Governo de SP vaza dados privados de mais de 28 mil pessoas

Falha em sistema de programa de incentivo à cultura de São Paulo expõe dados pessoais de inscritos

do Congresso em Foco

por Rosângela Lotfi, especial para o Congresso em Foco

Dados pessoais de cerca de 28 mil candidatos que buscaram o apoio financeiro do Programa de Incentivo à Cultura do Estado de São Paulo (ProAC), da Secretaria de Cultura e Economia Criativa, estão abertos na internet, expondo fotocópias de documentos como carteira de identidade e CPF, comprovante de endereço e telefone, além das propostas apresentadas desde 2015.

O ProAC é considerado um dos melhores mecanismos de incentivo à cultura no Brasil, implementa políticas públicas para ampliar o acesso aos bens culturais e promove o acesso a produções de pequeno porte. Residentes no estado de São Paulo há pelo menos dois anos que comprovem atuação na área cultural no mínimo pelo mesmo período podem se inscrever no site do programa para concorrer a verbas da Secretaria de Cultura, no ProAC Editais ou no ProAC ICMS, para captar fundos junto a empresas por meio de incentivo fiscal.

Cópia de carteira de identidade acessada pela reportagem no site da Secretaria de Cultura de São Paulo

Os proponentes devem enviar os documentos e os projetos ao sistema, que salva os arquivos com um número identificador. Reside aí a falha. Cada candidato tem dois identificadores, nesse caso, uma ordem sequencial e previsível, que permite que o link de download seja reconhecido e os arquivos baixados da plataforma. Ou seja, mudando a sequência, é possível acessar os dados dos quase 30 mil inscritos. Embora tenha descoberto a falha no ProAC, o Congresso em Foco decidiu não publicar o link para evitar a exposição das informações privadas. Ao todo, são mais de 56 mil links ativos. Neles estão documentos pessoais e as íntegras das propostas.

A reportagem procurou a Secretaria Estadual de Cultura por telefone e e-mail três vezes, pedindo informações e o seu posicionamento sobre o caso, mas a assessoria não respondeu até o fechamento desta reportagem. Mesmo alertada sobre a exposição dos dados, a secretaria mantém o site com a falha. O espaço está aberto para o pronunciamento do órgão a qualquer momento.

Falha do Estado

O erro de programação na página do ProAC expõe uma falha do Estado no dever de zelar pelas informações sob sua custódia e deixa milhares de pessoas vulneráveis à ação de criminosos. Esses dados pessoais são protegidos atualmente pela Constituição e pela Lei de Acesso à Informação (LAI).

“A exposição desses dados por erros de programação, de protocolos inseguros, de armazenagem e de acesso causa dano à privacidade e cria vulnerabilidades para outros danos como o roubo de identidade usados em fraudes financeiras”, afirma o advogado Danilo Doneda, professor de Direito Civil no Instituto Brasiliense de Direito Público (IDP) e um dos responsáveis pelo texto da Lei Geral de Proteção de Dados (LGPD), que reforça o veto à divulgação de informações pessoais na internet.

Documento com identificação pessoal pode ser acessado por qualquer usuário

“Ainda que a LGPD só entre em vigor em agosto de 2020, a exposição de dados a terceiros viola desde a Constituição Federal no princípio da inviolabilidade à privacidade, passando pela LAI (Lei de Acesso à Informação) e pelo Código de Defesa do Consumidor”, explica a também advogada Flávia Lefèvre, conselheira do Comitê Gestor da Internet (CGI) e membro do Intervozes, organização voltada para a efetivação do direito humano à comunicação.

O artigo 31 da LAI determina que “o tratamento das informações pessoais deve ser feito de forma transparente e com respeito à intimidade, vida privada, honra e imagem das pessoas, bem como às liberdades e garantias individuais”.

Proteção de dados

Sancionada pelo presidente Jair Bolsonaro em julho, a Lei Geral de Proteção de Dados Pessoais LGPD define como dado pessoal qualquer informação relacionada a pessoa natural identificada ou identificável. Ou seja, qualquer dado que permita identificar uma pessoa ou que, com a união de outra informação, possibilite essa identificação. “A proteção de dados pessoais tem como fundamentos o respeito à privacidade, a autodeterminação informativa, a liberdade de expressão, de informação, de comunicação e de opinião, a inviolabilidade da intimidade, da honra e da imagem”, prevê a lei.

Danilo Doneda vê uma preocupante indiferença dos agentes públicos com a adoção de medidas de segurança em relação aos dados que estão sob seu poder. Ele cita o vazamento de informações sigilosas dos estudantes do Enem pelo Instituto Nacional de Estudos e Pesquisas (Inep), do Ministério da Educação, em 2010, e a falha no sistema Departamento Estadual de Trânsito (Detran) do Rio Grande do Norte que permitiu a divulgação de dados pessoais de 70 milhões de brasileiros com carteira de motorista no início de outubro.

“Tenho receio que, com a LGPD em vigor, pouca coisa mude. A lei já nasceu enfraquecida e nada garante que o órgão regulador dentro da estrutura da Presidência exerça as funções de controle e penalização dessas ‘falhas’”, considera.

Flávia Lefèvre lembra que os poderes públicos nas três esferas de governo são os que mais coletam dados e que a Lei Geral de Proteção de Dados, sem um regulador forte e independente, dificilmente adotará medidas para evitar danos à privacidade e garantir a preservação da intimidade das pessoas.

Subordinação à Presidência

O ceticismo está relacionado à Autoridade Nacional de Proteção de Dados (ANPD), órgão criado para proteger as informações pessoais previsto inicialmente LGPD. Após vetos presidenciais, a ANPD foi instituída como parte da administração pública federal, integrante da Presidência da República, o que significa que o órgão não será independente e estará subordinado aos interesses do governo federal.

O advogado Bruno Biondi, pesquisador e diretor do Data Privacy Brasil, não tem uma visão tão pessimista quanto à LGPD. “Discordo que a lei terá pouca eficácia, ainda não foi implantada e temos que esperar para ver como ela será decantada e como será formada uma rede de atores da sociedade civil, da academia, do setor privado, do terceiro setor para se movimentar e fazer a lei ‘pegar’. A lei sozinha não será capaz de impedir que esses vazamentos aconteçam, mas é um primeiro passo para mudar as condutas e sem ela não teríamos qualquer perspectiva de mudança”, acredita.

Biondi ressalta que a autoridade de proteção de dados pessoais sob o guarda-chuva da Presidência não é o formato ideal. O que se desejava, segundo ele, era uma agência reguladora como uma autarquia que não pertencesse à administração pública direta, mas à administração indireta, com mais independência e autonomia financeira.

“Temos de ter a clareza de que só isso não vai resolver o problema. O Estado e a iniciativa privada tem que zelar pelos dados pessoais não apenas por estarem sujeitos a sanções, penalizações, multas, mas porque a relação deles com o titular da informação será calibrada pela capacidade promover a segurança caso contrário a confiança se esgarça e são criados obstáculos para elaboração de políticas públicas e para a viabilizar serviços para a população”, defende o diretor do Data Privacy Brasil.

Temos que pensar em dados de modo individualizado e também como um bem comum. Fiscalizar, denunciar vazamentos como esses, ver como LGDP vai funcionar ou não, cobrar transparência do governo no uso e compartilhamento dos dados e reivindicar mais proteção se as leis não atenderem aos princípios de intimidade, privacidade e liberdade dos cidadãos.