Notícias
Entrevista
Diretora da Open Knowledge fala sobre a Lei Geral de Proteção de Dados Pessoais
Em agosto de 2018, foi promulgada a Lei 13.709, que regulamenta a política de proteção de dados pessoais – a LGPD –, mas foi a partir de agosto de 2020 que esta Lei passou a vigorar em todas as suas determinações. A Lei de Proteção de Dados se relaciona com outras legislações, como é o caso da Lei de Acesso à Informação (LAI) e do Decreto que institui a política de Dados Abertos, e tem implicações na realidade das pessoas, empresas e governos, que, cada vez mais, lidam com o fornecimento, tratamento e compartilhamento de dados.
Para nos falar sobre a LGPD e seus impactos, entrevistamos Fernanda Campagnucci, que é diretora-executiva da Open Knowledge Brasil, organização da sociedade civil que atua para democratizar o acesso a dados e ampliar a transparência e a participação política com o uso de tecnologias cívicas.
1. Fernanda, é bom que você inicie esta entrevista nos falando sobre o que são dados pessoais e o motivo pelo qual é importante termos uma lei para protegê-los.
No mundo em que vivemos hoje, mediado por tecnologia em toda parte, para trabalho, lazer e para exercer nossa cidadania, dados pessoais são gerados, coletados, armazenados e compartilhados entre pessoas e instituições a todo momento. Os dados podem ser utilizados para diversas finalidades, legítimas ou não. A preocupação mais comum que vem à mente das pessoas é o risco de fraude com nossos dados pessoais, mas há muito mais em jogo. Algoritmos de inteligência artificial já são realidade em muitas áreas de nossa vida, e podem usar dados pessoais para tomar decisões de forma automatizada — processos seletivos de emprego, preço de seguro e plano de saúde, políticas de segurança pública, entre muitos outros. Podemos enxergar os dados pessoais como toda informação ou rastro digital que remete diretamente a um indivíduo, seja porque permite identificá-lo (número de documento, nome, telefone, impressão digital, imagem do rosto etc), seja porque são gerados pelo comportamento ou ações desse indivíduo sobre o mundo (registros sobre os sites pelos quais navega, música ou vídeos que consome, deslocamentos físicos e localização em que está, exames de saúde que fez, notas na escola etc.). É uma definição bastante abrangente, em geral descrita como aquilo que pode identificar um indivíduo ou, indiretamente, torná-lo identificável, reconhecível. Por exemplo, a depender do contexto, podemos chegar à identidade de uma determinada pessoa sem ter seu nome ou documento, mas com informações suficientes para distingui-la, como profissão, idade, sexo, bairro, cidade e registros de deslocamento.
2. A questão do sigilo de informações e a possibilidade de verificação das informações públicas são temas que geraram e ainda provocam debates intensos na sociedade – não apenas no Brasil. A LGPD conflita com a Lei de Acesso à Informação, com a Política de Dados Abertos ou traz limites à política de Transparência?
Não deveria haver conflito, pois ambas as leis são complementares e essenciais. Nossa Constituição Federal de 1988 define, em seu artigo 5º, um rol de direitos fundamentais. O direito à privacidade e intimidade está lá (incisos X e XII) e o direito de acesso à informação e liberdade de expressão também (incisos XIV e IX). O que a Lei de Acesso e a Lei Geral de Proteção de Dados fizeram foi regulamentar e aprofundar a compreensão sobre cada um desses direitos.
A LAI, que veio antes, já trazia uma primeira definição de dados pessoais e a necessidade de proteger e dar um tratamento adequado a esse tipo de informação. Depois, a LGPD aprofundou essas noções, além de ser mais abrangente, pois, diferentemente da LAI, engloba também as práticas do setor privado.
O que pode haver – e que temos que tomar cuidado – são equívocos ou exageros na interpretação da aplicação da LGPD nos casos em que há informação pessoal de interesse público e que pode e deve ser divulgada. A própria LGPD faz essa previsão. Para a abertura de dados, mesmo antes da LGPD, sempre houve a necessidade de fazer uma avaliação de impacto, de sopesar os benefícios e prejuízos para a sociedade. Agora, com a implementação da legislação de proteção de dados pessoais, será preciso ter mais transparência sobre essas avaliações e as operações que são feitas com os dados.
3. Com as redes sociais e outros ambientes virtuais, tornou-se expressiva a quantidade de informações pessoais em circulação na Internet. Quais as regras básicas para a utilização/tratamento de dados pessoais?
Cada serviço deve declarar sua política de privacidade e os usuários devem ter pleno acesso a ela. Existem alguns princípios gerais e há, também, direitos dos titulares dos dados definidos na LGPD e que todos devem observar e respeitar. Por exemplo, entre os princípios, estão o da finalidade (o objetivo do tratamento de dados deve ser específico e informado) e o da transparência (do tratamento dos dados pessoais feito pelas organizações). Entre os direitos do titular estão a anonimização, bloqueio ou eliminação dos dados, além de portabilidade e possibilidade de correção.
4. A LGPD prevê que devem ser tomadas medidas de segurança e proteção dos dados desde a fase de concepção do produto ou serviço a ser ofertado. Como as empresas e os órgãos públicos devem proceder para atender essa disposição legal?
Essa é uma questão chave em qualquer organização que lida com dados, e tem a ver com a governança. Não é só uma tarefa que deve ser delegada aos setores de tecnologia da informação, envolve também escolhas políticas e administrativas, sobre o grau de acesso, privilégios e definição de responsabilidades.
O pleno cumprimento da LGPD pressupõe que as organizações façam uma boa gestão de riscos, isto é, mantenham boa documentação sobre suas bases de dados, façam mapeamento dos riscos existentes e medidas para sua mitigação, elaborem planos de resposta a incidentes, entre outras boas práticas. É preciso investir em prevenção.
Com relação ao desenvolvimento de produtos, é preciso adotar o princípio de “privacidade por padrão”, ou seja, que as diretrizes de privacidade e de transparência direcionem todo o processo. Uma questão-chave a se perguntar, por exemplo, é se as informações que serão coletadas por meio de um aplicativo são realmente necessárias. A mentalidade de coletar porque podemos precisar lá na frente para alguma coisa, apesar de muito comum, não é aceitável.
5. Na Lei, há uma seção dedicada ao “tratamento de dados pessoais sensíveis”. O que pode ser considerado como dado sensível? O entendimento é o mesmo para pessoas físicas e jurídicas – por exemplo, CPF e CNPJ são tratados da mesma forma?
Entre todos os dados pessoais que devem ser protegidos, há duas dimensões que merecem atenção especial: os chamados dados sensíveis e os dados cujos titulares são crianças e adolescentes. Nesses casos, a legislação reserva condições de tratamento específicas e camadas de proteção extra.
Dados pessoais sensíveis, de acordo com uma definição mais geral presente em documentos internacionais, são aqueles que revelem a origem racial ou étnica ou convicções políticas, religiosas ou filosóficas, filiação sindical, dados genéticos e biométricos, dados relacionados à saúde, dados relativos à identidade de gênero, vida sexual ou orientação sexual. São as pessoas físicas que são titulares desses dados, não pessoas jurídicas.
O tratamento de dados de crianças e adolescentes deve se nortear pelo princípio do melhor interesse, previsto nos instrumentos de proteção dos direitos dessa população, como o Estatuto da Criança e do Adolescente. Ele prevalece sobre eventuais conflitos — caso o uso do dado de uma criança contrarie o seu melhor interesse, por exemplo, deve ser coibido, mesmo que haja consentimento dos responsáveis. O Instituto Alana e o InternetLab acabam de lançar um excelente trabalho sobre o assunto, chamado “O direito das crianças à privacidade”.
6. Em quais situações a utilização dos recursos de anonimização, mascaramento, ou pseudo mascaramento dos dados são indicados?
Vou mencionar duas situações em que essas técnicas são úteis, mas há outras. Em primeiro lugar, podemos anonimizar dados para torná-los públicos sem expor diretamente os indivíduos. Por exemplo, os microdados da Covid-19 são coletados de forma individualizada, com a identificação de nome e documento de cada pessoa. Essas informações pormenorizadas são úteis para pesquisa e controle social, para que se possa analisar, por exemplo, o impacto da pandemia em cada grupo da população, a partir de sexo, raça/cor e outros dados de perfil, como comorbidades. Com técnicas de pseudoanonimização, é possível criar um código único para cada um desses registros, um pseudônimo, sem que seja possível o usuário que tem acesso aos dados abertos identificar. O responsável por esses dados mantém protegida essa lista por meio da qual pode associar o nome ao código. Isso acontece com muitas bases de dados importantes, como o Censo Demográfico, o Censo Escolar, dados de emprego do Caged, RAIS, entre outras. É preciso muito cuidado para que o conjunto de informações não seja tão específico que possa identificar as pessoas com alguma engenharia reversa (a chamada “reidentificação”). A Escola de Dados tem um tutorial bem simples que dá um exemplo prático disso.
Outra situação é o compartilhamento legal de dados com outro órgão ou entidade, regulado por algum contrato ou convênio. Às vezes, não é necessário que o outro usuário conheça a identidade das pessoas, mas ele precisa fazer algum tipo de validação para cruzar com outras informações de que dispõe. Nesse caso, também é possível ocultar parcialmente os dados, mascarar alguns dígitos (do CPF, por exemplo) ou tokenizar, gerando códigos temporários. Há diversas técnicas e formas de aplicação, o importante é escolher a mais adequada para o tipo de dado e finalidade.
7. A LGPD criou a Autoridade Nacional de Proteção de Dados (ANPD), que é um órgão ligado à Presidência da República. Comenta sobre o papel de ANPD na implementação das políticas de proteção de dados, considerando, também, a interlocução desse órgão com a sociedade civil.
A ANPD será uma instância muito importante para definição de diretrizes, boas práticas e o monitoramento da implementação da Lei. Ainda é cedo para avaliar sua efetividade, mas é fundamental que ela seja, desde já, fortalecida nesse papel — inclusive com recursos orçamentários e pessoal qualificado.
Uma interface interessante de interlocução da Autoridade com a sociedade civil será o Conselho Nacional de Proteção de Dados, um órgão colegiado que será vinculado e, espera-se, representativo de múltiplos setores — academia, privado, governamental, sociedade civil organizada, entidades de classe. Apesar de não ter ainda um método mais democrático de eleição dos pares — como, por exemplo, no Comitê Gestor da Internet (CGI.Br) —, já que os representantes serão indicados pela diretoria da ANPD e nomeados pela Presidência, esta será uma experiência importante para ampliar as vozes e perspectivas consideradas no âmbito das políticas de proteção de dados.
8. O tratamento de dados pessoais é importante para a formulação de políticas públicas, e para o aprimoramento de serviços oferecidos por empresas públicas e privadas, mas o compartilhamento e a divulgação dos dados é questionado e é objeto de judicialização em todo o mundo. A que você atribui a ocorrência das ações judiciais e como poderiam ser reduzidas?
O uso de dados para as políticas públicas é previsto na LGPD e é perfeitamente possível, se feito dentro dos parâmetros normativos. Como mencionei anteriormente, é preciso adotar uma série de mecanismos de prevenção, além de mudar a mentalidade sobre a necessidade de coleta excessiva de informações. Sobretudo, a governança desses dados tem que ser cada vez mais sólida, para que esse uso seja feito de forma correta e evite a ocorrência de ações judiciais. Um mecanismo muito importante para isso é a própria transparência sobre o tratamento de dados. Se houver transparência sobre as intenções, práticas e usos de dados no setor público, a sociedade pode fiscalizar e ter mais confiança sobre as ações dos encarregados da proteção de dados.
9. A Lei de Proteção dos Dados Pessoais pode contribuir para a efetivação do controle social das políticas públicas, dos gastos governamentais e, também, para a efetivação da política de integridade das empresas?
Se os dados pessoais, assim como todos os dados, são considerados ativos importantes das organizações, é importante que haja controle social sobre a política de proteção de dados. Afinal, comercialização e compartilhamento indevidos de dados são práticas condenáveis e sujeitas a sanções. Mais do que o aspecto econômico, porém, o controle é importante para garantir que direitos fundamentais não estejam sendo violados.
Se bem interpretada e implementada, a LGPD pode, sim, dar até mais segurança jurídica para a abertura de dados, que é essencial para o controle das políticas e gastos governamentais. Com o estabelecimento de procedimentos e rotinas de avaliação de impacto, os órgãos podem abrir dados de forma mais sistemática. Precisamos consolidar o entendimento de que algumas informações, embora pessoais, são imprescindíveis para o escrutínio das políticas e dos representantes do poder político e econômico. É esse equilíbrio que todos nós que defendemos ambos os direitos — acesso à informação e privacidade — precisamos buscar agora.