Posted in Proteção de Dados

TCU não vê ilegalidade em acordo do governo com bancos para identificar brasileiros

   27 de abril de 2022

Ao responder uma denúncia encaminhada por cidadão que pediu sigilo de suas informações e aplicação de medida cautelar, o Tribunal de Contas da União entendeu que não há “evidências de ilegalidade ou de inexistência de interesse público ou de arbitrariedade na prestação do serviço objeto dos acordos de cooperação firmados entre a SGD/ME e as instituições bancárias”. Os acordos entre o Ministério da Economia e os bancos foram assinados em janeiro deste ano e possibilitam aos bancos o uso de serviços de validação biométrica e biográfica do cidadão junto à base de dados da Identificação Civil Nacional (ICN), por meio de autenticação via plataforma Gov.Br.

Os termos dos acordos foram assinados com a Febraban (neste caso foi renovação, já que era executado desde junho de 2021) e com a ABBC – Associação Brasileira de Bancos. Para o TCU o pedido de cautelar não atenderia o requisito de sustar algum efeito que pudesse ser prejudicial para os brasileiros beneficiários dessa política pública ou danos ao erário.

De acordo com os técnicos do TCU, o processo de consulta às bases de dados da Identificação Civil Nacional será feito de forma binária (“Sim ou Não”), quando acessadas para fins de comprovação cadastral. Não há repasse de informações, apenas uma consulta se determinado cidadão existe ou não nas bases de dados governo.

“Constata-se que, especificamente quanto à alegação de fornecimento (compartilhamento) de dados pessoais da base da ICN aos bancos, não há ilegalidade no acordo em comento, pois em nenhuma parte do texto existe tal previsão. Ao contrário, está explícito no trecho do acordo de cooperação acima transcrito que a resposta aos denominados serviços de Validação Biográfica ou Biométrica sempre será dada na forma binária já explanada e ‘sem expor qualquer informação referente ao Usuário’ proveniente das bases de dados governamentais. Em verdade, trata-se do serviço de conferência previsto na legislação da ICN“, informa o tribunal.

A contrapartida dada pelos bancos é a possibilidade (já testada na conferência de saldos esquecidos em contas bancárias, anunciada pelo Banco Central), do cidadão usar o seu cadastramento nas instituições financeiras para acessar a plataforma de serviços Gov.Br.

“Assim como a SGD/ME permite aos bancos validarem a identidade dos usuários de seus serviços por meio da ICN, os bancos filiados à ABBC (mesmo acordo vale para a Febraban) possibilitam que os serviços públicos digitais da plataforma Gov.Br sejam utilizados a partir da autenticação de usuários por meio de APIs disponibilizadas pelas instituições financeiras”, alega.

O TCU entende que tal intermediação não envolve recursos financeiros entre as partes, o que não gera custos ao erário nem aos cidadãos: “observe-se que o referido ajuste era de mão-única, no sentido de que o órgão governamental utilizaria, sem custos, serviços providos pelas instituições financeiras partícipes, situação benéfica à sociedade e, portanto, de interesse público”.

Em tese, o governo pode não estar cobrando nada de cidadãos ou instituições financeiras pelo serviço, mas os bancos embutem esses custos operacionais de TI cobrando uma tarifa bancária pelo “cadastramento”. Porém essa é uma questão que não envolve a análise do TCU.

Mas não deixa de ser interessante ver esse posicionamento do tribunal em relação a não haver custos ou danos ao erário. O Serpro (que faz a validação biométrica e biográfica neste acordo operacional) não cobra nada no processo pelo uso de máquina. Entretanto a Dataprev, que faz a mesma validação cadastral de beneficiários do INSS, cobra dos bancos pelo mesmo serviço no consignado.

Para garantir as informações de beneficiários dos programas sociais pagos pelo governo, ou dos aposentados e pensionistas elegíveis a crédito, a Dataprev informa aos bancos não apenas dados pessoais dos cidadãos, mas confirma o grau de endividamento que o candidato já tem no mercado financeiro, eliminando o risco de uma instituição conceder crédito além da capacidade que o beneficiado tenha para pagar. E cobra uma taxa pelo serviço junto aos bancos por ceder essas informações. Essas receitas já representavam até bem pouco tempo 40% do faturamento da estatal.

Toma que o filho é seu

Os auditores do TCU jogaram para a Autoridade Nacional de Proteção de Dados a responsabilidade de avaliar impactos no tocante a eventual tratamento de dados pelos bancos para serem validados na plataforma Gov.br.

No que se refere à Secretaria de Governo Digital (responsável pela assinaturas dos acordos com os bancos), o tribunal entendeu que o papel dela foi de mera “intermediação negocial entre os bancos e o serviço que efetivamente provê a identificação ou conferência na base de dados da ICN, gerido pelo TSE. Aquele órgão não realiza troca, recebimento, armazenamento ou replicação de informações pessoais provenientes das bases de dados governamentais, o que inclui as sensíveis”.

Mas o tribunal entendeu que, se os dados pessoais biométricos forem coletados pelos bancos de seus usuários para fins de uso no serviço de conferência, ainda que por breve período de tempo, estaria enquadrado no artigo nº38 da Lei Geral de Proteção de Dados. “Pode ser ponderado que dados pessoais coletados pelos bancos transitam entre aquelas instituições privadas e a organização que efetivamente presta o serviço de conferência objeto dos acordos denunciados, sendo que esse trânsito de informações, ainda que tenha duração efêmera, poderia ser considerado, pela ANPD, como operação de tratamento”, explicam os auditores do TCU.

Mas, neste caso, com base no mesmo artigo, os auditores entendem que a Autoridade Nacional de Proteção de Dados é quem tem a competência legal para solucionar a questão, podendo determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis. “Caso essa situação ocorresse no caso concreto em análise, entende-se que também não caberia ao TCU o trato da questão, pois a fiscalização quanto ao atendimento ou não de eventuais deliberações da ANPD competem à própria autoridade”, destacaram.

Mas eles fizeram uma ressalva neste caso. A competência de notificar a ANPD para ela tomar ciência do caso e agir caberia ao TSE, que teria de prestar informações sobre eventual tratamento de dados e o fornecimento do relatório de impacto. Já que o TSE é o “órgão público efetivamente detentor legal dos dados da ICN e que firmou o contrato com o Serpro”. Os técnicos da Secretaria de Fiscalização do TCU registraram que não constataram a presença da ANPD no processo de discussão desses acordos.

O Acórdão proferido pelo ministro relator, Aroldo Cedraz, afastou qualquer possibilidade de concessão de cautelar para suspender os efeitos dos acordos do Ministério da Economia com os bancos, por entender que não haveria risco imediato de dados ao erário ou aos cidadãos.

Da mesmo forma julgou improcedente a denúncia no tocante ao compartilhamento de dados entre o governo e as instituições financeiras, já que o serviço apenas envolve a validação biométrica e biográfica do cidadão que acessa os serviços da plataforma Gov.br. E que em contrapartida daria maior segurança aos bancos no trato com clientes para oferta de crédito e serviços.

*VEJA A INTEGRA DO PROCESSO AQUI NESSE LINK. Processo TC-003.386/2022-8 (DENÚNCIA)