A cidade de São Paulo não possui uma ouvidoria especializada ou uma autoridade que seja independente e funcione como uma referência tanto para os funcionários públicos municipais quanto para os cidadãos no que diz respeito à administração de dados pessoais em poder da administração pública local. A ouvidoria geral, que integra a estrutura da Controladoria Geral do Município (CGM), é hoje a responsável por receber denúncias, reclamações e demandas do cidadão a respeito da gestão dos seus dados pessoais. Bruno Bioni, pesquisador da Lavits e redator do projeto de lei (PL) municipal de proteção de dados pessoais ressalta a importância “de se ter uma ouvidoria como um órgão independente”. O pesquisador destaca que o texto da proposta de lei – que atualmente está em processo de tramitação na Câmara Municipal de Campinas e em debate para viabilizar sua protocolação no legislativo de São Paulo – prevê inclusive a eleição de um ouvidor para esse fim específico, o que reforça ainda mais a legitimidade. A ausência dessa referência para tratar de questões sobre a administração de informações pessoais em posse da administração municipal da capital paulista possui relação direta com pelo menos quatro problemas dessa área:
- Não há hoje uma autoridade de referência quando o assunto é lidar com dados pessoais da população, embora haja fiscalização prevista e punição – a sua aplicação fica a cargo de quem está no comando do órgão do qual a informação é proveniente.
- O treinamento para tratamento adequado de dados pessoais é destinado aos funcionários que lidam com a liberação de dados visando cumprir a lei de acesso à informação. No entanto, a Prodam (empresa de tecnologia da prefeitura) – conforme disse seu gerente de tecnologia, Felipe Modesto, na sua apresentação durante o VIII Seminário de Proteção à Privacidade e aos Dados Pessoais – destacou cinco funcionários para a área de Business Intelligence (BI), que até o início de 2017 tinha as suas atividades restritas à formulação de relatórios, tendo em vista “a valorização dos dados”. É um forte indicador de que a disponibilização de dados via lei de acesso à informação é apenas um dos processos dos quais se ocupa a prefeitura que envolvem risco de exposição, tratamento e exploração indevidos.
- Os funcionários que decidem sobre punições e fiscalização não necessariamente recebem recomendações e treinamento para lidar com dados pessoais e tem como foco policiar a conduta de funcionários mais que estabelecer diretrizes que correspondam a uma política de proteção dos dados dos cidadãos, determinando garantias e direitos.
- A ouvidoria recebe demandas de todos os tipos, mas não há nenhuma indicação nas informações que estão hoje disponíveis sobre requerimentos de que tenham sido feitas reclamações a respeito de coleta, tratamento ou repasse inadequado de dados. A possibilidade de alguma reparação está contida apenas na reação do usuário quando o mesmo procura a ouvidoria, sendo que no formulário hoje disponível ao cidadão que queira fazer esse tipo específico de denúncia são restringidas as opções entre duas possíveis classificações desse tipo de demanda: “irregularidades na gestão pública” ou “conduta inadequada do servidor público”. O foco no controle interno e setorializado é refletido no formulário tendo em vista inspeções administrativas que resistem ao controle social e sanções aplicadas pelas chefias de cada órgão, que não funcionam como uma referência independente e legítima.