Decreto de Bolsonaro aproxima uso de nossos dados a países como China

Governos autoritários adotam posturas autoritárias, como tratar os dados de seus cidadãos como se fossem seus. Estamos em um governo autoritário?

A pergunta é inevitável, diante da publicação do Decreto 10.046, de 9 de outubro, definindo normas para a governança no compartilhamento de dados dentro da Administração Pública Federal.

Explico.

Ao orientar os órgãos do governo, o decreto presidencial criou uma sistemática toda própria para utilização dos dados, a partir de um viés tecnocrático que olha para eles como propriedade do Estado. "O cidadão tem seus direitos mencionados apenas como limites, como ressalvas, sem instrumentos que criem o mínimo de confiança ou deem legitimidade a esse sistema de tratamento", comenta o professor Danilo Doneda, do Instituto de Direito Público.

Onde mora o perigo? Na falta de mecanismos de transparência e de controle dos dados, diz ele.  Afinal, o dono dos dados de cada um de nós somos nós! E, na maioria dos casos, temos o direito de saber o que está sendo feito com eles, mesmo quando se trata do poder público.

"O decreto de Bolsonaro vai na contramão do que a gente vê em países como Reino Unido, Austrália, Canadá e Finlândia, de ter um nível de uso de dados com certa interoperablidade entre eles, feito dentro de um ordenamento de transparência, com instrumentos que dão controle ao cidadão de como o dado dele é usado. A gente não vê nada disso nesse decreto", explica Doneda.

Na opinião dele, é como se o Brasil tivesse aberto mão dos bons exemplos desses países e tivesse optado por uma mistura do Aadhaar, da Índia, com o  credit score da China.

"A gente está bebendo no que de pior existe, adicionando um toque de burocracia que já vinha sendo incubado pelo governo brasileiro na administração Temer", completa.

Preocupante foi dos adjetivos mais leves que ouvi e li em relação ao decreto.

Criamos o Big Brother, disseram muitos.

As definições de autenticidade e de integridade estão bem ruins…

É confuso e até ilegal, disseram outros, justificando que o texto incorpora uma série de medidas que poderão ser objeto de contestação por parte dos cidadãos, principalmente por introduzirem conceitos jurídicos conflitantes com a Lei Geral de Proteção de Dados (LGPD), que só entra em vigor em agosto de 2020.

Já está valendo…

Vale ressaltar que tudo o que determina o decreto já está vigente.  Passou a vigorar na data da sua publicação.

E os primeiros membros do Comitê Central de Governança de Dados, composto só por funcionários da administração direta,  serão indicados em até 15 dias. Portanto, até 24 de outubro.

Caberá a esse comitê a fiscalização da aplicação do que diz a LGPD sobre o compartilhamento de dados entre órgãos do poder público antes da vigência da lei?

E depois, esse órgão terá alguma interface com a Autoridade Nacional de Proteção de Dados, hoje ainda um órgão vinculado à Presidência da República?

Não seria importante garantir que vozes do setor privado, da sociedade civil e da comunidade técnica também tivessem assento nesse Comitê?

São questões inquietantes, sem dúvida. Sobretudo porque o disposto no decreto é um baita desafio ao debate à privacidade, especialmente considerando que muitos dos dados fornecidos pelo cidadão ao governo não o são de forma voluntária, mas obrigatória. E que, agora, os dados que serão coletados e compartilhados entre os órgãos de governo vão muito além dos chamados dados pessoais, como bem explica Carlos Affonso, diretor do Instituto de Tecnologia e Sociedade (ITS Rio), no blog Tecfront.

De um conceito abstrato, a privacidade passou ser algo acionável, em um mundo onde somos levados a ceder dados pessoais e comportamentais em troca de alguma conveniência ou segurança. Hoje sabemos bem que a possibilidade de controle unificado das diversas atividades da pessoa, nas múltiplas situações de vida, permite o conhecimento de sua conduta pública e privada, até nos mínimos detalhes…

Portanto, quando o governo decide interligar bases e permitir cruzamento de dados sem critérios que sejam de conhecimentos de todos, isso tira o poder do cidadão sobre as suas próprias informações. "Devem ser garantidos aos titulares informações claras, adequadas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento", ressalta Danilo.

Trocando em miúdos, a utilização desses dados, mesmo por órgãos governamentais, deveria observar a proteção de direitos fundamentais e de outros direitos existentes no ordenamento jurídico referentes à privacidade, liberdade e autonomia sobre o uso dos próprios dados pessoais pelo cidadão, mesmo em se tratando de dados sob a guarda do Estado.

O governo tem todo o direito de tratar esses dados para a simplificar e aumentar a eficiência na prestação do serviço público, reduzir gastos, combater fraudes… Jamais para facilitar discriminação, perfilamento e vigilância em massa, como já chegou a acontecer na China e na Índia. "O perigo se amplia pela imprevisibilidade de usos permitida pela deficiência regulatória do decreto", diz Doneda.

Centralização

O que mais chamou atenção foi a construção do Cadastro Base do Cidadão, composto por uma "base integradora" de dados de todos os brasileiros.

"Ninguém no Brasil nega que é preciso construir uma identidade digital do cidadão, e que o governo tem um papel importantíssimo na gestão e na condução desse processo. Mas o governo está fazendo isso sem ouvir ninguém, talvez por um excesso de politização, por considerar que tudo que remete a multisetorial está ligado a um modelo que ele não quer repetir", comenta Cláudio Lucena, professor da UEPB e pesquisador da FCT/Portugal.

"A construção desse decreto está muito distante dos processos multissetoriais aos quais estamos acostumados", diz ele. "Depois do Comitê Gestor da Internet e do Marco Civil, o mundo passou a ter os nossos processos multissetoriais como parâmetro. Soa estranho, então, que uma norma com tamanha aplicabilidade, tamanha amplitude, seja imposta assim, de cima para baixo, sem um debate prévio, por melhor que tenha sido a intenção".

Se há um aspecto positivo no decreto, comenta Lucena, é o fato de ele, de fato, tentar complementar o capítulo da LGPD que fala do tratamento de dados pelos órgãos públicos.  "O decreto é muito mais extenso e mostra uma disposição do poder público de dar prosseguimento ao que lhe compete", observa o professor.

Mas, sem dúvida, a sociedade civil, a indústria de TI, o setor empresarial e a academia teriam muito a contribuir para a sua elaboração e a do Cadastro Base do Cidadão.  Existem muitas ideias maduras na iniciativa privada que poderiam ter sido aproveitadas, até mesmo para evitar a centralização excessiva dos dados.

"Estamos diante de uma experiência de centralização sem precedentes. Talvez a única vez em que tenha sido feito algo assim, considerando o tamanho e a abrangência, tenha sido na Índia, e deu no que deu", lembra o professor em alusão ao vazamento de milhões de dados dos cidadãos indianos.

"Nós somos 210 milhões produzindo dados…. Cerca de 80% da população brasileira", explica o professor Lucena. "Então a centralização não me parece um bom caminho", completa, lembrando que se houvesse uma boa interoperabilidade não haveria essa necessidade, e os riscos de segurança seriam menores. "Vazamentos, como o ocorrido recentemente no Rio Grande do Norte, seguiriam isolados", explica Lucena.

Riscos

E os riscos não são apenas para a segurança da informação. Há riscos também para o próprio cidadão. Na Índia, por exemplo, a base biométrica Aadhaar passou de uma "ferramenta de capacitação cidadã [as pessoas precisam do registro nela para receber benefícios de mais de 500 dos 1,2 mil programas de assistência social] para uma ferramenta de vigilância estatal e de vulnerabilidade cidadã", na opinião do cientista político Pratap Bhanu Mehta.

Aqui pode acontecer o mesmo, segundo Danilo Doneda. Na opinião do professor, o decreto de Bolsonaro ignora completamente o fato de os dados pessoais, ainda que tratados por órgãos públicos e no interesse público, possuem finalidades bem definidas. "O compartilhamento que não leve em conta estas finalidades e, portanto, não reconheça a existência de limites que possam resultar da finalidade originária para qual o dado foi coletado pelo Estado, apresenta dois grandes riscos", diz ele.

Primeiro, a insegurança do cidadão, ao ser obrigado a aceitar que o dado fornecido ao Estado para uma determinada finalidade poderá ser utilizado para uma outra qualquer,  sem o seu conhecimento. "Será como estender um tapete vermelho para a vigilância estatal", afirma Doneda.

Segundo, o de colocar o tratamento de dados pelo setor público em escancarada desconformidade com os padrões internacionais. "Será mais um grave impedimento a que o modelo brasileiro de proteção de dados pessoais seja considerado como adequado ou aceito como um modelo razoável em vista de padrões internacionais. Mais uma jabuticaba venenosa", argumenta Doneda.

Biometria comportamental para o quê?

Também surpreendeu os pesquisadores, advogados e profissionais de proteção de dados o fato de o governo ter determinado a inserção de dados biométricos típicos do que se convencionou chamar de Biometria Comportamental no Cadastro Base do Cidadão<. É o caso, por exemplo, do "modo de andar"."Não me lembro de ter visto uma citação assim em nenhuma outra legislação no mundo... É possível que seja a primeira vez que se menciona características comportamentais mensuráveis da pessoa em um texto legal", diz Lucena. "E não estamos falando só da forma de andar, mas do jeito de segurar o celular, de digitar, a frequência com que se usa um aplicativo...", explica Lucena.Empregada inicialmente pelo setor financeiro como uma forma discreta de autenticar o usuário, e verificar as transações sem a necessidade de uma ação adicional dele, como a digitação de um código gerado por um token, a Biometria Comportamental vem sendo aos poucos incorporada também pelas tecnologias de monitoramento. Principalmente aquelas empregadas na área de segurança patrimonial e na segurança pública.A razão? Da mesma forma que reduz a fraude, ela minimiza a ocorrência de falsos positivos."Não faço ideia dos motivos pelos quais esses dados estão sendo coletados pelo governo. Nem qual seria o interesse governamental em coletar dado de Biometria Comportamental. Pode até ser que para questões de segurança nacional, investigação penal... para estabelecer um padrão de vigilância", diz ele.OK, é justo que a forças de segurança tenham acesso a esses dados. Mas também é justo que os cidadãos saibam como o governo e as forças de segurança farão uso deles, em quais situações e com qual propósito. Portanto, há de haver mais transparência..."Até porque o decreto não inclui só dados pessoais. Ele é mais amplo, inclusive, que a própria LGPD, em relação aos dados que estarão lá para serem cruzados atendendo a finalidades e motivações pouco claras. Também cria muitos termos novos, como consumo de dados... Me parece ser uma acomodação ruim dos termos da LGPD", argumenta Lucena.O governo citou como objetivos para a existência do Cadastro Base do Cidadão a simplificação da oferta de serviços públicos, a orientação e otimização da formulação, implementação, avaliação e monitoramento de políticas públicas, e a análise das condições de acesso e manutenção dos benefícios sociais e fiscais, entre outros fatores tão vagos quanto.

Ainda dá para fazer algo a respeito?

Na opinião de Lucena, muito pouco.

Cobrar a criação da Autoridade Nacional de Proteção de Dados, por exemplo, é algo que a sociedade já deveria estar fazendo. Nesse momento, um conselho monosetorial vai cuidar dos interesses do cidadão.

Outro ponto é aproveitar que o decreto fala em subcomitês técnicos, permanentes ou temporários, que poderão ser constituídos para assessorar o Comitê Central de Governança de Dados.

"Não havendo a possibilidade de alteração da composição do Comitê, os subcomitês poderiam contemplar a participação da sociedade civil na elaboração de normas e condutas", comenta Lucena.

Porque se a falta de transparência em todo esse processo foi ruim, a falta de colaboração pode ser ainda pior.