Privacidade e proteção de dados no Congresso Nacional

Privacidade e proteção de dados são temas que entraram, definitivamente, na agenda da sociedade, no Brasil e fora dele. Longe de se reduzir a nichos, a preocupação com a privacidade e com o uso indiscriminado de dados pessoais é objeto de séries e propagandas de bancos, além de povoar a produção acadêmica e a mídia. 

Profissionais de diversas áreas debatem, nos mais diferentes espaços, uma série de necessidades, oportunidades e desafios para a privacidade e proteção de dados no Brasil. Será que o mesmo ocorre no processo de elaboração de leis? É o que buscamos mapear com esse projeto.

Distribuição temática das propostas ao longo dos anos

Buscando explorar em maiores detalhes o conjunto de propostas encontradas e estudar o seu conteúdo propriamente dito, a equipe do projeto desenvolveu uma metodologia de classificação, detalhada na aba Metodologia.

O gráfico abaixo apresenta o universo de categorias nas quais as propostas (dos tipos selecionados) foram classificadas, remetendo a três eixos:  as bolas verdes revelam quais aspectos conceituais da privacidade, como a identificação ou a agregação, são mais acionados na produção legislativa sobre o tema; as bolas azuis claras mostram quais leis vigentes estão sendo mobilizadas pelos parlamentares a fim de legislar sobre privacidade e proteção de dados; já as bolas azuis escuras remetem a uma faceta mais concreta da classificação, isto é, sobre o quê as propostas estudadas tratam, desde dados de saúde até consentimento.

A classificação foi realizada de tal forma que um mesmo projeto pode receber diversas tags, de acordo com o seu conteúdo. Clicando em cada tag, é possível verificar todas as propostas nela classificadas, assim como as outras categorias que interagem com ela. O eixo horizontal representa o número de propostas apresentadas e o eixo vertical, as aprovadas em ao menos uma das Casas.

Logo abaixo, nos acordeões, estão algumas análises iniciais sobre os achados. O objetivo da página, que é constantemente atualizada, é também permitir novas pesquisas e análises a partir destes primeiros passos.

 

Proposta Status Outras tags Ementa

As mais frequentes

Olhando para a distribuição das categorias, a primeira coisa que chama a atenção é a prevalência de algumas delas. Todo o período estudado revelou um número bastante parelho de apresentação de propostas que contêm os elementos coleta de informações, agregação e identificação, categorias extraídas da tipologia de privacidade de Daniel Solove na obra Understanding Privacy, conforme metodologia explicada em aba própria. 

A primeira categoria, por sua abrangência, capturou projetos que criam ou disciplinam hipóteses de coleta de dados, em contextos que vão de aumento de vigilância por câmeras de segurança até ampliação de hipóteses de interceptação telefônica, passando por obrigação de coleta de dados de identificação para acesso a redes sociais. Entre propostas aprovadas que adotam tal abordagem, além da própria LGPD, pode-se citar, a Lei das Interceptações (Lei nº 9.296/96), o Pacote Anticrime (Lei nº 13.964/2019) e a lei que prevê a infiltração de agentes com fins de investigar crimes sexuais contra crianças e adolescentes (Lei nº 13.441/2017). Embora todos com enfoque criminal, os exemplos demonstram a variedade de formas em que se pode disciplinar e aumentar a coleta de informações de indivíduos. 

A ideia de agregação, por sua vez, diz respeito à combinação ou cruzamento de ‘’pedaços’’ de informações sobre um indivíduo. Ela se traduz em diferentes campos, o que ajuda a explicar também a sua frequência. Por um lado, há agregação quando se fala em formação de perfis comportamentais para fins comerciais (PLS 870/2021). Como exemplo emblemático do tema, verifica-se que a agregação também está presente, de forma bastante destacada, nas diversas propostas que preveem a criação ou a regulação de bancos de dados públicos, baseados no cruzamento de dados de indivíduos para diversos fins, das políticas públicas de assistência social à investigação criminal (ver os seguintes exemplos: CD PL 6504/2016 e CD PL 5788/2016). 

Além disso, também foi identificada agregação em variadas propostas que, embora sem o enfoque explícito na criação de novos bancos de dados, resultam, se aprovadas, em um incremento da capacidade dos seus detentores de formar um ‘’quebra-cabeça’’ de informações sobre os indivíduos: é o exemplo de projetos que exigem a coleta de uma série de dados pessoais para a utilização de serviços como redes sociais (ver CD PL 437/2020). 

A tag identificação, finalmente, diz respeito à conexão direta entre determinadas informações e um indivíduo, com o objetivo de singularizá-lo. Nesse sentido, aparece muito relacionada a elementos de identificação física, como o uso de biometria (PL 4927/2016) ou dados genéticos (PL 2458/2011) para fins de identificação criminal ou projetos que preveem medidas de autenticação de identidade, seja por certificados digitais ou verificação de números únicos de identificação.  

Solove, ao explicar a diferença entre agregação e identificação, afirma que enquanto a agregação diz respeito aos vários pedaços de um indivíduo ‘’virtual’’ (o seu perfil), a identificação se relaciona ao indivíduo ‘’de carne e osso’’, de fato identificado. 

Naturalmente, todas estas tags conversam entre si e, em muitos casos, coexistem nas mesmas propostas. Um bom exemplo que envolve primordialmente a agregação, mas também traz elementos de identificação é o Cadastro Base do Cidadão, instituído pelo Decreto nº 10.046/2019 e contestado por diversos Projetos de Decreto Legislativo (por exemplo, PDL 151/2020, PDL 664/2019). 

Prevendo a literal agregação de dezenas de bancos de dados públicos, um dos pontos que mais chamou atenção no Cadastro foi a conceituação dos ‘’atributos biométricos’’, que incluem características biológicas, mas também comportamentais e chegam, inclusive, a abarcar a ‘’maneira de andar’’ das pessoas. 

A categoria ‘’direitos dos titulares’’, que descreve propostas que criam ou disciplinam direitos específicos relacionados à privacidade e proteção de dados, embora um pouco menos expressiva em termos de apresentação de propostas, ganha destaque no eixo de aprovações. Isso se explica facilmente, pois as propostas aprovadas correspondem a leis recentes que têm uma faceta bastante protetiva dos direitos dos indivíduos em relação aos seus dados, como o Marco Civil da Internet, a Lei do Cadastro Positivo e a própria LGPD. Além disso, a categoria ‘’aprovados’’, conforme extraída automaticamente do Sigalei, contempla as propostas em cada Casa Legislativa, de forma que elas podem aparecer ‘’duplicadas’’.

 

Quebra de confidencialidade e vigilância 

Duas tags que chamaram a atenção durante a pesquisa foram ‘’quebra de confidencialidade’’ e ‘’vigilância’’, inclusive por se assemelharem em alguns casos. A categoria quebra de confidencialidade, conforme adaptada da tipologia de Solove, refere-se  a propostas cujo foco está na coleta ou divulgação de informações pessoais quando há uma relação de confiança ou expectativa de confidencialidade por parte do titular. 

A maior parte dos projetos diz respeito à regulamentação do sigilo constitucional das comunicações, mas a categoria inclui também casos de coleta ou divulgação não consentida de dados (íntimos ou não) em contextos em que há quebra de confiança, como em relações afetivas (por exemplo, PL 170/2015) ou diante de sigilo profissional e questões de saúde ( PL 315/2021). 

A ideia de vigilância adotada pela metodologia do projeto por vezes se aproxima da quebra de confidencialidade pela coincidência de contexto em que as propostas aparecem, comumente o criminal. Porém, a vigilância, na sua concepção mais tradicional, tem como elementos essenciais uma relativa continuidade no tempo e a noção de controle social, de forma que costuma se dar de forma preventiva e, muitas vezes, indiscriminada. 

Dessa forma, além da questão da quebra de confiança, o que diferenciou essas categorias na análise também foi o nível de especificidade e temporalidade das medidas propostas - para exemplificar, propostas cujo foco é regular a quebra de sigilo em contextos específicos e determinados não correspondem a essa ideia de vigilância; já a instalação de escutas por períodos prolongados e a infiltração de agentes, embora relacionadas a investigações específicas, contém o aspecto vigilância, na medida em que se referem a todos os movimentos e comunicações de pessoas e grupos por um período, podendo atingir até outros indivíduos. Casos mais claros de vigilância aparecem, é claro, nas propostas que preveem instalação de câmeras em locais públicos ou privados ou regulam o uso de drones, por exemplo.

Importante destacar que a concepção de vigilância adotada, por conta do referencial teórico e de uma tentativa de categorização mais específica das propostas, não abarca necessariamente disputas e conceitos mais alargados de vigilância, que podem atingir práticas como a perfilização de indivíduos para distintos fins ou mesmo a agregação de dados sem finalidades claras.

Créditos
O Observatório conta com apoio financeiro do Google e Facebook, além da parceria com a plataforma Sigalei.
Diretores: Bruno Bioni e Rafael Zanatta
Coordenadora Geral de Projetos: Mariana Rielli
Coordenação da pesquisa: Bruno Bioni e Mariana Rielli
Jornalismo de dados: Marcelo Soares
Pesquisadoras: Iasmine Favaro, Thaís Aguiar e Júlia Mendonça
Desenvolvimento do site: Liven