O movimento “Salve seus Dados – Paraná” ingressou com uma série de questionamentos na Autoridade Nacional de Proteção de Dados (ANPD), para provocar o organismo a se manifestar sobre o processo de privatização da Companhia de Tecnologia da Informação e Comunicação do Paraná (Celepar), criada em 1964. No documento o movimento ressalta “a importância da proteção de dados pessoais para a segurança e soberania do Estado”.
Com base na Nota Técnica Nº 2/2021/GTTIC/3ªCCR do Ministério Público Federal (MPF), sobre a privatização do Serpro, o movimento Salve seus Dados – Paraná, espera da ANPD uma manifestação contrária com relação à questão da proteção de dados pessoais e da venda de dados sensíveis em poder do Estado. “Essas discussões demonstram a complexidade de tais operações sob a ótica da proteção de dados pessoais”, alegou o movimento.
No dia 25 de fevereiro de 2021, o MPF encaminhou a nota ao Miinistério da Economia, na qual manifestou a sua preocupação com a venda do Serpro. Na análise feita pelo Grupo de Trabalho Tecnologia da Informação e Comunicação da Câmara de Consumidor e Ordem Econômica do MPF (3CCR), a privatização da estatal na totalidade do seu capital deixaria os seus bancos de dados sendo geridos de forma terceirizada. O GT viu essa questão como sendo decisão que seria vedada pelo § 4º do art. 4º da LGPD.
E que os serviços prestados pelo Serpro “são afetos a imperativos de Segurança Nacional, essenciais à manutenção da soberania estatal, visam garantir a inviolabilidade dos dados governamentais e de relevante interesse coletivo”.
O Grupo do MPF também viu na venda do Serpro que tal medida contrariaria a própria Lei de Segurança Nacional (Lei 7.170/83), pois iria configurar crime contra a segurança nacional “entregar ou permitir a entrega a governo ou grupo estrangeiro de dados e documentos classificados como sigilosos, bem como revelar tecnologias ou sistemas automatizados de processamento de dados em uso ou desenvolvimento no país, reputados essenciais para sua defesa, segurança ou economia”. Em resumo, a nota do Ministério Público Federal foi a pá de cal na intenção do Ministério da Economia de privatizar o Serpro.
Celepar
Com base agora nos resultados apurados pelo Ministério Público Federal e os seus questionamentos feitos contra a privatização da empresa federal, o movimento defesa da manutenção da Celepar como estatal no Paraná acaba de ingrassar com as seguintes questões para serem respondidas pela ANPD:
Questão 1.1: A ANPD tem conhecimento sobre a natureza dos dados tratados pela
CELEPAR? Em que medida esses dados se enquadram nas categorias do Art. 4º, inciso III
da LGPD, como dados para fins de segurança pública, defesa nacional ou segurança do
Estado? Coloquei em anexo o arquivo “anexo sistemas e dados CELEPAR.pdf”, de
alguns dos mais de 1000 sistemas e centenas de bases de dados gerenciados pela
CELEPAR.
- Poderia a ANPD, com base nas informações sobre a CELEPAR, emitir uma opinião técnica
ou recomendação sobre a aplicação do Art. 4º, inciso III, e solicitar os devidos Relatórios de
Impacto à Proteção de Dados Pessoais (RIPD), conforme previsto no Art. 4º, § 3º da LGPD?
Qual é o protocolo da ANPD para solicitar RIPDs e emitir opiniões técnicas ou
recomendações referentes a essas exceções?
Questão 1.2: Como a ANPD interpreta a expressão “totalidade dos dados pessoais de
banco de dados” no contexto do Art. 4º, § 4º? Isso implica que, se um banco de dados da
CELEPAR (ou parte dele) for considerado essencial para segurança pública, defesa nacional
ou segurança do Estado (Art. 4º, III), é vedado à entidade privada sucessora tratar qualquer
parte dos dados pessoais contidos nesse banco de dados, mesmo que se tente isolar ou
segregar subconjuntos, ou a proibição se aplica apenas se a integralidade física do banco de
dados for transferida sem qualquer modificação ou segregação?
Questão 1.2.1: A ANPD considera viável a migração ou o isolamento de apenas uma parte
dos dados pessoais de um banco de dados que, em sua essência, se enquadre nas finalidades
do Art. 4º, inciso III da LGPD, através, por exemplo, de processos de anonimização ou
pseudonimização? Quais critérios a ANPD utilizaria para avaliar a viabilidade dessa
fragmentação de bases de dados sem prejuízo à finalidade original e sem risco aos direitos
dos titulares?
Questão 1.2.2: Qual é o posicionamento da ANPD em relação à interpretação da Nota
Técnica do MPF sobre o SERPRO, de que serviços essenciais e seus bancos de dados, por
estarem afetos à segurança nacional e soberania estatal, não podem ser realizados por
empresas privadas que não possuam capital integralmente público? A ANPD alinha-se
ou diverge desse entendimento, e quais seriam as implicações para a desestatização da
CELEPAR, que também atua em serviços estratégicos para o governo estadual?
Questão 1.2.3: Considerando que o SERPRO é uma empresa federal e a CELEPAR é
estadual, como a aplicação do Art. 4º, § 4º da LGPD se distingue ou se assemelha entre essas
duas entidades? Existem precedentes ou orientações específicas da ANPD para a
desestatização de empresas públicas de processamento de dados em níveis subnacionais
(estadual/municipal) que tratam dados estratégicos?
Questão 1.2.4: A Lei Estadual nº 22.188/2024 do Paraná estabelece condições para a
desestatização da CELEPAR, como a manutenção da sede e das infraestruturas físicas de
armazenamento e processamento de dados no estado por um prazo mínimo e a existência de
uma “golden share” (ação preferencial de classe especial) do Estado com poder de veto
sobre deliberações sociais relacionadas a essas matérias. No contexto do Art. 4º, § 4º da
LGPD, a ANPD considera que a manutenção da infraestrutura de dados no território
nacional e a existência de uma “golden share” com poder de veto por parte do Poder
Público seriam salvaguardas suficientes para evitar que a “totalidade dos dados
pessoais de banco de dados” seja tratada por uma pessoa jurídica de direito privado
sem capital integralmente público, caso a empresa privatizada trate dados classificados
sob o Art. 4º, inciso III? Ou, ainda assim, essas medidas seriam insuficientes diante da
vedação legal?
Questão 1.2.5: Como a ANPD avalia a aplicabilidade dos princípios de segurança nacional
e soberania estatal, levantados pelo MPF no caso SERPRO, em relação a uma empresa
como a CELEPAR após sua desestatização, considerando as condições impostas pela lei
estadual?
Questão 1.2.6: Quais diretrizes ou regulamentações a ANPD tem emitido ou pretende emitir
para orientar o Poder Público e a iniciativa privada sobre o tratamento de dados pessoais em
contextos de desestatização ou terceirização de serviços públicos que envolvam dados
sensíveis ou estratégicos, garantindo a observância irrestrita do Art. 4º, § 4º da LGPD e a
segurança jurídica?
O Movimento Salve seus Dados – Paraná também indagou da Autoridade Nacional de Proteção de Dados, como a ANPD interpreta no caso da privatização da Celepar, a questão da “Portabilidade dos Dados Pessoais” prevista no Artigo 18, inciso 5º e no Artigo 19, parágrafo 3º da LGPD, que asseguram ao titular dos dados o direito à portabilidade de seus dados a outro fornecedor de serviço ou produto. “Direito à Portabilidade dos Dados Pessoais (Art. 18, V e Art. 19, § 3º da LGPD):
Questão 2.1: Como será garantido o direito à portabilidade dos dados pessoais aos titulares,
conforme o Art. 18, inciso V da LGPD, no contexto da transição de controle de dados da
CELEPAR para a(s) nova(s) entidade(s) privada(s)?
Questão 2.2: Quais os formatos que a ANPD irá exigir para que os dados sejam fornecidos
de forma a favorecer o exercício do direito de acesso e permitir sua utilização subsequente,
conforme Art. 19, § 3º da LGPD? A ANPD poderá dispor sobre padrões de
interoperabilidade para fins de portabilidade e livre acesso aos dados, conforme Art. 76 da
LGPD?
Questão 2.3: A ANPD já possui ou pretende emitir regulamentação específica sobre a
portabilidade de dados em casos de desestatização de empresas que gerenciam grandes bases
de dados governamentais, como a CELEPAR?
Questão 2.4: A portabilidade não inclui dados que já tenham sido anonimizados pelo
controlador. Como será a diferenciação e comunicação aos titulares sobre quais dados são
portáveis e quais não são, especialmente se houver processos de anonimização?
Outro ponto levantado pelo “Salve seus Dados – Paraná”, foi com relação à comunicação e o uso compartilhado de dados do Poder Público para entidades privadas – previsto no Artigo 27 da LGPD. “A LGPD estabelece que a comunicação ou uso compartilhado de dados pessoais de pessoa jurídica
de direito público (como a CELEPAR antes da privatização) para pessoa de direito privado
dependerá de consentimento do titular e deverá ser informado à ANPD, exceto em hipóteses de
dispensa de consentimento ou exceções específicas. A ANPD regulamentará a informação a ser
prestada”.
Sendo assim, a entidade indagou o seguinte da ANPD:
Questão 3.1: Quais são os procedimentos e o conteúdo mínimo da informação a ser
comunicada à ANPD sobre a transferência ou uso compartilhado dos dados da CELEPAR
para o(s) novo(s) controlador(es) privado(s), considerando a regulamentação futura
mencionada no Art. 27, Parágrafo único da LGPD?
Questão 3.2: Em quais circunstâncias a ANPD entenderá ser necessário o consentimento
específico dos titulares para a migração ou uso compartilhado dos dados da CELEPAR para
o(s) novo(s) controlador(es) privado(s)? Como esse consentimento será obtido,
considerando a dimensão das bases de dados da CELEPAR? É válido lembrar que o
consentimento deve ser livre, informado e inequívoco para uma finalidade determinada, e
autorizações genéricas são nulas.
Questão 3.3: Quais as hipóteses de dispensa de consentimento que poderiam ser aplicadas
neste cenário, e como a ANPD verificará sua conformidade, conforme o Art. 27, inciso I da
LGPD?
O movimento “Salve seus Dados – Paraná” também está cobrando manifestações da ANPD sobre os “princípios e boas práticas” estabelecidos no Artigo 6º da LGPD para mingração da dados. E indaga:
Questão 4.1: Como a ANPD garantirá que os princípios da LGPD, especialmente os de
finalidade, adequação, necessidade e segurança, serão observados rigorosamente durante
todo o processo de migração e no tratamento subsequente dos dados pela entidade privada?
Questão 4.2: Quais medidas de segurança, técnicas e administrativas, específicas para
grandes volumes de dados governamentais, a ANPD exigirá do novo controlador privado
para proteger os dados pessoais de acessos não autorizados ou incidentes, conforme o Art.
46 da LGPD? A ANPD poderá dispor sobre padrões técnicos mínimos.
Questão 4.3: Que tipo de “boas práticas e governança” (Art. 50 da LGPD) a ANPD espera
que o novo controlador privado implemente para mitigar riscos e garantir a conformidade
com a LGPD após a migração, incluindo programas de governança em privacidade com
planos de resposta a incidentes e remediação?
O movimento também decidiu indagar qual tem sido a participação da ANPD no processo de privatização da celepar, se em algum momento já foi procurada pelo governo paranaense para resolver alguma dúvida sobre a vanda da estatal, aos olhos da LGPD. E fez uma série de indagações:
Questão 5.1: Que tipo de relatórios de impacto à proteção de dados pessoais (RIPD) a
ANPD solicitará ao controlador privado da CELEPAR, considerando a alta sensibilidade e
volume dos dados tratados, especialmente se o tratamento representar alto risco? O relatório
deve conter, no mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada
para coleta e segurança, e a análise de medidas de mitigação de risco.
Questão 5.2: De que forma a ANPD exercerá sua fiscalização e poder de solicitação de
informações específicas sobre o âmbito e a natureza dos dados tratados após a privatização
da CELEPAR, conforme Art. 29 e Art. 55-J, inciso XI da LGPD? A ANPD também pode
realizar auditorias sobre o tratamento de dados efetuado pelos agentes de tratamento,
incluído o poder público.
Questão 5.3: A ANPD já estabeleceu ou estabelecerá padrões de interoperabilidade para a
migração de dados de grandes bases governamentais como a CELEPAR, visando facilitar a
portabilidade e o livre acesso, conforme Art. 76 da LGPD?
O “Salve seus Dados – Paraná” ainda indagou sobre como a ANPD encara a privatização da Celepar, em funcão do seu papel de Fiscalização e Responsabilização, além da questão da Soberania de Dados:
Questão 6.1: Em caso de incidentes de segurança ou descumprimento da LGPD durante ou
após a migração, como a ANPD aplicará as sanções administrativas previstas no Art. 52 da
LGPD, considerando a complexidade de uma operação de desestatização de tal porte? As
sanções podem variar de advertência e multa a bloqueio ou eliminação de dados, suspensão
de funcionamento do banco de dados ou da atividade de tratamento.
Questão 6.2: Como a ANPD, como órgão central de interpretação da LGPD, garantirá que a
desestatização da CELEPAR não comprometa a soberania do Estado do Paraná em relação
aos seus dados estratégicos e os direitos fundamentais de seus cidadãos, especialmente à luz
da Nota Técnica do Ministério Público Federal sobre o SERPRO que enfatiza a
essencialidade dos dados governamentais para a manutenção da soberania estatal?
