O Conselho de Transparência do Estado de São Paulo decidiu criar grupo de trabalho que avaliará tanto decreto quanto portaria publicadas, respectivamente, pelo governo do estado e pela Imprensa Oficial do Estado (Imesp) e que envolvem mecanismos para coleta, armazenamento e uso de dados biométricos dos cidadãos. A Transparência Brasil, que é membro do conselho como representante da sociedade civil, apoiou a medida, visto que, da forma como está previsto o uso da nova base, tal novidade parece estar na contramão do debate sobre proteção de dados pessoais que tem ocorrido na sociedade.
Em 21 de março deste ano, o Governo do Estado de São Paulo decretou a instituição de um sistema estadual de coleta e identificação biométrica eletrônica, permitindo que a Companhia de Processamento de Dados do Estado de São Paulo (Prodesp) crie um banco com os dados biométricos de quem utilizar os serviços estaduais para fazer seu RG ou CNH, incluindo foto, impressões digitais e assinatura. Em outras palavras, o decreto nº 63.299 autoriza a digitalização de toda a base de dados biométrica do estado de São Paulo.
Entre os benefícios alegados pelo governo para tal medida está a suposta economia de R$ 104 milhões por ano – isto apenas com a redução no número de segundas vias de CNH e RG – no entanto, o governo não informou qual o fundamento para este cálculo, ao que a Transparência Brasil solicitou que sejam prestadas contas de como se daria essa economia.
No dia seguinte à publicação do decreto, no dia 22 de março, a Imprensa Oficial do Estado (Imesp) publicou portaria que regulamentou como se daria a prestação de serviço de certificação online digital de dados biométricos, prevendo o uso comercial de tal base pela própria Imesp (tal portaria sofreu pequenas modificações em 16 de maio). Com ela, empresas privadas poderiam contratar o serviço e, por meio dele, verificar a digital de seus clientes com a base de dados mantida pelo governo.
Diante da repercussão negativa de tal medida, que se deu principalmente após reportagem publicada pela Folha de São Paulo no dia 13 de junho, com críticas de organizações da sociedade civil, como OAB e IDEC, a portaria que permitia a comercialização do serviço de certificação digital de dados biométricos pela Imesp foi revogada. O decreto que instituiu a digitalização e criação do banco de dados digital dos dados biométricos, porém, continua em vigor.
Segundo o diretor de Gestão de Negócios da Imesp, Eduardo Yokoyama, que participou da 69ª reunião do Conselho de Transparência para explicações acerca da fundamentação e do funcionamento de tal serviço, a Federação Brasileira de Bancos (Febraban) teria procurado a Imesp com o objetivo de dar mais segurança às transações dos seus clientes realizadas por celular. Yokoyama deu como exemplo de uso do serviço uma hipotética contratação de crédito via celular, em que a digital do cliente seria confirmada por meio da certificação digital fornecida pela Imesp e que usaria a base de dados biométricos da Prodesp.
Não está claro, no entanto, o quanto os dados biométricos dos cidadãos estariam protegidos e se haveria o risco de as empresas terem acesso ao conteúdo da base de dados em si e não apenas à verificação dos dados. O fato de o governo do estado de São Paulo e a Imesp terem editado decretos e portarias, sem maiores discussões com a sociedade e sabendo que a lei de proteção a dados pessoais estava tramitando no congresso, demonstra a urgência do disciplinamento da questão.
A análise do decreto e da portaria pelo grupo de trabalho será feita também à luz da nova lei de proteção de dados pessoais. Aprovada pelo Senado na última terça-feira (10/7), ela moderniza a legislação nacional, visto que até então havia uma lacuna jurídica no que se refere à proteção de dados pessoais. Entre as várias matérias na imprensa tentando explicar o que a lei traz de inovação, o caso da criação de um banco de dados biométricos e da comercialização de um serviço de certificação digital São Paulo é exemplar sobre a importância da nova legislação para regular o tratamento de dados pessoais.
No entendimento da Transparência Brasil, na vigência da nova lei, a portaria da Imesp, por exemplo, passaria a ser ilegal. Isso porque ela prevê, entre outros pontos, que é necessário o consentimento do titular dos dados para que eles possam ser tratados. Com isso, seria necessário consentimento dos cidadãos não apenas para que uma empresa terceira possa utilizar o serviço de certificação, mas para que a própria Imesp possa coletar e acessar os dados biométricos. Além disso, a portaria não prevê como o cidadão paulista poderia retificar eventual informação errada, ou mesmo atualização de seus dados, como nome de solteiro e casado.
A Transparência Brasil continuará acompanhando essa temática no Conselho de Transparência e participará do referido grupo de trabalho, cujos resultados também divulgaremos aqui em nosso blog. As reuniões mensais do Conselho de Transparência podem ser assistidas ao vivo pela internet.
Foto: Marcello Casal Jr/Agência Brasil