A Autoridade Nacional de Proteção de Dados Pessoais (ANPD) encerrou no último dia 31 de agosto a tomada de subsídios para elaboração da Agenda Regulatória para o biênio 2023-2024. O objetivo desta etapa, segundo a ANPD, era “identificar temas considerados relevantes pela sociedade para estudos e/ou regulamentação sobre proteção de dados pessoais”.
A tomada de subsídios, apesar de sua relevância democrática, teve prazo curto. O período de participação social foi de menos de um mês, o que não é o padrão de outras agências reguladoras, que geralmente habilitam um período de um trimestre para adequada discussão de questões com esse nível de complexidade.
Em razão deste prazo curto, a participação não foi numerosa. Foram 127 contribuições recebidas por meio do portal “Participa Mais Brasil”.
Este prazo curto se soma a um outro fenômeno: as barreiras de entrada são grandes para o cidadão e para organizações da sociedade civil que representam interesses coletivos. Uma pesquisa recente publicada pelo Centro Regional de Estudos para o Desenvolvimento da Sociedade da Informação (Cetic) mostrou que muitos brasileiros ainda não sabem o que é a Autoridade Nacional de Proteção de Dados Pessoais quando entendem que seus direitos são violados com relação ao uso abusivo de dados pessoais. A maioria dos cidadãos pensa primeiro nos Procons ou nas Delegacias de Polícia. Milhares de entidades civis desconhecem a Autoridade e seu trabalho.
Para além da questão do tempo de participação, que poderia ser maior e acabou privilegiando poucas organizações puramente dedicadas ao tema de proteção de dados pessoais, a proposta de Agenda Regulatória da ANPD apresenta pontos positivos e algumas omissões preocupantes.
O que há de prioritário no Brasil?
Em 22 de agosto de 2022, realizamos uma oficina para discussão dos elementos de priorização da tomada de subsídio entre duas organizações: a Escola Data Privacy Brasil Ensino e a Associação Data Privacy Brasil de Pesquisa. Participaram desta oficina, além de nós, os pesquisadores Gedeão França, Júlia Mendonça, Mariana Rielli, Marina Meira, Pedro Santos e Pedro Martins.
Neste encontro, avaliamos a proposta de priorização de itens da Agenda Regulatória da ANPD e discutimos os sentidos da priorização apresentada. Vale lembrar que a Autoridade sugeriu um método quantitativo bastante objetivo: partes interessadas deveriam indicar se um item previamente elencado pela Autoridade poderia ser definido pelos números 1 a 5, sendo que a nota 1 indicaria uma baixa necessidade de priorização e a nota 5 indicaria alta necessidade de priorização.
Nossa primeira reação foi de espanto pela inclusão de temas que deveriam ser considerados como “premissas” ou “cardápio básico” da Autoridade Nacional de Proteção de Dados Pessoais. Por exemplo, é muito basilar a questão da definição das normas sobre os direitos de peticionamento do titular, como prazo de resposta e formulários-padrão que podem ser usados pelos cidadãos. Também é muito basilar a definição de regras sobre registros de operações. Talvez por excesso de preocupação com a documentação de que tudo que é feito em termos normativos e detalhamento de todas as ações, esses itens que são fundamentais constam da lista de priorização.
Há outros que não são maduros suficientes e que não deveriam ser priorizados em 2023, como co-regulação e códigos de boa conduta ou a discussão sobre tratamento de dados pessoais nas escolas. São discussões centrais, porém menos importantes que outras hoje, em nossa avaliação. Entendemos que a problemática da falta de consciência de gestores e educadores sobre a contratação de plataformas e serviços intensivos em dados seria melhor endereçada por dois itens da agenda: a formulação de Diretrizes da Política Nacional de Privacidade e Proteção de Dados Pessoais e a priorização da agenda de crianças e adolescentes, que envolve também a interpretação adequada do art. 14 da LGPD e um detalhamento normativo sobre os sentidos do “melhor interesse” das crianças em processos de datificação da infância.
Como explicamos em relatório produzido pela Associação Data Privacy Brasil de Pesquisa com Instituto Alana e Asociación por los Derechos Civiles (ADC), há um crescimento massivo do uso de TikTok e Instagram por crianças e adolescentes. Metade das crianças abaixo de 12 anos já possuem aparelhos próprios. Em razão dos efeitos devastadores da pandemia, do trabalho doméstico e do impedimento do “brincar livre”, quase 1/3 das crianças brasileiras e argentinas passam mais de três horas diárias utilizando aplicações de internet pelo smartphone. São dezenas de aplicações com dark patterns, extração ilícita de dados e criação de perfis comportamentais com finalidades econômicas. Trata-se, de fato, de assunto urgente.
É importante que a ANPD esteja atenta aos anseios da sociedade. A monumental pesquisa empírica produzida pelo Cetic mostrou que o elemento mais preocupante para os cidadãos brasileiros hoje é o tratamento de dados biométricos em locais abertos, como vigilância permanente nas ruas, nos metrôs, nos pontos de ônibus e praças públicas. Há uma preocupação muito maior da população preta e parda, que sofre diretamente os efeitos da violência sistêmica das forças policiais em nosso país. A ANPD deve, portanto, priorizar os itens de tratamento de dados biométricos e as regras ainda frouxas sobre compartilhamento de dados pessoais pelo poder público. Não é sem razão que dezenas de entidades civis estão reunidas na campanha “Tire Meu Rosto da Sua Mira”, incluindo a Data Privacy Brasil.
É preciso uma interpretação rigorosa sobre o devido processo e sobre princípios de justiça aplicáveis nos tratamentos de dados pessoais para fins de segurança pública, dando maior materialidade à redação do escopo de exceção da LGPD. É tarefa da ANPD explicitar o que são atividades primárias e secundárias de segurança pública. Não faz sentido Prefeituras e Secretarias de Segurança Pública argumentarem que metrôs, companhias de transporte e outros serviços essenciais realizam atividades de “segurança pública” e que não há aplicabilidade dos direitos básicos dos titulares de dados pessoais.
É importante repetir o óbvio: a Autoridade Nacional de Proteção de Dados Pessoais tem como função primordial proteger direitos fundamentais e não regular mercados do mesmo modo que agências reguladoras de setores específicos. Empresas e escritórios têm todo direito de dialogar com a Autoridade e apresentar suas demandas, porém o enfoque de regulação é social e não puramente econômico.
Os pontos cegos da agenda
Por fim, nossa oficina identificou três pontos cegos que são bastante preocupantes. São itens que deveriam constar na Agenda e lá não estão.
O primeiro é a harmonização entre a LGPD e as normas de acesso à informação pública. Essa tem sido uma grande preocupação da sociedade civil, não só pelo fechamento sistemático de informações, mas também por ser uma clara distorção e instrumentalização da LGPD. Da mesma forma, outros órgãos, no limite de suas competências, já têm se manifestado sobre a temática, como é o caso do TSE no contexto eleitoral. Assim, é de interesse da sociedade, mas também da ANPD, fortalecer essa agenda e marcar uma posição, sob pena de prejuízos importantes ao fluxo informacional de interesse coletivo e também à LGPD.
Seja no caso Inep, nos casos do GSI, nos casos do Cadastro Ambiental Rural, há uma grande confusão interpretativa sobre como a LGPD pode ser utilizada em situações de direitos coletivos de acesso à informação. É o que temos documentado insistentemente no projeto “Transparência, Democracia e Proteção de Dados Pessoais”.
O segundo ponto cego é a agenda de exploração econômica de dados sensíveis, em especial os dados de saúde, no Brasil. Diante das inúmeras matérias sobre o interesse do governo federal de instituição de um sistema de Open Health, é crucial que a ANPD inclua em sua Agenda Regulatória um item sobre os limites interpretativos do § 3º do art. 11 da LGPD, que trata da “comunicação ou o uso compartilhado de dados pessoais sensíveis entre controladores com objetivo de obter vantagem econômica”. É sintomático que o grupo de trabalho de Open Health tenha sido formado apenas por Ministério da Saúde, Agência Nacional de Saúde, Secretaria de Governo Digital do Ministério da Economia e Banco Central do Brasil, sem envolvimento da ANPD.
A situação também é grave diante da inexistência de articulação institucional entre a ANPD e o MS com relação ao sistema de interoperabilidade de dados sensíveis, que possuem maior potencial discriminatório e capacidade de lesão de direitos fundamentais. Há necessidade de construção de uma agenda pública de discussões com envolvimento da comunidade técnica de saúde pública, para mapeamento de riscos na proposta de Open Health. A ANPD possui, de acordo com a LGPD, competência para articular sua relação com a ANS e
Um terceiro tema ausente da lista é a revisão de decisões automatizadas, do art. 20 da LGPD. É conhecido todo o contexto em torno dessa disposição ao longo do processo legislativo, evidentes os diversos interesses em disputa quando se fala no assunto. A redação atual não atrela a revisão a pessoa natural, mas também não a veda. A ANPD, como órgão com competência primária para interpretar a LGPD, não pode se furtar a construir uma interpretação coerente sobre o tema, diante de problemas de plataformização e gestão algorítmica.
Como discutido no Seminário de Privacidade do Comitê Gestor da Internet, há situações de alto risco nas quais o direito à revisão humana de decisão automatizada é cabível e socialmente desejável. A ANPD possui competência normativa para definir normas específicas para situações de alto risco às liberdades e direitos dos titulares. Partindo dessa competência centrada em situação de alto risco, ela possui o dever de avançar na agenda de explicitação desses direitos, especialmente em situações de novos intermediários para construção de scoring, pontuações e ranqueamentos que podem afetar o modo como a população brasileira tem acesso à educação, ao crédito e aos serviços básicos de saúde.
Além disso, será central em 2023 a discussão sobre decisões automatizadas em ambiente de “trabalho plataformizado”, no qual há gerenciamento algorítmico de performance, constante metrificação das ações e sistemas automatizados de incentivos e até mesmo de suspensões de usos de uma plataforma. Por trás do tecnicismo do artigo 20 há uma grande agenda social, que afeta direitos de milhões de brasileiros.
Fonte: JOTA. Leia matéria completa.
