O Estado quer seus dados pessoais, mas sem transparência nem direitos

Privacidade corre risco de extinção

Você sabe o que o Estado brasileiro sabe sobre você? Na declaração de imposto de renda vão os seus dados financeiros. Nos atendimentos médicos relacionados ao SUS vão os seus dados de saúde. O Tribunal Superior Eleitoral avança com o voto biométrico e lá vai a sua impressão digital. Tudo bem que essa você já tinha fornecido mesmo para a academia de ginástica.

Some tudo isso aos inúmeros aplicativos de governo eletrônico que surgem em todos os níveis da Federação. E os seus deslocamentos pela cidade? Está tudo nos dados do bilhete único. Acrescente os programas de "CPF na nota", que pouco explicam sobre como esses dados são armazenados e para que finalidade serão utilizados.

Ainda bem que temos uma lei geral de proteção de dados, não é? Infelizmente não. Embora mais de cem países tenham uma lei que protege os dados pessoais de seus cidadãos, esclarecendo como se dará a coleta, armazenamento e utilização desses dados por empresas e governos, o Brasil ainda não faz parte dessa lista.

Depois do incidente de privacidade envolvendo a empresa Cambridge Analytica, o jogo parece que vai mudar. Existem dois projetos de lei sobre proteção de dados em tramitação no Congresso Nacional. O PL 5276/2016, na Câmara dos Deputados, e o PLS 330/2013, no Senado Federal. É justamente no PLS 330, cuja relatoria cabe ao Senador Ricardo Ferraço (PSDB/ES), que uma movimentação vem chamando atenção.

Circula nos bastidores um substitutivo que promove algumas alterações importantes no PLS 330. Conforme noticiado, dentre elas está a exclusão de diversas garantias no tratamento de dados pessoais quando realizado pelo Poder Público. Ou seja, a futura lei de proteção de dados criaria dois regimes bem diferentes: para empresas valeriam todas as regras sobre transparência e segurança na coleta e no tratamento de dados. Para o Estado não.

A redação do artigo 17, do PLS 330, que aborda o tratamento de dados pessoais pelo Poder Público, passaria a dizer que "não se aplicam às atividades de tratamento acima referenciadas as disposições contidas nos incisos III, V, VI e XII do art. 4º e nos incisos IV, V, VI, VII e VIII do art. 5º desta Lei."

Olhando assim nem parece tão grave. Para que você saiba exatamente o que está perdendo, tomamos a liberdade de colar aqui os dispositivo que não vão se aplicar ao Estado caso essa redação venha a ser aprovada. E grifamos:

"Art. 4º Ao tratamento de dados pessoais aplicam-se os seguintes princípios:

III – conservação dos dados e identificação dos seus titulares apenas pelo período necessário às finalidades da coleta ou tratamento;

(…) V – consentimento;

VI – transparência no tratamento de dados, por meio inclusive da comunicação ao titular de todas as informações relevantes ao tratamento dos seus dados, tais como finalidade, forma de coleta e período de conservação, dentre outras;

VII – proporcionalidade no tratamento dos dados, sendo vedado o tratamento de dados que não seja adequado, necessário e proporcional à finalidade desejada ou que tenha fundamentado sua coleta;

(…) XII – tratamento dos dados pessoais limitado ao mínimo necessário e indispensável para as finalidades para que são tratados;

Art. 5º São direitos básicos do titular:

(…) IV – consentimento;

V – conhecimento da finalidade do tratamento automatizado dos seus dados;

VI – cancelamento, a seu requerimento e ao término da relação entre as partes, dos seus dados pessoais em quaisquer bancos de dados, ressalvadas outras hipóteses legais que incidem sobre a guarda de dados;

VII – oposição ao tratamento dos seus dados pessoais, salvo quando indispensável para o cumprimento de obrigação legal ou contratual;

VIII – autodeterminação quanto ao tratamento dos seus dados, incluindo a confirmação da existência do tratamento de dados pessoais, o acesso aos dados, a correção gratuita de dados pessoais inverídicos, inexatos, incompletos ou desatualizados e o cancelamento de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;"

Nada disso se aplicaria ao Estado. O Poder Público poderia tratar dados para além do período necessário ao atendimento da finalidade que motivou a sua coleta (art. 4º, III). Então, uma vez que um dado pessoal entrasse nas bases de dados do Estado, ele poderia ficar lá eternamente.

O Poder Público também não precisaria de qualquer consentimento por parte do cidadão (art. 4º, V e art. 5º, IV não se aplicariam) e nem mesmo teria deveres de transparência (art. 4º, VI), podendo usar esses dados para finalidades inadequadas, desnecessárias e desproporcionais (já que o art. 4º, VII, que determina que o tratamento seja adequado, necessário e proporcional, não se aplicaria).

O cidadão não teria ainda o direito de se opor ao tratamento de dados (art. 5º, VII) e a corrigir informações inverídicas, inexatas, incompletas ou desatualizadas (art. 5º, VIII).

Um dos motivos que levou ao interesse em aprovar uma lei geral de dados pessoais foi a sua necessidade para o pleito brasileiro de ingresso na Organização para Cooperação e Desenvolvimento Econômico (OCDE). Da forma que está o substitutivo do PLS 330, tudo indica que o País não vai conseguir nem tocar a campainha.

Enquanto isso, o Uruguai não apenas aprovou uma lei geral de proteção de dados que serve de inspiração para todo a região, como ainda ratificou a Convenção 108 do Conselho da Europa, que dispõe sobre a proteção de indivíduos com respeito ao tratamento automatizado de dados pessoais. O Uruguai garantiu também a adequação das suas regras sobre dados pessoais com relação ao padrão europeu, o que facilita o fluxo de dados com países da Europa. Até a Tunísia, que atravessou uma revolução e vive uma escalada de vigilância pública e privada, segue na mesma direção.

Como se não bastasse, vale ainda lembrar que essa diferença entre setor público e privado será muito prejudicial para o desenvolvimento de aplicações de Internet das Coisas (IoT) e cidades inteligentes no País. No estudo comissionado pelo BNDES sobre a formação de um Plano Nacional de IoT, o recado não poderia ter ficado mais claro:

"Uma recomendação essencial com relação aos Projetos de Lei diz respeito à distinção de tratamento à questão da privacidade e proteção de dados pessoais no setor privado e no setor público. É essencial que essa distinção não prospere na Lei de Proteção aos Dados Pessoais que vier a ser aprovada no país. A proteção aos dados pessoais deve ser a mesma tanto para dados coletados no setor privado quanto no setor público, salvo hipóteses específicas. A privacidade de dados no setor público é o pilar estruturante da construção de aplicações em cidades inteligentes, monitoramento de dados, coleta, tratamento e análise de quais dados obtidos pelo setor público. Nesse sentido, o setor público deve também se subordinar à lei e tratar os dados pessoais com as mesmas cautelas necessárias em face do direito à privacidade e vida privada. Uma proteção robusta à privacidade, tanto no setor privado quanto no público no que tange a dados pessoais, é a base para o desenvolvimento seguro, transparente, equilibrado e sustentável de aplicações da IoT."

Como acontece com todo texto que corre nos bastidores, resta esperar que essa proposta que cria dois regimes radicalmente distintos para proteção de dados não siga adiante. O Brasil teria muito a perder se todos os esforços direcionados para a aprovação de uma lei geral de dados pessoais desaguassem em um documento que privilegia o Poder Público ao isentá-lo de deveres de transparência e que retira dos cidadãos direitos básicos sobre os seus próprios dados pessoais.