A MP 1.158/2023 e o tratamento de dados pessoais pelo Coaf — Parte 1

1. Introdução
A Lei 9.613/1998, que tipifica o crime de lavagem de dinheiro, passou por mais uma modificação em 2023, desta vez pela Medida Provisória 1.158, de 12 de janeiro de 2023.

Baixado em 12 de janeiro de 2023, o ato legislativo em questão introduziu um novo art. 17-F na Lei 9.613/1998 (Lei de Lavagem de Dinheiro), para instituir regras sobre o tratamento de dados pessoais pelo Conselho de Controle de Atividades Financeiras (Coaf).

2. As novas regras sobre tratamento de dados pelo Coaf
A MPv 1.158/2023 acrescentou um novo artigo 17-F à Lei 9.613/1998, para suprir a lacuna existente sobre os procedimentos para o tratamento de dados pessoais (PDP) pelo Coaf no exercício de sua atividade de inteligência financeira. Tal lacuna decorria da exclusão expressa feita pelo art. 4º, inciso III, alínea d, da Lei 13.709/2018 ou Lei Geral de Proteção de Dados (LGPD), que retira de seu âmbito as atividades de investigação e repressão a infrações penais. Embora o Coaf não seja uma agência de persecução criminal, os dados tratados pela UIF brasileira têm como finalidade precípua servir à prevenção e à repressão do crime de lavagem de dinheiro e do financiamento do terrorismo e das infrações penais antecedentes.

Neste sentido, ESTELLITA alertava:

As tarefas atribuídas ao Coaf parecem misturar elementos de inteligência, de segurança pública e de persecução penal. O órgão coleta e analisa informações necessárias para formular políticas de prevenção de lavagem (inteligência), fiscaliza o cumprimento das medidas de controle e prevenção da lavagem pelas pessoas obrigadas para, assim, prevenir perigos contra bens jurídicos (segurança pública) e, finalmente, se volta para o passado, ao apurar operações suspeitas de lavagem e as comunicar aos órgãos de persecução penal (persecução penal).1

Apesar da exclusão expressa das atividades de persecução penal do âmbito de incidência da LGPD, o § 1º do art. 4º dessa lei determina que o tratamento de dados pessoais nas circunstâncias da alínea d deve reger-se por legislação específica, “que deverá prever medidas proporcionais e estritamente necessárias ao atendimento do interesse público, observados o devido processo legal, os princípios gerais de proteção e os direitos do titular”. Teoricamente, pode-se aventar que, haja o que houver, esses direitos mínimos devem valer para todo o sistema de prevenção e repressão à criminalidade.2

Ainda que assim não fosse, o inciso LXXIX do art. 5º da Constituição, resultante da Emenda Constitucional 115/2022, assegura o direito à proteção de dados pessoais (PDP), na forma da lei. A inovação feita pela MPv 1.158/2023 nos dá a lei de regência do tratamento de dados para fins de inteligência financeira. Esse novo quadro jurídico exigirá a aprovação pelo Coaf de uma resolução especifica para tratamento de dados pessoais, de modo a regulamentar o direito constitucional à PDP e o art. 17-F da Lei 9.613/1998, tanto para o tratamento de dados pessoais não sigilosos como para a gestão daqueles sigilosos por força de outras leis, especialmente nos casos de sigilo fiscal e sigilo bancário.

De fato, o tratamento de dados financeiros sigilosos pelo Coaf exige a observância de normas especiais, o que torna ainda mais importante a determinação do arranjo institucional do Coaf, também alterado pela MPv 1.158/2023,3 uma vez que a alocação do Coaf aqui ou ali tem impacto sobre as regras legais que autorizam nossa UIF a receber, tratar e difundir dados sigilosos.

A questão ficou ainda mais complexa com o advento da mudança do Coaf para âmbito do Bacen por força da Lei nº 13.974, de 7 de janeiro de 2020. Se se entender que, a partir de então, o órgão e seus agentes fazem parte do Bacen, a eles se estende o dever de sigilo (art. 2º, § 5º, da LC 105) e também a autorização para a comunicação prevista no art. 9º, o que tornaria inquestionável a possibilidade de que os RIFs contivessem dados protegidos por sigilo financeiro.4

2.1 O novo art. 17-F da Lei 9.613/1998 e seu inciso I

Guardando adequação à topografia da Lei de Lavagem de Ativos, a MPv 1.158/2023 insere a PDP junto a dispositivos que já tratam do acesso a dados pessoais de investigados por lavagem de dinheiro. É o caso do art. 17-B da Lei 9.613/1998, que regula a requisição direta de dados cadastrais pela Polícia e pelo Ministério Publico; e do art. 17-E, que estipula o prazo mínimo de 5 anos para a guarda de dados fiscais pela Receita Federal. Ambos os artigos foram introduzidos pela Lei 12.683/2012.

Assim, conforme o novo art. 17-F da Lei 9.613/1998, o tratamento de dados pessoais pelo Coaf "será realizado de forma estritamente necessária para o atendimento às suas finalidades legais". São reconhecidos o princípio da necessidade e a vinculação do tratamento dos dados a uma finalidade legal.

Segundo o art. 6º, inciso I, da LGPD, o princípio da finalidade reclama que o tratamento de dados pessoais seja realizado "para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades".

Já o princípio da necessidade, contido no inciso III, do art. 6º, da LGPD, limita o tratamento dos dados pessoais "ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados". Este aspecto deve ser objeto de atenção do Coaf, em seu futuro ato regulamentar, para que os dados que a unidade coleta, armazena e, sobretudo, os que difunde não sejam excessivos, tendo como parâmetro a finalidade legal de sua disseminação aos órgãos de persecução criminal ou a comissões parlamentares de inquérito.

Quanto ao Coaf, as finalidades do tratamento dizem respeito à prevenção e à repressão da lavagem de dinheiro, do financiamento do terrorismo e da proliferação de armas de destruição em massa, assim como das infrações penais antecedentes. O dispositivo refere-se apenas aos dados de pessoas naturais, que se inserem no âmbito de proteção da LGPD e do direito fundamental previsto no inciso LXXIX do art. 5º da Constituição Federal. Não se estendem a pessoas jurídicas. Embora tais entes também possam ser alvo de comunicações de operações suspeitas pelo subsistema de prevenção à lavagem de dinheiro, a legislação em questão protege pessoas físicas.

As finalidades legais do Coaf estão previstas na própria Lei 9.613/1998, na Lei 13.810/2019 (que trata do cumprimento de resoluções dos comitês de sanções do Conselho de Segurança das Nações Unidas sobre financiamento do terrorismo), na Lei 13.974/2020 (Lei do Coaf) e na Lei Complementar 105/2001 (Lei do Sigilo Bancário).

2.2 O inciso II do art. 17-F da Lei

No tratamento de dados pessoais, o Coaf deverá garantir a exatidão e a atualização dos dados que coleta, processa e difunde, respeitadas as medidas adequadas para a eliminação ou a retificação de dados inexatos. É o que determina o inciso II do art. 17-F da Lei 9.613/1998.

Tais direitos inserem-se entre os core rights de proteção de dados, estando previstos na LGPD. Tal dispositivo refere-se também ao principio da qualidade do tratamento, consoante o inciso V do art. 6º da Lei 13.709/2018, pelo qual se deve garantir, aos titulares dos dados a exatidão, clareza, relevância e atualização dessas informações pessoais, de acordo com a necessidade de tratamento e para o cumprimento da finalidade de seu tratamento.

2.3 O inciso III do art. 17-F da Lei

O inciso III do novo art. 17-F da Lei 9.613/1998 cuida do prazo de retenção de dados pelo Coaf, uma lacuna da Lei de Lavagem de Dinheiro, que agora poderá ser suprida. Em lugar de especificar um dado número de anos, como faz o art. 17-E da Lei 9.613/1998 — que estipula o mínimo de 5 anos para a guarda de dados fiscais —, o novo dispositivo resultante da MPv 1.158/2023 diz que esse prazo não deverá superar "o período necessário para o atendimento às suas finalidades legais".

Naturalmente o prazo máximo de armazenamento dos dados pelo Coaf deve ter em conta, pelo menos, a prescrição da ação penal em abstrato relativa aos crimes em questão, não podendo ser inferior a 16 anos, no caso da lavagem de dinheiro (art. 109, inciso II, do CP, c/c o art. 1º da Lei 9.613/1998) ou a 20 anos, no caso do financiamento do terrorismo (art. 109, inciso I, do CP, c/c o art. 6º da Lei 13.260/2016). A fixação desses prazos mínimos — o que deve ocorrer em ato próprio do Coaf — tem em mira a necessidade de garantir sua disponibilidade, para analise e eventual difusão, enquanto a persecução criminal for temporalmente viável. Findo esses prazos, os dados devem ser eliminados, salvo se houver causa legal ou ordem judicial para sua conservação por prazo superior.

Pondero, porém, que tais prazos de guarda podem ser menores, quando alcançados os fins do tratamento, nos termos do art. 15, inciso I, da LGPD, e do próprio inciso III do novo art. 17-F da Lei 9.613/1998.

Devemos lembrar que, na forma do art. 9º, inciso II, da LGPD, o titular dos dados tem direito a informação sobre a forma e duração do tratamento de seus dados.

2.4 O inciso IV do art. 17-F da Lei

O inciso IV do novo art. 17-F da Lei de Lavagem de Dinheiro adequa a legislação brasileira ao decidido pelo STF em 2019 no Tema 990 da Repercussão Geral no âmbito do RE 1.055.941/SP, quanto à difusão dos relatórios de inteligência financeira (RIF) ao Ministério Público e à Polícia Judiciária. Assim, na hipótese de compartilhamento dos dados tratados pelo Coaf, a remessa do RIF deve ocorrer por meio de "comunicação formal, com garantia de sigilo, certificação do destinatário e estabelecimento de instrumentos efetivos de apuração e correção de eventuais desvios cometidos em seus procedimentos internos". Confira a tese fixada em 2019:

1. É constitucional o compartilhamento dos relatórios de inteligência financeira da UIF e da íntegra do procedimento fiscalizatório da Receita Federal do Brasil — em que se define o lançamento do tributo — com os órgãos de persecução penal para fins criminais sem prévia autorização judicial, devendo ser resguardado o sigilo das informações em procedimentos formalmente instaurados e sujeitos a posterior controle jurisdicional;

2. O compartilhamento pela UIF e pela RFB referido no item anterior deve ser feito unicamente por meio de comunicações formais, com garantia de sigilo, certificação do destinatário e estabelecimento de instrumentos efetivos de apuração e correção de eventuais desvios.5

Na prática, as comunicações entre o Coaf e os órgãos de persecução penal estaduais e federais dá-se por meio de um portal oficial, denominado Sistema Eletrônico de Intercâmbio do Coaf (SEI-C).

2.5 O inciso V do art. 17-F da Lei

Reconhecendo o principio da segurança, que está previsto no inciso VII do art. 6º da LGPD, o inciso V do art. 17-F da Lei 9.613/1998 ordena ao Coaf garantir níveis adequados de segurança dos dados pessoais por ele tratados, "respeitadas as medidas técnicas e administrativas para impedir acessos, destruição, perda, alteração, comunicação, compartilhamento, transferência ou difusão não autorizadas ou ilícitas". A norma busca evitar acessos não autorizados, por insiders ou por hackers, vazamentos por falhas técnicas ou operacionais e perda ou difusão indevida ou ilegal de dados relativos a pessoas suspeitas de lavagem de dinheiro ou do financiamento do terrorismo.

Vazamentos intencionais podem configurar crimes previstos no Código Penal ou na Lei Complementar 105/2001.

2.6 O inciso VI do art. 17-F da Lei

Os dados alcançados por sigilo legal (como os dados bancários e os dados fiscais) e os dados sensíveis merecem atenção do inciso VI do novo art. 17-F, cabendo ao Coaf adotar medidas especiais, físicas e lógicas, de segurança cibernética para sua proteção. Os dados sensíveis são definidos no inciso II do art. 5º da LGPD, compreendendo os dados sobre a origem racial ou étnica, a convicção religiosa, a opinião política, a filiação a sindicato ou a organização de caráter religioso, filosófico ou político de uma pessoa natural, os dados referentes à saúde ou à vida sexual do titular e os seus dados genéticos ou biométricos. Não há, portanto, vedação ao seu tratamento pelo Coaf, em havendo necessidade de sua análise e difusão.

Um exemplo pode ajudar à compreensão da regra. Numa investigação por caixa 2 eleitoral, envolvendo um partido politico X, pode ser necessário indicar a filiação partidária do suspeito de lavagem de ativos. Por outro lado, numa apuração sobre financiamento do terrorismo de feição jihadista, a associação do suspeito a uma determinada organização religiosa terá relevância.

2.7 O inciso VII do art. 17-F da Lei

Apesar do que vimos no tópico anterior, conforme o inciso VII do art. 17-F da Lei 9.613/1998, nas atividades do Coaf, nenhuma forma de tratamento poderá ser utilizada para fins discriminatórios (seja por que critério for), ou para finalidades ilícitas ou abusivas. É o que também estabelece o inciso IX do art. 6º da LGPD, quanto ao princípio da não discriminação, que proíbe a realização do tratamento para fins discriminatórios ilícitos ou abusivos.

No entanto, isso não impede o escrutínio mais aprofundado de pessoas politicamente expostas (PEPs), porque aqui o discrimen se justifica pela necessidade de realizar um exame mais rigoroso de operações conduzidas por certas autoridades e dirigentes, listados em regulamentos setoriais dos supervisores dos mercados. É que, no caso das PEPs, há um risco ampliado de seu envolvimento em atividades de lavagem de dinheiro, existindo, por isso, uma diretriz específica do GAFI, a Recomendação 12. Esse tratamento e aquele que recaia sobre pessoas ou entidades listadas oficialmente como envolvidas em terrorismo ou em seu financiamento (sobretudo no âmbito da Lei 13.810/2019) não serão consideradas discriminatórias.

Clique aqui para ler a parte 2.

1 ESTELLITA, Heloisa (2022). O RE 1.055.941: um pretexto para explorar alguns limites à transmissão, distribuição, comunicação, transferência e difusão de dados pessoais pelo COAF. Direito Público, 18(100). Disponível em: https://doi.org/10.11117/rdp.v18i100.5991. Acesso em: 19 jan. 2023.

2 ARAS, Vladimir Barros. A título de introdução: segurança pública e investigações criminais na era da proteção de dados. In: DE MENDONÇA, Andrey Borges; CAPANEMA, Walter Aranha; ARAS, VLADIMIR BARROS, Augusto et al. (Org.). Proteção de dados pessoais e investigação criminal. Brasília: ANPR, p. 14-31, 2020.

3 ARAS, Vladimir. A MPv 1.158/2023 e a autonomia do Coaf. ConJur, 18 de janeiro de 2023. Disponível em: https://www.conjur.com.br/2023-jan-18/vladimir-aras-mpv-11582023-autonomia-coaf. Acesso em: 19 jan. 2023.

4 ESTELLITA, Heloisa. O RE 1.055.941: um pretexto para explorar alguns limites à transmissão, distribuição, comunicação, transferência e difusão de dados pessoais pelo Coaf. In: Revista de Direito Público, vol. 18, n. 100, Out-Dez/2021, p. 625. Disponível em: https://doi.org/10.11117/rdp.v18i100.5991. Acesso em: 19 jan. 2023.

5 STF, RE 1.055.941 RG / SP, Pleno, rel. min. Dias Toffoli, j. em 04/12/2019.