Ideia do decreto não é ruim, mas será remédio para sintomas da ineficiência pública
Na semana passada o governo federal editou um decreto que pegou de surpresa todos que acompanham o debate sobre privacidade e proteção de dados no Brasil. Trata-se do decreto 10.046. Seu objetivo é permitir o amplo compartilhamento de informações pessoais do cidadão na administração pública federal.
Primeiramente, vale ressaltar que a ideia não é ruim. Um dos principais problemas dos serviços públicos no Brasil é justamente a ineficiência do Estado quando tem de lidar com dados. Todos nós temos hoje de levar nossos documentos de novo sempre que precisamos do Estado. A cada nova demanda é como se tivéssemos de provar novamente quem somos, o que fazemos e assim por diante.
Em outros países esse problema já foi resolvido. Por meio de uma identidade digital, o cidadão autoriza pela internet o acesso a seus documentos, não sendo preciso começar do zero sempre. O compartilhamento de dados poderia, em tese, ajudar a melhorar essa situação no Brasil.
No entanto, a estratégia do decreto traz mais preocupações do que soluções para o problema. Da forma como foi redigida, a medida permite um amplo compartilhamento de dados pela administração pública federal, sem que o cidadão seja comunicado sobre isso. Dados coletados em um hospital ou universidade poderiam ser utilizados para outras finalidades distintas, como Previdência, segurança etc. Em outras palavras, o cidadão perde o controle sobre onde seus dados irão parar no âmbito governamental.
Além disso, o decreto ignora as definições que foram criadas pela LGDP (Lei Geral de Proteção de Dados), aprovada em agosto de 2018. Isso é especialmente importante porque decretos têm sempre de se subordinar às leis, não podendo divergir delas sob pena de invalidade. Não foi o que aconteceu. Em vez de usar as definições da LGPD, o decreto criou um conjunto de termos próprios. Dentre os problemas que isso causa está a inclusão de dados sensíveis como biometria e até mesmo dados genéticos nas informações que poderão ser compartilhadas. Pela lei, que entrará em vigor em agosto de 2020, dados como esses devem ser protegidos de forma especial. Compartilhá-los amplamente é justamente o contrário do que a lei prescreve.
Outro pronto crucial é que, pela LGPD, toda e qualquer entidade que recebe dados pessoais deve estar preparada para protegê-los tecnicamente. Isso significa a necessidade de ter servidores seguros, com criptografia, controle estrito de acesso, prevenção contra vazamentos etc. Infelizmente, essa não é a realidade da administração pública no país. Com isso, a circulação ampla dos dados implicará também em aumento de riscos.
De novo, se a intenção for melhorar os serviços públicos, a ideia do decreto não é ruim. Mas ele funcionará muito mais como um remédio para os sintomas —com muitos efeitos colaterais— do que uma cura efetiva para a doença da ineficiência pública. O caminho correto deveria ser uma reestruturação dos cadastros administrativos e do sistema de identidade do país, ambos caóticos. Isso sim permitiria criar um modelo em que o cidadão possa digitalmente autorizar o acesso a seus dados, aliando eficiência com privacidade.
Ronaldo Lemos - advogado, diretor do Instituto de Tecnologia e Sociedade do Rio de Janeiro.