No último dia 20 de setembro de 2021, o Governo Federal encaminhou ao Congresso Nacional projeto de lei que recebeu o número 3228/2021. O PL altera a Lei 13.444/2017 - a lei que institui a Identificação Civil Nacional (ICN). Esse movimento coloca em voga na arena brasileira os debates sobre identidade civil digital, os quais têm acontecido em todo o mundo entre acadêmicos, ativistas e representantes dos setores público e privado, centrados nos diferentes desdobramentos em direitos coletivos e individuais que a instituição de um documento digital promove - entre eles, a proteção de dados pessoais. Nesse sentido, o presente texto tem por objetivo trazer algumas reflexões preliminares acerca do atual sistema da ICN, bem como acerca das inquietações trazidas pelo PL submetido pelo Governo Federal.

A atual Lei da Identificação Civil Nacional foi aprovada em 2017, a partir de um esforço conjunto entre o Governo Federal e o Tribunal Superior Eleitoral (TSE), para criação de um registro civil nacional e de um documento nacional de identificação, “com o objetivo de permitir que o cidadão possa identificar-se e relacionar-se de modo simples e seguro nos espaços públicos e privados.”^[1] A princípio, haveria a interoperabilidade entre a base de dados das serventias de registro civil do território nacional (SIRC) com a base de dados biométricos do Tribunal Superior Eleitoral. A criação da ICN se deu no escopo do Programa Bem Mais Simples Brasil (Decreto nº 8.414/2015), o qual foi instituído “com a finalidade de simplificar e agilizar a prestação dos serviços públicos e de melhorar o ambiente de negócios e a eficiência da gestão pública.”^[2]

Atualmente, o foco do Governo Federal em relação à Identificação Civil Nacional é o fornecimento de identidade digital para o cidadão.^[3] Os serviços da ICN estão sendo usados desde 2020 para essa finalidade na plataforma Gov.br, por meio de parceria entre o Executivo Federal e Tribunal Superior Eleitoral.^[4] Duas aplicações resultantes dessa parceria que ganharam destaque midiático foram a prova de vida digital do INSS e o Embarque Seguro. O portal Gov.br registrou crescimento exponencial na pandemia: saiu de 1,7 milhão de usuários, em janeiro de 2019, para 113 milhões neste ano. Passou de pouco mais de 6 milhões de visualizações mensais, em sua criação em agosto de 2019, para mais de 164 milhões, em junho de 2021, o que representa um aumento de 2.542%.^[5]

Proteção de dados pessoais na arquitetura informacional da ICN

Para a concretização dos objetivos propostos pela ICN, foi estabelecida na Lei 13.444/2017 uma arquitetura informacional que evoca alguns pontos de atenção sob a lente da proteção de dados pessoais. Antes de elencar tais pontos de atenção, entretanto, cabe destacar que a Lei da ICN foi aprovada em momento anterior à aprovação da Lei Geral de Proteção de Dados (LGPD) e nunca foi alterada após a entrada em vigência da LGPD - o que reforça a importância de se analisar o sistema atualmente estruturado a partir da ótica da proteção de dados.

O primeiro desses pontos de atenção diz respeito à centralização da base de dados que compõe o sistema da Identificação Civil Nacional. Foi definido pelo art. 2º da lei que a base de dados da ICN, gerida pelo Tribunal Superior Eleitoral, concentraria todas as demais bases de dados que fazem parte desse ecossistema de identificação. Tratam-se de bases de dados anteriormente existentes, criadas cada qual para um propósito específico anterior à ICN, mas que, por força da atual lei, foram absorvidas para alimentar o sistema da Identificação Civil Nacional.

Tal arquitetura informacional pode ser visualizada no fluxograma abaixo:

Crédito: Reprodução

A centralização das bases de dados levanta indagações em termos de segurança da informação, considerando o contexto brasileiro que já conta com expressivos incidentes de segurança envolvendo bases de dados públicas, como do Ministério da Saúde em que houve a exposição de dados pessoais de mais de 243 milhões de brasileiros^[6]. Ou, mais recentemente, o vazamento de dados pessoais armazenados pelo  Instituto Nacional de Estudos e Pesquisas Educacionais Anísio Teixeira (INEP), órgão vinculado ao Ministério da Educação^[7].

Ainda em termos de arquitetura informacional, mais um ponto de atenção recai sobre a separação informacional de poderes no acesso aos dados pessoais que compõem a Identificação Civil Nacional. O art. 3º da Lei 13.444/2017 garante o acesso à base de dados da ICN pelos Poderes Executivo e Legislativo em todos os seus níveis federativos - seja federal, estadual ou municipal. Contudo, ao garantir tal acesso, a Lei não estabelece procedimento que assegure a observância a princípios e regras de proteção de dados pessoais, na linha das normas específicas para tratamento de dados pessoais pelo setor público previstas na Lei Geral de Proteção de Dados (LGPD).

A concentração de bases de dados, associada à possibilidade de acesso a suas informações por diferentes órgãos e entidades dos Poderes Executivo e Legislativo acaba por considerar a Administração Pública enquanto uma unidade informacional. Sendo, portanto, a antítese do conceito de separação informacional dos poderes, o qual compreende a necessidade de se fragmentar bases de dados públicas, ainda que as mantendo em formato interoperável, de acordo com aquilo que é extremamente necessário e adequado para que cada entidade e órgão pública desempenha a sua respectiva missão institucional. Nesse sentido, a finalidade do tratamento de dados pessoais por cada órgão da Administração Pública deve condizer com a sua competência legal, de modo a desautorizar  a utilização de tais dados para outras finalidades.^[8]

Em paralelo, subsistem inquietações relativas à governança do sistema da Identificação Civil Nacional, tais como a criação, pela Lei 13.444/2017, de um Comitê Gestor composto exclusivamente por membros dos três poderes (Executivo, Legislativo e Judiciário). Tal composição vai de encontro ao histórico brasileiro de arranjos de governança  multissetorial que orientaram o processo de desenvolvimento da LGPD e do Marco Civil da Internet, de modo a prejudicar uma ampla participação dos setores da sociedade, notadamente do terceiro setor e da academia.^[9]

O Projeto de Lei 3228/2021

Em 20/09/2021, a Presidência da República apresentou o PL 3228/2021, o qual altera a atual lei da Identificação Civil Nacional. As alterações foram reportadas pela comunicação do governo como tendo o objetivo de ampliar a integração entre os poderes; acelerar o projeto para identificar de forma segura e digital todos os brasileiros; aumentar as opções de ferramentas disponíveis para realização de parcerias entre os diversos atores públicos; garantir a participação de um representante dos estados na composição do Comitê Gestor da Identificação Civil Nacional; e ainda, facilitar a operacionalização do fundo da ICN, antes inviável pela vinculação ao teto de gastos do TSE, para garantir a sustentabilidade financeira do projeto^[10].

De início, um primeiro destaque é que as alterações na lei propostas pelo PL não endereçam as preocupações de proteção de dados pessoais decorrentes da arquitetura informacional da atual ICN - ou, ao menos, não parecem endereçá-las de acordo com a LGPD.

As alterações mais significativas propostas pelo PL que esbarram na proteção de dados são as propostas de modificar os artigos 2º e 3º da Lei da ICN. Para o artigo 2º, § 1º, a sugestão de alteração é a de facultar ao Tribunal Superior Eleitoral replicar a base de dados da Identificação Civil Nacional em ambientes computacionais do Poder Executivo Federal. Ainda, ao artigo 3º da lei da ICN o PL propõe acrescentar o § 1º-A, que possibilita a integração aos bancos de dados do Poder Executivo dos entes federados de todos os dados da base da ICN, inclusive os biométricos, desde que autorizado em acordo, contrato, convênio ou instrumento congênere.

Essas disposições relativas à possibilidade de a base de dados da ICN ser replicada em ambientes computacionais do Poder Executivo federal ou em bancos de dados dos entes federados merece reflexão. A tônica da LGPD, ao regulamentar o tratamento de dados pessoais pelo poder público, não é pela concentração de dados, mas sim pela sua manutenção em formato interoperável e estruturado para uso compartilhado, conforme artigo 25 da lei. Nesse ponto, especial atenção deve ser dada aos dados biométricos que, por serem dados pessoais sensíveis, têm hipóteses de tratamento e compartilhamento mais restritas, conforme artigo 11 da LGPD.

Em paralelo, o PL acrescenta um parágrafo no artigo 2º da Lei 13.444/2017 que possibilita o estabelecimento de acordos, contratos, convênios ou instrumentos congêneres entre o TSE e órgãos e entidades públicos ou privados para o armazenamento e gestão da base de dados do ICN. É dizer, tal proposta abre a possibilidade de parceiras com órgãos e entidades privadas para armazenamento, gestão, atualização, garantia da integridade, da disponibilidade, da autenticidade, da confidencialidade do conteúdo e da interoperabilidade da base da ICN^[11], assim como para execução do serviço de conferência de dados biométricos prestado a particulares^[12].

Especificamente sobre a extensão dessa proposta aos dados biométricos, cabe lembrar que, tendo em vista tratarem-se de dados sensíveis, a própria LGPD possibilita que haja vedação ou regulamentação por parte da autoridade nacional de sua comunicação ou uso compartilhado entre controladores com o objetivo de obter vantagem econômica, conforme artigo 11, §3º.

Um olhar para o futuro próximo: proteção de dados como aperfeiçoamento da política pública de digitalização da identidade civil nacional

O sistema da Identificação Civil Nacional foi gestado antes que houvesse a aprovação da Lei Geral de Proteção de Dados, a primeira lei brasileira a tratar de modo abrangente sobre a tutela dos dados pessoais.

Após a aprovação ou entrada em vigência da LGPD, a Lei 13.444/2017 nunca foi alterada ou regulamentada para nenhum fim, inclusive para o fim de estabelecer procedimentos que visem a observância a princípios e regras de proteção de dados. Em realidade, ainda em 2017 a deputada federal Bruna Furlan (PSDB-SP) enviou ao Congresso Nacional um projeto de lei^[13] que adicionava à recém aprovada Lei da ICN medidas relacionadas à segurança da informação e estabelecia penalidades relacionadas ao mau uso dos dados pessoais que compõem seu banco de dados. O PL, no entanto, acabou sendo arquivado.

A apresentação do PL 3228/2021 por parte da Presidência da República, em um primeiro momento, não parece seguir a tônica de adequação à LGPD. Todavia, ao reabrir a discussão parlamentar sobre o sistema de identidade civil digital no Brasil, pode representar uma janela de oportunidade para que se reavalie a arquitetura informacional da ICN, sua compatibilidade com a Lei Geral de Proteção de Dados e, em última análise, aperfeiçoar essa importante política pública para o pleno exercício da cidadania.

_____________________________________________________________________________________________

^[1] Ver em: https://www.camara.leg.br/proposicoesWeb/prop_mostrarintegra;jsessionid=node02aaotk5h852xiur0wy6ci94u3008085.node0?codteor=1342951&filename=PL+1775/2015

^[2] Ver em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2015/decreto/d8414.htm

^[3] Ver em: Estratégia de Governo Digital 2020-2022 - Objetivo 12 https://www.in.gov.br/web/dou/-/decreto-n-10.332-de-28-de-abril-de-2020-254430358

^[4] Ver em: Acordo de Cooperação Técnica de 15/03/2021: https://www.in.gov.br/en/web/dou/-/extrato-de-acordo-de-cooperacao-tecnica-309075751

^[5] Ver em: https://agenciabrasil.ebc.com.br/geral/noticia/2021-07/portal-govbr-ja-reune-mais-de-110-milhoes-de-usuarios-cadastrados e https://www.camara.leg.br/noticias/809660-pandemia-acelera-o-uso-de-servicos-publicos-digitais/

^[6] Ver em: https://idec.org.br/noticia/vazamentos-de-dados-de-saude-coloca-consumidor-em-risco-veja-o-que-fazer

^[7] Ver em: https://tecnoblog.net/489525/inep-orgao-vinculado-ao-ministerio-da-educacao-expoe-dados-de-5-milhoes/

^[8] MARANHÃO, Juliano. CAMPOS, Ricardo. A divisão informacional de Poderes e o Cadastro Base do Cidadão. Jota, 2019. Disponível em: <https://www.jota.info/opiniao-e-analise/artigos/a-divisao-informacional-de-poderes-e-o-cadastro-base-do-cidadao-18102019#sdfootnote9sym>.

^[9] BIONI, Bruno Ricardo; RIELLI, Mariana Marques. A construção multissetorial da LGPD: história e aprendizados. In: BIONI, Bruno Ricardo (org.). Proteção de Dados: contexto, narrativas e elementos fundantes. São Paulo: B. R. Bioni Sociedade Individual de Advocacia, 2021

^[10] Ver em: https://www.gov.br/economia/pt-br/assuntos/noticias/2021/setembro/presidente-envia-ao-congresso-projeto-que-altera-lei-da-identificacao-civil-nacional

^[11] Art. 2º, §1º e §3º da Lei da ICN, redação de acordo com PL.

^[12] Art. 3º, § 2º c/c art. 2º § 3º, da lei da ICN, redação de acordo com PL.

^[13] Ver em: https://www.camara.leg.br/proposicoesWeb/prop_mostrarintegra?codteor=1581897&filename=PL+8127/2017