Decreto limita uso de dados pessoais e abre Comitê à sociedade

O Decreto Federal 11.266 de 25/11/2022 atualizou o Decreto nº 10.046 de 2019, atendendo decisão do STF (Supremo Tribunal Federal) que determinava mudanças nas regras do sistema de cruzamento de dados do Poder Executivo (ref)… Alguém aqui do fórum chegou a analisar o conteúdo destes decretos?

Algumas dúvidas e temas para avaliação:

  • Limita uso de dados pessoais do Cadastro Base: parece bom por atender à LGPD explicitamente.
    Por outro lado, até que ponto poderá ser utilizado com interpretação mais ampla gerando um apagão ainda maior na transparência dos dados públicos?

  • Abre à sociedade o Comitê Central de Governança de Dados, uma iniciativa boa. Teria como atribuição legal deliberar sobre a gestão do Cadastro Base. Na prática, todavia, por melhor que seja, pode cair no mesmo vício que os Comitês de Bacias Hidrográficas (ver por ex. ref1, ref2, ref3). Com raras exceções, deixaram de ser participativos, permaneceram invisíveis até nas grandes crises hídricas; resultaram ser, na prática, uma extensão do governo do estado, da ANA e das companhias locais de saneamento.
    Seria interessante discutir aqui quais mecanismos garantiriam um rumo diferente.

Sim, de fato parece que a atualização do decreto visa a atender a decisão do STF. Inclusive o parágrafo único do artigo 16 parece ter vindo diretamente do texto da decisão:

"Art. 16. …

Parágrafo único. É vedado o uso do Cadastro Base do Cidadão, ou o cruzamento deste com outras bases, para a realização de tratamentos de dados que visem mapear ou explorar comportamentos individuais ou coletivos de cidadãos, sem o consentimento expresso, prévio e específico dos indivíduos afetados e sem a devida transparência da motivação e finalidade." (NR)

Algumas das principais novidades são:

  • a formalização de documentos de solicitação de interoperabilidade (art. 5º, §§ 3º e 4º)
  • a exigência de transparência, no site de cada órgão, sobre os compartilhamentos de dados utilizados e as suas respectivas finalidades (art. 5º, §§ 1º e 2º)
  • a composição e as regras de funcionamento do comitê

Pelo visto, o decreto visa principalmente aumentar a transparência do uso de dados pessoais e vincular mais fortemente a questão da finalidade. Embora, quanto à transparência, ainda não chegue no nível da Estônia, onde o cidadão pode ver quem e quando teve acesso aos seus próprios dados:

every data processor is aware of the fact that a citizen from a home computer or mobile phone can observe if there was unlawful access to their personal information. By logging in with e-ID or m-ID, an Estonian citizen can see who is accessing their personal information and what kind of personal information is being accessed. They can even prohibit third parties from using their data for consumer habit research and direct marketing.

Fonte: https://estonianworld.com/security/right-mix-estonia-ensures-privacy-access-e-services-digital-age/

Vi também uma crítica dizendo que o sistema estoniano de controle de acesso aos dados pessoais não funcionaria direito, mas é um texto de 2016. O outro é mais atual.

1 curtida