Entrou em vigor há meses a Lei Geral de Proteção de Dados (LGPD - lei 13.709 de 2018), que disciplina como agentes privados e públicos podem coletar e tratar dados pessoais de indivíduos, os requisitos e obrigações para essas práticas e eventuais sanções para o caso de violações das regras.
A lei estabeleceu direitos aos titulares de dados, mas criou exceções ao tratamento por parte de órgãos públicos. Para atividades de segurança pública, por exemplo, a lei não tem validade.
Outra regra específica é a dispensa de consentimento no tratamento de dados para políticas públicas previstas em leis, regulamentos e contratos.
É permitido também o uso compartilhado de dados por entes públicos, desde que respeitados os princípios previstos na lei.
Em outubro, o governo federal editou decreto em que regulamenta a forma de compartilhamento de informações de seus órgãos e cria um cadastro unificado.
Após a aprovação da LGPD, o governo federal regulamentou o compartilhamento de dados entre os órgãos da administração pública federal e criou o Cadastro Base do Cidadão, por meio do decreto 10.046, de 9 de outubro de 2019.
Regras para o compartilhamento
O decreto estabelece como finalidades do compartilhamento de dados a simplificação de serviços públicos, a análise do direito a benefícios sociais e a ampliação da eficiência das atividades internas do Executivo por meio da redução de custos com medidas como o reaproveitamento de sistemas de informática.
A norma dispensa a exigência de convênio ou acordo para essa comunicação e cria três modalidades de compartilhamento. No caso de dados sem restrição ou sigilo, o compartilhamento será amplo, com divulgação pública e fornecimento a qualquer pessoa interessada que fizer a solicitação.
A forma restrita será adotada quando lidar com dados submetidos a obrigações de sigilo com a finalidade de execução de políticas públicas, com modos de comunicação simplificada entre os órgãos. Já a modalidade específica envolve dados protegidos por sigilo, cujo compartilhamento poderá ser realizado para órgãos determinados nas situações previstas na legislação.
Cadastro Base do Cidadão
A partir destas regras, foi criado o Cadastro Base do Cidadão (CBC). Este foi o nome dado a uma base de dados integrada construída a partir de diversos outros bancos de dados compostos de informações adquiridas por distintos órgãos do governo federal.
O cadastro cruza dados de distintas bases do Executivo tendo como meta viabilizar a criação de meio unificado de identificação do cidadão para a prestação de serviços públicos.
A base integrada contém dados gerais sobre os brasileiros como CPF (Cadastro de Pessoa Física), nome, data de nascimento, sexo, filiação, nacionalidade e naturalidade. Órgãos do Executivo federal podem solicitar a adesão com vistas a acessar essa base e os dados de identificação.
“O cidadão ao requerer um serviço vai passar por processo de identificação forte. A partir do momento que eu tenho certeza que você é você, não vou mais te pedir para preencher um formulário de 15 campos”, disse o secretário adjunto de Governo Digital, Ciro Avelino.
Até o momento, 34 órgãos federais já aderiram ao CBC, conforme dados da Secretaria de Governo Digital do Ministério da Economia. Entre eles, os ministérios da Saúde, Economia, Ciência, Tecnologia e Inovações, Justiça e Segurança Pública, Infraestrutura e Agricultura, Pecuária e Abastecimento.
Também aderiram o Departamento da Polícia Federal, Fundo Nacional de Desenvolvimento da Educação, Instituto Nacional de Estudos e Pesquisas, Agência Espacial Brasileira, Instituto Brasileiro de Meio Ambiente, Instituto de Tecnologia da Informação, Fundação Oswaldo Cruz e o Comando do Exército.
Serviços
Segundo a Secretaria de Governo Digital, vários serviços digitais já se baseiam no acesso ao cadastro. É o caso do certificado internacional de vacinação, da Agência Nacional de Vigilância Sanitária, do registro de pescador amador, do Ministério da Agricultura, Pecuária e Abastecimento, e da declaração de aptidão, do Programa Nacional de Fortalecimento da Agricultura Familiar.
O cadastro também é utilizado na concessão de aprovação de rótulo de água mineral, da Agência Nacional de Mineração, do registro de obra audiovisual, da Agência Nacional de Cinema, e no recebimento de reclamações sobre distribuidoras de energia elétrica pela agência nacional da área, a Aneel.
Governança
O decreto 10.046, de 2019, criou o Comitê Central de Governança de Dados, com a responsabilidade de tomar decisões detalhando as diretrizes previstas na legislação e na norma, como parâmetros para compartilhamentos amplo, restrito e específicos, métodos para aferir a qualidade das bases de dados dos órgãos e a inclusão, ou não, de novos dados no Cadastro Base do Cidadão.
O comitê será formado por representantes do Ministério da Economia, incluindo a Receita Federal, da Advocacia-Geral da União; da Secretaria-Geral da Presidência, da Casa Civil, do Instituto Nacional do Seguro Social e da Controladoria-Geral da União.
CBC e LGPD
Em pesquisa lançada recentemente sobre o cadastro e sua adequação à LGPD, a organização Coding Rights aponta algumas diferenças entre o CBC e a lei que rege a coleta e tratamento de dados no país.
Uma delas estaria na definição de dados pessoais. Enquanto a LGPD caracteriza informação relacionada a pessoa natural identificada ou identificável e cria a categoria de dados sensíveis (como raça e cor, orientação sexual, convicção religiosa e opinião política), o decreto 10.046 que embasa o cadastro cita dados cadastrais e inova ao mencionar atributos biográficos, biométricos e genéticos.
A LGPD traz uma denominação de agentes na cadeia de tratamento de dados, entre eles, o titular das informações, o controlador, o operador e o encarregado. Já o decreto define outros conceitos de agentes, como custodiante de dados, gestor de dados, solicitante de dados e recebedor de informações. Não fica claro, dizem os autores do estudo, quais órgãos podem ser enquadrados como controladores e, portanto, ser responsabilizados.
Por fim, a LGPD elenca obrigações sobre a segurança de dados, como a adoção de medidas cabíveis para impedir acessos não autorizados, a obrigação de garantir a segurança da informação de dados e a notificação da Autoridade Nacional de Proteção de Dados em caso de um vazamento ou invasão.
Já o decreto 10.046 estabelece diretrizes genéricas, sem detalhar obrigações e procedimentos.
“Existem conceitos gerais da LGPD que se aplicam a todas as organizações e há conceitos específicos para o funcionamento da máquina pública. Acho que há espaço para a gente debater e vendo se há algum tipo de ambiguidade nos termos. O que tem ali é diferença de entendimento sobre os conceitos. Em se tratando de administração pública, muitas vezes precisamos ser mais específicos. O decreto se submete às definições da LGPD”, disse o secretário adjunto de Governo Digital, Ciro Avelino, sobre as ponderações do relatório.