Compartilhe

Proteção de Dados Pessoais e o Papel do Governo
 

Em 6 de janeiro de 1978 – uma data histórica para o mercado de tecnologia – a França se tornou o primeiro país do mundo a criar uma lei relativa à informática, arquivos e liberdades, segundo a nomenclatura da época.

Naquela ocasião, a preocupação era que, com a capacidade da tecnologia da informação, o governo francês conseguisse cruzar todas as bases de dados dos cidadãos e acabasse com a privacidade dos franceses. Essa lei deveria estabelecer limites para isso.

De lá para cá, os governos conseguem cruzar todos os dados sobre a nossa vida pessoal, sabem quanto gastamos durante o ano nos cartões de crédito, qual foi a nossa movimentação financeira, quantas multas levamos e, portanto, onde estivemos, os hotéis em que nos hospedamos, sabem o que acessamos na internet, etc.

Vamos supor que os governos agem de boa fé. Portanto, quem não deve não teme. O problema é que o governo é capaz de fazer tudo isso, mas organizações criminosas também o são, consequentemente, é necessário se levar isso em conta em qualquer política nacional de segurança da informação e privacidade dos dados.

Desde maio de 2016, discute-se o Projeto de Lei 5276/2016 que trata da Proteção de Dados Pessoais, assunto delicado, pois de um lado se quer ter o máximo de privacidade pessoal, com o máximo de conforto e sem atrapalhar o desenvolvimento do país, numa era em que a economia mundial se transforma em uma economia movida a dados.
De uma análise do projeto, chama a atenção o artigo 2º, item III:

A disciplina da proteção de dados pessoais tem como fundamento o respeito à privacidade e:
I- A autodeterminação informática;
II- A liberdade de expressão, de comunicação e de opinião;
III- A inviolabilidade da intimidade, da vida privada, da honra e da imagem;
IV- O desenvolvimento econômico e tecnológico; e
V- A livre iniciativa, a livre concorrência e a defesa do consumidor.
Bem como o artigo 5º, que descreve, no seu item I o seguinte:
I- Dados pessoais: dado relacionado à pessoa natural identificada ou identificável, inclusive números identificativos, dados locacionais ou identificadores eletrônicos quando estes estiverem relacionados a uma pessoa;

De fato, por privacidade, entende-se que ninguém vai irromper em sua casa ou trabalho para ameaçá-lo, roubá-lo, ou que ninguém vai usar o seu nome, roubar a sua identidade.
As três histórias a seguir, que vêm acontecendo constantemente, ilustram concretamente o item III do parágrafo 1º do PL 5276/16.

A aposentada:
O telefone toca, a aposentada atende e quem se apresenta diz que faz parte da Central de Bancos (?):
CB – Bom dia! Gostaria de falar com a Sra. Letícia.
Le – É ela.
CB – Bom dia, Dona Letícia. Aqui é o Alfredo, da Auditoria da Central de Bancos, e gostaria de confirmar se a senhora quer mesmo um Cartão MCard Black para aposentados, sem taxa de anuidade para o resto da vida e com limite de crédito de 20 mil reais?
Le – Bem, não tem custo mesmo?
CB – Absolutamente e a taxa de juros é a menor do mercado, 1,99% ao mês contra 14% dos outros cartões.
CB – Preciso confirmar alguns dados que já tenho com a senhora, pois necessito identificação positiva de que a senhora é mesmo a Dona Letícia. Eu falo e a senhora só confirma:
CB – Seu CPF é 202.728.497-08? A senhora reside à Rua Santa Antonia, 45 ? Sua mãe é a Senhora Judith? Sua conta no Banco Federal é na agencia 3045, conta 27889-5?
Le – Sim.
CB – Muito bom. A sua identificação está confirmada.
CB – Para finalizar e a senhora receber o seu MCard Black sem anuidade pelo resto da sua vida, precisamos de cópia da sua carteira de identidade, do seu CPF e de prova de residência, que pode ser a conta de luz.
CB – Como se trata de um Cartão MCard Black, enviaremos um mensageiro à sua casa para coletar os documentos. O cartão e a senha a senhora receberá pelo correio em envelopes separados.
Ela liga para o filho, pouco antes de entregar os documentos para o portador e ele consegue convencê-la que tudo não passa de um golpe, de mais um roubo de identidade.
Aparentemente, o único lugar em que os criminosos poderiam acessar todos esses dados é no cadastro do INSS. Será que os dados do cadastro foram hackeados?

A multa:
José recebe uma multa de trânsito por não respeitar o rodízio, em São Paulo: R$ 130,16. Verifica a foto e a placa. Tudo confere. Como é desconfiado, verifica o RENAVAN, que também confere.
Não lembra de andar com o carro na quinta-feira, mas pensa “pagamento dentro de 30 dias com desconto de 20%. Melhor paga logo em banco para se livrar do problema e economizar R$ 26,00”.
No licenciamento, meses depois, verifica que aquela multa nunca existiu.
Criminosos tiram fotos aleatórias, montam a multa, com um código de barras que leva à conta corrente bancária de algum “laranja”. Conseguiram todos os dados do José em algum lugar, a partir da placa chegaram ao RENAVAM, do RENAVAM ao seu endereço e enviaram a falsa multa.
Será que o cadastro do Detran ou do Contran foi hackeado?

A revista:
Maria recebe propaganda da Revista no seu e-mail, mas em nome do seu falecido pai. Estranho, porque ele nunca teve e-mail na vida. Maria reflete sobre o problema e lembra que o único lugar em que informou o seu e-mail como sendo o do pai foi no Imposto de Renda.
Como a Revista teve acesso aos registros do seu pai na Receita Federal?

Como agora o debate sobre privacidade e proteção de dados permeia a sociedade, o Congresso, Executivo e Judiciário, está na hora de voltar às origens do problema e discutir, claramente, o que são dados pessoais, metadados e o que de fato se entende por privacidade e o real papel do Governo.

Ninguém quer que seus dados pessoais sirvam para criminosos roubarem a sua identidade, nem invadirem a sua casa quando saem de férias, sequestrarem os seus filhos na escola, e mesmo divulgarem a sua intimidade.
O artigo 5º do PL 5276/16, item I lembra que são dados pessoais: inclusive números identificativos.

O mais importante dado pessoal que cada um tem no Brasil, seu único número identificativo é o número do seu CPF e, por incrível que pareça, esse é um dado público.
Faça uma pesquisa do Google colocando no campo de busca o seu nome seguido pelo seu CPF e você, certamente, encontrará o seu CPF.

Outro dado pessoal muito importante é a sua residência. Use o mesmo site de busca e você encontrará facilmente o seu endereço.

Os mais importantes dados pessoais (CPF e Residência) estão em Bancos de Dados Públicos, que não são criptografados ou não têm acesso controlado. Qualquer funcionário com as credenciais adequadas pode acessá-lo e ninguém controla a necessidade desse acesso.

Qualquer ação na Justiça que você faça parte tem o seu CPF disponível para quem quiser ver.
Existe mesmo a lenda de que é possivel comprar o cadastro de contribuintes e do INSS na Rua Santa Efigênia, em São Paulo, com os dados cadastrais e mesmo de renda de qualquer um.

Evidentemente, que a Justiça tem que ser transparente, mas, com a tecnologia de hoje é possível criptografar os dados e, na hora da apresentação, usar a tecnologia Format Preserved Encription, e os dados aparecem com o formato preservado, como já fazem os cartões de crédito:

José Antonio Silva, CPF 201.XX9.XX7-49, residente e domiciliado à ALXMXXA XOX NXXBIQXXS n. 0X7X, e-mail JXXXXO.XXXA@UOL.COM.BR.

Esses dados seriam suficientes para identificar o Sr. Silva, mas não o suficiente para roubar a sua identidade.

Incomoda-me receber e-mails não desejados, pois o emissor não está respeitando o Código de Ética, mas incomoda-me muito mais ter a minha identidade roubada, cartões de crédito emitidos em meu nome e uma dívida desconhecida aparecer no fim do mês.

A tecnologia não pode nem deve atropelar a privacidade individual, mas ao contrário. No Brasil de hoje, certamente, com mais tecnologia, mais criptografia e apresentação mascarada de dados com o formato preservado ajudariam de fato a defender a nossa privacidade.

O ataque à privacidade não vem só dos sites de auxílio à navegação, nem dos de ofertas de sapatos, mas vem, principalmente, da falta de tecnologia e segurança dos bancos de dados dos governos, nos três níveis.
A proteção dos dados começa com a segurança dos dados em poder dos governos.

Embora o Governo Federal tenha avançado na gestão e na segurança da informação, com o lançamento de uma política e de uma estratégia nacional de governança da informação, em 2016, há muito a fazer nessa área, tanto no governo federal como nos governos estaduais e municipais.

Falta uma norma nacional para todos os níveis de governo, algo com a PCI, que é a norma internacional para cartões de crédito (Payment Card Industry Data Security Standard), que defina os padrões mínimos para o armazenamento e exposição dos dados privados em poder dos Governos. Sem isso, a privacidade não estará garantida.

Francisco Camargo
Presidente da ABES
Associação Brasileira de Empresas de Software

Francisco Camargo, Engenheiro de Produção pela Escola Politecnica da USP, com cursos na Escola de Comunicação e Artes da USP e na Harvard Extention School, é empresário e especialista em Segurança da Informação e Presidente da ABES (Associação Brasileira das Empresas de Software).

Sobre a ABES
A ABES, Associação Brasileira das Empresas de Software, é a mais representativa entidade do setor com cerca de 1.600 empresas associadas ou conveniadas, distribuídas em 23 Estados brasileiros e no Distrito Federal, responsáveis pela geração de mais de 120 mil empregos diretos e um faturamento anual da ordem de US$ 20 bilhões por ano.
As empresas associadas à ABES representam 86% do faturamento do segmento de desenvolvimento e comercialização de software no Brasil e 33% do faturamento total do setor de TI, equivalente em 2015 a US$ 60 bilhões de vendas de software, serviços de TI e hardware.
Desde sua fundação, em 9 de setembro de 1986, a entidade exerce a missão de representação setorial nas áreas legislativa e tributária, na proposição e orientação de políticas voltadas ao fortalecimento da cadeia de valor da Indústria Brasileira de Software e Serviços – IBSS, na defesa da propriedade intelectual e combate à pirataria de softwares nacionais ou internacionais e no apoio às iniciativas de fomento à pesquisa, desenvolvimento, inovação e ao desenvolvimento do software nacional. Acesse o Portal ABES – www.abes.org.br ou fale com a nossa Central de Relacionamento: (11) 2161-2833.

 

acesso rápido

pt_BRPT