Vazamento em servidor do governo de São Paulo expõe dados de 28 mil pessoas
Por Rafael Rodrigues da Silva | •
Se você é um artista que em algum momento fez o cadastro de alguma obra no Programa de Incentivo à Cultura (ProAC) do estado de São Paulo, tome muito cuidado nos próximos meses com tentativas de fraude, pois seus dados pessoais podem ter sido expostos. Isso porque uma falha no banco de dados do programa permitiu que qualquer pessoa tivesse acesso a informações das cerca de 28 mil pessoas que se inscreveram para o ProAC, permitindo visualizar não apenas os projetos dos cadastrados na plataforma, mas também dados pessoais como RG, CPF, comprovante de endereço e telefone para contato.
Não se sabe exatamente desde quando esses dados estão disponíveis para qualquer pessoa, mas o problema foi descoberto pelo site Congresso em Foco na segunda-feira (21). Desde então o canal tenta contato com a Secretaria Estadual de Cultura, mas eles só se pronunciaram sobre o problema após a publicação da reportagem que expõe a falha, na noite de quinta-feira (24).
De acordo com a Secretaria de Cultura, a falha se deveu a um “erro técnico” ocorrido durante à gestão anterior, mas que já bloqueou o acesso aos dados e abriu uma sindicância interna do órgão para se apurar o problema. Apesar da justificativa é preciso lembrar que, antes de eleger o atual governador João Dória, o governo do estado de São Paulo estava na mão de Geraldo Alckmin, que também é do mesmo partido de Dória, o PSDB. Aliás, se formos recordar a história do cargo de governador, desde a eleição de 1994, ganha por Mário Covas, o estado de São Paulo só elegeu governadores do PSDB, o que significa que já faz 25 anos que há uma continuidade no governo do estado.
É importante lembrar disso por causa da desculpa dada de ter sido um descuido da administração anterior como forma de se esvair da culpa, mas ainda que isso seja um problema normal quando há alternância de partidos - e, assim, dos modos de gestão - essa justificativa parece bem mais fraca quando os diferentes governos são apenas uma sucessão de nomes do mesmo partido e, assim, a sucessão das mesmas formas de se administrar a coisa pública, o que deveria evitar esse tipo de erro na transição das gestões.
Explicando a falha
Considerado um dos melhores mecanismos de incentivo à cultura do Brasil, o ProAC implementa políticas públicas com o objetivo de ampliar o acesso da população aos bens culturais e ajudar no financiamento de produções de pequeno porte. Para fazer parte do programa, é preciso que o artista resida no estado de São Paulo por um período de pelo menos dois anos, e comprovem que atuam em uma área cultural pelo menos pelo mesmo período de tempo. Todos os que possuem esses pré-requisitos podem então se inscrever no site do programa para concorrer à verbas da Secretaria da Cultura ou então captar fundos junto a empresas privadas por meio de incentivo fiscal.
E é justamente no sistema de cadastro que estava a falha: ao enviar os documentos pessoais e a explicação de seus projetos pelo site do ProAC, o sistema grava os arquivos com um número identificador: um para a página de documentos pessoais e um para a página de projetos. O problema é que esses identificadores não são aleatórios, mas seguem uma ordem sequencial lógica (por exemplo, o cadastro de um artista definiria os documentos deste artista como 2600 e o projeto dele como 2601, e caso outro artista fizesse o cadastro logo depois dele, o documento identificaria os documentos e projetos enviados por este segundo artista com 2602 e 2603).
Por conta deste tipo de identificação, o sistema permitia que qualquer pessoa, ao tentar cadastrar seus documentos no sistema do ProAC, simplesmente editasse a URL de envio e mudasse o número de identificação, conseguindo assim acessar qualquer documento já cadastrado no sistema e até mesmo efetuar o download deles.
(I)Responsabilidade do Estado
Como esse vazamento ocorreu não por conta de ataques hackers que se utilizaram de táticas complexas para burlar as proteções do banco de dados, mas por causa da utilização de um sistema sem qualquer tipo de proteção básica, não há dúvidas de que a responsabilidade pelo vazamento desses dados seja do Estado.
Este erro na programação é uma clara violação à Constituição e à Lei de Acesso à Informação (LAI), que afirmam que o Estado deve zelar pelas informações dos cidadãos que estão sob sua custódia, protegendo esses dados do acesso por cibercriminosos. Além disso, segundo Flávia Lefèvre, conselheira do Comitê Gestor da Internet (CGI), a exposição de dados pessoais a terceiros viola não apenas a Constituição e a LAI, mas também o Código de Defesa do Consumidor e a Lei Geral de Proteção de Dados (LGPD), que deverá entrar em vigor apenas em agosto de 2020, mas que já foi sancionada pelo Congresso.
De acordo com o texto da LGPD, dado pessoal é qualquer informação relacionada a uma pessoa natural que possa ser usado para identificá-la ou que permita a identificação dessa pessoa caso haja a união desta informação com alguma outra. Assim, os documentos vazados pelo servidor do ProAC - que continham imagens em alta definição das identidades dessas pessoas, onde era possível ver nome completo, foto, nome dos pais e número do RG - entram nesta definição de dado pessoal cuja privacidade deveria ser mantido pelo Estado.
E algo que tem preocupado alguns defensores da privacidade de informações é o fato de que os órgãos estatais parecem não ter nenhuma preocupação com a segurança dos dados de seus cidadãos. Somente este ano, já houveram vazamento nos sistemas do Detran e do INCRA e, em 2010, um vazamento no Inep disponibilizou os dados de todos os cadastrados para o Enem. O ponto comum em todas essas histórias foi um “dar de ombros” das gestões desses órgãos, que apenas afirmam que resolveram o problema, mas se recusam a revelar quantas pessoas realmente foram afetadas ou a assumir a responsabilidade caso esses dados sejam usados por criminosos para cometer fraudes.
O problema da LGPD
Todas essas questões deveriam ser resolvidas pela LGPD, que foi sancionada em agosto do ano passado pelo então presidente Michel Temer, que criaria não apenas uma lei que definiria as responsabilidades de órgãos públicos e empresas privadas na proteção dos dados pessoais que estiverem em seu poder, como também criaria o órgão responsável por monitorar se essas regras estão sendo seguidas e punir todos aqueles que não estiverem as respeitando: a Autoridade Nacional de Proteção de Dados (ANPD).
Mas, ainda que a criação da LGPD e da ANPD seja algo pioneiro no mundo para garantir a segurança dos dados dos cidadãos de um país (a única legislação do tipo existente no mundo, além da LGPD, é o Regulamento Geral sobre a Proteção de Dados que se aplica a todos os países que fazem parte da União Europeia), o órgão gestor já está surgindo de forma enfraquecida. Isso porque, no começo deste ano, o presidente Jair Bolsonaro efetuou algumas mudanças no texto de criação da ANPD, que não foram bem vistas por aqueles que lutaram desde o começo pela criação do órgão: o atual presidente não apenas vetou todas as ferramentas mais pesadas de punição que a ANPD teria (permitindo apenas a aplicação de punições brandas, como multas de valor baixo) também foi modificado o papel do órgão em relação à administração pública.
Enquanto o texto original tornava a ANPD um órgão independente, o que permitiria que ela monitorasse com o mesmo critério tanto os órgãos públicos quanto as empresas privadas, o presidente Bolsonaro escolheu instituí-lo a administração pública federal, o que torna a ANPD subordinada à presidência da República e faz com que ela passe a defender os interesses dela, perdendo assim o caráter independente de gestão que a tornaria uma arma para garantir a privacidade de dados dos cidadãos brasileiros.
Outro ponto visto com desconfiança é o Decreto 10046/2019, assinado pelo presidente Jair Bolsonaro, que cria o Cadastro Base do Cidadão - basicamente um banco de dados central onde todas as informações que todos os órgãos públicos possuem sobre os brasileiros serão concentrados. A preocupação é que, caso ocorra uma falha nesse banco de dados - como já ocorreu em vários outros órgãos públicos - os cibercriminosos não apenas teriam acesso a dados como nome, endereço e CPF, mas a um perfil completo sobre nossas vidas, incluindo consultas no SUS, carteiras de vacinação, informações de seguro desemprego, aposentadoria, benefícios do INSS, e literalmente todas as informações que qualquer órgão do Estado possui sobre você, o que permitiria a criação de fraudes bastante complexas e que tornariam provar que foi um criminoso que se passou por você algo bem difícil.
Mas esse pessimismo não é compartilhado por todos. Ainda que concorde que deixar a ANPD sob o guarda-chuva da presidência não seja o formato de gestão ideal para o órgão, o advogado Bruno Bitoni, pesquisador e diretor do Data Privacy Brasil (escola que oferece cursos nas áreas de privacidade e proteção de dados), afirma que ainda é muito cedo para se falar que a LGPD não terá eficácia - principalmente porque a lei ainda nem foi implantada. Ele ainda lembra que só a existência da lei não é o suficiente para fazer com que os vazamentos parem de acontecer (afinal, temos leis que proíbem o roubo e, nem por isso, os assaltos deixaram de existir), mas ela é um bom primeiro passo para a mudança de conduta e fomentar a mudança que se deseja no setor.
Bitoni afirma que essa mudança de mentalidade só irá acontecer quando tanto o Estado quanto a iniciativa privada estiverem zelando por esses dados, não apenas por medo de serem punidos, mas porque a relação de confiança dos usuários será um papel importante para que eles utilizem os produtos dessas empresas. Porém, ainda que esse tipo de lógica faça muito sentido para empresas particulares - se você não confia nos serviços de uma marca, irá procurar pela concorrente - ela falha quando falamos de órgãos públicos, onde muitas vezes há uma obrigação de uso. Por exemplo, mesmo alguém que não confie no Detran será obrigado a usar os serviços deste órgão se quiser dirigir um caro ou moto, pois não nenhuma opção alternativa para este tipo de serviço.
E é justamente na relação com a coisa pública que há o maior pessimismo referente à ANPD, pois ao mesmo tempo que é o setor público o que tem se mostrado mais vulnerável a vazamentos de dados no Brasil, ele também será o setor onde o órgão de fiscalização terá menos liberdade para definir punições e obrigar mudanças. Mas, claro, tudo isso ainda é hipotético, e precisamos esperar que os mecanismos como a LGPD e a ANPD comecem a funcionar antes de cravarmos qualquer tipo de problema existente neles.
Fonte: Congresso em Foco