Texto | Defendendo o Brasil do Tecnoautoritarismo | Assimetrias e Poder
Os problemas do Cadastro Base do Cidadão e a ADI 6.649
Por Gabriela Vergili e Rafael Zanatta
Nesta quinta-feira, 18 de agosto de 2022, ocorrerá o julgamento da Ação Direta de Inconstitucionalidade 6649, cujo relator é o ministro Gilmar Mendes do Supremo Tribunal Federal.
A ação, ajuizada pelo Conselho Federal da Ordem dos Advogados do Brasil (“CFOAB”), questiona a constitucionalidade do compartilhamento de dados da Administração Pública Federal regulado pelo Decreto 10.046/2019 (“Decreto”), que também criou o Cadastro Base do Cidadão (“CBC”) e estabeleceu o Comitê Central de Governança de Dados. A ação se deu na sequência das importantes denúncias feitas pelo Intercept em 2019 e 2020 e o posicionamento da sociedade civil por meio da Nota Técnica da Coalizão Direitos na Rede. A fim de complementar o debate técnico durante o julgamento, a Associação Data Privacy Brasil de Pesquisa participará como amicus curiae.
Conforme o art. 16, do Decreto, o CBC visa centralizar a identificação de cidadãos e um alto número de dados pessoais (inclusive sensíveis), aumentando a confiabilidade dos cadastros e possibilitando o compartilhamento e cruzamento de informações com base no CPF. Tudo isso se pauta em noções de eficiência e aprimoramento da gestão e de políticas públicas. Basicamente, busca-se obter interoperabilidade de dados dentro da administração pública, favorecendo o fluxo de dados entre os órgãos.
O problema, para fins da preservação do direito à proteção de dados, é a falta do estabelecimento de medidas que garantam o tratamento adequado, seguro e transparente dos dados, especialmente que legitimem os usos secundários destes dados, tornando o CBC uma ferramenta de vigilância e não de eficiência.
O cenário jurídico brasileiro, em uma interpretação sistemática da constituição e legislação setorial, já não permitiria o uso abusivo de dados dos cidadãos. Ainda assim, o Decreto foi publicado antes de mudanças relevantes no ordenamento referentes à proteção de dados pessoais.
A primeira delas é a entrada em vigor da Lei Geral de Proteção de Dados (“LGPD”). Essa lei regula o tratamento de dados pessoais pelo poder público, atribui responsabilidades aos controladores e operadores, define direitos dos titulares (cidadãos), além de trazer fundamentos e princípios para nortear estas operações. O Decreto que institui o CBC e todos os tratamentos de dados decorrentes dele deverão observar os dispositivos da LGPD. No entanto, o espírito do Cadastro Base pouco dialoga com os sentidos e lógicas instituídas pela legislação de proteção de dados pessoais.
A segunda é a estruturação de Autoridade Nacional de Proteção de Dados (“ANPD”) que, antes da LGPD e Lei 13.853/2019, não existia. Com a recente Medida Provisória 1.124, a ANPD passa por um processo de desvinculação da Presidência da República, tornando-a uma autoridade independente, autônoma. A autoridade é mais uma ferramenta de fortalecimento de direitos fundamentais, em especial, privacidade e proteção de dados pessoais. Como o Cadastro Base do Cidadão foi formulado antes da existência da ANPD, seus procedimentos de autorização sobre sistemas de interoperabilidade de dados pessoais dentro da administração pública ignoram o papel a ser desempenhado pela Autoridade, especialmente com relação aos testes de usos secundários legítimos de dados pessoais dentro da administração pública.
E por fim, o reconhecimento a nível constitucional do direito fundamental autônomo da proteção de dados pessoais por meio da Emenda Constitucional nº 115, de 2022, é essencial para o questionamento da constitucionalidade do Decreto.
Em vista deste novo contexto, não é difícil argumentar que o CBC é inconstitucional, pois falha em apresentar salvaguarda a direitos fundamentais e atender às regras e princípios da proteção de dados pessoais. A criação de um sistema de interoperabilidade não é, necessariamente, um problema. A questão é a forma como ele está desenvolvido que viola principalmente o princípio da finalidade e da adequação. O Decreto possibilita o uso secundário de dados, contudo, não há medidas para garantir que este uso seja legítimo e compatível com as finalidades originais para as quais estes dados foram coletados.
O Decreto, com a integração, possibilita que gestores aumentem esta base de dados centralizada sem justificativas e análise de interesse público e finalidades em jogo, e, assim, não assegura o compartilhamento justo de dados. As medidas de proteção trazidas pelo Decreto se restringem a atribuir competência ao Comitê de Governança para avaliar os casos, sem nenhum tipo de orientação sobre procedimentos a serem adotados para verificação da legitimidade dos usos secundários.
A Associação Data Privacy Brasil de Pesquisa defende que a existência das salvaguardas procedimentais é essencial para preservar a proteção de dados neste sistema e reduzir a assimetria de poder instaurada pelo Decreto e preservar o devido processo informacional. Uma delas seria o teste de proporcionalidade, para a análise caso a caso. Este teste contém três passos: (i) identificação se há o enquadramento do tratamento de dados em alguma das bases legais definidas pela LGPD; (ii) identificação dos dados pessoais necessários para o tratamento e o tipo de dados (sensíveis ou não) para de análise de risco e dano ao indivíduo; e (iii) sopesamento, que trata da verificação se o interesse público pleiteado pelo agente que está tratando o dado é compatível com as normas de proteção de dados, considerando critérios como intrusão, adequação à princípios, existência de técnicas de mitigação de risco e prestação de contas, e existência de interesse público identificável no processamento dos dados e no fornecimento do serviço público em questão. Este posicionamento sobre a necessidade de salvaguardas procedimentais também é sustentado por Laura Schertel Mendes, em seu artigo para o O Globo, Democracia, poder informacional e vigilância.
A ausência de mecanismos de proteção do titular e de seus dados pessoais faz com que o Decreto viole direitos fundamentais, mas também os princípios da Administração Pública. A proteção de dados pessoais, não é um contraponto ao interesse público, faz parte do dele e, portanto, complementa as normas de regulação do poder público. Assim, as normas de proteção de dados criam critérios para a ordem informacional democrática e preservam a relação entre Estado e cidadãos. Deste modo, o reconhecimento da inconstitucionalidade do Decreto e da criação do CBC é uma passo relevante para demonstrar o que é necessário para garantir o fluxo seguro e adequado de dados entre órgãos públicos. A ação não visa condenar a iniciativa do Decreto, uma vez que a eficiência e aprimoramento de políticas públicas são necessários, contudo, não se pode alcançar esse objetivo em detrimento de direitos fundamentais. Há maneiras mais seguras de fazê-lo, e por isso que este julgamento é tão importante, espera-se que aponte para o caminho mais adequado a seguir.
DataPrivacyBr Research | Conteúdo sob licenciamento CC BY-SA 4.0