Decreto assinado por Luiz Inácio Lula da Silva (PT) abre caminho para que o Ministério da Gestão e da Inovação em Serviços Públicos (MGI) acesse dados pessoais armazenados por órgãos públicos e prestadoras de serviços públicos, como água, saneamento, luz, telefonia e internet. O texto não detalha como será o armazenamento ou se haverá anonimização (impossibilitar que se vincule um dado sensível ao dono dele).
Só a Anatel (Agência Nacional de Telecomunicações), por exemplo, supervisiona mais de 219 mil entidades prestadoras de serviço. A estatal Dataprev analisará essas informações para “aperfeiçoar o processo de verificação de requisitos para a concessão, a manutenção e a ampliação de benefícios da seguridade social”, diz o decreto 12.428 publicado em 3 de abril.
O texto faz menção explícita ao BPC (Benefício de Prestação Continuada), programa sobre o qual o governo anunciou que passaria um pente-fino para evitar fraudes no contexto de um pacote de corte de gastos do Ministério da Fazenda, de Fernando Haddad. A pasta estimou que possa economizar R$ 12 bilhões até 2030 com a reformulação das regras.
Entidades da sociedade civil, entretanto, expressaram preocupação com o risco de que o governo crie um sistema de avaliação automática do perfil do beneficiário e de que haja “riscos excessivos” nessa atividade de análise de dados.
A ANPD (Autoridade Nacional de Proteção de Dados) informou à Folha que instaurou um processo, na quarta-feira (7), para avaliar a compatibilidade da operação de compartilhamento de dados determinada pelo governo com a LGPD (Lei Geral de Proteção de Dados). O regulador, assim como outras autarquias ouvidas pela reportagem, disse que não foi consultado antes da publicação do decreto.
Existe ainda um histórico de derrotas no STF (Supremo Tribunal Federal) do governo Bolsonaro por medidas similares de compartilhamento de informação.
Procurado pela Folha, o MGI disse, em nota, que publicará uma versão alterada do decreto na semana que vem e abrirá uma consulta pública sobre a portaria regulamentadora. “Ao dialogar com diferentes atores sobre essa regulamentação, foram levantadas preocupações que serão endereçadas com a alteração do decreto.”
“A nova versão irá deixar claro que apenas o endereço será compartilhado, e o CPF do cidadão, preservado, conforme previsto na LGPD, não permitindo a identificação do cidadão”, afirmou a pasta. De acordo com o comunicado, não houve transmissão de dados nas hipóteses previstas no decreto.
Do jeito que está o texto, regras adicionais seriam determinadas por uma portaria complementar do secretário de Governo Eletrônico, que atua sob Esther Dweck na pasta da Gestão e Inovação em Serviços Públicos. Por isso, a norma estaria sujeita a alterações devido à vontade do governo ou do secretário da ocasião, passando por menos instâncias de controle do que um decreto, dizem especialistas ouvidos pela reportagem.
“A previsão genérica de compartilhamento de ‘informações de base de dados de que sejam detentoras’, aliada à finalidade ampla de identificar o “perfil dos beneficiários’ e de viabilizar a comunicação com
‘potenciais beneficiários’, pode resultar no repasse de bases de dados inteiras, abrangendo um contingente populacional bastante expressivo”, disse ofício enviado ao governo por quatro organizações da sociedade civil.
“Nossa preocupação majoritária é a de pessoas com direito ao benefício acabarem perdendo por alguma falha desse sistema”, afirmou o coordenador do Idec para telecomunicações e direitos digitais, Luã Cruz. Além do Idec, assinam o ofício InternetLab, Data Privacy Brasil e Cedis (Centro de Direito, Internet e Sociedade).
O ofício, enviado ao governo em 28 de abril, requer ainda que o decreto seja alterado para incluir uma vedação expressa para que qualquer benefício seja cancelado ou revogado.
Outra preocupação das entidades é que a falta de adequação à LGPD comprometa a legalidade da medida, uma vez que o decreto descumpre boas práticas como mencionar a produção de um relatório de impacto à proteção de dados.
A então ministra do STF (Supremo Tribunal Federal) Rosa Weber mencionou a falta desse instrumento de privacidade quando invalidou o compartilhamento de dados de clientes de operadoras de telefonia com o IBGE para a realização de pesquisas durante a pandemia de Covid-19.
De acordo com Cruz, do Idec, o STF também interveio quando o governo de Jair Bolsonaro (PL) criou o Cadastro Base do Cidadão, que disponibiliza o CPF de brasileiros para órgãos e entidades da administração pública federal. “A corte precisou definir limites, e a medida contava com uma governança mais bem definida, com um comitê multissetorial de supervisão.”
A ANPD disse que abriu processo para verificar a adequação do decreto 12.428, de 2025, à lei de proteção de dados, a fim de “garantir o respeito aos princípios gerais de proteção de dados pessoais, o exercício de direitos pelos titulares de dados e a adoção de medidas técnicas, administrativas e de governança eficazes, de maneira a prevenir a ocorrência de eventuais incidentes de segurança”.
O regulador oficiou a Secretaria de Governo Digital do Ministério da Gestão e Inovação em Serviços Públicos ainda na quarta-feira, com pedido de informações sobre as medidas de fiscalização do BPC. O ofício está sob sigilo.
“A Autoridade segue acompanhando os desdobramentos com atenção, reafirmando seu compromisso com a proteção de dados pessoais”, afirmou a ANPD em nota.
Para o especialista em privacidade Rony Vainzof, sócio do VLK Advogados, o governo poderia garantir que a fiscalização do BPC se adeque à LGPD sem mudar o decreto, se a futura portaria complementar cumprir requisitos básicos, como a geração de um relatório de impacto. “Aparentemente, há propósitos legítimos e há compatibilidade do tratamento para o atendimento de sua finalidade pública.”
O Ministério da Gestão e da Inovação em Serviços Públicos será o controlador dos dados compartilhados e responderá em caso de descumprimento de qualquer previsão da LGPD.
