Ir direto ao conteúdo

O que é o Cadastro Base do Cidadão. E quais os seus riscos

Decreto de Jair Bolsonaro criou uma base de dados que poderá ser compartilhada dentro do governo. Ao ‘Nexo’, diretor do InternetLab, Francisco Brito Cruz, diz que faltou transparência na iniciativa

     

    O presidente Jair Bolsonaro assinou na quarta-feira (9) um decreto que cria o Cadastro Base do Cidadão para centralizar os dados pessoais de todos os brasileiros. As informações poderão ser compartilhadas entre diversas esferas do governo, de acordo com critérios definidos por um comitê de governança formado apenas por representantes do governo.

    Pesquisadores da área se disseram surpresos com a medida por não ter havido um debate prévio sobre a criação do cadastro. Eles também criticam a falta de explicação sobre as finalidades da iniciativa e alertam que ela pode ameaçar o direito à privacidade.

    As razões para a centralização

    Segundo o decreto, publicado no Diário Oficial na quinta-feira (10), data a partir da qual já entra em vigor, a iniciativa visa aprimorar a gestão de políticas públicas, facilitar o compartilhamento de dados cadastrais de cidadãos entre os órgãos da administração pública e realizar o cruzamento de informações a partir do número de inscrição do CPF (Cadastro de Pessoas Físicas).

    A base terá inicialmente dados biográficos ligados ao CPF, como nome civil ou social, data de nascimento, filiação, naturalidade, nacionalidade, sexo, estado civil, grupo familiar, endereço e vínculos empregatícios.

    Numa segunda etapa, ainda sem prazo para acontecer, serão acrescidas outras bases temáticas, como dados biométricos, que incluem a palma da mão, as digitais dos dedos, a retina ou a íris dos olhos, o formato da face, a voz e o modo de andar.

    O decreto diz que a medida irá simplificar a oferta de serviços públicos, orientar e otimizar políticas públicas, possibilitar a análise das condições de acesso e a manutenção de benefícios sociais e fiscais e aumentar a qualidade e a eficiência das operações da administração pública federal.

    Quem vai gerenciar o fluxo de dados

    O decreto também criou um Comitê Central de Governança de Dados, que será responsável pelas “regras e parâmetros para o compartilhamento restrito”. O órgão definirá os padrões “relativos à preservação do sigilo e da segurança”.

    Ele será formado por sete representantes do governo, de órgãos como o Ministério da Economia, a Casa Civil, a Controladoria-Geral da União, a Advocacia-Geral da União e o INSS (Instituto Nacional do Seguro Social). Membros da sociedade civil e do setor privado foram excluídos, mas poderão ser consultados, sem poder de voto.

    O comitê dará a palavra final, por exemplo, em casos de controvérsias sobre o compartilhamento de dados com entidades públicas federais.

    Os níveis de compartilhamento previstos

    Amplo

    Ocorrerá quando os dados forem públicos e não estiverem sujeitos a restrições de acesso, e cuja divulgação é pública e garantida a qualquer interessado.

    Restrito

    Quando os dados forem protegidos por sigilo, as regras de compartilhamento serão estabelecidas pelo comitê central, que poderá conceder acesso para a execução de políticas públicas.

    Específico

    Também trata de dados protegidos por sigilo e segue as regras do comitê gestor, mas eles não são retransmitidos ou compartilhados com outros órgãos ou entidades, exceto com expressa autorização.

    A Lei Geral de Proteção de Dados

    Segundo o decreto de Bolsonaro, as informações serão compartilhadas respeitando a Lei Geral de Proteção de Dados Pessoais, que foi sancionada pelo presidente Michel Temer em 14 de agosto de 2018 e entra em vigor em agosto de 2020.

    Ela tem como objetivo garantir “direitos fundamentais de liberdade e de privacidade”, bem como outros fundamentos, como o da “autodeterminação informativa” (que dá direito ao acesso, correlação e exclusão de informações pessoais presentes em bancos de dados) e a “inviolabilidade da intimidade”.

    Também classifica os dados como pessoal (“informação relacionada à pessoa natural identificada ou identificável”), sensível (em geral, dados que podem ser usados para causar dano ao titular, como dados sobre raça/etnia, religião, sexualidade, opinião política, dados genéticos e biométricos) e anonimizado (“dados pessoais relativos a um titular que não possa ser identificado”).

    Segundo a lei, o uso das informações de uma pessoa por uma empresa ou órgão público só seria possível com o consentimento do titular dos dados (com exceção de dados “tornados manifestamente públicos pelo titular”, como no caso de uma foto publicada em redes sociais, por exemplo).

    Para alguns pesquisadores, o decreto vai contra a Lei Geral de Proteção de Dados. “Cria-se decreto de compartilhamento de dados, mas para quê? Não está claro que é para melhorar serviço público. O cidadão não tem decisão nenhuma, ele perde a agência e o controle sobre todos os seus dados, que passam a ser do Estado”, afirmou o  professor da Universidade de Columbia Ronaldo Lemos ao jornal Folha de S.Paulo.

    Em entrevista à Agência Brasil, o pesquisador da Lavits (Rede Latino-Americana de Estudos sobre Vigilância, Tecnologia e Sociedade) Rafael Zanatta disse que, em alguns pontos, o decreto não se adequa às diretrizes da lei sancionada por Temer em relação à garantia dos direitos dos titulares de dados.

    “A norma não prevê casos em que se pode ter finalidade distinta de uso de um dado entre diferentes órgãos, o que deveria ensejar medidas de controle preventivas em relação ao uso dessas informações”, afirmou.

    O documento único

    Em 2017, o então presidente Michel Temer sancionou outra lei que unificava documentos de identificação de cidadãos brasileiros. O documento, que une RG, CPF e título de eleitor, começará a ser emitido apenas a partir de 2021.

    O Tribunal Superior Eleitoral vai centralizar as informações. Isso porque o órgão já está realizando um recadastramento biométrico com impressões digitais dos eleitores brasileiros. O tribunal contará ainda com dados do  Sistema Nacional de Informações de Registro Civil e da Polícia Federal.

    O novo documento se chamará DNI (Documento Nacional de Identificação). A substituição dos documentos atuais pelo novo não será obrigatória inicialmente, podendo ser realizada em casos de renovação dos documentos de identificação. Não serão incluídos no documento único a carteira de motorista e o passaporte, que são passíveis de ser apreendidos.

    A diferença em relação ao decreto de Bolsonaro é que a nova medida cria um banco de dados compartilhável entre agências governamentais, sem que o cidadão esteja ciente dos usos, e inclui muito mais informações.

    Uma visão sobre o decreto

    O Nexo conversou com Francisco Brito Cruz, doutor em direito pela USP (Universidade de São Paulo) e diretor do centro de pesquisa em direito e tecnologia InternetLab, sobre as implicações da criação do banco de dados compartilhado.

    Como avalia a criação do Cadastro Base do Cidadão?

    FRANCISCO BRITO CRUZ É um passo surpreendente e preocupante. Surpreende porque não houve qualquer tipo de articulação com qualquer tipo de comunidade que esteja discutindo a privacidade dos usuários ou a proteção de dados. Caiu como uma surpresa entre quem poderia ajudar o governo a mapear esses riscos. É preocupante porque é uma iniciativa bastante ambiciosa, sem que o governo tenha explicado a que veio, sem um anúncio de quais foram os motivos para fazer isso. Tem muitas coisas que causam preocupação: em que medida vamos conseguir garantir os direitos da Lei Geral de Proteção de Dados, em que medida isso se enquadra nas melhores práticas de proteção de dados e de privacidade? Em que medida conseguimos construir mecanismos de governança para esse tipo de iniciativa que efetivamente tenha eficiência e, ao mesmo tempo, proteção?

    Qual o impacto para a privacidade do cidadão?

    FRANCISCO BRITO CRUZ O governo tem um monte de dados sobre as pessoas. Esses dados podem ser utilizados para o governo fazer políticas públicas ou para articulá-las? Ele pode usar esses bancos de dados a seu favor a partir de uma lógica de interesse público? Essa discussão não é simples. De um lado, pode-se dizer que é importante que o governo possa usar os dados, mas também é importante lembrar que os dados não são do governo. O governo está custodiando os dados, está encarregado de coletá-los e tratá-los, mas os dados dizem respeito aos cidadãos, são de titularidade dos cidadãos. E tem alguns princípios que a Lei Geral de Proteção de Dados traz que têm importância na hora que a gente discute privacidade. Um deles, talvez o mais importante, é a de finalidade. O cidadão teve que dar seus dados para o governo para alguma política pública acontecer: ser atendido no SUS, estudar numa escola pública ou mesmo para ser beneficiado pelo Bolsa Família. Os dados foram fornecidos com uma finalidade de prestação de um serviço específico. Esses dados podem ser usados para outra finalidade? Isso não é tão simples. Você que é o titular dos dados não necessariamente sabe que o governo vai utilizar para outra finalidade sua renda ou dado da Receita que não seja sigiloso, a biometria cadastrada na Polícia Federal ou mesmo nome e filiação. Nem entra numa discussão se consentiu ou não, porque a entrega de alguns dados é meio compulsória. Mas mesmo que tenha consentido, é justo que o governo fique se utilizando da justificativa discricionária e genérica para tratar de dados que são dos cidadãos?

    Esse aviso ao cidadão é importante por dois motivos: o primeiro por segurança. Quanto mais se centraliza e coloca todos os dados juntos acessíveis para o maior número de pessoas possível, mais se criam pontos de vulnerabilidade. Além da segurança, tem a possibilidade de discriminação. Não necessariamente você imagina que suas informações pessoais vão ser utilizadas pelo governo para tomar decisões a seu respeito. Talvez fosse importante você saber até para ter autonomia para interagir com o governo e corrigir algum dado, por exemplo. Tem uma grave questão de falta de transparência.

    Por que se busca centralizar as informações?

    FRANCISCO BRITO CRUZ A ideia de centralização é de aumentar as possibilidades de que as agências de governo tenham a disposição um acesso maior a dados, para, por consequência, otimizar suas políticas públicas. Existe uma certa fetichização por esses bancos de dados, como se ali estivesse todo o necessário para garantir mais eficiência. De fato, em alguns aspectos podem ter ganho de eficiência mesmo. O problema é que, para se resolver isso, se criam mais problemas, como o problema de vazamentos de dados, como aconteceu no Detran agora do Rio Grande do Norte. Dados de CNH do Brasil inteiro vazaram porque estavam disponíveis livremente no Rio Grande do Norte. Quanto mais pontos de vulnerabilidade, pior, e quanto maior a base de dados, pior ainda.

    No Brasil a gente ainda tem uma proteção de direito à privacidade que engatinha. A gente acabou de aprovar a Lei Geral de Proteção de Dados. Outros países da Europa, ou mesmo os nossos vizinhos, como Argentina e Colômbia, já têm legislações nesse sentido há muito tempo. A pressão para que atores do setor público tenham mais dados a disposição é uma tendência de fato, mas por outro lado, não dá para achar que se pode fazer isso a qualquer custo. Já está mais do que provado que o único jeito de avançar ciente dos riscos é fazer uma discussão que inclua quem pode apontar os maiores riscos e problemas, que é quem está avaliando a política pública, e não [quem está] fazendo. São pessoas da sociedade civil, da academia e até o setor privado.

    Por mais segurança, os dados deveriam não ser compartilhados?

    FRANCISCO BRITO CRUZ O que preocupa na linguagem do decreto é que tem várias camadas e sigilo de compartilhamento. Tem um nível superficial, um compartilhamento específico e sigiloso, que precisa de autorização. No nível superficial, qualquer um da administração federal que tem algum acesso consegue ver esse cadastro básico. São informações básicas. A ideia de que esses dados são públicos não está presente na Lei Geral de Proteção de Dados. O CPF é seu, a filiação é sua, e preocupa que o governo comece a usar esse tipo de linguagem e a gente esqueça que esses dados começaram a ser coletados com alguma finalidade, e começar a tratá-los quase como de propriedade do governo. É estranho que o decreto use uma linguagem que não é da Lei Geral de Proteção de Dados. Por que tem que falar de atributo biográfico? A explicação do porquê é muito importante, porque senão fica parecendo que se quer afastar a aplicabilidade dos princípios da lei mesmo que o decreto fale que se aplica a lei.

     

    Todos os conteúdos publicados no Nexo têm assinatura de seus autores. Para saber mais sobre eles e o processo de edição dos conteúdos do jornal, consulte as páginas Nossa Equipe e Padrões editoriais. Percebeu um erro no conteúdo? Entre em contato. O Nexo faz parte do Trust Project. Saiba mais.

    Mais recentes

    Você ainda tem 2 conteúdos grátis neste mês.

    Informação com clareza, equilíbrio e qualidade.
    Apoie o jornalismo independente. Junte-se ao Nexo!