A Autoridade Nacional de Proteção de Dados (ANPD) concluiu, esta semana, a análise preliminar da denúncia apresentada pelo Comitê dos Trabalhadores contra a Privatização da Celepar e encaminhou o caso para os trâmites internos do órgão, que incluem o planejamento de fiscalização. Segundo a ANPD, o relato foi enquadrado como “compartilhamento indevido de dados pessoais e/ou sensíveis”.

Na prática, o caso passa a ser tratado de forma agregada com outras denúncias semelhantes e pode resultar em pedidos de multas milionárias, inspeções temáticas e até mesmo abertura de processo administrativo sancionador contra o Estado do Paraná, o governador Ratinho Jr. e a Celepar.

Para o Comitê, o encaminhamento reconhece a gravidade dos riscos apontados. “É um passo importante: a ANPD ao receber a denúncia, admite que há elementos que embasam a fiscalização, e o risco do que pode ser feito com dados pessoais e sensíveis da população, do governo e das empresas durante e depois do processo de privatização”, afirma o advogado Paulo Jordanesson Falcão de C. Marcos, representante do grupo. “A venda, como proposta, configura grave risco à segurança da informação e viola a Lei Geral de Proteção de Dados (LGPD), que proíbe que o governo transfira dados particulares para empresas privadas sem anuência do usuário, bem como proíbe que informações que envolvam segurança do Estado, Defesa nacional ou segurança pública sejam tratadas por empresas particulares”.

Falcão aponta que o modelo adotado pelo Governo do Paraná no processo de desestatização expõe bases críticas de segurança pública como investigação criminal, mandados de prisão, menores acolhidos, menores em conflito com a lei, saúde, tributação do Estado, sendo algumas integradas a plataformas estaduais e federais.

LACUNA DE INFORMAÇÕES

Na denúncia que foi enviada à ANPD, o Comitê aponta lacunas básicas de governança. É o caso, por exemplo, da ausência de Relatórios de Impacto à Proteção de Dados (RIPD), da falta de um plano detalhado de migração e de segregação de bases, além de respostas incompletas a pedidos de informação baseada na LAI - lei de acesso à informação. Além disso, há “lacuna de informações concretas” sobre como garantir a conformidade da estrutura atual em um cenário privado.

O documento sustenta, ainda, que a Celepar não atua só como operadora técnica de sistemas. Pela legislação estadual, a empresa exerce funções típicas de controladora dos dados pessoais dos usuários (quem decide as finalidades e os meios de tratamento), o que exigiria outra base legal e nova coleta de consentimento de titulares se o controle passasse à iniciativa privada. “A Celepar não é apenas operadora. Ela tem função de controladora”, afirma o advogado.

Há ainda preocupação com declarações públicas sobre “monetização de dados”, nome técnico dado a venda, com pedido de apuração específica sobre isso. Entre os dados sob risco, a denúncia destaca dados sensíveis dos usuários, que sequer receberiam, afetando e direcionando até mesmo a localização das pessoas e o que consomem.

A representação contrapõe a venda às salvaguardas do Art. 4º, §4º, da LGPD (vedação ao tratamento da “totalidade” de dados críticos por empresas privadas sem capital integralmente público). O texto registra o entendimento do Ministério Público Federal (MPF) de que a segregação por “fatiamento” compromete a integridade funcional do banco de dados.

A denúncia pede que o Ministério da Justiça e Segurança Pública seja informado de que a base da Carteira de Identidade Nacional, com dados biométricos e biográficos compartilhados inclusive com o Serpro, é processada na Celepar. Com isso, a eventual transferência ao setor privado contraria o regime previsto na LGPD. Além disso, o advogado alerta que também foi solicitado que seja feita uma comunicação ao Ministério da Fazenda e ao Confaz sobre o sistema de Declaração de Conteúdo eletrônica (DC-e), por envolver dados tributários de múltiplas unidades federativas.

Falcão afirma que a venda via leilão “configura grave risco à segurança da informação”, com violação da LGPD e exposição do Estado a vulnerabilidades operacionais, “pois o Estado estará vendido e de mãos atadas a uma empresa privada que nem sabemos de onde vem”, “e se essa empresa vazar dados pois terá centenas de terceirizados, quebrar ou interromper o serviço exigindo mais dinheiro dos contratos, como é que fica?”

Com o caso agora no ciclo de fiscalização da ANPD, Falcão espera que seja recomendada a suspensão da privatização e de qualquer migração de dados sensíveis e que envolvam segurança do Estado até a plena adequação às regras da LGPD e exaustivos estudos técnicos, além de requerer medidas para assegurar continuidade de serviços públicos e proteção dos titulares de dados, mencionando, inclusive, que “A empresa deixará de atender o interesse público e a prestação de serviço ao cidadão e governo para focar em ter lucro”.