Entidades cobram limites ao uso de dados do cidadão em benefícios sociais
Organizações como Data Privacy Brasil e Idec pedem mais controle, transparência e limites ao uso automatizado de dados em minuta do MGI sobre benefícios sociais.
Organizações da sociedade civil com atuação em proteção de dados e direitos digitais apresentaram críticas e sugestões à minuta de portaria do Ministério da Gestão e Inovação em Serviços Públicos (MGI), que regulamenta o Decreto nº 12.428/2025. O decreto trata do compartilhamento e uso de dados de endereço por prestadoras de serviços públicos – como empresas de energia elétrica e telecomunicações – com o governo federal para subsidiar a concessão e manutenção de benefícios da seguridade social, como o Benefício de Prestação Continuada (BPC).
As contribuições foram submetidas à consulta pública encerrada em 3 de junho e foram assinadas por representantes da Data Privacy Brasil, InternetLab, Idec e do CEDIS/IDP. As entidades pedem ajustes em artigos da proposta de regulamentação, com foco em transparência, segurança jurídica, governança e direitos dos titulares.
Comunicação clara e acessível sobre o uso de dados
As organizações recomendam que o artigo 13 da minuta seja reformulado para exigir do gestor do benefício não apenas a comunicação sobre o uso dos dados pessoais, mas também a explicitação da finalidade do tratamento, identificação dos agentes envolvidos, responsabilidades e meios de contato para exercício dos direitos previstos na Lei Geral de Proteção de Dados Pessoais (LGPD).
A sugestão inclui ainda o desenvolvimento de um canal digital acessível para públicos vulneráveis, inspirado na iniciativa europeia DECODE. Esse canal permitiria ao cidadão visualizar o ciclo de vida dos dados usados em políticas públicas.
Incidentes de segurança devem ser comunicados à ANPD e aos titulares
No artigo 15, as entidades propõem que, em caso de incidentes de segurança com dados pessoais, seja obrigatória a comunicação à Autoridade Nacional de Proteção de Dados (ANPD) e aos titulares afetados, conforme prevê a Resolução CD/ANPD nº 15/2024. As sugestões também defendem que o MGI defina critérios mínimos para caracterização de risco elevado, que obriguem a notificação pública.
Automatização de decisões preocupa organizações
No artigo 17, é solicitada maior clareza sobre o uso de sistemas de decisão automatizada nos processos de concessão ou cancelamento de benefícios. Caso esse modelo seja adotado, as entidades cobram que o governo identifique os agentes responsáveis pela tomada de decisão e assegure o cumprimento do art. 20 da LGPD, que trata de decisões automatizadas. Mesmo quando houver intervenção humana parcial, as fases do processo automatizado devem ser explicitadas para garantir o contraditório e a ampla defesa.
Vedação ao uso secundário dos dados
No artigo 21, as entidades exigem que a portaria proíba expressamente o uso secundário dos dados pelas empresas operadoras. A proposta também inclui a exigência de que todos os agentes de tratamento envolvidos tenham um programa interno de proteção de dados e nomeiem Encarregados de Dados Pessoais, como forma de fortalecer a governança da política pública.
O Decreto 12.428, publicado em abril de 2025 e alterado pelo Decreto 12.455, estabelece as bases legais para o compartilhamento de dados entre prestadoras e o MGI. A portaria definitiva ainda será publicada. As contribuições recebidas na consulta serão analisadas pela Secretaria de Governo Digital.
