O atrito entre a transparência e a proteção dos dados pessoais no Peru

by Digital Rights LAC on July 14, 2023

Nos últimos meses tem sido discutido muito no Peru como as regras de proteção de dados pessoais devem ser interpretadas no âmbito das obrigações de transparência. Em casos decididos por dois órgãos diferentes têm se discutido os limites do que pode e não pode se fazer com bases de dados públicas. A resposta a estas perguntas pode ter um impacto significativo sobre as novas formas de exercer o jornalismo e nos níveis de acesso à informação pública.

*Por Miguel Morachimo

Datos Perú e as leis

Em outubro de 2014, a Autoridade para a Protecção de Dados Pessoais (APDP) decidiu duas ações contra os administradores do site de Datos Perú. O site, que operava há vários anos no Peru, prestava entre outros o serviço pago de acesso e busca de dispositivos legais dentro dos boletins oficiais do Estado. Em outras palavras, copiava e pegava, na íntegra, o Boletim de Normas Jurídicas publicado todos os dias no Diário Oficial, incluindo os atos jurídicos e administrativos de publicidade obrigatória como nomeações e sanções. Duas dessas normas republicadas pelo Datos Perú correspondiam a sanções disciplinares aplicadas contra os cidadãos reclamantes e essa foi a origem da reclamação.

Em sua decisão, a APDP determinou que o site havia falhado em cumprir a lei de proteção de dados ao não solicitar o consentimento dessas pessoas para incluir seus nomes em um banco de dados de leis e, posteriormente, ter ignorado os seus pedidos de cancelamento. Embora a mesma informação, incluindo os nomes dos requerentes, estivesse disponível no site do Boletim Oficial e também no site do Ministério da Justiça, a APDP considerou que isto não autorizava nenhum terceiro a republicar informações contendo dados pessoais. Ou seja, a APDP determinou que a publicação prévia de um documento público não autorizava a sua publicidade consecutiva quando contivesse dados pessoais.

Equifax e o registro público dos contribuintes

Em março de 2015, um outro caso trouxe-nos de volta para a mesma pergunta. Desta vez, o Tribunal Constitucional (TC) julgou um pedido de habeas data movido por um cidadão contra a Equifax, operadora de uma central privada de risco de crédito no Peru, por terem inserido informações que ele não forneceu, incluindo seu endereço. Em sua defesa, a Equifax explicou que o domicílio do requerente tinha sido obtido através de uma pesquisa de rotina no registro público dos contribuintes à disposição do público em geral por meio do site da autoridade tributária peruana.

Para o TC, a Equifax não estava autorizada a usar ou incorporar em sua base de dados as informações contidas no cadastro de contribuintes. Ao estabelecer a regra de que as agências de crédito não poderiam coletar informações de bancos de dados públicos, também definiu o critério de que só poderia realizar tal medida aqueles que estejam expressamente autorizadas a fazê-lo. Ou seja, em uma decisão de tom semelhante ao da APDP, afirmou que a publicidade prévia de informações pessoais em um banco de dados público não autoriza terceiros a utilizar tais informações sem a permissão dos proprietários.

Uma resposta, mas não uma solução

A regra subjacente a ambas as decisões é clara: os documentos ou bases de dados estatais acessíveis ao público que contenha dados pessoais não podem ser reproduzidas por terceiros. A menos que esses terceiros possuam uma autorização especial dos titulares dos dados ou no cenário de um pressuposto de emergência (e.g. interesse do público). Este é o raciocínio que o chefe da APDP explicou várias vezes, incluindo em uma entrevista recente. No entanto, embora esta abordagem possa ser sustentada sob uma interpretação das leis de transparência e dados pessoais, deixa-me um gosto amargo por muitas razões.

Há um sério conflito entre o que buscamos proteger e a realidade. É idealista proteger a privacidade apenas quando esta for violada por particulares. Através de suas decisões o TC e a APDP reconhecem que a publicidade de algumas informações pessoais podem afetar a privacidade dos cidadãos. No entanto, em vez de impedir a pretensão na origem, limitam-se a punir os terceiros que replicam o que fez o Estado em primeiro lugar.

Em ambos os casos tratam-se de sanções a particulares que tentaram reproduzir informações publicadas primeiramente pelo Estado e até agora continuam a ser acessíveis através de serviços estatais. Compreendo perfeitamente que legalmente não há consentimento para processamento adicional por terceiros. No entanto, o que realmente protegemos aplicando este critério? Claramente, não a confidencialidade desses dados pessoais.

A segunda incompatibilidade ocorre quando esta regra é analisada para novas formas de acesso à informação pública. Não é fantástico que seja publicado o registro de contribuintes ou que este inclua o domicílio e capacidade fiscal de cada um. Também não é aleatório que as resoluções contendo nomeações, sanções disciplinares ou declarações juramentadas por funcionários públicos apareçam no Diário Oficial e sejam arquivadas em todas as bibliotecas e arquivos do país. Esta informação é divulgada como informação pública, porque é uma memória nacional, uma garantia das operações comerciais e registro inalterável da vida do país.

Antes, só poderia acessá-lo quem tinha acesso físico a esses documentos e podiam apenas ler ou lembrar. Hoje, a tecnologia permite que os bancos de dados com milhões de documentos desse tipo possam ser consultados em segundos. Ou seja, a reutilização de informação previamente tornada pública pelo Estado permite aos cidadãos comuns o pleno exercício do seu direito de acesso à informação pública.

De acordo com o raciocínio que as decisões mencionadas testam, esta possibilidade não se sustenta, pois não se eliminaria previamente qualquer referência a dados pessoais das bases de dados. O que, no caso de muitos bancos de dados não significa apenas uma tarefa árdua, mas implica deduzir-lhes o conteúdo propriamente dito. Se a informação é publicada com a intenção de que todos podem acessá-lo, por que este direito só pode ser exercido nos termos e nas plataformas que o Estado permite?

Finalmente, esta regra só parece apoiar uma visão anacrônica da tarefa jornalística. Segundo ela, é válido que um jornalista investigativo acesse a inúmeros bancos de dados individualmente, mas só poderá publicar individualmente esses dados de interesse público como parte de sua história ou artigo. Não obstante, e quanto aos projetos de jornalismo de dados em que bancos de dados inteiros são também publicados através de visualizações ou tabelas? No Peru estivemos trabalhando por vários meses em um site que permite aos visitantes consultar os registros de diversos órgãos públicos, obtendo os dados diretamente a partir dos registros publicados pelas próprias instituições. Sob a solução proposta, essa atividade também é em si uma forma de jornalismo investigativo e seria ilegal por não ter o consentimento das pessoas cujos nomes estão sendo mostrados.

O que está claro é que a solução proposta nestas decisões precisam ser reconciliados com a realidade. Precisamos estabelecer regras claras que protejam os dados pessoais e que sejam aplicáveis ao Estado e ao setor privado. Estas regras não podem ignorar a realidade de como interagimos com a tecnologia e como podemos usá-la para exercer os direitos civis e econômicos. Reconhecer que existe este problema é o primeiro passo para começar a resolvê-lo.

*Miguel Morachimo é advogado e diretor da ONG Hiperderecho. E-mail: miguel@hiperderecho.org

Imagem: (CC ND-NC) Felipe Morin