A Lei Geral de Proteção de Dados Pessoais - LGPD permite o compartilhamento de dados de saúde (dados considerados sensíveis) sem o consentimento dos titulares, nos termos do art. 11, inciso II, para:

     - “tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos” (item b);

     - “tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária” (item f),

     - “proteção da vida ou da incolumidade física do titular ou de terceiro para finalidades de tutela da saúde pública” (item e).

Também no seu art. 7º, inciso III, a LGPD autoriza o tratamento de outros dados pessoais sem a necessidade de consentimento prévio dos titulares “pela administração pública,para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres”, observadas as disposições no Capítulo IV da lei.

Permite, ainda, o compartilhamento de dados pessoais de saúde, sem o consentimento do titular, para a realização de estudos por órgãos, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis (art. 11, inciso II, item c).

A vigência da LGPD permitirá a utilização de mecanismos de transferência internacional de dados, que são fundamentais para o combate da COVID-19, haja vista que é essencial otimizar a transferência de dados e o comércio internacional, ressaltando-se, neste momento, a extrema necessidade de suprimentos e kits médicos importados – o que é crucial para o salvamento de vidas e para as medidas sanitárias e médicas emergenciais urgentes.

Entendemos que a LGPD, em face de todas essas hipóteses legais, se mostra extremamente compatível com o tratamento de dados pessoais no contexto de enfrentamento da pandemia do Covid-19, trazendo maior segurança jurídica aos envolvidos – todos os agentes de tratamento e os titulares de dados pessoais.

Além disso o enfrentamento da pandemia demandará a adoção mais ampla de tecnologias de monitoramento, como a geolocalização e o reconhecimento facial, fazendo com que seja urgente a entrada em vigor da LGPD, haja vista a exposição dos dados pessoais e a necessidade de transparência e de controle da finalidade do uso dessas tecnologias.

O período de isolamento social incrementará a quantidade de fluxos de dados pessoais e a adoção massiva de aplicativos e tecnologias da informação, sendo imperiosa a adoção de medidas e procedimentos de segurança preconizados na LGPD, com ênfase no princípio da prevenção, para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais, bem como, o princípio da segurança, com a utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados, bem como, de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.

O que mais nos preocupa é que o adiamento da vigência da LGPD,conforme proposto no art. 25 do PL 1179/2020, implicará no reconhecimento de que o marco regulatório de proteção de dados na esfera da administração pública federal será a normativa promovida pelo Decreto 10.046/2019, que cria o Cadastro Base do Cidadão, e seus atos regulamentares.

As deficiências regulatórias e inconstitucionalidades do Decreto 10.046/2019 foram analisadas minuciosamente no parecer emanado no âmbito da Comissão de Proteção de Dados e Privacidade da OAB/RJ (link: https://www.oabrj.org.br/noticias/comissao-protecao-dados-privacidade-lanca-parecer-sobre-decretos-federais-criam-grande ).

Esse decreto, contrariando o disposto na LGPD, admite a integração a priori dos dados pessoais de todos os cidadãos brasileiros em um cadastro unificado e gigantesco, de forma que os dados poderão ser compartilhados sem a observância das normas da lei geral que salvaguardam os direitos fundamentais.

São intensos os riscos advindos dos cruzamentos, sem maior grau de transparência,das chamadas base integradora ebase temática, previstas no art. 2º, incisos VI e VII do Decreto 10.046/2019, que integrarão os atributos biográficos previstos no art. 2º, I, e os atributos biométricos. Esses cruzamentos das bases de dados poderão ensejar um controle político intenso dos cidadãos, típico de regimes totalitários, especialmente diante do avançodos sistemas de tratamento automatizado e dos mecanismos de decisão automatizada decorrentes do crescimento exponencial da inteligência artificial, como o reconhecimento facial,deixando-se de contemplar o princípio da finalidade, cujo imperativo é a realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem a possibilidade de tratamento posterior de forma incompatível com essas finalidades.

Há um enorme descompasso entre as normas do Decreto 10.046/2019 e o tratamento que a LGPD disciplina para a coleta dos dados pessoais sensíveis, que estão elencados no art. 5º, inciso II: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político; dado referente à saúde ou à vida sexual; dado genético ou biométrico.

Esse descompasso traz a preocupação de que os dados sensíveis, como os atributos biográficos e biométricos que integrarão as bases integradora e temática, não têm no Decreto 10.046/2019 a garantia das regras previstas no art.11 da LGPD, que exigem procedimentos diferenciados para a coleta e o tratamento de dados sensíveis, cabendo ressaltar que o Decreto 10.046/2019 também não prevê que seja dada publicidade à dispensa do consentimento do titular, nas hipóteses previstas no §2º do art. 11 e do inciso I do art. 23 da LGPD.

O Decreto 10.046/2019 não contempla em sua regulação que o uso compartilhado de dados pessoais pelo Poder Público deve atender a finalidades específicas de execução de políticas públicas e atribuição legal pelos órgãos e pelas entidades públicas, nem prevê que sejam respeitados os princípios de proteção de dados pessoais elencados no art. 6º da lei geral, como determina o art. 26 da LGPD.

Desta forma, estarão legitimadas e naturalizadas situações de tratamento de dados pessoais abusivo, discriminatório e desproporcional, com o potencial de irreversibilidade de danos para os seus titulares.

O Decreto 10.046/2019 criou, ainda, o Comitê Central de Governança de Dados, que está em pleno funcionamento, conforme disciplinado pelas Resoluções nº 1 e 2, de 16/03/2020, e deferiu a esse Comitê o papel da governança dos dados tratados pelo governo federal, haja vista que o referido Decreto atribuiu ao Comitê Central de Governança de Dados a competência para deliberar sobre diversas matérias que deveriam ser objeto de deliberação da Autoridade Nacional de Proteção de Dados, sem as salvaguardas previstas na LGPD para o tratamento de dados pessoais pelo Poder Público.

Oadiamento da LGPD representará a adoção do Decreto 10.046/2019 como marco regulatório em proteção de dados no Brasil e consistirá em indesejado obstáculo para que o nosso país obtenha o tão desejado reconhecimento formal dos países europeus e da OCDE como país com nível adequado de proteção de dados, especialmente neste cenário de crise econômica, haja vista que as regras atinentes à tutela de dados pessoais não se mostram efetivas com a nova sistematização introduzida pelo decreto, sistemática esta que possibilita, em tese, a violação de direitos fundamentais dos cidadãos brasileiros. 

Não somos insensíveis às urgências da pandemia, com a sua consequente crise econômica, e concordamos que agora é hora de focar em manter a renda e o emprego dos trabalhadores e desonerar as empresas. 

Acontece que a Lei Geral de Proteção de Dados Pessoais, como aqui exposto, para além de prever a conformidade das empresas, é o marco legal que temos para a proteção dos dados pessoais e esse marco legal foi uma conquista da sociedade brasileira que deve ser preservada e defendida.

Assim, avaliamos que é possível postergar o início da vigência das sanções e outras previsões legais que onerem as empresas, sem, contudo, postergar os artigos que trazem as definições, princípios e fundamentos que devem balizar o uso e compartilhamento de dados pessoais, inclusive pelo poder público. Sem isso, no âmbito do Governo Federal, por exemplo, teremos em vigor somente decretos que vão em sentido contrário a todos os avanços políticos e jurídicos do debate da Proteção de Dados Pessoais no Brasil e no mundo.

Importante ressaltar que, no combate à pandemia, há uma intensificação do uso de mecanismos e políticas de vigilância e controle da população, que até podem ser justificadas em um contexto de emergência sanitária, mas é necessário que tenhamos instrumentos legais para garantir que esse uso cessará passada a calamidade. E a manutenção das definições legais, princípios, fundamentos e o balizamento do tratamento de dados pessoais pela administração pública previstos na LGPD são fundamentais para isso. 

Estela Aranha
Presidente da Comissão de Proteção de Dados e Privacidade da OAB/RJ

Lucia Maria Teixeira Ferreira
Coordenadora de Estudos e Pareces da Comissão de Proteção de Dados e Privacidade da OAB/RJ