Dados pessoais: Precisamos falar sobre os princípios de finalidade e prevenção
A prática de solicitar o CPF do consumidor no ato da compra é costumeira em diversos estabelecimentos comerciais. Em grande parte dos casos, não se trata apenas dos programas fiscais implementados por municípios ou Estados (como a Nota do Milhão, da Prefeitura de São Paulo, por exemplo), mas de cadastros realizados com a promessa de descontos e outras vantagens.
Essa prática impulsionou a distribuição de dados pessoais e sensíveis dos consumidores em diversas bases, de forma que o cidadão se sente confortável em compartilhar o seu CPF com qualquer custo diante, mesmo que não seja informada qual a finalidade de uso daqueles dados, quem os acessa, ou quais são as políticas de governança e de segurança daquelas informações.
No Estado de São Paulo, a Lei nº 17.301, sancionada recentemente, proíbe as farmácias de exigir o CPF do consumidor no ato da compra sem informar de forma clara a finalidade da solicitação do dado. Essa lei vai ao encontro da Lei Geral de Proteção de Dados (LGPD), em relação ao princípio de finalidade, ou seja, dar transparência para o consumidor sobre os propósitos do tratamento daquela informação.
A LGPD dispõe sobre o tratamento de dados pessoais por pessoa natural ou por pessoa jurídica de direito público ou privado. Porém, abre algumas exceções ao tratamento dos dados por órgãos de governo nos casos relativos à segurança pública, defesa do Estado e execução de políticas públicas, entre outros.
Nesse sentido, em relação à área da saúde, alguns casos abrem debate sobre a aplicação da LGPD, pois determinados dados pessoais sensíveis podem ser necessários para a realização de políticas públicas por parte do Governo, principalmente neste momento de combate à pandemia de Covid-19. É o caso, por exemplo, das informações sobre suspeitas, confirmações e internações por infecção de Covid-19 que devem ser enviadas ao Ministério da Saúde através dos sistemas eletrônicos da pasta.
Foram estes dados que ficaram expostos na rede, em ao menos duas situações, devido a uma fragilidade na forma de acesso às bases, que é feito por login e senha, supostamente permitindo o acesso às informações sigilosas e sensíveis de mais de 200 milhões de brasileiros. É necessário que se investigue a fundo as causas para o vazamento dos dados, com o objetivo de corrigir e evitar que essa situação se repita, e para que haja a reparação necessária aos titulares das informações expostas.
Além disso, cabe aos cidadãos exigir dos custodiantes das bases de dados pessoais e sensíveis que apliquem formas seguras de autenticação dos profissionais que precisam ter algum tipo de acesso à base, de modo a prevenir o acesso de pessoas não autorizadas.
A LGPD, em seu artigo 6º, estabelece alguns princípios básicos para a atividade de tratamento de dados pessoais. São eles: finalidade, adequação, necessidade, livre acesso, qualidade, transparência, segurança, prevenção, não descriminalização e responsabilização e prestação de contas. Os cidadãos ainda precisam ver esses princípios sendo aplicados na prática.
Thaís Covolat é Coordenadora do Comitê de Identidades Digitais da camara-e.net
