• Por: Transparência Brasil
• Em: 20/06/2023

Em resposta ao pedido de acesso de informação registrada no sistema e-SIC sob o número 08198.024818/2023-64, informamos:

Os autos foram encaminhados à Coordenação de Integração, Segurança e Ciência de Dados - CISC, unidade responsável pela gestão dos dados objeto do e-SIC em comento, que expediu o Despacho nº 219/2023/DTIC, informando:

"2. Considerando a Instrução Normativa n° 45/2021/DG/PRF, que institui a Política de Segurança da Informação da Polícia Rodoviária Federal - POSIN/PRF e que tem por objetivo específico fortalecer a cultura e ações relacionadas com a segurança da informação especialmente as relacionadas a segurança das informações das ações de segurança pública; segurança dos dados custodiados pela PRF; segurança da informação das infraestruturas críticas; proteção dos ativos de informação e de comunicação institucionais; tratamento das informações que contenham dados pessoais; e proteção dos materiais de acesso restrito;

3. Considerando a Lei Geral de Proteção de Dados, Lei nº 13.709, de 14 de Agosto de 2018, que dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural;

4. Destacamos inicialmente o art. 4º da LGPD que deixa evidente que esta não se aplica ao tratamento de dados pessoais quando realizado para fins exclusivos de Segurança Pública.

5. Destacamos ainda que a LGPD, no art. 6º, estabelece os princípios que devem nortear o tratamento de dados pessoais, tais como o princípio da finalidade, que determina que os dados devem ser coletados para propósitos específicos, explícitos e legítimos, o princípio da necessidade, que preconiza que os dados devem ser adequados, relevantes e limitados ao mínimo necessário para alcançar a finalidade para a qual foram coletados, e o princípio da segurança, segundo o qual as atividades de tratamento de dados pessoais deverão utilizar de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.

6. Ademais, o art. 46, caput, da mesma Lei, dispõe que “Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.” Ainda no artigo 46, em seu §2º, a referida norma prevê que “As medidas de que trata o caput deste artigo deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução.”

7. Informamos que mesmo havendo uma excepcionalidade quanto a aplicabilidade da LGPD no âmbito da Segurança Pública, a PRF aplica todos os controles e mecanismos necessários à proteção de dados pessoais.

8. Entretanto, em análise ao caso concreto onde informamos que o objeto do Contrato Administrativo nº 95/2022 é a contratação de serviço de extração e atualização de dados biométricos do Registro Nacional de Condutores Habilitados - RENACH para fins exclusivos de segurança pública e para uso exclusivo da Polícia Rodoviária Federal - PRF, e considerando a solicitação de acesso ao Relatório de Impacto à Proteção de Dados Pessoais - RIPD vinculado ao referido contrato administrativo, onde há de se destacar que este tem a finalidade de descrever os processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco (Art. 5º, XVII da Lei 13.709/2018 (LGPD). Tais informações, por sua natureza sigilosa, não podem ser disponibilizadas indiscriminadamente, uma vez que poderiam comprometer a segurança e a integridade das pessoas envolvidas em nossas operações.

9. Portanto diante de todo o exposto e considerando o conjunto de informações que constam nos RIPDs, nos quais destacamos, além dos já mencionados no item anterior, os nomes e objetivos de funcionamento de sistemas da PRF focados em Segurança Pública, que não nos parece haver razoabilidade, smj, no fornecimento de tais documentos, mesmo que em partes, sem que haja a garantia de que não haverá o real comprometimento da

[Resposta incompleta no próprio sistema Fala.br]

• Por: Transparência Brasil
• Em: 27/06/2023

Boa noite,

Respeitosamente, apresentamos recurso contra a negativa de acesso a informação proferida em resposta ao pedido pela cópia do Relatório de Impacto à Proteção de Dados Pessoais - RIPD vinculado ao Contrato Administrativo nº 95/2022.

Inicialmente, cabe destacar que a justificativa para a negativa ("Tais informações, por sua natureza sigilosa, não podem ser disponibilizadas indiscriminadamente, uma vez que poderiam comprometer a segurança e a integridade das pessoas envolvidas em nossas operações") está em desacordo com o estabelecido pelo Decreto 7.724/2012. Não se apresenta o fundamento legal da classificação da informação, tampouco a autoridade que a classificou ou o código de indexação do documento exigidos pelo art. 19, §1º do referido texto legal.

O argumento em si, por sua vez, contraria o disposto no art. 21 da Lei 12.527/2011 e no art. 42 do Decreto 7.724/2012: "Não poderá ser negado acesso às informações necessárias à tutela judicial ou administrativa de direitos fundamentais." Como a própria resposta destaca, o Relatório de Impacto à Proteção de Dados Pessoais "tem a finalidade de descrever os processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco". Portanto, seu conteúdo é essencial para que os cidadãos consigam dimensionar os riscos a seus direitos fundamentais causados pelo tratamento de dados em questão em relação às medidas tomadas para mitigá-los. Consequentemente, o acesso ao Relatório é crucial para habilitar os cidadãos a julgar se os riscos não são devida ou proporcionalmente mitigados e, caso a constatação seja negativa, questionar, administrativa ou judicialmente, o tratamento de dados.

Em artigo publicado em julho de 2021 no site JOTA, especialistas da ONG Data Privacy Brasil apontam justamente que "A prestação de contas, na forma da publicização do RIPD, permite a participação pública na definição de que riscos oriundos do tratamento de dados são toleráveis. É dizer, esse raciocínio leva precipuamente em consideração que o RIPDP seria um instrumento com o potencial de permitir que os titulares de dados exerçam seus direitos em face do controlador quando suas informações sejam submetidas a operações de alto risco."

O tratamento de dados objeto do Contrato Administrativo nº 95/2022 é uma operação de alto risco, pela definição dada pelo art. 4º da Resolução CD/ANPD 2/2022; afinal, é um tratamento em larga escala (abrange número significativo de titulares e grande extensão geográfica).

Na resposta, indica-se que as informações "poderiam comprometer a segurança e a integridade das pessoas envolvidas em nossas operações" e incluem "os nomes e objetivos de funcionamento de sistemas da PRF focados em Segurança Pública". Parece-nos bastante possível ocultar/tarjar tais informações nos documentos, de modo a assegurar o acesso às partes não sigilosas, como determina o art. 33 do Decreto 7.724/2012. Desta forma, garante-se tanto o acesso a informações necessárias à tutela judicial ou administrativa de direitos fundamentais quanto a proteção de informações sensíveis, cumprindo-se a Lei de Acesso a Informações em sua integridade.

Considerando o exposto, solicitamos a reconsideração da negativa e o fornecimento da cópia do Relatório de Impacto à Proteção de Dados Pessoais - RIPD vinculado ao Contrato Administrativo nº 95/2022, excluídas (ou ocultadas) as informações eventualmente sujeitas a sigilo.

Cordialmente.

• Por: Transparência Brasil
• Em: 03/07/2023

Neste contexto, é preciso esclarecer que o Relatório de Impacto à Proteção de Dados Pessoais - RIPD solicitado pelo recorrente é, conforme a LGPD, a documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais: "LGPD Art. 5º Para os fins desta Lei, considera-se: XVII - relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;"

Quanto ao recurso em si, o recorrente solicita a reconsideração da negativa[11] e o fornecimento da cópia do RIPD vinculado ao Contrato Administrativo nº 95/2022, excluídas (ou ocultadas) as informações eventualmente sujeitas a sigilo.

Em termo gerais, a resposta fornecida inicialmente ao requerente indicou, dentre outros dispositivos, o art. 4º da LGPD[12], informando que a citada lei não se aplica ao tratamento de dados pessoais quando realizado para fins exclusivos de Segurança Pública: "LGPD Art. 4º Esta Lei não se aplica ao tratamento de dados pessoais: (...) III - realizado para fins exclusivos de: a) segurança pública." Também mencionou o art. 6º e o art. 46 da LGPD[13], que registram que as atividades de tratamento de dados pessoais deverão observar medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados: "LGPD Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios: VII - segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão; Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.?"

A resposta ainda indicou que o objeto do Contrato Administrativo em comento[14] é a contratação de serviço para fins exclusivos de segurança pública e para uso exclusivo da Polícia Rodoviária Federal - PRF.[15] Não obstante, além dos aspectos mencionados no Despacho nº 32/2023/CISC (49152539), registramos que o art. 5º da própria LGPD considera ser dado pessoal informação relacionada a pessoa natural e dado pessoal sensível, entre outros, o dado biométrico, quando vinculado a uma pessoa natural (lembrando que o objeto da contratação cujo RIDP é pleiteado relaciona-se ao fornecimento dados biométricos, que incluem fotografia, assinatura e as 10 (dez) digitais, quando disponíveis, para cada emissão de CNH válida, inclusive histórico de emissões, dos condutores registrados na base de imagens do Registro Nacional de Carteira de Habilitação (RENACH) de propriedade da Secretaria Nacional de Trânsito (SENATRAN))[16]: "LGPD Art. 5º Para os fins desta Lei, considera-se: I - dado pessoal: informação relacionada a pessoa natural identificada ou identificável; II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;"

O recorrente também argumenta que a negativa contraria o disposto no art. 21 da Lei 12.527/2011 (Lei de Acesso à Informação - LAI ) e no art. 42 do Decreto 7.724/2012:[17] "Lei 12.527/2011 (Lei de Acesso à Informação) Art. 21. Não poderá ser negado acesso à informação necessária à tutela judicial ou administrativa de direitos fundamentais. Parágrafo único. As informações ou documentos que versem sobre condutas que impliquem violação dos direitos humanos praticada por agentes públicos ou a mando de autoridades públicas não poderão ser objeto de restrição de acesso. Decreto 7.724/2012 Art. 42. Não poderá ser negado acesso às informações necessárias à tutela judicial ou administrativa de direitos fundamentais. Parágrafo único. O requerente deverá apresentar razões que demonstrem a existência de nexo entre as informações requeridas e o direito que se pretende proteger."

Ocorre que não se vislumbra, em tese, que o Relatório de Impacto à Proteção de Dados Pessoais - RIPD solicitado pelo recorrente seja necessário à tutela judicial ou administrativa de direitos fundamentais, tampouco contenha informações ou documentos que versem sobre condutas que impliquem violação dos direitos humanos praticada por agentes públicos ou a mando de autoridades públicas. Ademais, não restou clara a existência de nexo entre as informações requeridas e o direito que se pretende proteger.

Por fim, o recurso ainda explicita que o conteúdo do relatório é essencial para que os cidadãos consigam dimensionar os riscos a seus direitos fundamentais causados pelo tratamento de dados em questão em relação às medidas tomadas para mitigá-los, e consequentemente é crucial para habilitar os cidadãos a julgar se os riscos não são devida ou proporcionalmente mitigados e, caso a constatação seja negativa, questionar, administrativa ou judicialmente, o tratamento de dados[18], e que a prestação de contas, na forma da publicização do RIPD, permite a participação pública na definição de que riscos oriundos do tratamento de dados são toleráveis, sendo o RIPDP um instrumento com o potencial de permitir que os titulares de dados exerçam seus direitos em face do controlador quando suas informações sejam submetidas a operações de alto risco, sendo o tratamento de dados objeto do Contrato Administrativo nº 95/2022 uma operação de alto risco, pela definição dada pelo art. 4º da Resolução CD/ANPD 2/2022, eis que, afinal, é um tratamento em larga escala (abrange número significativo de titulares e grande extensão geográfica).[19]

Sobre essa situação, não se olvida da importância do RIPD, pelo contrário. A PRF sempre atende a todas disposições legais, e quanto à LGPD não é diferente. Todavia, os RIPDs elaborados pela PRF contém diversas informações, como os nomes dos sistemas que acessam as bases de dados, os níveis de risco a que as informações constantes nas bases de dados estão expostas, entre outros tantos inúmeros detalhes técnicos que, conforme Despacho nº 32/2023/CISC (49152539)[20], possuem natureza sigilosa e não podem ser disponibilizadas indiscriminadamente, uma vez que poderiam comprometer a segurança e a integridade das pessoas envolvidas em nossas operações.

Não obstante, ainda que se julgue errônea a interpretação acima, é mister relatar que, conforme DESPACHO Nº 35/2023/CISC (49420112) e DECISÃO ADMINISTRATIVA Nº 25/2023/DIAD ( SEI 48742447), o Contrato Administrativo nº 95/2022/DIAD/PRF (48363009) entabulado entre a PRF e SERPRO está suspenso por determinação da atual gestão da PRF (vide termo de suspensão do contrato nº 95/2022 (SEI 48760988). Tal suspensão se deu justamente para que as áreas técnicas possam expor, antes que se implemente processamentos, a forma e soluções de TI que fariam uso das informações e apresentassem o atual estado de desenvolvimento de uso de informações biométricas.

Neste sentido, quando da primeira resposta à demanda apresentada[23] existiam apenas tratativas para a confecção de proposta de acesso às informações e de quais aplicações consumiriam a base de dados disponibilizada no contrato em tela, como se verifica do processo nº 08650.047079/2023-94, mas que em virtude da suspensão narrada não resultaram em RIPD.

Contudo, dada a suspensão do contrato, informa-se que não se chegou a ser desenvolvida nenhuma funcionalidade, processamento ou tratamento de dados pessoais, fato pelo qual não foi elaborado RIPD sobre a temática. Neste sentido cumpre informar que as informações objeto do contrato apenas foram disponibilizadas à PRF e constam em nossos bancos de dados até ulterior decisão, mas no momento com restrições de acessos e sem aplicabilidade desenvolvida. Logo, é impossível fornecer ou avaliar o conteúdo para disponibilizar cópia ao requerente, no caso concreto, fornecer o RIPD que ainda não foi confeccionado.

CONCLUSÃO
Nenhuma das hipóteses de restrição de acesso à informação pode ser aplicada, de forma apriorística / arbitrária, às licitações públicas e aos contratos administrativos, bem como que não é a intenção desta Diretoria de Tecnologia da Informação e Comunicação restringir ou dificultar ou impossibilitar o exercício do direito de qualquer cidadão.

No entanto, conforme exposto, não existe RIPD de base de dados, mas sim de sistema que acessa a base de dados. Logo, impossível fornecer RIPD requerido sobre a base de dados do Contrato Administrativo nº 95/2022/DIAD/PRF (48363009) entabulado entre a PRF e SERPRO.

Ainda, conforme noticia a CISC por meio do DESPACHO Nº 35/2023/CISC (49420112), atualmente o contrato sob exame está suspenso, e em razão dessa suspensão não foram desenvolvidas até o momento aplicações visando o consumo das informações pertinentes ao contrato susodito.

Desta forma, apesar de dispormos das informações entregues até a suspensão do contrato, a base de dados não tem sido acessada ou nem utilizada, e portanto não existe RIPD dos sistemas que acessariam a base de dados do Contrato nº 95/2022/DIAD/PRF, sendo impossível fornecer ou avaliar o conteúdo para disponibilizar cópia ao requerente.

• Por: Transparência Brasil
• Em: 13/07/2023

Respeitosamente, apelamos contra o indeferimento do recurso apresentado em 1ª instância contra a negativa de fornecimento de cópia de Relatório de Impacto à Proteção de Dados Pessoais relativo ao Contrato nº 95/2022.

Iniciamos com os trechos finais da decisão. Segundo o DTIC, “(...) a base de dados não tem sido acessada ou nem utilizada, e portanto não existe RIPD dos sistemas que acessariam a base de dados do Contrato nº 95/2022/DIAD/PRF, sendo impossível fornecer ou avaliar o conteúdo para disponibilizar cópia ao requerente.”

O DTIC afirma ainda que “não existe RIPD de base de dados, mas sim de sistema que acessa a base de dados”. A afirmação nos gera espanto, tendo em vista as definições dadas pela Lei 13.709/2018 de “tratamento” e do RIPD em seu art. 5º.

Tratamento, de acordo com o inciso X, é “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”.

Depreende-se da decisão denegatória no recurso que o DPRF realizou ao menos três operações de tratamento dos dados objeto do contrato: recepção, arquivamento e armazenamento. Afinal, informa-se que “as informações objeto do contrato apenas foram disponibilizadas à PRF e constam em nossos bancos de dados até ulterior decisão”.

O RIPD, de acordo com o inciso XVII do art. 5º da Lei 13.709/2018, é a “documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco”.

Considerando que as operações realizadas pelo DPRF são um tratamento em larga escala (abrange número significativo de titulares e grande extensão geográfica) – e, portanto, de alto risco, pela definição dada pelo art. 4º da Resolução CD/ANPD 2/2022 –, há necessidade de um RIPD sobre elas, como certamente o órgão está ciente. É à cópia desse documento que se requer acesso, uma vez que é o único RIPD a ter sido produzido no âmbito do Contrato nº 95/2022, segundo o DTIC.

A negativa não atende plenamente a demanda inicial, portanto, pois não faz referência ao RIPD relativo à recepção, arquivamento e armazenamento dos dados.

Abordando agora outros argumentos apresentados na negativa de acesso e no indeferimento do recurso em 1ª instância, iniciamos pela afirmação de que “não se vislumbra, em tese, que o Relatório de Impacto à Proteção de Dados Pessoais - RIPD solicitado pelo recorrente seja necessário à tutela judicial ou administrativa de direitos fundamentais”.

Reiteramos o que se apresentou no recurso indeferido: conforme consta na própria resposta inicial à demanda, o RIPD "tem a finalidade de descrever os processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco". Se o documento traz informações sobre como o tratamento de dados pessoais pode colocar em risco liberdades civis e direitos fundamentais e sobre como o agente atua para mitigar tais riscos, a necessidade de acessar tais informações para a tutela justamente desses direitos é bastante clara.

Sem o acesso a elas, o cidadão fica alijado de instrumentos essenciais para avaliar se os riscos a seus direitos fundamentais causados pelo tratamento de dados em questão são devidamente mitigados pelo operador de dados. Consequentemente, prejudica-se o exercício do direito de questionar, administrativa ou judicialmente, o tratamento de dados caso ele represente um risco grave a direitos fundamentais e as medidas de mitigação sejam insuficientes.

Na decisão que indeferiu o recurso, argumenta-se também que “não restou clara a existência de nexo entre as informações requeridas e o direito que se pretende proteger”. Usamos desta oportunidade, então, para desenvolver a argumentação de forma mais detalhada. Os dados biométricos cujos armazenamento e acesso são ensejados pelo contrato são intrinsecamente ligados ao direito à intimidade, vida privada, honra e imagem. Caso haja vazamento desses dados ou eles sejam submetidos a outras operações que os deixem vulneráveis a acessos indevidos, tais direitos estão sob risco. Ou seja, há nexo claro e direto entre acessar as informações sobre a avaliação de risco realizada e as medidas de mitigação dos riscos e a tutela desse direito. Cabe lembrar, ainda, que o direito à proteção de dados pessoais é, em si, um direito fundamental

Seguimos ao próximo argumento: na negativa do recurso, menciona-se, repetindo o que foi apresentado na negativa inicial, que “os RIPDs elaborados pela PRF contém diversas informações (...) que, conforme Despacho nº 32/2023/CISC (49152539)[20], possuem natureza sigilosa e não podem ser disponibilizadas indiscriminadamente, uma vez que poderiam comprometer a segurança e a integridade das pessoas envolvidas em nossas operações”.

Permanece a lacuna de informação sobre o grau, o prazo e o fundamento legal do sigilo aplicado aos RIPDs, bem como a indicação da autoridade classificadora, apontada no recurso em 1ª instância. Não foi possível verificar se o conteúdo do Despacho nº 32/2023/CISC (que, segundo a decisão, estabelece o caráter sigiloso dos documentos) traz tais informações, pois não está anexo à decisão denegatória de recurso publicada no Fala.br, e o DPRF não dispõe do Módulo de Consulta Pública do SEI que permita acessá-lo.

De todo modo, aplica-se o disposto no art. 33 do Decreto 7.724/2012, que assegura o acesso às partes não sigilosas de documentos. Parece tecnicamente viável a ocultação/tarjamento das informações de caráter sensível, no caso em tela.

Diante do exposto, solicitamos a reconsideração da negativa de acesso a informações e o fornecimento da cópia do Relatório de Impacto à Proteção de Dados Pessoais (RIPD) relacionado ao Contrato nº 95/2022, excluídas (ou ocultadas) as informações eventualmente sujeitas a sigilo.

Cordialmente

• Por: Transparência Brasil
• Em: 21/07/2023

Prezado(a) Solicitante, Encaminhamos em anexo a decisão do Senhor Ministro de Estado da Justiça e Segurança Pública, acerca do Recurso em Segunda Instância, para conhecimento. Permanecemos à disposição. Atenciosamente, Ouvidoria-Geral Ministério da Justiça e Segurança Pública - MJSP (61) 2025.7980

Arquivo 1