Em 6 de janeiro de 1978 – uma data histórica para o mercado de tecnologia – a França se tornou o primeiro país do mundo a criar uma lei relativa à informática, arquivos e liberdades, segundo a nomenclatura da época.
Naquela ocasião, a preocupação era que, com a capacidade da tecnologia da informação, o governo francês conseguisse cruzar todas as bases de dados dos cidadãos e acabasse com a privacidade dos franceses. Essa lei deveria estabelecer limites para isso.
De lá para cá, os governos conseguem cruzar todos os dados sobre a nossa vida pessoal, sabem quanto gastamos durante o ano nos cartões de crédito, qual foi a nossa movimentação financeira, quantas multas levamos e, portanto, onde estivemos, os hotéis em que nos hospedamos, sabem o que acessamos na internet, etc.
Vamos supor que os governos agem de boa fé. Portanto, quem não deve não teme. O problema é que o governo é capaz de fazer tudo isso, mas organizações criminosas também o são, consequentemente, é necessário se levar isso em conta em qualquer política nacional de segurança da informação e privacidade dos dados.
Desde maio de 2016, discute-se o Projeto de Lei 5276/2016 que trata da Proteção de Dados Pessoais, assunto delicado, pois de um lado se quer ter o máximo de privacidade pessoal, com o máximo de conforto e sem atrapalhar o desenvolvimento do país, numa era em que a economia mundial se transforma em uma economia movida a dados.
De uma análise do projeto, chama a atenção o artigo 2º, item III:
A disciplina da proteção de dados pessoais tem como fundamento o respeito à privacidade e:
I- A autodeterminação informática;
II- A liberdade de expressão, de comunicação e de opinião;
III- A inviolabilidade da intimidade, da vida privada, da honra e da imagem;
IV- O desenvolvimento econômico e tecnológico; e
V- A livre iniciativa, a livre concorrência e a defesa do consumidor.
Bem como o artigo 5º, que descreve, no seu item I o seguinte:
I- Dados pessoais: dado relacionado à pessoa natural identificada ou identificável, inclusive números identificativos, dados locacionais ou identificadores eletrônicos quando estes estiverem relacionados a uma pessoa;
De fato, por privacidade, entende-se que ninguém vai irromper em sua casa ou trabalho para ameaçá-lo, roubá-lo, ou que ninguém vai usar o seu nome, roubar a sua identidade.
As três histórias a seguir, que vêm acontecendo constantemente, ilustram concretamente o item III do parágrafo 1º do PL 5276/16.
A aposentada:
O telefone toca, a aposentada atende e quem se apresenta diz que faz parte da Central de Bancos (?):
CB – Bom dia! Gostaria de falar com a Sra. Letícia.
Le – É ela.
CB – Bom dia, Dona Letícia. Aqui é o Alfredo, da Auditoria da Central de Bancos, e gostaria de confirmar se a senhora quer mesmo um Cartão MCard Black para aposentados, sem taxa de anuidade para o resto da vida e com limite de crédito de 20 mil reais?
Le – Bem, não tem custo mesmo?
CB – Absolutamente e a taxa de juros é a menor do mercado, 1,99% ao mês contra 14% dos outros cartões.
CB – Preciso confirmar alguns dados que já tenho com a senhora, pois necessito identificação positiva de que a senhora é mesmo a Dona Letícia. Eu falo e a senhora só confirma:
CB – Seu CPF é 202.728.497-08? A senhora reside à Rua Santa Antonia, 45 ? Sua mãe é a Senhora Judith? Sua conta no Banco Federal é na agencia 3045, conta 27889-5?
Le – Sim.
CB – Muito bom. A sua identificação está confirmada.
CB – Para finalizar e a senhora receber o seu MCard Black sem anuidade pelo resto da sua vida, precisamos de cópia da sua carteira de identidade, do seu CPF e de prova de residência, que pode ser a conta de luz.
CB – Como se trata de um Cartão MCard Black, enviaremos um mensageiro à sua casa para coletar os documentos. O cartão e a senha a senhora receberá pelo correio em envelopes separados.
Ela liga para o filho, pouco antes de entregar os documentos para o portador e ele consegue convencê-la que tudo não passa de um golpe, de mais um roubo de identidade.
Aparentemente, o único lugar em que os criminosos poderiam acessar todos esses dados é no cadastro do INSS. Será que os dados do cadastro foram hackeados?
A multa:
José recebe uma multa de trânsito por não respeitar o rodízio, em São Paulo: R$ 130,16. Verifica a foto e a placa. Tudo confere. Como é desconfiado, verifica o RENAVAN, que também confere.
Não lembra de andar com o carro na quinta-feira, mas pensa “pagamento dentro de 30 dias com desconto de 20%. Melhor paga logo em banco para se livrar do problema e economizar R$ 26,00”.
No licenciamento, meses depois, verifica que aquela multa nunca existiu.
Criminosos tiram fotos aleatórias, montam a multa, com um código de barras que leva à conta corrente bancária de algum “laranja”. Conseguiram todos os dados do José em algum lugar, a partir da placa chegaram ao RENAVAM, do RENAVAM ao seu endereço e enviaram a falsa multa.
Será que o cadastro do Detran ou do Contran foi hackeado?
A revista:
Maria recebe propaganda da Revista no seu e-mail, mas em nome do seu falecido pai. Estranho, porque ele nunca teve e-mail na vida. Maria reflete sobre o problema e lembra que o único lugar em que informou o seu e-mail como sendo o do pai foi no Imposto de Renda.
Como a Revista teve acesso aos registros do seu pai na Receita Federal?
Como agora o debate sobre privacidade e proteção de dados permeia a sociedade, o Congresso, Executivo e Judiciário, está na hora de voltar às origens do problema e discutir, claramente, o que são dados pessoais, metadados e o que de fato se entende por privacidade e o real papel do Governo.
Ninguém quer que seus dados pessoais sirvam para criminosos roubarem a sua identidade, nem invadirem a sua casa quando saem de férias, sequestrarem os seus filhos na escola, e mesmo divulgarem a sua intimidade.
O artigo 5º do PL 5276/16, item I lembra que são dados pessoais: inclusive números identificativos.
O mais importante dado pessoal que cada um tem no Brasil, seu único número identificativo é o número do seu CPF e, por incrível que pareça, esse é um dado público.
Faça uma pesquisa do Google colocando no campo de busca o seu nome seguido pelo seu CPF e você, certamente, encontrará o seu CPF.
Outro dado pessoal muito importante é a sua residência. Use o mesmo site de busca e você encontrará facilmente o seu endereço.
Os mais importantes dados pessoais (CPF e Residência) estão em Bancos de Dados Públicos, que não são criptografados ou não têm acesso controlado. Qualquer funcionário com as credenciais adequadas pode acessá-lo e ninguém controla a necessidade desse acesso.
Qualquer ação na Justiça que você faça parte tem o seu CPF disponível para quem quiser ver.
Existe mesmo a lenda de que é possivel comprar o cadastro de contribuintes e do INSS na Rua Santa Efigênia, em São Paulo, com os dados cadastrais e mesmo de renda de qualquer um.
Evidentemente, que a Justiça tem que ser transparente, mas, com a tecnologia de hoje é possível criptografar os dados e, na hora da apresentação, usar a tecnologia Format Preserved Encription, e os dados aparecem com o formato preservado, como já fazem os cartões de crédito:
José Antonio Silva, CPF 201.XX9.XX7-49, residente e domiciliado à ALXMXXA XOX NXXBIQXXS n. 0X7X, e-mail JXXXXO.XXXA@UOL.COM.BR.
Esses dados seriam suficientes para identificar o Sr. Silva, mas não o suficiente para roubar a sua identidade.
Incomoda-me receber e-mails não desejados, pois o emissor não está respeitando o Código de Ética, mas incomoda-me muito mais ter a minha identidade roubada, cartões de crédito emitidos em meu nome e uma dívida desconhecida aparecer no fim do mês.
A tecnologia não pode nem deve atropelar a privacidade individual, mas ao contrário. No Brasil de hoje, certamente, com mais tecnologia, mais criptografia e apresentação mascarada de dados com o formato preservado ajudariam de fato a defender a nossa privacidade.
O ataque à privacidade não vem só dos sites de auxílio à navegação, nem dos de ofertas de sapatos, mas vem, principalmente, da falta de tecnologia e segurança dos bancos de dados dos governos, nos três níveis.
A proteção dos dados começa com a segurança dos dados em poder dos governos.
Embora o Governo Federal tenha avançado na gestão e na segurança da informação, com o lançamento de uma política e de uma estratégia nacional de governança da informação, em 2016, há muito a fazer nessa área, tanto no governo federal como nos governos estaduais e municipais.
Falta uma norma nacional para todos os níveis de governo, algo com a PCI, que é a norma internacional para cartões de crédito (Payment Card Industry Data Security Standard), que defina os padrões mínimos para o armazenamento e exposição dos dados privados em poder dos Governos. Sem isso, a privacidade não estará garantida.
Francisco Camargo, Presidente da ABES – Associação Brasileira de Empresas de Software