Como construir um modelo de governança da informação num contexto de calamidade?

Como construir um modelo de governança da informação num contexto de calamidade?

REDAÇÃO

10 de junho de 2020 | 19h48

Ana Cláudia Farranha – Doutora em Ciências Sociais, professora da Faculdade de Direito e do Programa de Pós em Direito da UnB. Coordenadora do grupo de pesquisa GEOPP (Observatório de Políticas Públicas)

Temístocles Murilo de Oliveira Jr. Doutor em Políticas Públicas pela UFRJ. Editor-Chefe da Revista da CGU

 

Informação, privacidade, poder e democracia têm sido temas recorrentes no Brasil do COVID-19. Desde abril decisões judiciais, medidas governamentais, propostas legislativas aprovadas pelo Parlamento e inúmeros debates têm colocado o tema em destaque na cena nacional, a partir de disputas institucionais e judiciais. Esta semana, por exemplo, vence o prazo para o veto do PL n° 1179/2020, que muda a data de vigência da Lei Geral de Proteção de Dados (Lei n° 13853/2019).

Nesse contexto, cabe perguntar – é possível construir um modelo de governança da informação numa situação de calamidade pública? O que todas essas idas e vindas nos ensinam? A perspectiva da proteção de dados traz elementos importantes que possam contribuir para essa discussão.

O tema da proteção de dados pessoais vem ganhando fôlego no debate nacional, associado às medidas de enfrentamento e impactos da situação de calamidade pública por conta do Covid-19[1]. Uma chuva de projetos de lei (PL), medidas provisórias (MP) e ações de inconstitucionalidade (ADI) sobre o tema têm sido gerada pelos poderes Executivo, Legislativo e Judiciário federais. Como previsto no texto da Lei Geral de Proteção de Dados Pessoais (LGPD)[2], o novo regime de tratamento de dados de pessoas naturais no Brasil entraria em vigor em meados deste ano. A recente Medida Provisória n° 959 adiou o início da vigência da LGPD para maio de 2021, com base na “possível incapacidade de parcela da sociedade em razão dos impactos econômicos e sociais e da crise provocada pela pandemia do Coronavírus”[3]. O PL n° 1179/2020 aprovado pelo Congresso Nacional posterga para agosto de 2021 a vigência dos dispositivos sobre sanções administrativas da LGPD e antecipa para janeiro os demais[4].

Nesse emaranhado de mudanças e propostas, destaca-se ainda a MP n° 954, que trata do compartilhamento com o IBGE, pelas empresas de telecomunicações, de dados de pessoas naturais ou jurídicas consumidoras de serviço de telefonia móvel ou fixa , fundada nos seguintes motivos: “1) a necessidade da produção tempestiva de dados para o monitoramento da pandemia de COVID-19; 2) a necessidade de garantir a continuidade da PNAD Contínua […]; 3) a tempestividade necessária para a obtenção dos dados requeridos junto às empresas de telecomunicações […]”[5]. Esta MP encontra-se com sua eficácia suspensa por decisão liminar da ministra Rosa Weber, referendada pelo plenário do STF, apoiada na necessidade de se “prevenir danos irreparáveis à intimidade e ao sigilo da vida privada de mais de uma centena de milhão de usuários dos serviços de telefonia fixa e móvel”[6].

As recentes idas e vindas sobre proteção de dados pessoais no Brasil indicam que o contexto da pandemia pode ter acentuado as tensões entre três pontos básicos sobre os quais se organiza o debate sobre o tema. Primeiro, políticas públicas necessitam dispor de forma rápida e precisa de dados e informações sobre pessoas, mais ainda em situação de emergência sanitária. Segundo, o tratamento e a disponibilização de dados, mesmo em contextos de emergência, devem ser harmonizados com os direitos individuais das pessoas sobre os quais eles versam. Por último, o uso e o franqueamento de dados pessoais dependem de transparência e da adoção de práticas que requerem tempo e investimento de atores públicos e privados, normalmente tão escassos em tempos de crise.

Esta breve reflexão busca discutir em que medida o contexto atual permite construir um modelo de governança da informação capaz de reduzir a tensão entre esses pontos. Considerando que as bases para tratamento e processamento de dados e informações foram lançadas no Brasil em várias normas de caráter geral e regulamentadoras que vem sendo emanadas pelo Poder Público, desde 2011. Assim, é importante identificar a possibilidade de estabelecer um modelo de governança da informação, a partir dos instrumentos jurídicos existentes. O desafio é oferecer aos gestores elementos para não somente responder às demandas advindas da pandemia, mas, principalmente, para mostrar o compromisso de organizações públicas e privadas no tratamento adequado de dados e informações que estão em seus bancos e repositórios, bem como a transparência que estruturam suas políticas.

Cabe definir o que é um modelo de governança da informação. Sob essa perspectiva, a ideia que norteia esse modelo se baseia na forma como organizações públicas e privadas constroem suas políticas de disponibilidade, tratamento e uso de dados e de transparência. Incluem-se, então, a forma como essas organizações desenvolvem e utilizam aplicações de Machine Learning, Big Data, Chatbots e mecanismos de Inteligência Artificial em geral que possibilitem que dados sejam utilizados para sistemas de atendimento e processos decisórios, compondo um complexo desenho que evidencia a forma como as políticas de informação são implementadas. Assim, importam a regulação, os atores e a maneira como empenham recursos no desenvolvimento dessas políticas.

Do ponto de vista normativo, os marcos legais que podem auxiliar na construção desta governança referem-se à própria LGPD, à Lei de Acesso à Informação[7] (LAI), ao Decreto n° 7.845/2012, que regulamenta procedimentos para credenciamento de segurança e tratamento de informação classificada em qualquer grau de sigilo e à Lei do Marco Civil da Internet[8].

A Lei de Acesso à Informação (LAI) estabelece elementos definidores de uma cultura da informação, entendida como o compromisso do Estado com a transparência, com os procedimentos que geram accountability, com o direito ao conhecimento da verdade, com práticas que buscam inibir a corrupção e fortalecer a democracia. Estabelece, também, um conjunto de princípios relacionados à máxima divulgação da atuação governamental, obrigação de publicar, promoção de um Governo Aberto e acesso fácil e rápido às informações públicas. Um dos dispositivos desta lei que trata especificamente sobre a proteção de dados pessoais refere-se ao artigo 31 que define o que é dado pessoal (relativo à intimidade, vida privada, honra e imagem) e estabelece a restrição deste dado (independente da classificação de sigilo, por 100 anos), estabelece o uso do consentimento expresso ou previsão legal para o seu uso e aponta a responsabilização pelo uso indevido do dado .

O Decreto 7.845/2012 regulamenta os arts. 25, 27, 29, 35 e paragrafo 5º, e 37, da LAI. Um dos elementos mais importantes deste instrumento normativo se refere ao conjunto de definições que apresenta para classificar uma informação de segurança e seu tratamento. Trata-se de um conjunto de medidas que buscam assegurar o sigilo autorizado por lei para as informações classificadas como tal. As medidas deste procedimento podem ser extremamente uteis para serem aplicadas, em analogia, ao tratamento de dados e informações pessoais.

O Marco Civil da Internet foi criado para apontar um disciplinamento do uso da internet. Apresenta os seguintes princípios para tratar do direito à informação: garantia da liberdade de expressão, comunicação e manifestação de pensamento, proteção da privacidade; proteção dos dados pessoais, preservação e garantia da neutralidade de rede; preservação da estabilidade, segurança e funcionalidade da rede, por meio de medidas técnicas compatíveis com os padrões internacionais e pelo estímulo ao uso de boas práticas; responsabilização dos agentes de acordo com suas atividades, preservação da natureza participativa da rede; liberdade dos modelos de negócios promovidos na internet. Assim, ele traz um conjunto de elementos, que desde 2014, tratam de aspectos que podem (e devem) contribuir para a construção de um modelo de governança da internet e que em alguma medida contribuem para a aplicação de políticas de informação, bem como expressa a preocupação do legislador com o tema da proteção de dados. Essa legislação enuncia uma série de aspectos que serão aprofundados e retomados pela LGPD.

A Lei Geral de Proteção de Dados divide-se em cinco eixos : i) unidade e generalidade da aplicação da Lei; ii) legitimação para o tratamento de dados (hipóteses autorizativas); iii) princípios e direitos do titular; iv) obrigações dos agentes de tratamento de dados; v) responsabilização dos agentes, com instituição de uma autoridade central para fiscalização do cumprimento da lei e imposição de sanções A sua importância para um modelo de governança de informação é que ela amplia os princípios e regras já expostos nas legislações anteriores.

É possível destacar dois pontos acerca dos desafios impostos à implementação desta legislação. Primeiro, é que mesmo sem plena eficácia, ela estabelece um determinado rol de definições que já tem efeitos na organização de conceitos que viabilizam medidas no âmbito das instituições. Esses conceitos, estabelecidos no artigo 5º, são dado pessoal; dado pessoal sensível; dado anonimizado; banco de dados; titular; controlador; operador; encarregado; agentes de tratamento; tratamento; anonimização; consentimento; bloqueio: eliminação: transferência internacional de dados: uso compartilhado de dados: relatório de impacto à proteção de dados pessoais: órgão de pesquisa e autoridade nacional. A lei também aponta, sem seu art. 6º, os princípios que devem reger as práticas de proteção de dados nas empresas, a saber, finalidade, adequação, necessidade, livre acesso, qualidade, transparência, segurança, prevenção, não discriminação, responsabilização e prestação de contas.

O segundo ponto refere-se ao fato de que a LGPD traz um plano normativo, cujo vacatio legis visa, entre outros elementos, que os atores e políticas se preparem minimamente para sua implementação. Esse período permitiria ajustar e coordenar ações voltadas para o desenvolvimento de políticas de proteção de dados. Por outro lado, o mapa abaixo[9] assinala os países do mundo que adoram atos ou leis de proteção de dados. Percebe-se que alguns dos conceitos apontados pela lei (transferência internacional de dados e uso compartilhado) se efetivam somente em países que possuam um regime de proteção de dados. Ter uma legislação de proteção pode ser uma enorme garantia de inserção econômica e política, mas a sua não implementação pode representar um desprestígio perante a comunidade internacional.

 

 

Considerando as normas destacadas acima, um novo modelo de governança da informação, pode auxiliar a Administração Pública a continuar implementando medidas que o acesso, a proteção e o uso adequado de informações, dados e conhecimentos. Essa prática, independente do cenário sanitário, aponta para a continuidade e o aprimoramento das experiências institucionais nessa questão, colocando-se como uma chave para transpor a paralisia que pode ter sérias consequências para o desenvolvimento de aspectos institucionais, políticos e econômicos para o país.

Cabe perguntar mais uma vez – é possível construir um modelo de governança da informação em tempos de COVID-19?

Se tomarmos como referência a legislação acima repertoriada que indica que, ao longo da década passada, foram criados instrumentos jurídicos cuja temática da informação e seu uso aparecem como centrais, a resposta é positiva. Mas muitas outras questões ainda continuam em aberto. Que práticas de tratamento da informação gestores públicos e privados vêm desenvolvendo no dia a dia? Como informação, dados e conhecimentos se entrelaçam? Para que uma organização usa os dados e informações que possui? Como é possível transformar o conhecimento gerado a partir em um modelo de boas práticas informacionais? (a literatura tem chamado de compliance informacional)? Que valor essas boas práticas geram e como elas se replicam em prol de um desenvolvimento social e econômico mais equitativo?

Essas são perguntas que desafiam a realidade e podem sugerir que a tarefa de estabelecer políticas de informação, combinando dimensões legais, administrativas, de transparência ,motivação e finalidade é urgente, seja para enfrentar as dificuldades do contexto atual, em que ameaças de ampliação de vigilância e controle constituem cenários concretos; seja para tempos em que políticas de informação bem estruturadas, claras e coordenadas podem fazer a diferença, em termos geopolíticos e econômicos. na inserção do país no cenário mundial.

Retomando Maquiavel, é necessário lembrar que a “fortuna” nos deixa senhores de metade de nossas ações. O momento atual parece requerer também “virtude” – esforços que ultrapassem os embates e coloquem de pé os sólidos princípios estabelecidos no plano normativo, orientados para a promoção do interesse público, independente da conjuntura.

[1] As medidas para enfrentamento e o reconhecimento da situação de calamidade pública estão formalizados por meio da Lei n° 13.979, de 6 de fevereiro de 2020, e do Decreto Legislativo n° 6, 2020.

[2] Lei n° 13.709, de 14 de agosto de 2018.

[3] Exposição de Motivos n° 168/2020 – ME, de 28 de abril de 2020.

[4] Conforme levantamento feito por Varon e Santos (2020), até 7 de abril havia cerca de 18 projetos de lei versando sobre o tema privacidade e Covid-19. Para mais detalhes ver: https://gizmodo.uol.com.br/projetos-lei-privacidade-internet-coronavirus/

[5] Exposição de Motivos n° 151/2020 – ME, de 15 de abril de 2020.

[6] ADI 6393, disponível pelo endereço eletrônico http://portal.stf.jus.br/processos/detalhe.asp?incidente=5896399.

[7] Lei nº 12.527, de 18 de novembro de 2011.

[8] Lei nº 12.965, de 18 de novembro de 2014.

[9] Banisar, David, National Comprehensive Data Protection/Privacy Laws and Bills 2019 (November 30, 2019). Available at SSRN: https://ssrn.com/abstract=1951416 or http://dx.doi.org/10.2139/ssrn.1951416

Comentários

Os comentários são exclusivos para assinantes do Estadão.