A Lei Geral de Proteção de Dados, principal lei sobre privacidade no Brasil, demorou oito anos para ser sancionada. Antes de ser assinada por Michel Temer em 2018, ela passou por consultas públicas, debates com a sociedade civil e uma longa tramitação no Congresso, em um processo que atravessou três governos. Já os decretos 10.046 e 10.047, que podem ter um impacto catastrófico na nossa privacidade, foram aprovados do dia para a noite. Sem consulta e sem debate, Jair Bolsonaro deu a canetada que criou, de forma arbitrária, uma megabase de dados com praticamente todas as informações sobre você, disponíveis livremente para o governo.
Os decretos, publicados no mesmo dia, em 9 de outubro, dão origem ao Cadastro Base do Cidadão e o Comitê Central de Governança de Dados. O discurso oficial é que a medida facilitará o acesso dos brasileiros a serviços governamentais. “O objetivo é que o Cadastro Base do Cidadão se consolide como a única referência de informações dos cidadãos para o governo”, declarou Luis Felipe Monteiro, secretário de Governo Digital do Ministério da Economia.
Na prática, a canetada do presidente criou uma ferramenta de vigilância estatal imensa, que vai bem além de informações pessoais básicas como CPF, filiação, data de nascimento. Ela inclui também todas as informações laborais e biométricas. O governo deixou claro que pretende reunir “características biológicas e comportamentais mensuráveis” que “podem ser coletadas para reconhecimento automatizado” – palma das mãos, digitais, retina, íris, rosto, voz e maneira de andar.
‘É um tipo de unificação inédito’.
E não é só isso. No decreto 10.047, o governo detalha as bases de dados que serão replicadas no Cadastro Nacional de Informações Sociais, o CNIS, – são mais de 50. Elas também incluem registros de veículos, informações educacionais (dados do ProUni, Fies e Sisu), frequência escolar e até informações de saúde, como cadastro de gestantes e os sistemas de informação de câncer de colo do útero e de mama. Tudo atrelado ao seu CPF e a suas informações biométricas.
O decreto 10.047 também dispensa a necessidade de convênio ou contratos quando houver um pedido de acesso aos dados para fins de pesquisa. “Isso pode gerar uma situação complicada porque faz com que a decisão seja caso a caso. E você vai, com pretexto de permitir análise e inovação, permitir acesso a um conjunto de dados muito rico. É um tipo de unificação inédito”, me disse Rafael Zanatta, advogado e pesquisador do Lavits, a Rede Latino Americana de Estudos sobre Vigilância, Tecnologia e Sociedade.
Além disso, ele também abre margem para compartilhamento das informações com entidades privadas. O decreto institui o Observatório de Previdência e Informações do Cnis, programa tem como objetivo fomentar as pesquisas na área. No artigo 4º, ele determina que uma das finalidades é “incentivar o intercâmbio de experiências e de conhecimentos entre órgãos e entidades públicas ou privadas envolvidos na promoção de políticas sociais”. Para que a troca de informações aconteça, basta uma autorização da Secretaria Especial de Previdência e Trabalho do Ministério da Economia. “Tem informação pessoal que pode escoar para o setor privado com um mero ato normativo”, diz Danilo Doneda, professor de Direito Civil no Instituto Brasiliense de direito Público e um dos responsáveis por elaborar o texto da LGPD.
Em seu texto genérico, o decreto diz que essas informações serão usadas para aprimorar a gestão de políticas públicas, aumentar a confiabilidade dos cadastros existentes e criar um meio unificado para a prestação de serviços públicos. Especialistas ouvidos pelo Intercept avaliam que as justificativas abrem margem para abusos e a criação de um aparato de vigilância estatal como o que acontece na China, onde o estado atribui um escore social baseado no bom comportamento dos cidadãos.
Nesse Brasil de vigilância estatal digna da China, o responsável por vigiar o vigilante é o próprio vigilante.
“O decreto está em um estado rudimentar de discussão. Ele está falando: confia em mim, porque tudo vai ser bom para você. E a experiência que a gente tem é que são necessários controles também para o estado usar os dados pessoais”, diz Doneda. “A história nos prova que todos os estados que tiveram a possibilidade ampla e irrestrita de uso de dados acabaram abusando, desde regimes totalitários até centros econômicos de poder”.
Pior: o responsável por vigiar o vigilante é o próprio vigilante. Os decretos criaram um tal Comitê Central de Governança de Dados, órgão responsável por mediar conflitos e fiscalizar o uso das informações. Contrariando a tradição da área – órgãos do tipo, como o Comitê de Gestão da Internet, o CGI, são multissetoriais, ou seja, reúnem governo, iniciativa privada e sociedade civil –, o comitê terá apenas membros do Executivo. Serão dois do Ministério da Economia, um da Casa Civil, um da Controladoria-Geral da União, um da Secretaria Especial de Modernização do Estado da Secretaria-Geral da Presidência da República e um da Advocacia-Geral da União. Nada de sociedade civil, nada de escrutínio público.
“Se é ‘do cidadão’ teria sido bom ouvir o próprio, diretamente ou por meio de outras representações. Ainda que com as melhores intenções, da forma como o decreto foi concebido ele mais parece um Cadastro Base do Estado”, escreveu Carlos Affonso Souza, diretor do Instituto de Tecnologia e Sociedade e professor da Faculdade de Direito da UERJ.
A Lei Geral de Proteção de Dados, que entra em vigor a partir de agosto de 2020, foi um avanço importante na proteção à privacidade porque, pela primeira vez, regras mais claras foram estabelecidas para definir como o governo e as empresas devem lidar com as nossas informações. Ela diz que suas informações só podem ser usadas para o mesmo fim para o qual você as forneceu (por exemplo: um cadastro na farmácia só pode servir para conseguir o desconto), e qualquer outro uso deve ser consentido. Além disso, você deve ter o direito de corrigir erros ou pedir a exclusão de suas informações.
A aplicação da lei, no entanto, pode não ser tão eficiente porque a criação de uma Autoridade Nacional de Proteção de Dados foi enfraquecida pelos vetos de Jair Bolsonaro. A ANPD, como é conhecida, inicialmente seria uma autoridade multissetorial criada para fiscalizar a aplicação da lei e punir eventuais abusos, como vazamento de dados. Mas o presidente vetou em julho os trechos que diziam que órgãos públicos estariam sujeitos às punições por violar a lei.
“À medida em que você amplia o acesso, aumenta a chance de alguém usar isso de forma discriminatória e abusiva”, diz Doneda. A criação de sistemas unificados é comum em outros países – mas, em respeito às legislações mais avançadas de proteção de dados, isso costuma vir acompanhado de mecanismos de transparência, que dão ao cidadão controle sobre como o governo está usando suas informações. “No decreto, o grande sujeito são os gestores, o banco de dados. O cidadão entra quase como o produto”, explica o professor.
Veja, abaixo, a lista de bases que formarão o novo super cadastro:
Você sabia que...
O Intercept é quase inteiramente movido por seus leitores?
E quase todo esse financiamento vem de doadores mensais?
Isso nos torna completamente diferentes de todas as outras redações que você conhece. O apoio de pessoas como você nos dá a independência de que precisamos para investigar qualquer pessoa, em qualquer lugar, sem medo e sem rabo preso.
E o resultado? Centenas de investigações importantes que mudam a sociedade e as leis e impedem que abusadores poderosos continuem impunes. Impacto que chama!
O Intercept é pequeno, mas poderoso. No entanto, o número de apoiadores mensais caiu 15% este ano e isso está ameaçando nossa capacidade de fazer o trabalho importante que você espera – como o que você acabou de ler.
Precisamos de 1.000 novos doadores mensais até o final do mês para manter nossa operação sustentável.
Podemos contar com você por R$ 20 por mês?