Proteção de dados X Dados abertos: contribuições do IRIS às consultas públicas do CNJ e do MCTI
Escrito por
Victor Vieira (Ver todos os posts desta autoria)
2 de outubro de 2023
Mais uma vez, vou mudar um pouco o formato do que costumo postar aqui no blog para falar de algo diferente. Não com relação ao tema – em verdade, o tópico central deste texto é o mesmo do meu último blog post –, mas sim com relação ao tipo de conteúdo que pretendo abordar aqui. O objetivo deste texto, mais especificamente, é evidenciar um pouco mais do trabalho que o IRIS realizou no primeiro semestre de 2023, no projeto “Manejando a proteção de dados pessoais frente à garantia de acesso a dados públicos“. Realizamos contribuições neste período que – ao menos por enquanto – não foram divulgadas em formato de publicação oficial, mas elas merecem destaque. Confira a seguir!
Preliminar e brevemente: sobre o projeto
O projeto “Manejando a proteção de dados pessoais frente à garantia de acesso a dados públicos” gira em torno de uma discussão judicial vigente no Supremo Tribunal Federal no Tema de Repercussão Geral nº 1141, sobre a compatibilidade entre os regimes jurídicos brasileiros de proteção de dados pessoais e de acesso a informações provenientes da Administração Pública. Em resumo, está em debate a possibilidade de dados públicos serem compartilhados em nome da transparência do Estado, e depois utilizados para finalidades adicionais, por terceiros – especificamente, em casos nos quais as referidas informações públicas contenham dados pessoais, protegidos pelo regime da Lei Geral de Proteção de Dados Pessoais (LGPD), entre outras normas jurídicas.
Essa discussão judicial teve início no Tribunal de Justiça do Estado do Rio Grande do Sul (TJRS), no ano de 2019. À época, um processo foi ajuizado contra as empresas Google e Escavador, abordando justamente o tema da compatibilidade entre as garantias legais trazidas pela LGPD e a LAI (Lei de Acesso à Informação). Trata-se de um caso relativamente complexo e cuja descrição detalhada não caberia neste texto, mas deixo aqui um link para meu último blog post como convite para quem tiver interesse em uma recapitulação completa do percurso desse processo, desde o TJRS até o STF – bem como nas minhas percepções pessoais sobre o assunto.
Voltando ao tema em pauta, ao longo do último semestre, a equipe envolvida com essa pesquisa – Juliana Roman, Wilson Guilherme e eu – desenvolvemos uma série de materiais sobre toda essa discussão. Publicamos, por exemplo, uma nota técnica contendo percepções sobre essa suposta controvérsia entre LAI e LGPD. Além disso, protocolamos um pedido ao STF e obtivemos sucesso em incluir o IRIS entre o rol de Amici Curiae (“amigos da corte”) que irão fornecer considerações técnicas sobre o Tema 1141 – que discute justamente as intersecções e o suposto conflito entre a LGPD e a LAI. Ainda, publicamos um artigo pelo IRIS para sistematizar os aprendizados e descobertas que tivemos ao longo do projeto.
Contudo, algo que não consta entre os materiais disponíveis no site do IRIS diz respeito às contribuições que fornecemos em sede de duas consultas públicas que têm relação com nosso objeto de pesquisa neste projeto. É sobre essas consultas que gostaria de me prolongar neste texto – tanto por entender que esse material é digno de uma atenção dedicada, e a transparência e a publicidade sobre nossa atuação institucional representam pilares fundamentais do IRIS como entidade comprometida com a defesa de direitos civis. Seguem, portanto, breves contextualizações de cada uma dessas consultas públicas para as quais fornecemos insumos, seguidas da íntegra das nossas contribuições em cada um desses processos.
CNJ: Consulta sobre o MoReq-Jus
Em janeiro de 2023, o Conselho Nacional de Justiça (CNJ) publicou a convocação de uma consulta pública com o objetivo de coletar insumos para a atualização do Modelo de Requisitos para Sistemas Informatizados de Gestão de Documentos e Processos do Poder Judiciário (MoReq-Jus). O MoReq-Jus consiste em um documento de diretrizes instituído via Resolução do CNJ que
“estabelece critérios a serem cumpridos na captura, produção, classificação, tramitação, guarda, avaliação, seleção, armazenamento, indexação, preservação, arquivamento e recebimento, pelos sistemas de gestão de processos e documentos digitais, não digitais ou híbridos, a fim de garantir a sua confiabilidade, autenticidade e acesso”.
O modelo da consulta pública consistiu na divulgação do rascunho inicial do documento que substituirá as diretrizes do MoReq-Jus vigentes desde 2009. Pessoas e entidades interessadas em contribuir deveriam, assim, fornecer considerações quanto aos capítulos do referido documento, sendo possível opinar apenas sobre os trechos que julgassem pertinentes (não era necessário emitir considerações sobre todos os 16 capítulos). As considerações sobre cada capítulo deveriam ser apresentadas dentro de um limite de 1.000 caracteres.
Fornecemos pareceres sobre o conteúdo contido nos capítulos 4, 6, 8 e 11. Segue a íntegra do conteúdo que fornecemos ao CNJ nesse processo:
- Capítulo 4:
- É imperioso inserir no âmbito do tópico intitulado “f) Atribuição de restrição de acesso” a anonimização dos dados como uma etapa essencial. Nos termos do artigo 5º, inciso III da LGPD, o dado anonimizado é aquele referente ao titular que não possa ser identificado, considerando-se o uso de meios técnicos razoáveis e disponíveis no momento de seu tratamento. Na prática, a simples restrição atual realizada pelas ferramentas tecnológicas da justiça não oculta completamente a identificação de um indivíduo, mesmo em processos que se encontram sob segredo de justiça. Ademais, na prática, processos legalmente determinados com segredo de justiça, devem ser classificados como restritos e anonimizados. Por exemplo, em processos de alimentos que envolvam crianças, não é suficiente a mera ocultação do nome da criança. É imprescindível que haja a anonimização de todo o contexto, o que implica na ocultação de dados dos genitores, região da Vara, dentre outros dados que permitam a identificação.
- Capítulo 6:
- Questiona-se, inicialmente, a necessidade de arquivamento perpétuo de algumas das classes de documentos submetidos à tutela judicial. Isto porque, especialmente em observância do direito ao esquecimento, a disponibilização permanente de registros relativos a petições iniciais, decisões judiciais e outras peças processuais – sobretudo em matéria criminal – pode representar a manutenção de ferramentas de marginalização social. Nesse sentido, em casos em que a guarda permanente de documentos submetidos ao sistema GestãoDoc seja necessária, por motivos de alimentação do acervo histórico dos tribunais nacionais, recomenda-se a adoção de técnicas de anonimização dos documentos processuais armazenados em momento oportuno após o trânsito em julgado, a fim de impossibilitar a reidentificação das partes e demais pessoas envolvidas nesses processos, em respeito à sua privacidade e à proteção de seus dados pessoais, bem como para impossibilitar o acesso a essas peças para fins ilegítimos.
- Capítulo 8:
- Por questões relativas à transparência, seria interessante que os documentos trouxessem informações relativas a sua confidencialidade, se ostensivos, reservados ou sigilosos. Também informações relativas às regras, normas e legislação que estabelecem as razões para determinado sigilo. Por fim, destaca-se que histórico de todas as intervenções feitas no documento seja disponibilizado ao usuário que solicitar, por meio de pedido específico e direcionado à equipe responsável pelo software. Para tanto, solicita-se que seja disponibilizado canal de contato que possibilite o contato do usuário com os gestores da plataforma.
- Capítulo 11:
- Questões relacionadas aos problemas de segurança não tem pertinência apenas aos aspectos tecnológicos, tendo em vista que envolvem características do comportamento humano, relativas às pessoas que intervêm no desenvolvimento e uso das ferramentas. Portanto, é importante o estabelecimento de diretrizes procedimentais relativas às pessoas responsáveis pelo software ou àquelas que detém acesso ao mesmo. Tais documentos devem levar em conta as melhores práticas internacionais sobre a matéria, além das normativas nacionais relevantes à segurança da informação. Devem ser consideradas exigências e procedimentos de segurança da infraestrutura das instalações, também normas técnicas específicas para a utilização de dados e metadados por parte da equipe gestora do software.
MCTI: Consulta sobre o Plano de Dados Abertos 2023-2025
Em março de 2023, o Ministério da Ciência, Tecnologia e Inovação (MCTI) abriu uma consulta pública requerendo à sociedade percepções sobre como deveriam ser destinados seus esforços até o ano de 2025 com relação ao Plano de Dados Abertos. Trata-se do documento através do qual é operacionalizada a Política de Dados Abertos do Poder Executivo Federal, institucionalizando as iniciativas de abertura de dados sobre diversas das iniciativas de fomento ao desenvolvimento sócio-cultural, educacional e econômico realizadas pelo Poder Público.
O modelo da consulta pública consistiu na atribuição de uma nota entre 1 e 5 sobre a urgência no despendimento de esforços institucionais para abertura de dados com relação a cada um dos programas de fomento mantidos pelo Poder Executivo Federal – “1” representando baixa prioridade e “5” representando prioridade máxima. Diferentemente da consulta do CNJ, era necessário atribuir uma nota quanto à prioridade dos esforços de transparência com relação a todos os programas apresentados (não era possível deixar de responder a uma das questões). Ao final das questões relativas à atribuição de prioridades na abertura de dados sobre os programas, contudo, foi disponibilizado um campo opcional para inserção de comentários gerais sobre as iniciativas de transparência do MCTI.
Conforme determinado pela metodologia da consulta, atribuímos valores numéricos para sinalizar a prioridade da transparência estatal quanto a cada um dos projetos apresentados. Os valores definidos para cada critério foram estabelecidos conjuntamente pelas 3 pessoas que compõem a equipe de pesquisa do projeto “Proteção de dados X Dados abertos”. Nossa metodologia consistiu na atribuição de cada uma das notas individual e secretamente pelas pessoas da equipe. Essas notas para cada um dos tópicos apresentados foram posteriormente comparadas entre si: quando houve consenso quanto à prioridade da iniciativa em análise, definiu-se imediatamente a nota; quando houve divergência em alguma das respostas, discutimos internamente sobre o tópico controverso até alcançarmos uma nota em comum. A legenda disponível ao fim da tabela desta seção ilustra os tópicos nos quais houve total consenso na atribuição das notas, consenso parcial (entre 2 das 3 pessoas envolvidas nas respostas) ou dissenso total entre as notas atribuídas a um tópico específico.
Cabe apontar, também, que não apresentamos comentários de cunho geral no campo de resposta opcional ao fim do formulário de consulta. Segue a íntegra do conteúdo que fornecemos ao MCTI nesse processo:
Muita coisa aconteceu antes e ainda há muito por vir
Essas consultas públicas do CNJ e MCTI às quais submetemos contribuições fazem parte de debates que não inauguraram as discussões sobre LAI e LGPD – e nem mesmo se encerraram ou pretendem concluir as questões que permeiam essa controvérsia jurídica. Mas sempre é tempo de entrar nesse rio incessante de problemáticas, especialmente quando podemos encontrar algumas tábuas de salvação que nos permitam algum fôlego.
Aproveitando o espaço para recomendações de leituras adicionais, convido você a conferir o mais recente post do nosso blog, escrito pela Rafaela Ferreira, que oferece um verdadeiro bote salva-vidas para o tema dos neurodireitos na América Latina. Ela apresenta um panorama sobre a emergência e a importância dessa nova categoria de direitos no cenário global, e o protagonismo latino-americano na luta pelo reconhecimento dessa garantia civil. Boa leitura!
As opiniões e perspectivas retratadas neste artigo pertencem a seu autor e não necessariamente refletem as políticas e posicionamentos oficiais do Instituto de Referência em Internet e Sociedade.
Escrito por
Victor Vieira (Ver todos os posts desta autoria)
Victor Vieira é bacharel em Direito pela Universidade Federal de Minas Gerais (UFMG) e pós-graduando em Proteção de Dados Pessoais pela Pontifícia Universidade Católica de Minas Gerais (PUC Minas). É pesquisador e encarregado de proteção de dados pessoais no Instituto de Referência em Internet e Sociedade (IRIS) e advogado. Membro e certificado pela International Assosciation of Privacy Professionals (IAPP) como Certified Information Privacy Professional – Europe (CIPP/E).