[Discussão] Negligência com os dados pessoais: entre a falha de proteção e a falta de produção
Por Paulo Faltay
O ano está sendo marcado por dois problemas distintos. De um lado, somam-se casos de vazamento de dados e ataques cibernéticos. Por outro, a falta de organização dos números da Covid-19 revelam um apagão na produção de informações estruturadas para o desenvolvimento de políticas públicas. Apesar de distintos, os problemas estão interligados. São fruto, em primeiro lugar, da negligência e omissão do Estado em proteger e em produzir dados.
Vazamentos de dados e ataques cibernéticos
Em janeiro deste ano, matéria de Felipe Ventura no Tecnoblog revelou que o maior vazamento de dados da história do país era ainda maior do que se pensava. Dias antes, o vazamento responsável por expor o CPF, nome completo, data de nascimento e gênero de 223,74 milhões de pessoas foi tornado público através de informações reveladas pelo dfndr lab, laboratório de pesquisa da empresa de cibersegurança PSafe. A matéria de Ventura revela que, além do vazamento destas informações, estavam disponíveis, para compra, ao todo 37 bases de dados que incluíam diversas informações. Entre elas, o número de identidade, estado civil, lista de parentes, endereço completo, nível de escolaridade, salário, renda, poder aquisitivo, status na Receita Federal e INSS, entre outros.
Sobre o megavazamento, muito já foi discutido a respeito das condições de possibilidade para a existência desses incidentes e suas prováveis origens; os impactos e riscos associados; o que as pessoas podem fazer para se tentar se proteger após o ocorrido e o que deve ser feito para evitar que novos casos ocorram.
Este vazamento, apelidado de Vazamento de dados do fim do mundo por conter praticamente todas as informações estruturadas de qualquer pessoa do país, entretanto, não foi um caso isolado. Somam-se ocorrências deste tipo tanto no setor público, quanto no privado. Para exemplificar, enumeramos a seguir apenas alguns dos casos mais rumorosos e de maior impacto. No âmbito público, no início de dezembro de 2020, uma falha no e-SUS, do Ministério da Saúde, expôs dados de cerca de 243 milhões de brasileiros. Na semana anterior, um descuido de um hospital privado no acesso ao banco de dados compartilhado do Ministério permitia serem exibidas as informações de 16 milhões de pacientes que tiveram Covid-19. No Mec também houve casos de falha de proteção de dados envolvendo o Sisu.
Já no setor privado, o maior vazamento que se tem notícia ocorreu em fevereiro, de acordo com informações do dfndr lab, quando mais de 102 milhões de contas de celular estavam sendo comercializadas em fóruns da dark web. Há, ainda, casos menores, comparativamente, mas de grande alcance envolvendo ataques cibernéticos a empresas. Citando alguns: foram expostos, após ataques cibernéticos mais de 4.8 milhões de alunos da empresa de cursos pré-vestibular Descomplica; mais de 2 milhões de clientes da Netshoes; cerca de 2 milhões de pessoas também foram atingidas por uma invasão ao sistema de compra, bloqueio e extrato do “Cartão Presente” da C&A.
Os números de tentativas e ocorrências de ataques cibernéticos são gigantescos e exponenciais no país. O Brasil sofreu mais de 8,4 bilhões de tentativas de ataques cibernéticos ao longo de 2020, de um total de 41 bilhões em toda a América Latina e Caribe, segundo relatório do FortiGuard Labs, laboratório de ameaças da Fortinet. Um artigo recente de pesquisadores do Massachusetts Institute of Technology (MIT) e do banco digital brasileiro C6 Bank publicada no Journal of Data and Information Quality da ACM (Association for Computing Machinery) aponta que os vazamentos de dados aumentaram 493% no Brasil, totalizando 205 milhões de dados de brasileiros expostos em 2019. Em número de incidentes relevantes, o país saltou de três, em 2018, para 16 em 2019, ainda de acordo com a pesquisa.
Conforme apontam os autores do artigo, se levarmos em conta o clichê de que “dados são o novo petróleo”, os vazamentos de dados são desastres temerários para uma sociedade e uma cidadania cada vez mais conectada e digital. Um “desastre informacional”, como definiu o advogado do programa de Telecomunicações e Direitos Digitais do Instituto Brasileiro de Defesa do Consumidor (Idec) Michel Souza. Neste sentido, há um ponto que merece uma maior atenção: a situação de negligência e de falta de responsabilização do Estado pelas ocorrências e por políticas públicas estruturadas de proteção. Soma-se a esse problema o crescente “apagão de dados”, cujos números sobre a pandemia da Covid no país são o exemplo mais dramático. Ou seja, a falta de produção de dados estruturados para políticas públicas que influenciam na vida de milhões de pessoas.
Negligência na proteção e na produção de dados
Conforme apontou a professora e ativista Beatriz Busaniche, presidente da Fundación Via Libre, organização argentina de defesa de direitos digitais, em sua fala no Webinar LAVITS 2020: Emergências Tecnopolíticas na Pandemia – América Latina, a chegada da pandemia ao continente deixou patente que questões associadas aos riscos à privacidade dos cidadãos precisam ser enquadradas também sob um viés pouco debatido: a negligência do Estado. Comparando as preocupações políticas sobre como as tecnologias facilitam o autoritarismo estatal com a realidade da gestão de dados públicos pelo Estado, Busaniche defende que se deve prestar atenção não apenas aos perigos da implementação de tecnologias opressivas. Segundo ela, é preciso considerar também as injustiças menores e cotidianas que ocorrem quando os dados são divulgados ou vazados.
“O risco mais iminente em termos de privacidade não parece ser a construção de um estado autoritário, mas a existência real, palpável e evidente de um estado negligente”, escreve Busaniche ao citar três casos de vazamento de informações na Argentina relacionados à pandemia no país em trecho do texto oriundo da fala publicado na série Data and Pandemic Politics do projeto Global Data Justice. Busaniche defende que um estado que não pode cuidar dos dados de seus cidadãos também falha em atender e segurar as pessoas de maneiras básicas e imediatas: “enquanto debatemos os impactos sociais, políticos e culturais da privacidade, enquanto pensamos na construção de sociedades vigiadas ou na imposição de uma cultura de autoritarismo, aqui e agora, é a negligência dos Estados o maior risco para a nossa privacidade”.
No Brasil do governo Bolsonaro, entretanto, os riscos não parecem fáceis de serem hierarquizados. Por um lado, temos casos como a produção de dossiês sobre opositores do governo pelo Ministério da Justiça e iniciativas como o Cadastro Base do Cidadão (CBC), um sistema de interoperabilidade de dados integrando atributos biográficos e biométricos de mais de quarenta bases, geridas por diferentes órgãos e ministérios. Segundo Clarissa Gross, Bruna Martins dos Santos e Rafael Zanatta no artigo Vigiar e Confundir, “um dos problemas do CBC é que ele permite o enriquecimento dos dados dos cidadãos pela administração pública sem justificação de necessidade”. A possibilidade de informações que o governo poderá alimentar estas bases é enorme. Conforme o decreto de 09 outubro de 2019, podem ser compartilhados dados dos atributos biográficos: “tais como nome civil ou social, data de nascimento, filiação, naturalidade, nacionalidade, sexo, estado civil, grupo familiar, endereço e vínculos empregatícios“; e atributos biométricos como “características biológicas e comportamentais mensuráveis da pessoa natural que podem ser coletadas para reconhecimento automatizado, tais como a palma da mão, as digitais dos dedos, a retina ou a íris dos olhos, o formato da face, a voz e a maneira de andar”.
Por outro lado, o vigilantismo e a negligência na proteção de dados confunde-se com a falta de uma política pública estruturada de segurança da informação e com a omissão na produção de dados consolidados para a formulação e implementação de políticas públicas, especialmente durante a gestão federal da pandemia. Neste sentido, o governo Jair Bolsonaro decidiu deliberadamente restringir o acesso a dados sobre a pandemia de Covid-19. Em junho de 2020, o portal oficial do governo federal com os dados da pandemia chegou a ser retirado do ar e a aparecer sem os números consolidados, o histórico dos dados e links para downloads de dados em tabulados. Também foram observados números conflitantes e divergentes ao longo de um mesmo dia.
Recente confusão em torno da vacinação alimentou ainda mais o debate sobre a produção de dados confiáveis e a segurança dos números do combate à pandemia. Matéria da Folha de São Paulo chegou a afirmar que 26 mil doses de vacinas vencidas chegaram a ser aplicadas na população. A reportagem foi prontamente contestada por diversas prefeituras que alegaram tratar-se de erros pontuais de digitação e de datas de registro. Especialistas de dados apontaram ainda para o baixo número de ocorrências e inconsistência na apuração da matéria, o que não permitia o teor alarmista dado pelo jornal. Controvérsias à parte, a raiz do problema parece ser o “apagão de dados” do governo federal no enfrentamento à pandemia.
Segundo o professor do Instituto de Computação da Universidade Federal Fluminense (UFF), Marcelo Fornazin, o governo está sucateando os sistemas de produção de dados baseados no modelo descentralizado e federativo do SUS e investindo em um modelo centralizador e integrado com o setor privado de saúde, a Rede Nacional de Dados em Saúde (RNDS). Segundo Fornazin, “o SUS trabalhava com processos de revisão de dados nos municípios e estados. Usualmente os registros nos sistemas eram feitos nos municípios, revisados nas secretarias municipais e estaduais de saúde. O Datasus consolidava os dados dos estados e publicava na área de Disseminação de Informações. Contudo, nos últimos anos, o governo vem invertendo a lógica descentralizada e federalista dos sistemas de informação em saúde. Com a RNDS, os registros são feitos diretamente em uma base central no Datasus”, diz.
Instituída pela portaria n. 1.434, de 28 de maio de 2020, a RNDS é uma plataforma nacional de interoperabilidade de dados em saúde. Em seu site, há um organograma ilustrando as bases que alimentam a plataforma e um intrigante quadro em que consta “Integração com Sistemas Terceiros”. Há ainda a seguinte descrição: “Ao longo de sua evolução, a RNDS irá se constituir na infovia da saúde, como uma plataforma informacional de alta disponibilidade, segura e flexível, que favorecerá o uso ético aos dados de saúde, permitindo, assim, o surgimento de novos serviços, inovação, pesquisa e desenvolvimento que resultem em benefícios para a população e para o Brasil”.
Este é o discurso oficial. Na prática, esse compartilhamento de dados da saúde com terceiros foi a fonte do vazamento de informações de 16 milhões de pessoas que contraíram o coronavírus no país citada no começo do texto. Como isso aconteceu? Segundo o Estadão, que descobriu a exposição de dados, o ocorrido não foi causado por uma falha de segurança nem por um ataque. Os dados ficaram públicos para consulta após um funcionário do Hospital Albert Einstein divulgar uma lista com usuários e senhas que davam acesso aos bancos de dados de pessoas testadas, diagnosticadas e internadas por Covid nos 27 Estados. O hospital justificou ao jornal ter acesso aos dados por estar trabalhando junto ao Ministério da Saúde em um projeto.
Transferência da produção e da responsabilidade para a iniciativa privada
Por fim, um último ponto sobre o problema do vazamento de dados e da omissão na produção deles: a transferência da responsabilidade para a iniciativa privada. O caso envolvendo o Hospital Albert Einstein e o Ministério da Saúde é ilustrativo dos riscos e perigos à privacidade envolvendo parcerias entre o Estado e a iniciativa privada na produção e gestão de dados sobre indivíduos e populações.
Pesquisa realizada pela Lavits e pelo MediaLab.UFRJ em parceria com a Derechos Digitales sobre a implementação de uma ferramenta de Inteligência Artificial no Sistema Nacional de Empregos traz algumas inquietações sobre a aliança entre o Ministério da Economia e a Microsoft. Um dos destaques é os riscos associados à possibilidade de influência da Microsoft sobre os critérios e desenhos das políticas públicas de emprego, assim como aqueles relacionados ao compartilhamento de informações e dados estratégicos sobre a enorme base de dados de 64 milhões de trabalhadoras e trabalhadores e sobre a economia e o mercado de trabalho. Além deles, a investigação destaca também a fragilidade dos mecanismos de accountability previstos no projeto de implementação.
Sobre as medidas de segurança da informação, é importante destacar que os maiores vazamentos – o do fim do mundo e das operadoras de telefonia – foram percebidos e tornados públicos por uma empresa privada, a PSafe. O Estado brasileiro, entretanto, possui um Centro de Operação de Segurança (Security Operation Center – SOC) na Empresa de Tecnologia e Informações da Previdência (Dataprev). A empresa pública detém todas as informações pessoais e sociais da população e é responsável pelo processamento e pagamento de benefícios dos cidadãos e por implementar grande parte das ferramentas tecnológicas de processamento de dados do governo federal. Apesar do seu caráter estratégico e sensível para a proteção de dados e da privacidade da população, a empresa é alvo de uma série de planos de privatização.
Então, o que pode ser feito? A aplicação rígida da Lei Geral de Proteção de Dados Pessoais (LGPD), o pleno funcionamento da Agência Nacional de Proteção de Dados (ANPD) e um plano nacional de contingência do governo para ajudar as vítimas são apontadas como reparações por Rafael Zanatta em entrevista ao UOL. Zanatta destaca que a ANPD deve ser também a fonte de contato para as pessoas que sofreram algum dano com os vazamentos. “A ANPD já tem plenas condições para instauração de um inquérito e para exercer seus poderes de auditoria previstos no artigo 55-J da LGPD. Estreou há pouco no site anpd.gov.br o canal de denúncias. Os Procons também podem receber as reclamações, mas a ANPD não só tem o papel de conduzir o inquérito como também o de atender o cidadão”, afirma.
Conforme aponta a organização Artigo 19 em nota, um primeiro passo é a cobrança por um plano de resposta a incidentes de segurança dos dados. “Importantíssimo também é garantir a autonomia da ANPD, vinculada à Presidência da República, e um investimento adequado em seu funcionamento”, defende a organização. A nota continua: “É preciso entender, ainda, por que hoje é possível que bases de dados tão grandes e concentradas existam. Em primeiro lugar, destaca-se a demora da aprovação da LGPD no Brasil e da criação de políticas públicas que desenvolvessem no país uma cultura de proteção de dados e segurança digital”.
Ou seja, à necessidade dessa cultura e de protocolos de segurança, soma-se também a necessidade de responsabilização de entes públicos e privados com os dados digitais, tanto para a proteção, quanto para a produção de informações para políticas públicas.
Revisão: Anna Bentes; Arte: Luiz Garcia
