Proteção de Dados na Previdência Social

Proteção de Dados na Previdência, Proteção de Dados na Previdência Social, Koetz Advocacia, Koetz Advocacia

Antes mesmo do surgimento do sistema brasileiro sobre proteção de dados, na previdência o tema já estava regulamentado pelos Acordos de Previdência do Mercosul e Iberoamericano ratificados pelo Brasil

Os dados pessoais Previdência e na Assistência Social pelo mundo

Grande parte dos órgãos de administração previdenciária do mundo já adotaram medidas e regramentos fortes no tema da proteção de dados na previdência social, tanto nas Américas, como na Europa e Ásia.

O Brasil é signatário de Acordos Internacionais que impõe regras sobre a proteção de dados na previdência: O Acordo Multilateral de Seguridade Social do Mercosul, o Acordo Iberoamericano de Previdência (art. 5º do acordo de aplicação anexo em 19/05/2011), e o Acordo de Previdência Brasil e Estados Unidos.

Os governos europeus estão subordinados a GDPR, e possuem regramentos próprios em relação aos dados colhidos no âmbito da previdência social.

No Reino Unido, em 04/2020, foi publicada a “carta de informações pessoais” regulamentando e atualizando as políticas governamentais e direitos dos cidadãos à proteção de seus dados no âmbito do governo, e restrições de compartilhamento com instituições privadas.

Porém, a Escócia se destaca fortemente, adotando políticas de Security by Design no seu sistema previdenciário, em que a autarquia Social Security Directorate está reestruturando a previdência social independente do Reino Unido de acordo com a Lei da Escócia de 2016 que prevê a devolução da administração dos benefícios pelo governo inglês para os escoceses, adotando o Digital First Standard.

A nova agência para supervisionar o sistema, a Seguridade Social da Escócia , deve defender os Princípios e sua Carta e se comprometeu a adotar uma abordagem baseada nos direitos humanos e demonstrar justiça, dignidade e respeito em todas as suas ações. Estratégia Digital da Segurança Social da Escócia também visa refletir esses valores fundamentais, afirmando que é baseado no Security by Design, tratando os dados do cliente com dignidade, justiça e respeito. Fonte: PRIVACY INTERNATIONAL.ORG

Esta transição dá Escócia para um modelo que vai além da proteção de dados na previdência, mas evolui para uma previdência digital, com atendimento automatizado e multicanal focado na experiência do usuário.

Nos EUA, a SSA está regulada pela  da Subpart B do Privacy Act § 401.30, que afirma:

§ 401.30. Lei de Privacidade e outras responsabilidades.

(a) Política. Nossa política é proteger a privacidade das pessoas ao máximo possível, permitindo, no entanto, a troca de registros necessária para cumprir nossas responsabilidades administrativas e do programa, e responsabilidades pela divulgação de registros que o público em geral tem o direito de ter sob a Lei de Liberdade de Informação, 5 USC 552 e 20 CFR parte 402.

(b) Manutenção de registros. Não manteremos nenhum registro, a menos que:

(1) É relevante e necessário realizar uma função da SSA que deve ser cumprida por estatuto ou ordem executiva;

(2) Obtemos as informações no registro, na medida do possível, do indivíduo em questão, se pudermos usá-lo para determinar os direitos, benefícios ou privilégios de um indivíduo nos programas federais;

(3) Informamos ao indivíduo que nos forneceu o registro da autoridade para solicitarmos que ele forneça o registro (incluindo se o registro é obrigatório ou voluntário, o principal objetivo da manutenção do registro, a rotina usada para o registro , e que efeito sua recusa em fornecer o registro pode ter sobre ele). Além disso, o indivíduo concorda em fornecer o registro, se o indivíduo não for obrigado por estatuto ou Ordem Executiva a fazê-lo.

(c) Direitos da Primeira Emenda. Não manteremos nenhum registro que descreva como um indivíduo exerce direitos garantidos pela Primeira Emenda, a menos que esteja expressamente autorizado:

(1) Por estatuto,

(2) Pelo indivíduo em questão, ou

(3) A menos que seja pertinente e dentro do escopo de uma atividade policial autorizada.

No Chile a proteção de dados é regulada pela Ley 141.599, e confere direitos de acesso e modificação dos dados pessoais aos seus titulares, com previsão processual de acesso em caso de negativa pela autoridade. Entretanto, bancos e instituições financeiras tem acesso liberado aos dados financeiros de todos os cidadãos.

 

INSS, Previdência brasileira e receita federal

No Brasil a proteção de dados está em fase de consolidação, sendo que a Lei Geral de Proteção de Dados, a eficácia da LGPD é a partir de 08/2020 e impõe a administração pública uma série de deveres e responsabilidades, inclusive sobre a proteção de dados na previdência.

Estes deveres terão impacto direto no âmbito do INSS e do SUS, bem como em diversas organizações públicas e privadas ligadas à seguridade social, como hospitais e clínicas, secretarias municipais e estaduais de saúde, regimes próprios de previdência, entidades filantrópicas e assistenciais entre outras.

Passamos então para uma análise dos dispositivos importantes que a LGDP introduzirá para a previdência:

Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:

I – mediante o fornecimento de consentimento pelo titular;

II – para o cumprimento de obrigação legal ou regulatória pelo controlador;

III – pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;

VI – para o exercício regular de direitos em processo judicial, administrativo ou arbitral

VII – para a proteção da vida ou da incolumidade física do titular ou de terceiro;

VIII – para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;

IX – quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou

X – para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

O artigo 7º tem a natureza de autorizar a utilização normal e cotidiana dos dados pessoais de todos os cidadãos, e essa autorização legal não necessita da autorização por consentimento da pessoa titular dos dados, desde que se enquadre nos demais incisos II a X.

Ou seja, o governo, as organizações, os bancos e empresas podem usar os dados de você que lê este artigo ou de qualquer pessoa ou autoridade, desde que justifiquem pelos incisos II a X ou então que o cidadão dê o consentimento.

Entretanto, há ressalvas à dados sensíveis, que são muito utilizados pela seguridade social como dados fiscais (CPF) e de doenças (CID) por exemplo, e merecem maior proteção de dados na previdência. Estão dispostos no art. 11.

Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses:

I – quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;

II – sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:

a) cumprimento de obrigação legal ou regulatória pelo controlador;

b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;

c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;

d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem) ;

e) proteção da vida ou da incolumidade física do titular ou de terceiro;

f) tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias; ou

f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; ou

g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º desta Lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.

§ 1º Aplica-se o disposto neste artigo a qualquer tratamento de dados pessoais que revele dados pessoais sensíveis e que possa causar dano ao titular, ressalvado o disposto em legislação específica.

§ 2º Nos casos de aplicação do disposto nas alíneas “a” e “b” do inciso II do caput deste artigo pelos órgãos e pelas entidades públicas, será dada publicidade à referida dispensa de consentimento, nos termos do inciso I do caput do art. 23 desta Lei.

§ 3º A comunicação ou o uso compartilhado de dados pessoais sensíveis entre controladores com objetivo de obter vantagem econômica poderá ser objeto de vedação ou de regulamentação por parte da autoridade nacional, ouvidos os órgãos setoriais do Poder Público, no âmbito de suas competências.

      • 4º É vedada a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica, exceto nas hipóteses relativas a prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde, desde que observado o § 5º deste artigo, incluídos os serviços auxiliares de diagnose e terapia, em benefício dos interesses dos titulares de dados, e para permitir:

I – a portabilidade de dados quando solicitada pelo titular; ou  

II – as transações financeiras e administrativas resultantes do uso e da prestação dos serviços de que trata este parágrafo.

      • 5º É vedado às operadoras de planos privados de assistência à saúde o tratamento de dados de saúde para a prática de seleção de riscos na contratação de qualquer modalidade, assim como na contratação e exclusão de beneficiários.

Art. 12. Os dados anonimizados não serão considerados dados pessoais para os fins desta Lei, salvo quando o processo de anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido.

      • 1º A determinação do que seja razoável deve levar em consideração fatores objetivos, tais como custo e tempo necessários para reverter o processo de anonimização, de acordo com as tecnologias disponíveis, e a utilização exclusiva de meios próprios.
      • 2º Poderão ser igualmente considerados como dados pessoais, para os fins desta Lei, aqueles utilizados para formação do perfil comportamental de determinada pessoa natural, se identificada.
      • 3º A autoridade nacional poderá dispor sobre padrões e técnicas utilizados em processos de anonimização e realizar verificações acerca de sua segurança, ouvido o Conselho Nacional de Proteção de Dados Pessoais.

 

Cumpre também atentar para os casos de fornecimento de dados da previdência social, assistência e saúde com a finalidade de realização de estudos por universidades e outras instituições de pesquisa públicas ou privadas, que muito dificilmente terão fiscalização por parte do governo.

Como por exemplo se pode esperar no fornecimento massivo de informações do INSS para universidades como  a USP, UNB ou para FGV por exemplo.

Art. 13. Na realização de estudos em saúde pública, os órgãos de pesquisa poderão ter acesso a bases de dados pessoais, que serão tratados exclusivamente dentro do órgão e estritamente para a finalidade de realização de estudos e pesquisas e mantidos em ambiente controlado e seguro, conforme práticas de segurança previstas em regulamento específico e que incluam, sempre que possível, a anonimização ou pseudonimização dos dados, bem como considerem os devidos padrões éticos relacionados a estudos e pesquisas.

1º A divulgação dos resultados ou de qualquer excerto do estudo ou da pesquisa de que trata o caput deste artigo em nenhuma hipótese poderá revelar dados pessoais.

2º O órgão de pesquisa será o responsável pela segurança da informação prevista no caput deste artigo, não permitida, em circunstância alguma, a transferência dos dados a terceiro.

E por fim, a questão do descarte e eliminação dos dados pessoais e informações, sejam físicas ou digitais. Entendemos que os dados previdenciários jamais devem ser excluídos ou eliminados, sendo uma rica fonte histórica de informações, para fins estatísticos nas mais diversas áreas do conhecimento humano. Diz a LGDP:

Art. 16. Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades:

I – cumprimento de obrigação legal ou regulatória pelo controlador;

II – estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;

Na realidade, seria interessante uma política de divulgação e acesso público e estruturado sobre os dados de todas as pessoas após seu falecimento, com a anonimização dos dados pessoais, para fins científicos e econômicos.

Proteção de dados na previdência e tratamento pelo Poder Público: O CNIS, Plenus, Prisma e demais sistemas da DATAPREV

O INSS através da DATAPREV possui um dos maiores bancos de dados do mundo, com a guarda de todos os dados trabalhadores brasileiros desde os anos 1970.

Sim, o INSS possui cadastros e as remunerações de todos os empregos formais e salários de contribuição desde 1975, com 100% de precisão das informações desde 1994. Estima-se que o CNIS tem entre 2 e 3 milhões de acessos diários, respondendo a uma demanda imensa.

Pelo decreto 10047/2019, o INSS foi oficialmente responsabilizado pela gestão e administração do tratamento de dados do Cadastro Nacional de Informações Sociais, o CNIS, e pela proteção de dados na previdência. Que além da administração previdenciária, deve buscar o fomento da pesquisa.

Art. 23. O tratamento de dados pessoais pelas pessoas jurídicas de direito público referidas no parágrafo único do art. 1º da Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação) , deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público, desde que:

I – sejam informadas as hipóteses em que, no exercício de suas competências, realizam o tratamento de dados pessoais, fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades, em veículos de fácil acesso, preferencialmente em seus sítios eletrônicos;

A LGPD ainda determina as limitações do poder público ao compartilhamento de dados dos cidadãos, reforçando a proteção de dados na previdência, e as vedações de fornecer com a iniciativa privada:

Art. 26. O uso compartilhado de dados pessoais pelo Poder Público deve atender a finalidades específicas de execução de políticas públicas e atribuição legal pelos órgãos e pelas entidades públicas, respeitados os princípios de proteção de dados pessoais elencados no art. 6º desta Lei.

§ 1º É vedado ao Poder Público transferir a entidades privadas dados pessoais constantes de bases de dados a que tenha acesso, exceto:

I – em casos de execução descentralizada de atividade pública que exija a transferência, exclusivamente para esse fim específico e determinado, observado o disposto na Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação) ;

IV – quando houver previsão legal ou a transferência for respaldada em contratos, convênios ou instrumentos congêneres; ou            (Incluído pela Lei nº 13.853, de 2019)

V – na hipótese de a transferência dos dados objetivar exclusivamente a prevenção de fraudes e irregularidades, ou proteger e resguardar a segurança e a integridade do titular dos dados, desde que vedado o tratamento para outras finalidades.

O projeto original da Lei Geral de Proteção de Dados (LGPD) proibia de forma simples qualquercompartilhamento de dados entre órgãos do Poder Público e empresas privadas, exceto em casos bem específicos. Porém, as alterações efetuadas pela Medida Provisória n°869/2018 deram maior flexibilidade para as autarquias.

O INSS tem fornecido dados e compartilhamento ilegal de informações especialmente com bancos e financeiras, através de sistema próprio denominado SISCON e HISCON.

A Bandnews já publicou notícia sobre isso, e o próprio INSS divulga em seu portal a informação que repassa aos bancos, financeiras e agentes de crédito.

 “As empresas comercializam isso livremente. Não nasceu hoje essa prática, é antiga e reincidente. E quando a gente questiona sobre os vazamentos, dizem ‘admitimos que há problemas internos’ e fazem exoneração de funcionários. Mas, uma vez que a informação está sob gestão do poder público (como é o caso dos aposentados pelo INSS), tem de zelar e trabalhar a questão da segurança para que isso não aconteça.”

A situação é grave. Francisleno, por exemplo, teve todos os seus dados bancários vazados. Em setembro de 2018, após fazer um crédito consignado no BB, onde trabalhou, foi surpreendido por ligações de outras instituições, como BMG, Safra, Itaú, Bradesco, oferecendo taxas mais baixas para “comprar” a dívida dele com o Banco do Brasil e refazer o empréstimo consignado.

“Pela minha experiência percebo o seguinte: um determinado banco tem várias empresas (terceirizadas) trabalhando para ele. Ele passa o meu cadastro para a empresa A. Fazem o contato e eu falo que não tenho interesse. Volta para o banco e então ele passa para a empresa B e vai passando”, conta, lembrando seus tempos de Banco do Brasil, quando só ligavam para clientes que não tinham restrição em receber chamadas. “Cliente contatado, assunto encerrado. Nós tínhamos os dados do cliente. É diferente de uma outra empresa, até terceirizada, ligar para você. Nunca fui cliente do Safra, do BMG e as empresas que ligavam em nome deles tinham todos os meus dados, inclusive valores e até dando desconto sobre o crédito que fiz em outro banco.” FONTE: REDE BRASIL ATUAL

Responsabilização, punição e reparação

A responsabilização prevista na LGPD será forjada na prática pela jurisprudência dos tribunais, mas algumas deduções são possíveis acerca da aplicação das normas de proteção de dados na previdência.

O Controlador é a organização que detém os dados e é responsável pelo seu tratamento, e a pessoa é que trabalha com os dados é o operador.

Na relação previdenciária, o controlador é o INSS ou regime próprio de previdência, e o operador é o servidor público responsável pela gestão dos dados.

Quando há vazamento de dados de forma ilícita sem conhecimento do controlador, por servidor da área de TI, será aceitável que o próprio INSS seja plenamente responsável pela indenização e danos causados.

Entretanto, no caso do INSS apresentar prova eletrônica que revele quem é o autor do compartilhamento ou vazamento dos dados, a pena contra a autarquia deve ser minimizada e o servidor deverá ser punido e responsabilizado pelos danos pessoais e patrimoniais causados.

Art. 42. O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.

§ 1º A fim de assegurar a efetiva indenização ao titular dos dados:

I – o operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador equipara-se ao controlador, salvo nos casos de exclusão previstos no art. 43 desta Lei;

II – os controladores que estiverem diretamente envolvidos no tratamento do qual decorreram danos ao titular dos dados respondem solidariamente, salvo nos casos de exclusão previstos no art. 43 desta Lei.

§ 2º O juiz, no processo civil, poderá inverter o ônus da prova a favor do titular dos dados quando, a seu juízo, for verossímil a alegação, houver hipossuficiência para fins de produção de prova ou quando a produção de prova pelo titular resultar-lhe excessivamente onerosa.

§ 3º As ações de reparação por danos coletivos que tenham por objeto a responsabilização nos termos do caput deste artigo podem ser exercidas coletivamente em juízo, observado o disposto na legislação pertinente.

§ 4º Aquele que reparar o dano ao titular tem direito de regresso contra os demais responsáveis, na medida de sua participação no evento danoso.

Mas ainda é preciso avaliar se o INSS ou RPPS respeitou as regras e a legislação para atribuir a autorização aos servidor, bem como realizou treinamento e preparação deste servidor acerca da proteção de dados:

Art. 43. Os agentes de tratamento só não serão responsabilizados quando provarem:

I – que não realizaram o tratamento de dados pessoais que lhes é atribuído;

II – que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou

III – que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.

Art. 44. O tratamento de dados pessoais será irregular quando deixar de observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar, consideradas as circunstâncias relevantes, entre as quais:

I – o modo pelo qual é realizado;

II – o resultado e os riscos que razoavelmente dele se esperam;

III – as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado.

Parágrafo único. Responde pelos danos decorrentes da violação da segurança dos dados o controlador ou o operador que, ao deixar de adotar as medidas de segurança previstas no art. 46 desta Lei, der causa ao dano.

Interesse do ramo financeiro e securitário na proteção de dados na previdência

O interesse das financeiras e bancos no acesso aos dados dos segurados é latente, pois os beneficiários são pagadores fiéis, especialmente no crédito consignado, que já deixou de ter um juro barato.

A usura praticada pelos bancos contra aposentados é disseminada no país, e não apenas no momento da concessão do benefício, mas anualmente quando há reajuste de 3 a 7% no benefício, nos meses de janeiro, há uma avalanche de oferta de crédito consignado para aqueles que já são devedores. (Isto porque com o mínimo aumento de salário, há margem consignável para um empréstimo).

Há uma oferta insistente e voraz disseminada contra os beneficiários que chegam a receber propostas de empréstimo consignado antes mesmo de receberem a resposta da concessão do benefício pelo INSS, devido a total falta de proteção de dados na previdência atualmente.

Assim, não há motivos para o INSS compartilhar ou qualquer outro agente financeiro possuir os dados dos beneficiários além do órgão pagador (o banco que paga o benefício), sendo necessária a propositura da ação em caso de vazamento contra o INSS, o banco pagador (ou vários bancos em caso de transferência de conta no pagamento de salário) e o pedido de informação acerca do servidor público e funcionário do banco que liberou a informação para terceiros.

Ainda, resta a questão do prejuízo ou dano material e moral, pois as instituições financeiras alegam que não há prejuízo na contratação de empréstimo de juros na taxa média aplicada pelo mercado financeiro.

 

 

 

Advogado Especialista em Direito Previdenciário e Tributário, Sócio da Koetz Advocacia, professor da Pós Graduação na Verbo Jurídico e no Instituto Brasileiro de Direito - IBIJUS. Articulista no Portal da Transformação Digital