamentos o respeito à privacidade, à autodeterminação informativa (o direito de cada indivíduo de controlar a coleta e o uso dos seus dados), os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais, dentre outros. Ou seja, os decretos colidem frontalmente com os fundamentos básicos da proteção de dados no Brasil, estabelecido em lei específica, ao determinar que a administração pública pode ter acesso a informações de foro íntimo dos cidadãos, como dados sensíveis, compartilhando-as entre seus órgãos sem qualquer informação ao titular.

Além disso, podemos destacar mais um problema encontrado no decreto 10.046: a falta de transparência no compartilhamento desses dados entre entidades públicas. A norma determina, em seu art. 5º, a dispensa da celebração de convênio, acordo de cooperação técnica ou instrumentos congêneres para a efetivação do compartilhamento, o que se traduz na completa obscuridade para o cidadão sobre que dados são compartilhados e entre quais entes da administração pública. O dispositivo parece ser também eivado de inconstitucionalidade, na medida em que a Constituição Federal determina a publicidade de todos os atos da administração pública (art. 37), estando o decreto recheado de regulamentações autônomas, invasoras do espaço normativo legal, no velho mau hábito de “legislar por decreto” que acomete a democracia brasileira.

Do ponto de vista jurídico, ainda é preciso destacar que os decretos, ao se valerem de conceitualística diversa das Leis Especiais que regulamentam a matéria, criando o subsistema de regulamentação tecnológica no país (LGPD, LAI, MCI), impõem ofensa à segurança jurídica, dando abertura a um cenário de judicialização da vida, penalização de setores vulneráveis, eficácia simbólica e seletiva da lei, na contramão de uma sociedade que se pretende desenvolvida e igualitária.

Enquanto o modelo multissetorial é cada vez mais referenciado e adotado em desenhos institucionais para a governança de dados, o decreto 10.046 institui o Comitê Central de Governança de Dados, todo composto por representantes do Estado. Assim, ameaça o modelo democrático da Autoridade Nacional de Proteção de Dados (ANPD), garantido pela presença do Conselho Nacional de Proteção de Dados Pessoais e Privacidade, que conta, por exemplo, com membros do Comitê Gestor da Internet, da comunidade científica e membros da sociedade civil organizada. A auto-regulação pretendida pelo Decreto, ou seja, o mesmo órgão estabelecendo regras e, ao mesmo tempo, fiscalizando seu cumprimento, representa graves riscos de arbitrariedades.

É preciso lembrar que cabe à ANPD, entre outras atribuições, zelar pela proteção dos dados pessoais. No entanto, para o decreto, cabe ao Comitê definir as regras e os requisitos de sigilo, confidencialidade, gestão, auditabilidade e segurança da informação no compartilhamento de dados para a administração pública, o que pode gerar um conflito ou uma sobreposição de competências. Pergunta-se, então, se isso se traduz em uma estratégia para suplantar a autonomia da ANPD e, com isso, esvaziar sua autoridade.

Cada vez mais, a maquinaria da formulação de políticas públicas se moldou em torno de um imaginário tecnocentrado – uma ótica solucionista através da tecnologia – enquanto questões sociais e éticas são vistas como irrelevantes. Assim, acredita-se que toda a interação entre a máquina pública e cidadãos pode ser perfeitamente traduzida em uma ampla base de dados. Porém, os efeitos colaterais passam pelo afastamento do indivíduo em relação à Administração Pública em razão da baixa inclusão digital observada no Brasil; por não haver informações suficientes e claras ao exercício de um direito; pela baixa integridade dos dados em um cadastro; e, enfim, pela fragilização da privacidade e pela perda de autonomia sobre nossos dados.

O decreto nº 10.047 e a concentração de informações sociais num cadastro único

O pacote de invasão à privacidade promovido pela Presidência da República ainda inclui, através do decreto nº 10.047, a criação do Cadastro Nacional de Informações Sociais, que reúne num só lugar cinquenta e uma bases de dados, dentre as quais CPF, CNPJ e SISU, mas que engloba também outras menos conhecidas como Sistema de Informação do câncer do colo do útero – Siscolo, Sistema de Informação do câncer de mama – Sismama, e Registro Administrativo de Nascimento e Óbito de Indígenas – Rani.

Tal decreto afirma que as entidades responsáveis pela aplicação das suas disposições deverão observar as normas previstas no decreto anterior, o 10.046, ao compartilhar os dados contidos no Cnis com outros entes públicos, novamente expondo os cidadãos aos desmandos e às vontades oriundas do Poder Executivo.

Deve-se considerar ainda que, ao prever a união de dados como os do Siscolo e do Sismama, mais uma vez o Estado está se apropriando de dados sensíveis, como previsto na LGPD, sem atentar para a sua proteção. Pelo contrário, a previsão é de compartilhamento livre dessas informações, atentando contra a privacidade e a autodeterminação informativa do cidadão, bem como contra a publicidade dos atos da administração pública, no mesmo sentido do 10.046.

O decreto em questão, então, configura um complemento do seu irmão, expandindo a atuação da vigilância estatal para os programas sociais vigentes no país, concentrando os cadastros sob a justificativa de eficiência na prestação dos serviços públicos, sem uma demonstração cabal, através de estudos ou pesquisas, de que esta é a solução mais adequada para o problema da ineficiência estatal.

Ao fim e ao cabo

As dúvidas e riscos devem ser sanados. Do contrário, os decretos continuarão gerando ampla desconfiança e insegurança ao transformar o cidadão em um big data humano, ou seja, um “repositório” para extração ilimitada das mais variadas informações e associações. O Brasil carrega uma cultura democrática no que diz respeito à construção de políticas relativas à digitalização da sociedade e ao progresso tecnológico, a exemplo da  Lei Geral de Proteção de Dados e do Marco Civil da Internet, referências internacionais de participação e engajamento. Se quiser manter essa herança, deve passar a acolher, por padrão, a participação social na construção de suas leis. 

André Ramiro

Diretor e Fundador do IP.rec, é mestre em Ciências da Computação no CIn/UFPE e graduado em direito pela UFPE. Foi Google Policy Fellow na ONG Derechos Digitales (Chile). É representante da comunidade científica e tecnológica da Câmara de Segurança e Direitos do Comitê Gestor da Internet (CGI.br) e membro da comissão de avaliação em projetos de pesquisa em direito e tecnologia da Fundação de Amparo à Ciência e Tecnologia do Estado de Pernambuco (FACEPE). No IP.rec, atua na área de Privacidade e Vigilância e lidera projetos relacionados a criptografia, hacking governamental, privacidade, segurança e proteção de dados. Tem atuação no advocacy para proteção de dados e para a garantia de direitos fundamentais, ações e pesquisas sobre programas de vigilância governamentais, modelos de negócio abusivos baseados em mercados de dados e políticas de criptografia e suas relações com os direitos humanos.

---

Mariana Canto

Diretora e Secretária Geral do IP.rec. Mestra e Chevening Scholar 2021/22 em “Science and Technology in Society” pela Universidade de Edimburgo, no Reino Unido. Graduada em Direito pela Universidade Federal de Pernambuco, tendo estudado parte do seu curso na Universidade de Hamburgo, na Alemanha. É pesquisadora visitante e German Chancellor Fellow (Bundeskanzler-Stipendium) 2022/23 no Wissenschaftszentrum Berlin für Sozialforschung (WZB), na Alemanha. É Internet of Rights Fellow na ONG Article 19, no Reino Unido. Alumni da Escola de Governança da Internet do CGI.br (2018), trabalhou junto ao Secretariado do Internet Governance Forum na ONU. No IP.rec, participa de projetos nas áreas de “Privacidade e Vigilância” e “Multissetorialismo e Participação Popular”. Também tem interesse pelo estudo da regulação de algoritmos, assim como sua influência em relações assimétricas de poder.

---

Raquel Saraiva

Presidenta e fundadora do IP.rec, é também graduada em Direito pela Universidade Católica de Pernambuco e mestra e doutoranda em Ciência da Computação pela Universidade Federal de Pernambuco. Alumni da Escola de Governança da Internet do CGI.br (2017). No IP.rec, atua principalmente nas áreas de Algoritmos e Inteligência Artificial, Privacidade e Vigilância e Tecnologias de Realidade Virtual e Aumentada, mas também se interessa pelas discussões sobre gênero e tecnologia.

---

André Fernandes

Diretor e fundador do IP.rec, é graduado e mestre em Direito pela UFPE, linha teoria da decisão jurídica. Doutorando pela UNICAP, na linha de tecnologia e direito. Professor Universitário. Membro de grupos de especialistas: na Internet Society, o Grupo de Trabalho sobre Responsabilidade de Intermediários; no Governo Federal, Grupo de Especialista da Estratégia Brasileira de IA (EBIA, Eixo 2, Governança). Fundador e Ex-Conselheiro no Youth Observatory, Internet Society. Ex-Presidente e Fundador da Comissão de Direito da Tecnologia e da Informação (CDTI) da OAB/PE. Alumni da Escola de Governança da Internet do CGI.br (2016). No IP.rec, atua principalmente nas áreas de Responsabilidade Civil de Intermediários, Automação do Trabalho e Inteligência Artificial e Multissetorialismo.