ANPD: Datavalid opera sem amparo legal da LGPD e Serpro tem de mudar o serviço

A Autoridade Nacional de Proteção de Dados (ANPD) entende que o serviço “Datavalid”, executado pelo Serpro e que consiste na validação de dados cadastrais e biométricos de cidadãos brasileiros portadores da Carteira Nacional de Habilitação (CNH), precisará ser revisto, pois não atende a alguns requisitos previstos na Lei Geral de Proteção de Dados Pessoais (LGPD). O “Datavalid” foi criado pelo Serpro antes da vigência da LGPD. A Autoridade tornou isso claro em uma Nota Técnica nº39/2021/CGF/ANPD, em poder deste Blog, que ainda não é de conhecimento público, mas já foi encaminhado ao Tribunal de Contas da União (TCU) e demais envolvidos no processo nº TC 016.073/2019-3 da Corte de Contas, cujo relator é o ministro Bruno Dantas.

Na avaliação da ANPD a mudança no sistema “é condição necessária para regularização do tratamento de dados pessoais para a prestação do serviço Datavalid à luz da LGPD e deve o Serpro apresentar evidências nesse sentido, caso pretenda continuar prestando o Datavalid”.

A Autoridade simplesmente respondeu aos questionamentos feitos pelo TCU num processo, em que avalia representação movida em 2019, na qual o Ministério Público do Distrito Federal e Territórios acusa o Serpro de fazer “tratamento ilegal de informações oriundas do Departamento Nacional de Trânsito (Denatran), consistente nos dados pessoais e dados pessoais sensíveis constantes da Carteira Nacional de Habilitação (CNH)”. O MPDFT não apenas pediu a suspensão do serviço, assim como quer a responsabilização dos idealizadores e gestores.

A última movimentação deste processo no TCU informa que ele está na Secretaria de Fiscalização de TI (Sefti) para suas conclusões finais, que provavelmente nortearão o voto do ministro Bruno Dantas a ser avaliado pelo plenário do tribunal. O documento é extenso, contém 39 páginas, e foi assinado digitalmente por Fabricio Guimarães Madruga, Cordenador-Geral de Fiscalização da ANPD, além dos técnicos Felipe Ricardo da Costa Freitas, Marcelo Santiago Guedes, Lucas Costa dos Anjos e Thiago Guimarães Moraes.

Na Nota Técnica da ANPD ficou evidenciado que houve até uma “troca de farpas jurídica” entre o Serpro e o TCU, por conta da estatal levantar dúvidas quanto a competência do tribunal de avaliar a questão. O TCU apresentou até uma decisão do STF (ADPFnº 695) do Partido Socialista Brasileiro (PSB), que barrou um acordo de compartilhamento de informações de brasileiros entre o Serpro e a Agência Brasileira de Inteligência, para confirmar suas competências legais para avaliar o processo.

Decisão

Para a ANPD, é possivel o compartilhamento de dados pessoais pelos órgãos da Administração Pública Federal e o Serpro, para o desenvolvimento de políticas públicas. Porém, esse compartilhamento deverá observar as disposições legais previstas na LGPD, “principalmente o atendimento aos limites das hipóteses legais (Art. 7º ou Art. 11), princípios e fundamentos (Art. 6º c/c Art. 2º), direitos dos titulares previstos nos Artigos nº18, nº19, nº8 e nº 9”, declara.

E torna claro que cada caso de uso (compartilhamento) será um caso a ser avaliado separadamente. “O tratamento de dados ou uso compartilhado de dados pessoais entre órgãos públicos e empresas privadas é permitido desde que seja demonstrada a hipótese legal e atendidos os limites dispostos na LGPD para cada caso concreto“, destacou.

Da mesma forma, a ANPD entende que é permitido o tratamento de dados ou uso compartilhado de dados pessoais entre órgãos públicos e empresas privadas, desde que fique demonstrado a hipótese legal dentro dos limites dispostos na LGPD, em cada concreto. Ou seja: cada caso é um caso. Para a Autoridade, a “impossibilidade do uso compartilhado entre órgãos públicos e empresas privadas surge das limitações impostas pela LGPD e não de vedação explícita”.

Porém a ANPD constatou falhas na falta de documentação que autorize o compartilhamento de dados pessoais da Receita Federal do Brasil e do Denatran com o Serpro. “Não há, nos autos, documento produzido pela Receita Federal do Brasil que autorize o Serpro a fazer uso dos dados da Receita Federal do Brasil, na condição de controlador”. E destacou que o Serpro precisa obter autorização expressa da Receita Federal (…) ” a fim de se adequar ao que foi disposto na LGPD.

No dia 19 de abril deste ano a Receita Federal publicou a consolidação todos os normativos sobre o tema na Portaria (Nº167 de 14 de abril/22). Se essa foi uma resposta à cobrança da ANPD não se sabe, nem tampouco se atende ao que a autoridade requereu.

Dados desnecessários

Da mesma forma o Denatran (Departamento Nacional de Trânsito), também foi cobrado pela ANPD para “adequar o Termo de Autorização ao disposto na legislação de proteção de dados pessoais”. Seu documento autorizando o uso de suas bases de dados está fora dos padrões legais da LGPD. E tem mais: os técnicos da ANPD não entenderam e mandaram excluir, determinados dados pessoais que não têm nenhum amparo legal para serem necessários para efeito de validação cadastral ou biométrica do “Datavalid”.

“Não se vislumbra como amparado para prestar o Datavalid o tratamento dos dados “CNH_Codigo_Situação” e “CNH_Possui_Impedimento”, já que não se prestam a confirmar a identidade de alguém, assim como outros que identificar que se encaixam na mesma situação (…) Tais dados, por conseguinte, devem ser imediatamente excluídos do
uso compartilhado e o Serpro deve se abster de realizar qualquer tratamento deles sob fundamento de prestar o Datavalid”, afirmaram.

Interoperabilidade

Para os técnicos da Autoridade Nacional de Proteção de dados a LGPD “autoriza e fomenta a interoperabilidade e o uso compartilhado de dados pessoais no âmbito do setor público”. Porém, estabelece uma série de “diretrizes e requisitos”, para os controladores de forma a estabelecer a “transparência, à gestão de riscos, à prevenção de danos e à proteção de direitos dos titulares”. E listou tais regras:

i) hipótese legal,
ii) finalidade específica,
iii) dados pessoais objeto do uso compartilhado,
iv) possibilidade ou vedação de uso compartilhado para outros órgãos,
v) disposição sobre duração e eliminação dos dados,
vi) ônus financeiro,
vii) transparência,
viii) direitos dos titulares, e
ix) governança, gestão de riscos e medidas de segurança.

Responsabilidade

Na ótica da ANPD a oferta de um serviço de validação de identidade, biométrica ou cadastral, pode ser considerada uma política pública e, portanto, a hipótese legal de execução de política pública pode ser invocada para o tratamento de dados pessoais com esse fim. Em tese, o Serpro pode prestar o serviço “Datavalid” como política pública, mas os seus argumentos apresentados ao TCU são frágeis aos olhos dos técnicos do órgão.

“Os instrumentos de políticas públicas apresentados pelo Serpro especificamente afastam de sua incidência empresas públicas ou sociedades de economia mista, de modo que o Serpro não logrou apresentar um fundamento legal que o associe a uma política pública específica, que o habilite a invocar a hipótese legal de execução de política pública”.

Para a Coordenação-Geral de Fiscalização da ANPD, a finalidade indicada pelo Serpro, muito embora específica, ainda não foi suficiente para evitar o uso indiscriminado do Datavalid, sobretudo na questão de crédito. Recomendou que neste caso o Serpro adote as salvaguardas necessárias que impeçam o uso do serviço indiscriminadamente. E deixou claro que a estatal “deve assumir para si a responsabilidade de evitar o mau uso do serviço, implementando mecanismos que garantam o respeito à finalidade específica”.

Não se sabe que decisão foi tomada pelo Serpro após essa puxada de orelhas da ANPD. Se a empresa espera primeiro o Acórdão do Tribunal de Contas da União ou se já estaria implementando mudanças no “Datavalid”. O que a estatal não poderá alegar é que não conhece o teor da decisão da Autoridade Nacional de Proteção de Dados. Pois em em 26 de outubro do ano passado os resultados dessa avaliação foram discutidas pelos os integrantes do Conselho de Administração da estatal, conforme registrado na Ata da Reunião Ordinária naquela data.

A Nota Técnica afasta a possibilidade de o Ministério Público do Distrito Federal suspender o serviço Datavalid ou punir os administradores do Serpro. Porém lança luz na discussão, ao mostrar que a estatal não está plenamente “em conformidade com a LGPD”, como costuma propagandear em suas redes sociais.

O parecer dos técnicos da ANPD é claro quando entende a necessidade do uso dos dados pessoais de cidadãos brasileiros para execução de políticas públicas, mas cobra mudanças no conteúdo dos contratos de serviços que o Serpro assina, para torná-los mais claros em seus objetivos. E cobra da estatal informações sobre os riscos inerentes ao compartilhamento de dados, sobretudo com o setor privado, e até mesmo a percepção da sua responsabilidade quanto a eventualidade de mau uso do serviço por terceiros.