Roberta Lopes da Cruz Antonio*
No último dia 2 de novembro, o portal de notícias brasileiro R7 publicou matéria sobre possíveis doenças das quais Vladimir Putin estaria acometido. De acordo com o site, documentos de inteligência divulgados revelavam que o Presidente Russo sofreria com dois cânceres (pâncreas e próstata) e Mal de Parkinson.
As informações teriam sido obtidas mediante acesso a documentos de inteligência do Kremlin supostamente vazados e foram reveladas pelos portais britânicos Daily Mail e The Sun. A Rússia negou os fatos.
Tendo em vista que o Reino Unido deixou de ser membro da União Europeia em 31 Janeiro de 2020, vige atualmente no território o denominado UK GDPR, que entrou em vigor em 01 de janeiro de 2021 e praticamente reproduz as disposições do GDPR. O UK GDPR estabelece princípios, direitos e obrigações para o tratamento de dados pessoais no Reino Unido (exceto se realizado por agências de inteligência e segurança pública, caso em que será regulado pelo Data Protection Act – DPA, de 2018).
Com relação ao Brasil, temos que a proteção de dados pessoais é regulamentada pela Lei 13.709, de 14 de agosto de 2018, a Lei Geral de Proteção de Dados Pessoais (LGPD), que entrou em vigor em 18 de setembro de 2020.
Informações relativas à saúde
De acordo com o UK GDPR e a LGPD, informações relativas à saúde são consideradas dados pessoais sensíveis e detêm proteção especial (art. 9º do UK GDPR e art. 5º, II, c/c art. 7º, ambos da LGPD). Caracterizando-se os portais britânicos e o brasileiro como agentes de tratamento, e enquadrando-se a hipótese de tratamento no âmbito de incidência das referidas normas, estariam tais órgãos infringindo normas de proteção de dados pessoais ao divulgarem essas informações ante a aparente inexistência de base legal compatível com o tratamento?
A resposta é não. Não há que se falar em violação, no caso, em razão das exceções expressamente previstas no UK GDPR (art. 85(2)) e na LGPD (art. 4º, II, “a”) no que diz respeito ao tratamento realizado para fins jornalísticos.
A LGPD, de maneira mais objetiva, prevê sua não aplicação para o tratamento de dados pessoais realizado para fins exclusivamente jornalísticos. O UK GDPR, por sua vez, estabelece, para o tratamento de dados conduzido para fins jornalísticos, isenções ou derrogações dos capítulos II (princípios), III (direitos do titular dos dados), IV (controlador e operador), V (transferência de dados pessoais para países terceiros e organizações internacionais), VI (o Information Commissioner) e IX (situações específicas de tratamento de dados) “se tais isenções ou derrogações forem necessárias para conciliar o direito à proteção de dados pessoais com a liberdade de expressão e de informação.”
Pois bem. Tem-se que o tratamento em questão encontra amparo nas legislações destinadas à proteção de dados pessoais. Superada tal questão, um outro aspecto merece reflexão.
Vazamento de documentos de inteligência
Conforme já mencionado, o acesso às informações sobre a saúde do Presidente Russo teria sido obtido por meio de um vazamento de documentos de inteligência do Kremlin, que negou todos os fatos. Fontes de inteligência russa próximas ao Kremlin, no entanto, não apenas teriam confirmado a veracidade da situação ao The Sun (conforme informado na própria matéria) como alertado que o fato seria negado e omitido de todas as formas possíveis.
Mas, para além deste caso em específico, haveria algum interesse para que determinado Estado negue esse tipo de informação?
Primeiramente, não há qualquer vantagem para um Estado admitir que dados seus de inteligência tenham sido objeto de vazamento. Pelo contrário: há forte incentivo para que órgãos públicos (e privados) neguem o comprometimento da defesa de seus sistemas, afinal de contas falhas de segurança da informação afetam diretamente sua credibilidade e confiabilidade. Admitir esse tipo de incidente poderia ser muito prejudicial, sobretudo à sua imagem. Por esse motivo, inclusive, incidentes de segurança são, não raras vezes, omitidos do público. Tal postura é conhecida por estudiosos de cibersegurança como “o problema do código do silêncio”. *
E, a propósito, vale tecer algumas considerações sobre operações cibernéticas de inteligência, também conhecidas como “explorações cibernéticas”.**
Ataque cibernético e operação cibernética de inteligência
A diferença entre um ataque cibernético e uma operação cibernética de inteligência está nos seus objetivos. Enquanto no ataque o objetivo pode ser destruir documentos em um arquivo ao ganhar acesso a ele, por exemplo, na exploração a finalidade pode ser simplesmente a de copiar tais arquivos, comprometendo a confidencialidade de informações protegidas em determinado sistema/rede.***
Assim, do mesmo modo que o Estado vítima de vazamento de dados não encontra qualquer vantagem em admitir o incidente, tampouco há, via de regra, interesse por parte de Estado que promove operações cibernéticas de inteligência bem-sucedidas em assumir a autoria, já que a lógica/natureza desse tipo de operação consiste em acessar clandestinamente sistemas/documentos protegidos e obter as informações e materiais desejados. Assumir não somente a autoria, mas a prática da operação propriamente dita não faria sentido, regra geral, pois possibilitaria à vítima conhecer suas vulnerabilidades e aprimorar suas defesas (além de possíveis crises diplomáticas, no caso de nações).****
De qualquer maneira, em matéria de proteção de dados, há de se ressaltar que a mera exploração cibernética bem-sucedida, uma vez que comprometa a confidencialidade de determinado dado pessoal, já é suficiente para configurar incidente cibernético.
“LGPD Penal”
Nessa linha de raciocínio, no âmbito do Brasil, chama atenção um Projeto de Lei apresentado este ano para a chamada “LGPD Penal” (PL 1515/2022 – Lei de Proteção de Dados Pessoais para fins exclusivos de segurança do Estado, de defesa nacional, de segurança pública, e de investigação e repressão de infrações penais). Referido PL visa a regulamentar outra exceção prevista na LGPD, mais especificamente a sua não aplicação para tratamento de dados pessoais realizado para fins exclusivos de “segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais” (art. 4o, III, LGPD). O Projeto, de autoria do Deputado Coronel Armando, incluiu expressamente em seu texto “atividades de inteligência”. Já no §2º de seu artigo inaugural, o PL 1515/2022 prevê a aplicação da lei “às atividades de inteligência realizadas pelas autoridades competentes no cumprimento de suas competências […], sem prejuízo de leis específicas que regulamentam tais atividades.”
Além desse, há ainda um Anteprojeto elaborado por uma comissão de juristas e presidida pelo Ministro aposentado do STJ, Nefi Cordeiro (instituída por Ato do Presidente da Câmara dos Deputados, de 26 de novembro de 2019), o qual também inclui em seu bojo atividades de “inteligência institucional, policial e financeira, realizada por autoridades competentes para a finalidade de segurança pública” (art. 5º, XXI) e atividades de “inteligência policial, institucional e financeira realizada por autoridades competentes para a finalidade de persecução penal” (art. 5º, XXII). A diferença é que o Anteprojeto “não se aplica ao tratamento de dados pessoais realizado para fins exclusivos de defesa nacional e segurança do Estado” (art. 4º) e, por isso, limita as atividades de inteligência por ele abrangidas àquelas realizadas para fins de segurança pública e persecução penal apenas.
Nesse aspecto, parece-nos que o Anteprojeto foi mais feliz ao desvincular o regime de tratamento de dados pessoais concebido “para atividades de segurança pública e de persecução penal” (art. 1º) – seu objeto – daquele destinado exclusivamente à “defesa nacional e segurança do Estado” (art. 4º – exceção).*****
O que o PL 1515/2022 faz é vincular a autorização para tratamento de dados para fins de segurança do Estado e defesa nacional à existência de previsão legal específica consubstanciada na competência legal dos órgãos incumbidos dessas atividades e “diplomas legais exarados pelo Ministro de Estado Chefe do Gabinete de Segurança Institucional da Presidência da República, pelo Ministro de Estado da Defesa, pelo Diretor- Geral da Agência Brasileira de Inteligência e pelos Comandantes das Forças Armadas.” (art. 7º, caput e §1º). Oportuno destacar que o §2º permite o compartilhamento de dados pessoais entre os órgãos incumbidos dessas atividades, desde que observados os princípios elencados no art. 4º do Projeto. Há, ainda, a determinação de que tais órgãos estejam aptos a fornecer à ANPD informações sobre o tratamento de dados pessoais que realizam (art. 8º).
Regramento no Reino Unido para Autoridades de Segurança Pública
O Reino Unido, a título de exemplo, reitera-se, possui um regramento próprio para as Autoridades de Segurança Pública (DPA Part 3) e outro para os Serviços de Inteligência (DPA Part 4), o que nos parece bem mais apropriado dadas as especificidades típicas a cada uma das esferas.
O caso do Reino Unido ilustra bem o que se busca evidenciar aqui: não se pode estabelecer um único regramento de tratamento de dados pessoais a todas atividades expressamente excepcionadas pelo inc. III do art. 4º da LGPD. O tratamento dispensado pelo DPA na sua Part 4 destina-se exclusivamente aos serviços de inteligência e aos agentes que tratarem dados pessoais em proveito destes, configurando um regime especial#. Significa afirmar, em contrapartida, que esses serviços não se submetem ao UK GDPR e tampouco às disposições destinadas à segurança pública, previstas na Part 3 do DPA.
A respeito do direito de acesso, por exemplo, o Information Commissioner’s Office orienta os serviços de inteligência sobre a possibilidade de recusa, caso não seja possível atender determinada solicitação de titular nesse sentido, e acrescenta que o serviço deverá informar o motivo da recusa “quando possível”. Ainda, em alguns casos, mesmo se possível a informação sobre o motivo da recusa, esta poderá assumir forma mais genérica, sem indicar as exceções aplicáveis ao caso; afinal, dependendo das circunstâncias, a indicação da exceção pode comprometer o propósito da própria exceção. Não há obrigação de nomeação de Encarregado de Proteção de Dados e nem obrigação específica de elaboração de relatório de impacto à proteção de dados pessoais (RIPD ou, em inglês, Data Protection Impact Assessment – DPIA) na Part 4 do DPA## (embora considere positiva sua elaboração para fins de demonstração de conformidade). O processo para reportar incidentes cibernéticos nesse contexto é regulado por um Memorando de Entendimentos celebrado entre o ICO e os Serviços de Inteligência, o qual também aborda hipóteses em que o ICO não poderá se valer de seus poderes regulatórios se a investigação puder afetar de forma adversa o trabalho dos serviços de inteligência no que se refere à salvaguarda da segurança nacional. Transferências Internacionais somente são permitidas se configurarem medida proporcional e necessária e forem conduzidas para os propósitos das funções estatutárias do controlador ou para outras finalidades relacionadas ao controlador mas reguladas por normas específicas dos serviços de inteligência.
“Exceção de segurança nacional”
Todavia, de todas as disposições da Part 4 do DPA, merece destaque, dentre as exceções existentes à observância dos princípios, direitos e obrigações ali previstos, a “exceção de segurança nacional”###. Embora seja um tema pouco abordado no Brasil, trata-se de assunto muito caro a outras nações. No caso do Reino Unido, no que atine à aplicação da Part 4 do DPA, a exceção de segurança nacional é a mais abrangente e poderosa, eis que seu alcance não se limita ao disposto na Part 4 do DPA. Descrita na Seção 110 ela se aplica ao tratamento de dados pessoais realizado por serviços de inteligência se necessária para fins de salvaguarda da segurança nacional, devendo-se interpretar o termo necessária (required) como razoavelmente necessária. Não há necessidade de comprovar ameaça/prejuízo direto ou iminente, mas apenas a possibilidade real de um efeito adverso à proteção da segurança nacional de modo genérico. A justificativa a ser apresentada ao ICO, no caso de aplicação de tal exceção, pode ser baseada em cenários hipotéticos. A exceção pode, inclusive, ser utilizada para evitar que indivíduos façam inferências capazes de ferir a segurança nacional. Esse raciocínio reforça o retromencionado argumento, acerca da dificuldade de se cumprir com a obrigação de justificar a recusa no fornecimento de informações sobre o tratamento de dados pessoais a titulares em razão da possibilidade de o indivíduo fazer deduções a partir do tipo de resposta fornecida pelo serviço de inteligência demandado.#### A fim de resolver esse problema, a Part 4 do DPA autoriza o fornecimento de respostas evasivas, que não negam nem confirmam (NCND) o contido na solicitação. A exceção de segurança nacional exime o órgão do cumprimento de qualquer um dos princípios (exceto o da legalidade), de qualquer direito individual, do dever de reportar incidente de segurança de dados pessoais. Há necessidade, contudo, de cumprir deveres gerais de prestação de contas/responsabilidade e de segurança.
Interessante pontuar que a exceção de segurança nacional prevista na Part 4 do DPA, isto é, destinada ao tratamento realizado por serviços de inteligência, é bem mais abrangente que as “provisões de segurança nacional” constantes da Part 3, destinada ao tratamento para fins de segurança pública realizado pelas autoridades competentes. Isso porque, na Part 3, a exceção de segurança nacional admite, “quando necessário e proporcional à proteção da segurança nacional” a restrição de apenas alguns dos direitos conferidos aos titulares (tais como direito de acesso, direito de ser informado e direito de retificação, eliminação e restrição), conforme o caso (a análise é sempre caso a caso), bem como a possibilidade de limitar a obrigação de comunicar a indivíduos afetados a ocorrência de incidentes de segurança que possam implicar risco aos seus direitos e liberdades.
Tratamento de dados para fins de segurança nacional
O tratamento de dados pessoais para fins de salvaguarda da segurança nacional e para fins de defesa consta do art. 86A do UK GDPR que, curiosamente, remete ao Capítulo 3 da Part 2 do DPA para as provisões sobre a aplicação dessa regra e suas exceções (em um contexto genérico, isto é, não sendo o caso de tratamento realizado por serviços de inteligência e tampouco por autoridades competentes para fins de segurança pública). A exceção de defesa e segurança nacional da Part 2 do DPA, portanto, se destina àqueles que devem observar as disposições do UK GDPR no tratamento de dados pessoais, se o tratamento estiver sendo realizado para fins de segurança nacional e o cumprimento das regras do UK GDPR afetarem a segurança nacional. Nesse caso, é possível excepcionar a necessidade de observância aos princípios (exceto o da legalidade – deve sempre haver, também, base legal para o tratamento), a quaisquer direitos individuais, à obrigação de reportar incidente de segurança, aos requisitos de transferências internacionais e a alguns dos poderes do Commissioner. No caso de tratamento de dados pessoais sensíveis não há necessidade de identificar uma condição autorizadora no artigo 9 do UK GDPR, desde que haja a adoção de “salvaguardas apropriadas” capaz de protegerem direitos e liberdades individuais, o que “reflete o substancial interesse público na segurança nacional”. Há, por fim, sutis obrigações relativas à segurança para o controlador que trata dados pessoais para fins de salvaguarda da segurança nacional.
Compare, agora, esse desenho normativo com o previsto no PL 1515/2022, ao estabelecer o direito de “acesso às informações pessoais tratadas no âmbito de atividades de segurança do Estado, de defesa nacional e de segurança pública, pelos titulares”, mediante requerimento ao agente de tratamento, conferindo prazo e determinando que o armazenamento dos dados deve ser feito em formato que favoreça o direito de acesso. No caso de impossibilidade de “adoção imediata da providência”, o controlador deverá responder, podendo informar não ser o agente ou indicar as razões de fato ou de direito que impedem a adoção imediata da providência. Se a prestação de informações e a concessão e acesso a dados for adiada, limitada ou recusada, “o responsável pelo tratamento deve informar ao titular dos dados, por escrito e sem demora injustificada, dos motivos da recusa ou da limitação do acesso, bem como indicar quando cessarão os motivos da recusa ou da limitação de acesso”. De todo modo, caberá ao controlador “disponibilizar à ANPD informação sobre os motivos de fato e de direito que fundamentam a decisão de recusa ou de limitação do direito de acesso, bem como da omissão de informação ao titular dos dados.” (art. 26 caput e §§).
Responsabilidade em casos de operações de inteligência
Há de se questionar, portanto: em casos de operações clandestinas (de inteligência), em que o Estado não assumirá responsabilidade, não admitirá participação/envolvimento, por questões estratégicas de inteligência/segurança nacional, como atender tais requisitos? E, nesse contexto, digamos que surja um titular e requeira à ABIN confirmação do tratamento de seus dados e acesso a eles (incisos I e II do art. 25 do PL em comento). Caberia à ABIN responder sempre que não pode fornecer informações sobre sua base de dados (caso em que estaria em flagrante desacordo com o proposto no PL) ou deveria a Agência informar – caso o sujeito não conste de sua base de dados – a negativa e – caso conste – ou conceder acesso às informações ou informar os motivos da negativa, a fim de evitar prejuízo às ações de inteligência (o que, seja lá como fosse justificado, permitiria ao indivíduo, no mínimo, concluir que consta da base, já que se não constasse a Agência comunicaria a negativa)?
Ademais, no que diz respeito ao término do tratamento de dados, o PL 1515/2022 estipula a obrigação de anonimização para uso exclusivo do controlador e vedação de acesso por terceiro para dados pessoais coletados. É possível, rapidamente, recordar que uma das principais vulnerabilidades encontradas no relatório da Comissão que investigou os atentados de 11 de setembro foi a falta de compartilhamento de informações entre diferentes agentes de inteligência americanos (information sharing). ##### O que se pretende apontar aqui é que o fim do tratamento de dados pessoais por determinado controlador não pode implicar na impossibilidade de acesso por outro agente (desde que no desempenho de atividade da mesma natureza) para o qual os dados podem ser relevantes. E mais: o conceito de “fim do tratamento” é relativo nesse contexto, de modo que em um momento futuro aqueles dados podem voltar a ser necessários e tê-los de forma anonimizada ou impossibilitar seu compartilhamento com outros órgãos de inteligência seria extremamente prejudicial à segurança nacional do país. Exigir do órgão que proceda a nova coleta, nesse caso, também pode representar esforço desproporcional e comprometer a celeridade/eficiência de determinada investigação (até porque, determinados dados obtidos em momento anterior podem nem estar mais disponíveis).
Não-limitação no tratamento de dados em investigação
Nessa perspectiva, cumpre trazer à discussão o Considerando 27 da Diretiva 2016/680, da União Europeia, que é claro quanto à não limitação do tratamento de dados pessoais ao contexto de uma investigação específica, não podendo, consequentemente, a decisão sobre eventual limitação estar exclusivamente a ela atrelada:
(27) Para efeitos de prevenção, investigação ou repressão de infrações penais, é necessário que as autoridades competentes tratem os dados pessoais, recolhidos no contexto da prevenção, investigação, deteção ou repressão de infrações penais específicas para além desse contexto, a fim de obter uma melhor compreensão das atividades criminais e de estabelecer ligações entre as diferentes infrações penais detectadas.
Conclusão
A partir dessa breve análise, é possível concluir que importância da regulamentação do tratamento de dados pessoais pelos mais diversos setores/serviços é incontestável, assim como também o é a necessidade de se buscar constante equilíbrio entre interesses que eventualmente venham a conflitar nesse processo, como é o caso da tensão comumente observada entre direitos fundamentais individuais (como é o caso da privacidade e proteção de dados) e coletivos (segurança pública, defesa nacional e segurança do Estado).
Nesse sentido, é essencial que o legislador adote a cautela necessária no que se se refere à regulamentação do tratamento de dados pessoais conduzido por diferentes órgãos e para fins diversos, bem como à necessidade de excepcionar atividades indispensáveis à existência/manutenção/proteção do Estado, como é o caso da defesa/segurança nacional, a fim de que não se prejudique ou comprometa seu desempenho. Regras são muito bem-vindas, porém devem ser desenhadas com o devido foco para seus destinatários e âmbito de incidência.
Referências:
*A esse respeito: “[…] as organizações que sofrem ataques muitas vezes perdem a confiança dos seus interessados […] [Q]uando inteligência e organizações militares são comprometidas, elas correm o risco de perder a credibilidade com seus constituintes” ANDRES, Richard B. The Emerging Structure of Strategic Cyber Offense, Cyber Defense, and Cyber Deterrence. In: REVERON, Derek. Cyberspace and National Security: Threats, Opportunities and Power in a Virtual World. 1. ed. Washington, DC: Georgetown University Press, 2012. Cap. 6, p.93. Tradução livre.
**BRASIL. Ministério da Defesa. Doutrina militar de Defesa Cibernética. 1. ed. Brasília, DF, 2014.
***LIN, Herbert. Operational Considerations in Cyber Attack and Cyber Exploitation. In: REVERON, Derek. Cyberspace and National Security: Threats, Opportunities and Power in a Virtual World. 1. ed. Washington, DC: Georgetown University Press, 2012. Cap. 3, p.51.
****Conhecer o estado de saúde de líderes mundiais é assunto relevante em matéria de política externa. “É desnecessário dizer que buscar obter informação médica precisa e adequada sobre líderes estrangeiros deveria se tornar uma prioridade em comunidades de inteligência militar e de defesa. (…) [A] interação entre personalidade, doença e política pode exercer profundo efeito na natureza de decisões e ações de política externa. Líderes debilitados, ao menos sob certas circunstâncias, podem fazer escolhas diferentes e mais distantes do ideal do que seus pares não debilitados ou até mesmo que eles teriam feito quando estavam bem.” MCDERMOTT, Rose. Presidential Leadership, Illness, and Decision Making. 1. ed. Cambridge: Cambridge University Press, 2008, p.17. Tradução livre.
***** Contudo, não se pretende, com isso, afirmar que o Anteprojeto é livre de falhas. A observação aqui é pontual e deve ser assim interpretada. Há relevantes análises disponíveis que apontam problemas e oportunidades de melhoria ao Anteprojeto. Vide, por exemplo, relatório elaborado por membros da Estratégia Nacional de Combate à Corrupção e à Lavagem de Dinheiro. BRASIL. Estratégia Nacional de Combate à Corrupção e à Lavagem de Dinheiro (ENCCLA) .Ação 04/2021 – Nota Técnica contendo a avaliação, propostas de alterações, contrastando o texto do anteprojeto com Convenções, recomendações e melhores práticas internacionais, em relação ao Anteprojeto de Lei de Proteção de Dados para segurança pública e persecução penal – LGPD-Penal. Disponível em: http://enccla.camara.leg.br/acoes/arquivos/resultados-enccla-2021/e2021a4-enccla-2021-nota-tecnica-lgpd-penal. Acesso: 15 nov. 2022.
#“A Parte 4 aplica-se exclusivamente aos três serviços de inteligência especificados: o Serviço Secreto (MI5); o Serviço Secreto de Inteligência (SIS); e à Sede de Comunicações do Governo (GCHQ). Estes são coletivamente conhecidos como “os serviços de inteligência”. Se você é um desses serviços de inteligência, ou um corpo que é parte desses serviços de inteligência como o Centro Nacional de Cibersegurança (que é parte do GCHQ), então todo tratamento de dados pessoais realizado por você é regido pela Parte 4 do DPA.” REINO UNIDO. Information Commissioner’s Office (ICO). About the Guide to Intelligence Services Processing. Disponível em: https://ico.org.uk/for-organisations/guide-to-data-protection/intelligence-services-processing/ Acesso: 18 nov 2022. Tradução livre (grifo do original).
##Ao passo que o Projeto de Lei 1515/2022, em seu artigo 33, caput e §§, torna “obrigatória a elaboração do relatório de impacto à proteção de dados pessoais, referente ao tratamento de dados pessoais sensíveis, sigilosos, ou em operações que apresentem elevado risco aos direitos, liberdades e garantias dos titulares de dados.” Para além disso, prevê o §3º que § 3o A ANPD poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, referente a outras hipóteses além daquelas mencionadas no caput deste artigo.” BRASIL. Câmara dos Deputados. Projeto de Lei 1515/2022. Disponível em: https://www.camara.leg.br/proposicoesWeb/prop_mostrarintegra;jsessionid=node015ex5kw1uouc31o74ogkmpo16921168599.node0?codteor=2182274&filename=PL+1515/2022.
###As demais exceções relacionadas ao regime de tratamento de dados pessoais por serviços de inteligência são consideradas específicas (porque se limitam a excepcionar disposições da Part 4 do DPA apenas) e se encontram no “Schedule 11”.
####Nesse diapasão, vale transcrever o exemplo fornecido pelo ICO: “Um serviço de inteligência recebe um SAR de um membro do público, que suspeita estar sendo investigado. O serviço não detém quaisquer dados pessoais relevantes sobre o indivíduo, porque não se trata de uma pessoa de interesse. Mas eles não querem que a pessoa saiba que nenhuma informação relevante é mantida porque, se eles realmente estiverem envolvidos em assuntos que seriam preocupantes, isso pode dar a entender que suas atividades não levantaram suspeitas. Além disso, se determinado titular que efetivamente estivesse sob investigação fizesse uma solicitação, seria preferível o serviço não confirmar nem negar isso. Isso significa que eles devem adotar uma abordagem consistente, para evitar que o solicitante saiba se estava sendo investigado ou não. Não há prejuízo óbvio para a segurança nacional se não houver qualquer tratamento de dado pessoal daquele titular solicitante por inexistir evidência que sugira que a pessoa esteja envolvida em qualquer atividade que represente um risco para a segurança nacional. Mas ainda assim a exceção pode prevalecer se a resposta ao SAR puder expor deficiências na inteligência sobre a pessoa ou para evitar indicar se um indivíduo estava ou não sob investigação. O serviço de inteligência poderia emitir uma resposta ao SAR que não alertasse o indivíduo se os dados pessoais foram ou não mantidos (uma resposta NCND) e poderia aplicar a exceção da Seção 110 na medida em que fosse necessária para evitar ter de responder com requisitos específicos e relevantes as solicitações de acesso feitas pelo titular.” REINO UNIDO. Information Commissioner’s Office (ICO). Exemptions. Disponível em: https://ico.org.uk/for-organisations/guide-to-data-protection/intelligence-services-processing/exemptions/.
#####Isso porque diferentes órgãos possuíam fragmentos de informações sobre os terroristas que, se reunidos tempestivamente, poderiam ter evitado a catástrofe (mas não foi possível “conectar os pontos”). ESTADOS UNIDOS DA AMÉRICA. National Commission on Terrorist Attacks. 9/11 Commission Report. Final Report of the National Commission on Terrorist Attacks upon the United States. 1. ed. Nova Iorque: Norton & Company, 2004. p. 353.
Roberta Lopes da Cruz Antonio: Advogada, Consultora em Proteção de Dados, LLM em Direito da Segurança Nacional (Georgetown University), Mestre em Filosofia do Direito (PUC-SP) e Especialista em Relações Internacionais (Harvard University)
