Não Sou

Um Número

COMENTÁRIOS SOBRE O ANTEPROJETO DE

LEI DE DADOS PESSOAIS
Rodrigo Veleda

O governo federal colocou a disposição do público uma consulta pública para debate um
anteprojeto de lei de dados pessoais. A iniciativa pretende regulamentar o direito à privacidade e
intimidade garantido pela Constituição federal e criar um marco legal para o uso de dados
pessoais, algo que inexiste no Brasil. Entretanto, o anteprojeto é tão cheio de problemas e tão
intelectualmente atrasado que ele merece ser descartado e ser rediscutido.

O primeiro, e mais grave, problema já se encontra no art. 3º:

Art. 3º A presente lei aplica-se aos tratamentos de dados pessoais realizados no território
nacional por pessoa física ou jurídica de direito público ou privado, ainda que o banco de
dados seja localizado no exterior.
§ 1º A presente lei não se aplica:
(...)
§ 2º Os bancos de dados instituídos e mantidos para fins exclusivos de segurança pública,
defesa, segurança do Estado e suas atividades de investigação e repressão de delitos serão
regidos por legislação específica.

A consulta pública foi aberta enquanto estourava o escândalo do acesso indevido a dados fiscais
da filha de José Serra e enquanto o governo discutia a implementação do ainda mais escandaloso
e ultrajante Registro de Identidade Civil (cabe notar que o mesmo ministério que quer
implementar o RIC é o mesmo que “propõe” uma “discussão” sobre “privacidade”). O grande
problema deste anteprojeto é que ele simplesmente não regula o uso de dados pessoais por parte
do governo, mesmo sabendo que os governos são notórios em desrespeito à privacidade como
por exemplo o caso1 do Consultas Integradas no Rio Grande do Sul, a venda 2 de declarações da
Receita Federal, escândalos3 do Infoseg, Enem4, SiSU5 e muitas inúmeras violações de privacidade.
Esta mesma confiança cega e irracional também é repetida no art. 5º:

Art. 5º O tratamento de dados pessoais por parte de pessoas jurídicas de direito público é
permitido para o cumprimento de suas funções institucionais, dentro dos limites da lei.

O único problema é que o anteprojeto não institui limites, nem sequer punições. Os governos são
rápidos em criar inúmeras declarações, cadastros e semelhantes sem sequer passar por uma

1 Veleda, Rodrigo. "Não Sirvam Nossas Façanhas de Modelo a Toda Terra." Web log post. Não Sou Um Número. 28 Dez.
2007. Web. 25 Abr. 2011. <http://naosouumnumero.blogspot.com/2007/12/no-sirvam-nossas-faanhas-de-modelo-
toda.html>.
2 _____. "E a Privacy International só Dá 'Fracasso Sistemático Para Manter Salvaguardas' para o Brasil." Web log post. Não
Sou Um Número. 10 Jan. 2009. Web. 25 Abr. 2011. <http://naosouumnumero.blogspot.com/2009/01/e-privacy-
international-s-d-fracasso.html>.
3 _____. "Venda de Senhas do Infoseg." Web log post. Não Sou Um Número. 29 Ago. 2008. Web. 25 Abr. 2011.
<http://naosouumnumero.blogspot.com/2008/08/venda-de-senhas-do-infoseg.html>.
4 _____. "Era para isso a exigência de CPF no Enem." Weblog post. Não Sou Um Número. 4 Ago. 2010. Web. 25 Abr. 2011.
<http://naosouumnumero.blogspot.com/2010/08/era-para-isso-exigencia-de-cpf-no-enem.html>.
5 _____. "Agora é a vez do SiSU." Web log post. Não Sou Um Número. 19 Jan. 2011. Web. 25 Abr. 2011.
<http://naosouumnumero.blogspot.com/2011/01/agora-e-vez-do-sisu.html>.

1
discussão no respectivo poder legislativo; um exemplo claro disto é o absurdo número de
declarações que a Receita Federal vem criando 6 nos últimos anos por desejo único e exclusivo do
Secretário de Receita Federal, longe de qualquer discussão no Congresso Nacional e sem qualquer
exame prévio de necessidade e impacto à privacidade. E não apenas isto, o anteprojeto dispensa o
poder público de consentimento:

Art. 13. O consentimento será dispensado quando o tratamento:

(…)
II - referir-se a dados provenientes de registros, atos ou documentos públicos de acesso
público irrestrito;
III - for necessário para o exercício de funções próprias dos poderes do Estado;

O Brasil, ao contrário de países desenvolvidos, considera registros de nascimento como algo de

acesso público; e outros dados também são de domínio público, mesmo considerando que há o
risco de uso malicioso de tais informações. E como se vê, os governos estão livre para coletar
dados sem necessitar coletar o consentimento das pessoas, mesmo que o serviço seja voluntário.
Continuando, o art. 13 tem um outro problema:

IV - for realizado unicamente com finalidades de pesquisa histórica, científica ou

estatística;

O problema desta alínea é que ela não deixa claro se esta dispensa de consentimento refere-se a
uso interno do banco de dados ou se isto será aberto a terceiros. Além disto, tem o problema de re-
identificação, onde é possível identificar e isolar pessoas usando dados livremente disponíveis e
conectar com resultados de pesquisas, como, por exemplo, o fato 7 de 87% dos americanos
poderem ter seus resultados do censo individualizados como nos formulários de resposta ao
censo, mesmo que haja garantias legais de sigilo aos dados. Urge notar que a lei nada fala de re-
identificação, ainda mais num país com uma fartura de dados pessoais à disposição do público
gratuitamente ou a soldo. Uma outra alínea problemática do art. 13:

V - for necessário para a proteção da vida ou da incolumidade física do titular ou de um

terceiro, nos casos em que o titular não possa prestar o próprio consentimento por
impossibilidade física ou por incapacidade de compreensão;

Isto me parece uma brecha para acesso a dados de terceiros. Ora, o que dados de um terceiro
podem ser úteis “a proteção da vida ou da incolumidade física do titular” se os dados de um
terceiro referem-se ao terceiro e não ao titular.

E chegamos na parte mais bizarra do PL, o Capítulo V. O Capítulo V é a contradição absoluta onde
o art. 20 determina o seguinte:

Art. 20. Nenhuma pessoa pode ser obrigada a fornecer dados sensíveis.

Considerando que dados sensíveis são:

Art. 4º Para os fins da presente lei, entende-se como:

(...)
IV - dados sensíveis: dados pessoais cujo tratamento possa ensejar discriminação do
titular, tais como aqueles que revelem a origem racial ou étnica, as convicções religiosas,
filosóficas ou morais, as opiniões políticas, a filiação sindical, partidária ou a organizações

6 Podemos citar dois exemplos particularmente invasivos: a Declaração de Serviços Médicos e de Saúde – Dmed (criada
pela Instrução Normativa 985/2009), que acaba com a privacidade entre médico e paciente, obrigando o médico a dizer
quem são seus pacientes mesmo se o paciente não declara Imposto de Renda e a Declaração de Operações com Cartões
de Crédito – Decred (criada pela Instrução Normativa 341/2003), onde as operadoras de cartão de crédito são obrigadas
a dizer mensalmente à Receita Federal quanto as pessoas gastam por mês com seus cartões de crédito.
7 Sweeney, Latanya. Uniqueness of Simple Demographics in the U.S. Population. Working paper no. LIDAP-WP4.
Pittsburgh, 2000. Internet Archive. 2 Abr. 2009. Web. 25 Abr. 2011.
<http://replay.web.archive.org/20090402054050/http://privacy.cs.cmu.edu/dataprivacy/papers/LIDAP-
WP4abstract.html>.

2
 de caráter religioso, filosófico ou político, os referentes à saúde e à vida sexual, bem como
os dados genéticos e biométricos;

Poderíamos dizer que estaríamos nos melhores do mundo se o cap. V se resumisse ao art. 20. Pois
aí que entra o problema e a contradição do cap. V. Tem um art. 21 que diz (e transcrevo por
inteiro):

Art. 21. É proibida a formação de bancos de dados que contenham informações que, direta
ou indiretamente, revelem dados sensíveis, salvo disposição legal expressa, respeitados os
direitos de personalidade do titular, em especial a garantia de não discriminação.
§ 1º O tratamento de dados sensíveis será permitido quando:
I - o titular tiver dado o seu consentimento livre, informado e por escrito, sempre que este
tratamento for indispensável para o legítimo exercício das atribuições legais ou
estatutárias de seus responsáveis.
II - for realizado por associações e outras entidades sem fins lucrativos de natureza
política, filosófica, religiosa ou sindical para a realização de finalidades lícitas e
compreendendo os dados pessoais de seus inscritos, sempre que os dados não sejam
comunicados ou difundidos para terceiros e quando o ente em questão determine medidas
idôneas de garantia dos direitos do titular para o tratamento realizado;
III - for necessário para a proteção da vida ou da incolumidade física do titular ou de um
terceiro, nos casos em que o titular não possa prestar o próprio consentimento por
impossibilidade física ou por incapacidade de compreensão; ou
IV - for realizado unicamente com finalidades de pesquisa histórica, científica ou
estatística;
V - for relativo a dados manifestamente tornados públicos pelo seu titular.
VI - for realizado por profissionais da área da saúde ou entidades sanitárias e se mostrar
indispensável para a tutela da saúde do interessado.
VII – for necessário para o exercício de funções próprias dos poderes de Estado, previstas
em lei.

O art. 21 é uma carta branca para a coleta indiscriminada, e pior ainda, compulsória, de dados
particularmente sensíveis como o DNA e dados que possam esquadrinhar a vida sexual das
pessoas. O caput do artigo já faz o serviço de assassinar o art. 20 quando traz a medonha
expressão “salvo disposição legal expressa”, uma forma de liberar o poder público de qualquer
responsabilidade com dados pessoais. Ora se há a “proibição”, então por que diabos há a liberação?
Por que não tirar o art. 20 logo de uma vez? Um outro problema gravíssimo é o fato de apenas o
uso autorizado pela alínea II conter uma cláusula de não-difusão de dados pessoais sensíveis. Nos
outros casos, a divulgação será livre?

A alínea I traz a expressão “legítimo exercício das atribuições legais ou estatutárias de seus
responsáveis”. Como de costume, uma expressão ambígua e elástica para poder acomodar
qualquer exigência ultrajante a ser criada por um burocrata de plantão. Será que se poderia exigir
a detalhação de atividades sexuais de uma pessoa (até com fotos e vídeos dos atos sexuais para
fins de prova!) para, por exemplo, para alguém fazer a reclamação de uma lâmpada queimada num
poste? Ou então o DNA para entrar numa piscina dum clube? Como nós não sabemos o que o PL
quer dizer com “não discriminação (sic)”, tudo é possível!

A alínea III tem o mesmo problema da alínea V do art. 13 e não há necessidade de explicações
adicionais. Isto também se aplica a alínea IV, homóloga da alínea IV do artigo 13. Esta alínea
permite, por exemplo, que o IBGE arranque8 sangue à força das pessoas em suas casas.

A alínea V fala sobre a liberdade de uso de dados “manifestadamente tornados públicos pelo
titular”. Ora, então as nossas impressões digitais tornar-se-ão informações de domínio público,
assim como o nosso código genético, já que a todo momento estamos a tocar objetos e deixar
células de nosso corpo, saliva e cabelos por todos os lugares.

8 Veleda, Rodrigo. "#IBGE quer arrancar sangue dos brasileiros." Web log post. Não Sou Um Número. 21 Ago. 2010. Web.
26 Abr. 2011. <http://naosouumnumero.blogspot.com/2010/08/ibge-quer-arrancar-sangue-dos.html>.

3
A alínea VI é relativamente parecida com a alínea III só que com um porém: ela fala, literalmente,
de tutela sobre as pessoas. Esta alínea permite o uso de dados pessoais sensíveis quando
autoridades de saúde acharem que tu não tens capacidade de cuidar de ti próprio. Por exemplo, se
o governo acha que tu não és capaz de cuidar da tua alimentação, seja por mais esdrúxulo motivo
possível, ele poderá exigir saber o que tu comes, quantas vezes tu vais ao banheiro, exigir que tu
faças exames médicos e por aí vai. E isto quando o TCU diz 9 que o DataSUS não tem política
adequada de segurança de dados.

E, por fim, temos a alínea VII. A alínea tem uma parte positiva em que condiciona o tratamento de
dados pessoais sensíveis a uma prévia autorização por lei. Contudo, isto é condicionado as
“funções próprias dos poderes de Estado”, algo que pode abranger qualquer coisa.

SUGESTÕES

1. Igualar o tratamento de dados pessoais feitos por entes públicos e privados.

2. Obrigar todos os postulantes a tratamento de dados pessoais a publicar, com um prazo de
antecedência que permita comentários, no site da Autoridade de Garantia, um Estudo de
Impacto de Privacidade, onde o postulante deverá provar a necessidade dos dados.
3. Os entes públicos só poderão coletar dados pessoais se expressamente autorizados em lei e
esta autorização estará sujeito a análise como citada na sugestão anterior.
4. Criminalizar a coleta indevida de dados, a disseminação irregular de dados, o tratamento
não-autorizado de dados e a manutenção de dados por tempo além do permitido,
independentemente de dolo. A criminalização deverá alcançar todas as pessoas que
estiveram em contato com os dados.
5. Tornar a responsabilidade civil objetiva em todos os casos de tratamento de dados.
6. Proibir toda a coleta de dados biométricos e genéticos salvo autorização legislativa
específica.
7. Obrigar aqueles que armazenam ou tratam dados pessoais sensíveis a terem apólices de
responsabilidade civil.
8. Criar, na Autoridade de Garantia, uma lista de todas as pessoas aptas a manusearem dados
pessoais sensíveis.

9 Veleda, Rodrigo. “Yo no creo en brujas, pero que las hay, las hay“. Web log post. Não Sou Um Número. 18 Out. 2009. Web.
25 Abr. 2011. <http://naosouumnumero.blogspot.com/2009/10/yo-no-creo-en-brujas-pero-que-las-hay.html>.