Por que é um risco um cadastro com rosto, RG e até nosso modo de andar

Como alguém sabe que você é você? Bem, você tem um nome, data de nascimento, filiação, nacionalidade, estado civil e endereço. A reunião desses dados biográficos identifica uma pessoa. Mas o conjunto de dados que permitem a nossa identificação não para por ai. Ao longo da vida vamos associando uma série de números únicos que permitem a identificação: o número do CPF, o da carteira de identidade, o da carteira profissional, o do passaporte e da carteira de motorista são apenas alguns exemplos. Eles são os dados cadastrais.

Além dos dados biográficos e cadastrais existem ainda aqueles dados que estão intimamente ligados à pessoa, como características biológicas ou mesmo comportamentais que podem ser coletadas e analisadas de forma automatizada, permitindo a identificação. Aqui aparecem as digitais dos dedos e a íris dos olhos, por exemplo. São os dados biométricos.

Imagina o poder de quem detém todos esses dados! A identificação perfeita é uma arma poderosa para combater crimes, fraudes e irregularidades em geral. Da investigação sobre um assassinato até a identidade de um fraudador do Bolsa Família, tudo isso passa pela identificação que depende do acesso e do compartilhamento desses dados.

E como isso é regulado no Brasil? Uma parte da resposta passa pela aprovação, no ano passado, de uma Lei Geral de Proteção de Dados (Lei nº 13.709/18, a "LGPD"), que vai entrar em vigor em agosto de 2020. A Lei traz uma série de princípios que devem ser seguidos por quem trata dados, garante vários direitos aos titulares de dados, além estipular sanções para quem descumprir suas regras.

Uma outra parte da equação foi respondida com a edição do Decreto nº 10.046, de 9 de outubro, pelo Presidente da República. O Decreto dispõe sobre a governança no compartilhamento de dados dentro da Administração Pública Federal e cria o Cadastro Base do Cidadão e um comitê central para cuidar da sua governança. Os três pontos merecem atenção.

O Decreto acerta ao determinar que as suas regras servem para orientar o compartilhamento de dados entre órgãos e entidades da Administração Pública Federal com a finalidade de (i) simplificar a oferta de serviços públicos; (ii) orientar a formulação, implementação e monitoramento de políticas públicas; (iii) possibilitar uma melhor análise sobre acesso a benefícios sociais e fiscais; e (iv) aumentar a eficiência das operações internas da Administração (art. 1º). O Estado brasileiro precisa mesmo ter padrões e diretrizes para o compartilhamento de dados dentro da Administração.

A coisa complica quando o Decreto começa a introduzir conceitos que não existem na lei e que podem até mesmo conflitar com ela. O Decreto traz um conceito de "informação" e categorias como custodiante e gestor de dados que discrepam das figuras de controlador e operador de dados já existentes na lei. Mas não estamos aqui para entediar você com conceitos jurídicos. A título de curiosidade, aqui vai só mais um que vale a pena conhecer. O Decreto conceitua atributos biométricos como "características biológicas e comportamentais mensuráveis da pessoa natural que podem ser coletadas para reconhecimento automatizado, tais como a palma da mão, as digitais dos dedos, a retina ou a íris dos olhos, o formato da face, a voz e a maneira de andar" (art. 2º, II).

As pessoas ainda se preocupam pouco com os seus dados no Brasil. Somos uma nação que informa o CPF na farmácia só para ver se tem desconto e que cadastra a digital dos dedos para entrar na academia de ginástica. Você sabe o que o farmácia faz com a ligação entre o seu CPF e a lista de remédios que você compra? Você sabe com quem mais a sua academia compartilha um dado tão essencialmente identificador como a digital do seu dedo? A digital é um dado tão poderoso que ele é requerido quando você viaja para entrar em países com esquemas mais rigorosos de segurança nas fronteiras e aeroportos. Mais uma razão para você se sentir um turista quando for na sua academia.

Mas isso não deve ser razão para não nos preocuparmos com o conjunto de informações que o Estado pretende coletar e com o regime pelo qual esses dados poderão ser compartilhados dentro da Administração Pública. Para facilitar o acesso aos dados pelo governo, o Decreto criou então uma base unificada, chamada Cadastro Base do Cidadão.

Existe uma preocupação fundada de que o acesso à base unificada precise sempre ser justificada para que se evite que esse cadastro vire um depósito ilimitado de dados ao qual qualquer entidade da Administração possa recorrer, abrindo uma janela perigosa para abusos. O titular dos dados pessoais de cada um de nós somos nós mesmos. Vivemos tempos em que as pessoas se acostumaram a ter seus dados tratados por empresas sem que elas tenham a mais vaga ideia da existência, da extensão e da finalidade desse tratamento. O Decreto traz o Estado para o mesmo jogo.

Um ponto que chama atenção na edição do Decreto foi o fato de que um elemento tão relevante para a vida do cidadão não passou sequer por qualquer forma de consulta pública com a sociedade civil. Como o próprio nome do banco de dados entrega, trata-se de um Cadastro Base do Cidadão. Se é "do cidadão" teria sido bom ouvir o próprio, diretamente ou por meio de outras representações. Ainda que com as melhores intenções, da forma como o Decreto foi concebido ele mais parece um Cadastro Base do Estado.

Na mesma direção foram as críticas à composição do Comitê Central de Governança de Dados, que vai cuidar do Cadastro Base. Segundo o Decreto, ele será integrado apenas por membros da Administração Pública. Seria importante garantir que vozes do setor privado, da sociedade civil e da comunidade técnica também sejam ouvidas.

Você pode imaginar que não tem nada a esconder e que então todo esse papo sobre dados pessoais, segurança e compartilhamento pouco lhe interessa. Não custa lembrar que recentemente foi noticiada uma falha importante no sistema do DETRAN no Rio Grande do Norte. Apenas com o número de CPF qualquer pessoa conseguia obter acesso a outros dados pessoais como endereço, telefone, dados da carteira nacional de habilitação, foto, RG, data de nascimento, sexo e idade. Imagina a quantidade de golpes que podem ser aplicados com todos esses dados! Não será difícil qualquer um se passar por você.

Tomara que as notícias sobre o Decreto e os planos do Governo para a criação de uma base unificada de dados, incluindo dados tão sensíveis como formato de rosto e forma de andar, ligando tudo isso ao CPF, possa servir como mais um alerta de que está na hora de se interessar sobre privacidade e dados pessoais. O que o Estado poderá fazer com a informação sobre a nossa forma de andar? Não vai ser para responder qual é a diferença entre o charme o funk.