O governo federal publicou nesta quinta-feira (10) um decreto que cria o Cadastro Base do Cidadão, uma base centralizada de dados pessoais dos brasileiros, e que estabelece um ambiente para o compartilhamento de informações entre órgãos da administração federal, além de definir algumas regras para essas trocas.

O decreto pegou muitos especialistas de surpresa, já que não houve consultas públicas e participação de grupos da sociedade civil. O texto vai de encontro com muitas das regras estabelecidas na Legislação Geral de Proteção de Dados (LGPD), que entrará em vigor em agosto de 2020, e até do Marco Civil da Internet, válido desde 2014.

A tentativa de centralizar e facilitar o compartilhamento de dados dos cidadãos entre órgãos públicos não é inédita — e, de fato, a criação de um sistema que facilite algumas trocas pode beneficiar a população e desburocratizar muitos processos, afinal, o governo possui bases de dados enormes com cadastros de pessoas físicas, benefícios sociais, aposentadoria e declarações de imposto de renda, por exemplo.

No primeiro artigo do decreto, o governo diz que o texto:

Estabelece as normas e as diretrizes para o compartilhamento de dados entre os órgãos e as entidades da administração pública federal direta, autárquica e fundacional e os demais Poderes da União, com a finalidade de:

I – simplificar a oferta de serviços públicos;
II – orientar e otimizar a formulação, a implementação, a avaliação e o monitoramento de políticas públicas;
III – possibilitar a análise das condições de acesso e manutenção de benefícios sociais e fiscais;
IV – promover a melhoria da qualidade e da fidedignidade dos dados custodiados pela administração pública federal; e
V – aumentar a qualidade e a eficiência das operações internas da administração pública federal.

As definições valem apenas para órgãos da República e dispensa exigência de convênio ou acordo para a comunicação dos dados.

Quais dados serão centralizados?

No início, o Cadastro Base do Cidadão terá dados como nome, data de nascimento, sexo e filiação. Eles serão vinculados ao CPF. A lista inicial é essa:

  • Número de inscrição no CPF;
  • Situação cadastral no CPF;
  • Nome completo;
  • Nome social;
  • Data de nascimento;
  • Sexo;
  • Filiação;
  • Nacionalidade;
  • Naturalidade;
  • Indicador de óbito;
  • Data de óbito, quando cabível; e
  • Data da inscrição ou da última alteração no CPF.

Com o tempo, outras informações serão incorporadas, vindas das chamadas “bases temáticas”. As bases temáticas, inclusive, são um ponto bastante delicado do decreto, que prevê a adição de dados biométricos dos cidadãos, o que inclui “palma da mão, as digitais dos dedos, a retina ou a íris dos olhos, o formato da face, a voz e a maneira de andar”.

O Brasil não seria o primeiro a criar uma grande base de dados que reúne informações biométricas sobre os seus cidadãos. Na Índia, existe a Aadhaar, com cerca de 1,2 bilhão de registros. Trata-se da maior base de dados nacional de pessoas do mundo e reúne muitas informações pessoais.

O programa foi criado justamente com o intuito de dar aos indianos fácil acesso a programas sociais relacionados a saúde, educação e de bem estar social. A iniciativa começou a se expandir rapidamente em 2014, pouco tempo após o partido INC (Indian National Congress) não ter ido bem nas eleições parlamentares. O governo, então, começou a incluir os números Aadhaar em suas bases de dados. No ano passado, foi relatado que essa base de dados foi violada e o acesso era vendida por US$ 8 via WhatsApp.

Comitê gestor

O decreto define a criação de um comitê gestor, chamado Comitê Central de Governança de Dados, e que seria responsável por gerenciar o fluxo de dados, garantir autorização de acesso aos órgãos públicos e dizer o que pode ou não pode nesse compartilhamento de informações.

O comitê será formado por representantes do Ministério da Economia, incluindo a Receita Federal; da Advocacia-Geral da União; da Secretaria-Geral da Presidência; da Casa Civil; do Instituto Nacional do Seguro Social e da Controladoria-Geral da União.

Compartilhamento dos dados

O texto institui três modalidades de compartilhamento:

  1. Amplo, em caso de dados sem sem restrição ou sigilo, que serão divulgados publicamente e fornecidos a qualquer pessoa interessada que fizer a solicitação.
  2. Restrito, que lida com dados submetidos a obrigações de sigilo com a finalidade de execução de políticas públicas. Neste caso, as regras de compartilhamento seriam definidas por um comitê gestor e os órgãos do governo teriam que respeitar obrigações de sigilo, mas eles poderiam ser retransmitidos se outro órgão comprovar necessidade de acesso.
  3. Específico, que envolve dados protegidos por sigilo, cujo compartilhamento poderá ser realizado para órgãos determinados nas situações previstas na legislação e não podem ser retransmitidos.

O decreto não detalha como esse compartilhamento seria feito, por qual sistema, nem os aspectos técnicos. Não é prevista a coleta de novos dados, mas há preocupação com alguns itens previstos na LGDP como o princípio de finalidade que diz que o titular dos dados precisa ser informado da coleta de suas informações sem possibilidade de tratamento posterior de forma incompatível com essas finalidades.

Nesta semana foi noticiado que uma base de dados do Detran do estado do Rio Grande do Norte foi exposta com dados pessoais de aproximadamente 70 milhões de brasileiros que possuem CNH. Em notas relacionadas mas sem nenhuma ligação explícita, o Bleeping Computer denunciou que informações de 92 milhões de usuários brasileiros estavam sendo leiloados em fóruns clandestinos. Aparentemente, segurança de dados não é o forte do nosso governo.