A MP 1.158/2023 e o tratamento de dados pessoais pelo Coaf — Parte 2

Clique aqui para ler a parte 1.

2.8 A limitação temporária a certos direitos dos titulares de dados pessoais

Como visto, o novo art. 17-F da Lei 9.613/1998 é compatível com o inciso LXXIX do art. 5º da Constituição e, em parte com a LGPD, instituindo, no âmbito das atividades de inteligência financeira do Coaf, alguns direitos para os titulares dos dados pessoais, entre eles os de retificação, supressão, segurança e sigilo. No entanto, nem todos os direitos do art. 18 da LGPD poderão ser exercidos pelo titular dos dados contra o Coaf, uma vez que, em certas etapas, a existência do tratamento para fins de inteligência financeira é sigilosa, mesmo para o titular, em função da lei. Disso resulta que o titular dos dados não terá direito a informação prévia específica sobre início do tratamento, o compartilhamento de seus dados por um sujeito obrigado ao Coaf nem sobre a difusão de um RIF pelo Coaf aos órgãos de persecução criminal, salvo depois de se tornar pública a investigação ou o processo penal.

[…] as comunicações realizadas ao Coaf e ao órgão regulador setorial devem ser sigilosas. Trata-se de um dever óbvio, pois, caso o cliente realize, tente realizar ou tenha realizado uma operação de lavagem, a informação de que o Coaf fora cientificado pode fazer com que se frustrem as tentativas posteriores de investigação e descobrimento dos fatos, inclusive o bloqueio de ativos. Nada obstante, em que pese não ser possível avisar ao cliente, mantendo-se um dever de sigilo, é recomendável que o sujeito obrigado torne público que se adequa às políticas PLD/CFT, de modo que todos os que com ela se relacionam saberão, de antemão, da possibilidade de comunicação das operações suspeitas, quando realizadas.1

Deste modo, os titulares de dados pessoais (sempre pessoas naturais) não terão os direitos previstos no art. 18, incisos I e II, da LGPD, de obter do controlador, "a qualquer momento", a confirmação, pelos sujeitos obrigados ou pelo Coaf, da existência do tratamento específico (em situação particularizada de comunicação de operação suspeita ou de comunicação de operação obrigatória), no âmbito da Lei 9.613/1998. Tampouco terão o direito imediato de acesso a tais dados. Ocorre aqui uma limitação temporal, semelhante à que se perfaz nas ações cautelares inaudita altera pars, com contraditório diferido. Deste modo, alguns dos direitos identificados pelo acrônimo ARCO, de acesso, retificação, cancelamento (apagamento) e oposição ficam temporariamente restritos.

Ainda que o indivíduo objeto da comunicação peça formalmente a um dos sujeitos obrigados (bancos, corretoras, seguradoras etc) informações sobre a existência ou não de comunicações sobre sua pessoa ao Coaf, a entidade listada no art. 9º da Lei 9.613/1998 não poderá prestar tal informação ao seu cliente.

De igual modo, em respeito ao sigilo legal ou judicial, o Coaf não poderá, salvo expressa determinação judicial, dar concretude ao direito previsto no art. 18, inciso VII, da LGPD, que ordena ao controlador informar ao titular dos dados as entidades públicas ou privadas com as quais compartilhou os dados. Não pode o Coaf prestar tais informações sem pôr em risco a concretização de atividades de investigação ou persecução criminal em curso, de competência de outros órgãos. Tal restrição à transparência está prevista no art. 23, inciso VIII, da Lei 12.527/2011 (Lei de Acesso à Informação).

Realmente, são passíveis de classificação as informações cuja divulgação ou acesso irrestrito possam comprometer atividades de inteligência, de investigação ou de fiscalização em andamento, relacionadas à prevenção ou à repressão de infrações.

3 A proteção internacional aos dados pessoais na cooperação internacional pelo Coaf
Embora a MPv 1.158/2023 nada diga a respeito expressamente, as regras de PDP também devem estar presentes na transferência internacional de dados entre as UIFs. No Brasil, o tema é objeto do art. 33 da LGPD, sendo em regra permitida a remessa de dados pessoais ao exterior, quando o destinatário for um país ou um organismo internacional que proporcione um grau de proteção de dados pessoais adequado, isto é, similar ao previsto na LGPD.

O compartilhamento transfronteiriço de dados também é permitido pelo inciso III do art. 33 da Lei 13.709/2018 quando a transferência for necessária para a cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução, de acordo com os instrumentos de direito internacional.

Este é exatamente o caso do Coaf, no tocante às atividades de inteligência financeira. Vale lembrar que a cooperação internacional direta, de natureza administrativa, do Coaf tem base legal no art. 14, §2º da Lei 9.613/1998, que lhe permite propor mecanismos para a cooperação e a troca de informações, e no art. 3º, inciso II, da Lei 13.974/2020, que lhe atribui a promoção da interlocução institucional com órgãos e entidades nacionais, estrangeiros e internacionais que tenham conexão com suas atividades. Neste rol entram as UIFs de outros países, o GAFI, o Grupo de Ação Financeira da América Latina (GAFILAT) e o Grupo de Egmont.

No âmbito da soft law em PLD, as diretrizes 28 a 33 dos Princípios de Egmont para o Intercâmbio de Informações entre Unidades de Inteligência Financeira, de 2013, estipulam obrigações quanto à proteção de dados e à confidencialidade nas atividades das UIFs integrantes do Grupo de Egmont. No mínimo, as informações transferidas internacionalmente entre as UIFs de diferentes países devem ser tratadas e protegidas com o mesmo nível de confidencialidade aplicável às informações obtidas de fontes nacionais.2

Todas as operações de tratamento, na cooperação entre UIFs, devem observar critérios de segurança e confidencialidade, e os dados recebidos somente podem ser utilizados para as finalidades acordadas ou previstas em leis e regulamentos.3 Trata-se da aplicação do principio da especialidade e de aderência à finalidade do tratamento. Para esse fim, as UIFs devem dispor de regras que garantam a segurança e o sigilo das informações recebidas, inclusive mediante procedimentos adequados para as operações de coleta, processamento, armazenamento, disseminação e proteção dos dados e o acesso a tais informações.4

O Princípio 30 de Egmont exige que os funcionários das UIFs devem ser adequadamente capacitados para lidar com dados que gerenciam, especialmente para as operações de tratamento e de divulgação de informações sensíveis ou confidenciais. Todas as unidades de inteligência devem instituir mecanismos de segurança digital, o que abrange a limitação de acesso físico a suas instalações, assim como a restrição e o controle de acesso a seus sistemas informáticos e suas bases de dados.5

Para reforçar o requisito da finalidade do tratamento dos dados, o Princípio 32 exige das UIFs que fazem parte do Grupo de Egmont que as informações por elas recebidas sejam usadas apenas para o fim solicitado ou para o fim autorizado. Se houver necessidade de emprego dos dados para outros fins, inclusive na persecução criminal no exterior, deve haver autorização prévia da UIF remetente.6

No particular, as orientações de Egmont quanto à segurança e à confidencialidade das informações tratadas pelas UIFs em cooperação internacional, são também objeto da seção D da Nota Interpretativa à Recomendação (NIR) 29 e da seção A.4 da NIR 40 do GAFI, que as incorporam.7

O ato normativo infralegal que vier a regular a proteção de dados pessoais no âmbito do Coaf deve levar em consideração as regras sobre tratamento de dados na cooperação administrativa internacional entre UIFs, a fim de que não haja tredestinação dos dados nem violação de sua confidencialidade ou incremento de riscos a sua segurança, garantindo-se transnacionalmente o direito à PDP.

Como se nota, a base legal para a transferência internacional de dados entre o Coaf e outras unidades de inteligência financeira poderia ser aclarada pela MPv 1.158/2023. Parte da doutrina sustenta que a intercambio de informações entre as UIFs integrantes do Grupo Egmont não está prevista em tratado internacionais, mas apenas na soft law aprovada por esse organismo.8 Contudo, o art. 4º da Convenção Interamericana contra o Terrorismo, aprovada em Barbados em 2002, incorpora essas soft norms ao marco jurídico regional.9

Como bem alerta ESTELLITA, as transferências internacionais de dados entre o Coaf e seus parceiros estrangeiros deve estar regulada por norma legal, que garanta que a UIF receptora assegure um nível adequado de proteção aos dados pessoais da UIF brasileira.10

Seja como for, traria mais segurança jurídica uma regra mais clara do que o atual inciso II do art. 3º da Lei 13.974/2020 e o art. 15 da Lei 9.613/1998, no contexto da cooperação internacional administrativa entre o Coaf e suas congêneres no exterior e da transferência internacional desses dados para fins de inteligência.

4. Conclusão
A introdução de regras sobre a proteção de dados pessoais na Lei de Lavagem de Dinheiro é uma importante medida para dar efetividade ao inciso LXXIX da Constituição Federal.

Considerando que a Medida Provisória 1.158/2023 está sujeita a apreciação do Congresso Nacional, espera-se que o novo art. 17-F da Lei 9.613/1998 seja aperfeiçoado para assegurar o efetivo exercício do direito constitucional à proteção de dados pessoais quanto às atividades de inteligência financeira; e dar mais um passo para garantir que o Brasil se torne uma jurisdição com nível de proteção adequado.

Por outro lado, essa inovação deve observar o exemplo do direito comparado e guiar-se pelas 40 Recomendações do GAFI e pelos Princípios de Egmont, para que não seja indevidamente limitada a capacidade operacional do Coaf no atendimento aos legítimos fins da legislação de repressão à lavagem de dinheiro e ao financiamento do terrorismo.

Por fim, regras sobre proteção de dados na cooperação internacional entre o Coaf e outras unidades de inteligência financeira devem constar expressamente do novo art. 17-F da Lei 9.613/1998, tendo por referência os Princípios 28 a 33 de Egmont, as Recomendações 29 e 40 do GAFI e, é claro, o art. 33, inciso III, da LGPD, que cuida da transferência internacional de dados pessoais.

1 ARAS, Vladimir; LUZ, Ilana Martins. Comentários à Lei de lavagem de dinheiro. In: PINHEIRO, Igor Pereira. Leis penais especiais comentadas na visão do STF, STJ e TSE. Leme, SP: Mizuno, 2021, p. 1307.

2 EGMONT GROUP OF FINANCIAL INTELLIGENCE UNITIES. Principles for Information Exchange between Financial Intelligence Units, approved by the Egmont Group Heads of Financial Intelligence Units, July 2013. Disponível em: https://egmontgroup.org/wp-content/uploads/2021/09/Egmont-Group-of-Financial-Intelligence-Units-Principles-for-Information-Exchange-Between-Financial-Intelligence-Units.pdf. Acesso em: 17 jan. 2023. Vide o Princípio 33 de Egmont.

3 Vide o Princípio 28 de Egmont.

4 Vide o Princípio 29 de Egmont.

5 Vide os Princípios 30 e 31 de Egmont.

6 Vide o Princípio 32 de Egmont.

7 GRUPO DE AÇÃO FINANCEIRA INTERNACIONAL. Padrões Internacionais de Combate à Lavagem de Dinheiro e ao Financiamento do Terrorismo e da Proliferação: as Recomendações do Gafi. Disponível em: https://www.fatf-gafi.org/media/fatf/documents/recommendations/pdfs/FATF-40-Rec-2012-Portuguese-GAFISUD.pdf. Acesso em: 17 jan. 2022. Vide as Notas Interpretativas às Recomendações 29 e 40.

8 TEIXEIRA, Adriano; WEHRS, Carlos; MADRUGA, Antenor. O valor processual das informações de inteligência financeira obtidas por meio do Grupo Egmont. Disponível em: https://www.academia.edu/40148250/O_VALOR_PROCESSUAL_DAS_INFORMA%C3%87%C3%95ES_DE_INTELIG%C3%8ANCIA_FINANCEIRA_OBTIDAS_POR_MEIO_DO_GRUPO_EGMONT. Acesso em: 18 jan. 2023.

9 Diz o art. 4º, §2º, do Tratado (Decreto 5.639/2005): “Para a aplicação do parágrafo 1 deste artigo, os Estados Partes utilizarão como diretrizes as recomendações desenvolvidas por entidades regionais ou internacionais especializadas, em particular, o Grupo de Ação Financeira (GAFI) e, quando for cabível, a Comissão Interamericana para o Controle do Abuso de Drogas (CICAD), o Grupo de Ação Financeira do Caribe (GAFIC) e o Grupo de Ação Financeira da América do Sul (GAFISUD).” A lista, como se vê, é exemplificativa e nos permite sustentar a inclusão tanto das Recomendações do GAFI quanto dos Princípios de Egmont no campo da hard law interamericana.

10 ESTELLITA, Heloisa. O RE 1.055.941: um pretexto para explorar alguns limites à transmissão, distribuição, comunicação, transferência e difusão de dados pessoais pelo COAF. In: Revista de Direito Público, vol. 18, n. 100, Out-Dez/2021, p. 630. Disponível em: https://doi.org/10.11117/rdp.v18i100.5991. Acesso em: 19 jan. 2023.