Proteção de Dados Pessoais e o Papel do Governo – Por Francisco Camargo

Compartilhar

unnamed (13)

Em 6 de janeiro de 1978 – uma data histórica para o mercado de tecnologia – a França se tornou o primeiro país do mundo a criar uma lei relativa à informática, arquivos e liberdades, segundo a nomenclatura da época.

Naquela ocasião, a preocupação era que, com a capacidade da tecnologia da informação, o governo francês conseguisse cruzar todas as bases de dados dos cidadãos e acabasse com a privacidade dos franceses. Essa lei deveria estabelecer limites para isso.

De lá para cá, os governos conseguem cruzar todos os dados sobre a nossa vida pessoal, sabem quanto gastamos durante o ano nos cartões de crédito, qual foi a nossa movimentação financeira, quantas multas levamos e, portanto, onde estivemos, os hotéis em que nos hospedamos, sabem o que acessamos na internet, etc.

Vamos supor que os governos agem de boa fé. Portanto, quem não deve não teme. O problema é que o governo é capaz de fazer tudo isso, mas organizações criminosas também o são, consequentemente, é necessário se levar isso em conta em qualquer política nacional de segurança da informação e privacidade dos dados.

Desde maio de 2016, discute-se o Projeto de Lei 5276/2016 que trata da Proteção de Dados Pessoais, assunto delicado, pois de um lado se quer ter o máximo de privacidade pessoal, com o máximo de conforto e sem atrapalhar o desenvolvimento do país, numa era em que a economia mundial se transforma em uma economia movida a dados.

De uma análise do projeto, chama a atenção o artigo 2º, item III:

A disciplina da proteção de dados pessoais tem como fundamento o respeito à privacidade e:

I- A autodeterminação informática;

II- A liberdade de expressão, de comunicação e de opinião;

III- A inviolabilidade da intimidade, da vida privada, da honra e da imagem;

IV- O desenvolvimento econômico e tecnológico; e

V- A livre iniciativa, a livre concorrência e a defesa do consumidor.

Bem como o artigo 5º, que descreve, no seu item I o seguinte:

I- Dados pessoais: dado relacionado à pessoa natural identificada ou identificável, inclusive números identificativos, dados locacionais ou identificadores eletrônicos quando estes estiverem relacionados a uma pessoa;

De fato, por privacidade, entende-se que ninguém vai irromper em sua casa ou trabalho para ameaçá-lo, roubá-lo, ou que ninguém vai usar o seu nome, roubar a sua identidade.

As três histórias a seguir, que vêm acontecendo constantemente, ilustram concretamente o item III do parágrafo 1º do PL 5276/16.

A aposentada:

O telefone toca, a aposentada atende e quem se apresenta diz que faz parte da Central de Bancos (?):

CB – Bom dia! Gostaria de falar com a Sra. Letícia.

Le – É ela.

CB – Bom dia, Dona Letícia. Aqui é o Alfredo, da Auditoria da Central de Bancos, e gostaria de confirmar se a senhora quer mesmo um Cartão MCard Black para aposentados, sem taxa de anuidade para o resto da vida e com limite de crédito de 20 mil reais?

Le – Bem, não tem custo mesmo?

CB – Absolutamente e a taxa de juros é a menor do mercado, 1,99% ao mês contra 14% dos outros cartões.

CB – Preciso confirmar alguns dados que já tenho com a senhora, pois necessito identificação positiva de que a senhora é mesmo a Dona Letícia. Eu falo e a senhora só confirma:

CB – Seu CPF é 202.728.497-08? A senhora reside à Rua Santa Antonia, 45 ? Sua mãe é a Senhora Judith? Sua conta no Banco Federal é na agencia 3045, conta 27889-5?

Le – Sim.

CB – Muito bom. A sua identificação está confirmada.

CB – Para finalizar e a senhora receber o seu MCard Black sem anuidade pelo resto da sua vida, precisamos de cópia da sua carteira de identidade, do seu CPF e de prova de residência, que pode ser a conta de luz.

CB – Como se trata de um Cartão MCard Black, enviaremos um mensageiro à sua casa para coletar os documentos. O cartão e a senha a senhora receberá pelo correio em envelopes separados.

Ela liga para o filho, pouco antes de entregar os documentos para o portador e ele consegue convencê-la que tudo não passa de um golpe, de mais um roubo de identidade.

Aparentemente, o único lugar em que os criminosos poderiam acessar todos esses dados é no cadastro do INSS. Será que os dados do cadastro foram hackeados?

A multa:

José recebe uma multa de trânsito por não respeitar o rodízio, em São Paulo: R$ 130,16. Verifica a foto e a placa. Tudo confere. Como é desconfiado, verifica o RENAVAN, que também confere.

Não lembra de andar com o carro na quinta-feira, mas pensa “pagamento dentro de 30 dias com desconto de 20%. Melhor paga logo em banco para se livrar do problema e economizar R$ 26,00”.

No licenciamento, meses depois, verifica que aquela multa nunca existiu.

Criminosos tiram fotos aleatórias, montam a multa, com um código de barras que leva à conta corrente bancária de algum “laranja”. Conseguiram todos os dados do José em algum lugar, a partir da placa chegaram ao RENAVAM, do RENAVAM ao seu endereço e enviaram a falsa multa.

Será que o cadastro do Detran ou do Contran foi hackeado?

A revista:

Maria recebe propaganda da Revista no seu e-mail, mas em nome do seu falecido pai. Estranho, porque ele nunca teve e-mail na vida. Maria reflete sobre o problema e lembra que o único lugar em que informou o seu e-mail como sendo o do pai foi no Imposto de Renda.

Como a Revista teve acesso aos registros do seu pai na Receita Federal?

Como agora o debate sobre privacidade e proteção de dados permeia a sociedade, o Congresso, Executivo e Judiciário, está na hora de voltar às origens do problema e discutir, claramente, o que são dados pessoais, metadados e o que de fato se entende por privacidade e o real papel do Governo.

Ninguém quer que seus dados pessoais sirvam para criminosos roubarem a sua identidade, nem invadirem a sua casa quando saem de férias, sequestrarem os seus filhos na escola, e mesmo divulgarem a sua intimidade.

O artigo 5º do PL 5276/16, item I lembra que são dados pessoais: inclusive números identificativos.

O mais importante dado pessoal que cada um tem no Brasil, seu único número identificativo é o número do seu CPF e, por incrível que pareça, esse é um dado público.

Faça uma pesquisa do Google colocando no campo de busca o seu nome seguido pelo seu CPF e você, certamente, encontrará o seu CPF.

Outro dado pessoal muito importante é a sua residência. Use o mesmo site de busca e você encontrará facilmente o seu endereço.

Os mais importantes dados pessoais (CPF e Residência) estão em Bancos de Dados Públicos, que não são criptografados ou não têm acesso controlado. Qualquer funcionário com as credenciais adequadas pode acessá-lo e ninguém controla a necessidade desse acesso.

Qualquer ação na Justiça que você faça parte tem o seu CPF disponível para quem quiser ver.

Existe mesmo a lenda de que é possivel comprar o cadastro de contribuintes e do INSS na Rua Santa Efigênia, em São Paulo, com os dados cadastrais e mesmo de renda de qualquer um.

Evidentemente, que a Justiça tem que ser transparente, mas, com a tecnologia de hoje é possível criptografar os dados e, na hora da apresentação, usar a tecnologia Format Preserved Encription, e os dados aparecem com o formato preservado, como já fazem os cartões de crédito:

José Antonio Silva, CPF 201.XX9.XX7-49, residente e domiciliado à ALXMXXA XOX NXXBIQXXS n. 0X7X, e-mail JXXXXO.XXXA@UOL.COM.BR.

Esses dados seriam suficientes para identificar o Sr. Silva, mas não o suficiente para roubar a sua identidade.

Incomoda-me receber e-mails não desejados, pois o emissor não está respeitando o Código de Ética, mas incomoda-me muito mais ter a minha identidade roubada, cartões de crédito emitidos em meu nome e uma dívida desconhecida aparecer no fim do mês.

A tecnologia não pode nem deve atropelar a privacidade individual, mas ao contrário. No Brasil de hoje, certamente, com mais tecnologia, mais criptografia e apresentação mascarada de dados com o formato preservado ajudariam de fato a defender a nossa privacidade.

O ataque à privacidade não vem só dos sites de auxílio à navegação, nem dos de ofertas de sapatos, mas vem, principalmente, da falta de tecnologia e segurança dos bancos de dados dos governos, nos três níveis.

A proteção dos dados começa com a segurança dos dados em poder dos governos.

Embora o Governo Federal tenha avançado na gestão e na segurança da informação, com o lançamento de uma política e de uma estratégia nacional de governança da informação, em 2016, há muito a fazer nessa área, tanto no governo federal como nos governos estaduais e municipais.

Falta uma norma nacional para todos os níveis de governo, algo com a PCI, que é a norma internacional para cartões de crédito (Payment Card Industry Data Security Standard), que defina os padrões mínimos para o armazenamento e exposição dos dados privados em poder dos Governos. Sem isso, a privacidade não estará garantida.

Francisco Camargo, Presidente da ABES – Associação Brasileira de Empresas de Software