Vazamento de dados do SUS é exemplo em privacidade
Na semana (08 de abril) circulou a notícia de que 2,4 milhões de dados do SUS (Sistema Único de Saúde) vazaram na internet, incluindo endereços, nome da mãe e CPF.
As informações até agora apontam que o vazamento aconteceu por causa de uma brecha no sistema de cadastro do SUS, que poderia ter sido facilmente reparada.
A pergunta que deve ser feita é: quem vigia os órgãos públicos que são responsáveis por vigiar os dados de todos os brasileiros? A resposta hoje é incerta.
O Brasil adotou em agosto de 2014 uma lei geral de proteção de dados, que se aplica tanto ao setor privado quanto público. A questão é saber qual será o órgão responsável pela fiscalização em aplicação da lei, em especial quanto ao setor público.
No sistema europeu, no qual a lei brasileira se inspirou, há sempre uma autoridade nacional de dados independente responsável por essas tarefas.
A independência se configura por diversas características: a autoridade não é subordinada a nenhum órgão público da administração direta; seus diretores são indicados e referendados por processo que envolve os Poderes Executivo e Legislativo; os diretores têm mandato fixo e não podem ser destituídos.
No Brasil, a lei brasileira aprovada no Congresso previa uma autoridade semelhante à europeia. No entanto, esse trecho da lei foi vetado pelo então presidente Michel Temer (MDB).
Em substituição a ele, foi proposta uma medida provisória no apagar das luzes de 2018 que prevê a criação da uma autoridade de dados ligada diretamente à Presidência da República. Na prática, circula a notícia de que a autoridade se subordinaria à Casa Civil.
O caso do vazamento do SUS é emblemático para demonstrar os problemas desse modelo. A responsabilidade do SUS é, em última análise, do Ministro da Saúde.
Como poderia uma autoridade hierarquicamente inferior investigar ou punir um superior? Poderia uma entidade subordinada à Casa Civil multar o Ministro da Saúde? A resposta institucional seria claramente não. Na prática essa seria uma autoridade sem qualquer autoridade para tratar da proteção dos dados públicos.
Mais do que isso, o Brasil está disposto a ingressar na OCDE, o clube dos países ricos. Como parte desse esforço, vale considerar as diretrizes da OCDE sobre privacidade e a análise que fez da situação na América Latina sobre o tema.
Dentre suas recomendações está que autoridades de dados possuam a “governança, recursos e capacidade técnica necessária para exercer seus poderes efetivamente”.
Nesse sentido, a autoridade precisa ter jurisdição sobre todos os tipos de “controladores de dados”, incluindo aqueles governamentais.
Mais do que isso, a OCDE destaca o México como país da região que possui “autoridade de proteção dados completamente independente e autônoma”. O México, vale lembrar, é membro da OCDE desde 1994.
O Brasil decidiu adotar um modelo de lei de proteção de dados que é similar ao da Europa. Só que periga fazer isso pela metade. Poderá ter uma lei como a europeia nas obrigações, mas incompatível na parte da autoridade.
Com isso teremos todos os ônus, mas podemos perder os bônus (como livre transferência internacional de dados), por incompatibilidade com uma parte essencial do modelo.
Ronaldo Lemos - advogado, diretor do Instituto de Tecnologia e Sociedade do Rio de Janeiro.
Fonte: coluna jornal FSP