Home  >  Segurança

Governo cria cadastro unificado e regulamenta uso de dados de cidadãos

Para especialista, entretanto, decreto não responde adequadamente às diretrizes da Lei Geral de Proteção de Dados

Jonas Valente, Agência Brasil

11/10/2019 às 11h13

Foto: Shutterstock

O governo federal editou decreto nessa quinta-feira (10) estabelecendo as regras para compartilhamento de dados de cidadãos coletados e tratados por órgãos da administração federal, além de definir requisitos para acesso aos registros e limitações. A norma também criou o Cadastro Base do Cidadão, listagem contendo informações gerais de pessoas detidas por instituições do Executivo Federal.

O Executivo é detentor das maiores bases de dados do país. Cadastros de pessoas físicas, carteiras nacionais de habilitação, declarações de imposto de renda, aposentadorias e benefícios sociais são apenas alguns dos exemplos onde milhões de registros são coletados, armazenados e geridos. Assim, as regras de utilização dizem respeito a informações dos cidadãos, envolvendo a oferta de serviços públicos mas também a privacidade e a proteção desses dados.

O decreto visa disciplinar a gestão desses registros, atendendo a diretrizes da Lei Geral de Proteção de Dados (LGPD). A norma regulou a coleta e o tratamento de informações no país, os direitos dos indivíduos e a responsabilidade de entes que manejam esses registros, sejam eles empresas privadas ou órgãos públicos. A LGPD entrará em vigor em agosto de 2020.

O decreto indica como finalidades do compartilhamento de dados a simplificação de serviços públicos, a análise do direito a benefícios sociais e a ampliação da eficiência das atividades internas do Executivo por meio da redução de custos com medidas como o reaproveitamento de sistemas de informática.

A norma dispensa a exigência de convênio ou acordo para essa comunicação e institui três modalidades de compartilhamento. No caso de dados sem restrição ou sigilo, o compartilhamento será amplo, com divulgação pública e fornecimento a qualquer pessoa interessada que fizer a solicitação.

A forma restrita será adotada quando lidar com dados submetidos a obrigações de sigilo com a finalidade de execução de políticas públicas, com modos de comunicação simplificadas entre os órgãos. Já a modalidade específica envolve dados protegidos por sigilo, cujo compartilhamento poderá ser realizado para órgãos determinados nas situações previstas na legislação.

Segundo o secretário de governo digital, Luís Felipe Monteiro, o intuito é, por meio do compartilhamento, facilitar o acesso a determinada informação por um órgão. “O governo não fala entre si. O cidadão tem que se deslocar para cumprir um rito, como obter certidão de um órgão para entregar para outro. Não é isso que queremos.

Cadastro base

O decreto também criou o Cadastro Base do Cidadão (CBC). A base integrada vai conter dados gerais sobre os brasileiros como CPF, nome, data de nascimento, sexo, filiação, nacionalidade e naturalidade. O cadastro cruza dados de distintas bases do Executivo com o intuito de, conforme o texto da norma, viabilizar a criação de meio unificado de identificação do cidadão para a prestação de serviços públicos.

De acordo com o secretário de governo digital, o objetivo com o cadastro é facilitar que um determinado órgão acesse informações que precise sobre uma pessoa para uma determinada atividade ou oferta de serviço e que essas sejam mais confiáveis. Assim, acrescenta Monteiro, uma pessoa deixará de ter de fazer novos cadastros para lidar com uma determinada instituição, podendo fornecer o CPF.

Governança

O decreto instituiu o Comitê Central de Governança de Dados, instância com a responsabilidade de tomar decisões detalhando as diretrizes previstas na legislação e na norma, como parâmetros para compartilhamentos amplo, restrito e específicos, métodos para aferir a qualidade das bases de dados dos órgãos e a inclusão, ou não, de novos dados no Cadastro Base do Cidadão.

O comitê será formado por representantes do Ministério da Economia, incluindo a Receita Federal; da Advocacia-Geral da União; da Secretaria-Geral da Presidência; da Casa Civil; do Instituto Nacional do Seguro Social e da Controladoria-Geral da União.

Cuidados

Na avaliação do pesquisador da Rede Latino-americana de Estudos sobre Vigilância, Tecnologia e Sociedade (Lavits), Rafael Zanatta, o decreto não responde adequadamente às diretrizes da Lei Geral de Proteção de Dados em relação à garantia dos direitos dos titulares de dados em alguns pontos. “A norma não prevê casos em que se pode ter finalidade distinta de uso de um dado entre diferentes órgãos, o que deveria ensejar medidas de controle preventivas em relação ao uso dessas informações”, comenta Zanatta.

O pesquisador acredita que a estrutura de governança deve ser composta também por representantes de empresas e de entidades da sociedade civil. “Isso vai na contramão do que as leis sobre a relação entre direito e tecnologia exigem em relação a governança. Tanto o Marco Civil da Internet (Lei No 12.485 de 2014) quanto a LGPD apontam isso ao exaltar a participação e estruturas multisetoriais, como o Comitê Gestor da Internet (CGI.Br) e o Conselho Nacional de Proteção de Dados (CNPD)”, complementa.

 

Home  >  Negócios

Como a LGPD afetará sua empresa? 5 dicas básicas para se enquadrar

Especialista lista os passos que sua organização precisa assumir para não herdar dores de cabeça quando a LGPD entrar em vigor em 2020

Da Redação

30/10/2019 às 11h00

Foto: Shutterstock

Hoje em dia, a maior parte das empresas, de pequenas a gigantes, em alguma frente de seu negócio, recebe algum tipo de dado do seu cliente - desde um nome e data de nascimento chegando a informações sensíveis, como o número do cartão de crédito, caso bem comum nas companhias de e-commerce, por exemplo.

Se é o caso da sua empresa, então a LGPD - Lei Geral de Proteção de Dados - é para você, e ela começará a valer a partir de 16 de agosto do ano que vem. Inspirada na GDPR (General Data Protection Regulation ou Regulamentação Geral de Proteção de Dados), da União Europeia, a lei brasileira define como as empresas devem tratar, a partir do marco zero, dados de cidadãos brasileiros, e como devem se preparar para evitar vazamentos e que esses dados caiam em mãos erradas, como as dos criminosos digitais.

A partir da vigência da lei, companhias que a infringirem poderão ser, dependendo da infração, advertidas ou receber multas até 2% do faturamento, limitada, no total, a R$ 50.000.000,00.

Marcos Paulo Pires dos Santos, diretor de engenharia de valor da Think IT, empresa brasileira provedora de serviços de infraestrutura de TI, separou 5 dicas básicas de como sua empresa deve se preparar de hoje até agosto do ano que vem, para se enquadrar na LGPD:

1. Organizar a base de Dados Interna

O primeiro passo é fazer uma varredura de quais dados de pessoas física a empresa dispõe hoje. A LGPD descreve dados pessoais como qualquer informação relacionada a uma pessoa natural identificada ou identificável, e inclui cookies. Vale ressaltar que alguns dados requerem atenção especial, tais quais os classificados como sensíveis, que identificam a origem racial ou étnica, religiosas ou filosóficas, opiniões políticas, filiação sindical, questões genéticas, biométricas, sobre a saúde do indivíduo ou relacionada à vida sexual.

Posteriormente, é preciso organizar a base, o que realmente é útil à empresa, o que não se refere ao negócio e o que pode ser desconsiderado. A partir daí terá a real visão de quais dados têm em casa.

2. Selecionar o enquadramento legal

A LGPD estabelece 10 bases jurídicas diferentes para as companhias continuarem tratando dados pessoais. Do ponto de vista de negócios comerciais, os maiores enquadramentos são Interesse Legítimo e Consentimentos Legítimos. A companhia precisa se adequar a um desses fundamentos legais para prosseguir.

3. Definir um modelo de autorização para obtenção dos dados

Se a opção é para coletar consentimentos, é preciso obter uma maneira para ter essa autorização, já que a Lei compreende que o consentimento é um “pronunciamento livre, informado e inequívoco por meio do qual os titulares de dados concordam com o processamento de seus dados pessoais para um propósito específico”.

4. Investir em cibersegurança

Independente do tamanho ou segmento da empresa, há sempre algumas proteções necessárias para evitar invasões e vazamento de dados. “Quanto mais sensíveis os dados, mais sofisticada tem que ser a barreira para evitar os ciberataques”, explica Santos. Além da medida ampliar a segurança da empresa, a lei também prevê que a adoção de política de boas práticas seja considerada como critério atenuante das infrações.

5. Nomear um responsável

Algumas companhias, especialmente as maiores ou cujo tratamento de dados seja o core business também poderão ter de nomear o “Encarregado de Proteção de Dados”, DPO (Data Protection Officer), que terá a função de monitorar e conscientizar os funcionários no tema da proteção de dados, assim como será a interface com a Autoridade Nacional de Proteção de Dados.