Ir direto ao conteúdo

O que acontece quando o governo expõe dados pessoais

Casos de grandes vazamentos de informações dos cidadãos por órgãos públicos se tornaram recorrentes. Leis preveem advertências, multas e suspensões

    O governo paulista confirmou, na quinta-feira (24), que dados de cerca de 28 mil pessoas físicas foram expostos. Todos os cidadãos que tiveram informações vazadas eram candidatos que se inscreveram no ProAC, o Programa de Ação Cultural, principal iniciativa de fomento à cultura de produções de pequeno porte no estado.

    Dentre os dados vazados estavam fotocópias de documentos como carteiras de identidade e comprovantes de endereço. Segundo o governo estadual, comandado por João Dória (PSDB), o vazamento aconteceu por causa de “um erro técnico cometido pela gestão anterior”. A natureza do erro não foi detalhada. Uma sindicância interna foi aberta para apurar o episódio.

    Outros vazamentos de dados

    O vazamento dos dados do ProAC é pequeno se comparado com outros dois casos recentes: na primeira quinzena de outubro, uma falha no sistema do Detran (Departamento Estadual de Trânsito) do Rio Grande do Norte expôs dados de 70 milhões de brasileiros que possuem CNH (Carteira Nacional de Habilitação).

    Em abril, dados de 24 milhões de pessoas que usam o SUS (Sistema Único de Saúde) foram vazados após um ataque hacker. À época, o autor do hackeamento entrou em contato com o portal UOL afirmando que tinha alertado o Ministério da Saúde sobre as falhas de segurança no sistema digital.

    O grande banco de dados nacional

    No começo de outubro, o governo federal, por meio de decreto, instituiu a criação do Cadastro Base do Cidadão, uma plataforma que vai centralizar dados como CPF, data de nascimento, sexo e filiação, com planos de, futuramente, armazenar dados biométricos, como as impressões digitais e detalhes do rosto.

    De acordo com o governo, o Cadastro Base do Cidadão ajuda na desburocratização do fluxo de dados dos cidadãos, otimizando políticas públicas e aumentando a eficiência de operações da administração federal.

    A iniciativa, porém, foi alvo de críticas relacionadas à privacidade dos dados, e cinco projetos foram propostos por deputados do PDT, PCdoB e PSOL para tentar barrar a criação da base de dados.

    As críticas relacionadas ao Cadastro Base do Cidadão giram em torno de como a segurança dessas informações serão garantidas. Segundo o decreto, o fluxo de dados será administrado por um comitê formado por sete membros do governo, de órgãos como o Ministério da Economia e o INSS. Membros do setor privado e da sociedade civil foram excluídos, mas poderão ser consultados, sem poder de voto.

    O que a lei diz sobre vazamentos

    Atualmente, a lei 12.527/2011, conhecida como Lei de Acesso à Informação, determina que “informações pessoais, relativas à intimidade, vida privada, honra e imagem” terão seu acesso restrito e só poderão ser divulgadas ou acessadas por terceiros em casos onde há autorização legal ou consentimento do indivíduo a que se referem.

    O texto diz que os órgãos e entidades públicas devem responder diretamente pelos danos causados em decorrência da divulgação não autorizada de informações sigilosas ou informações pessoais, cabendo apuração para encontrar os responsáveis.

    Dentre as sanções legais previstas estão advertência, multa, suspensão temporária de até dois anos e rescisão do vínculo com o poder público.

    O Marco Civil da Internet, lei 12.965/2014, garante aos cidadãos a proteção à privacidade e proteção dos dados pessoais. O texto diz que além das sanções cíveis, criminais e administrativas, os responsáveis pelas infrações estão sujeitos a advertência, multa e suspensão de suas atividades.

    A partir de agosto de 2020, os dados pessoais passam a ser protegidos pela lei 13.709, sancionada pelo ex-presidente Michel Temer em agosto de 2018. O texto da lei prevê que qualquer empresa ou órgão público deve ser responsabilizado em casos de comprometimento do sigilo dos dados pessoais. As sanções preveem advertência e multas.

    Os casos de vazamento de dados pessoais são apurados e investigados pelo Ministério Público.

    A quais riscos os dados estão expostos

    Os vazamentos se caracterizam por disponibilizar ao público uma informação que seria sigilosa. Isso acontece quando a informação foi obtida por meio da exploração e quebra dos mecanismos de segurança digital dos sistemas.

    Há casos em que os dados foram mal protegidos ou até mesmo não receberam nenhum tipo de proteção - nesses, os administradores dos sistemas apenas esconderam as informações das páginas públicas, contando que ninguém conseguiria encontrá-las.

    Segundo o CTIR Gov (Centro de Tratamento e Resposta a Incidentes Cibernéticos de Governo), órgão subordinado ao GSI (Gabinete de Segurança Institucional), em 2019 foram reportados 19.150 incidentes que poderiam comprometer a segurança digital de órgãos do governo, em maior ou menor grau. Desses, 10.109 foram confirmados.

    A notificação de incidentes pode ser feita por qualquer cidadão. Eventos confirmados ou colocados sob suspeita passam por uma investigação mais aprofundada.

    O CTIR Gov listou quais são as formas mais comuns de ataques:

    • Abuso de site: quando um site tem seus servidores comprometidos ou tem suas páginas desfiguradas, normalmente tendo seus códigos internos expostos.
    • Fraude: quando o autor ou autores do ataque criam um sistema falso, mas que parece legítimo, tentando enganar um usuário do sistema.
    • Ataque DDoS: nessa forma de ataque, o autor ou autores criam dezenas de computadores “fantasmas” que solicitam acesso ao sistema. A alta demanda faz com que os servidores do site não consigam processar todos os pedidos, saindo do ar.
    • Malware: nesse tipo de ataque, o autor instala um vírus no sistema que será atacado.

    Para o governo e funcionários do governo, os vazamentos podem revelar segredos de Estado ou conversas particulares entre autoridades, como no caso das mensagens relacionadas à Operação Lava Jato publicadas pelo site The Intercept.

    Para os cidadãos, o vazamento de dados compromete a privacidade individual, ao expor dados sensíveis que podem ser acessados livremente por qualquer um ou até mesmo vendidos pelo autor ou autores para compradores interessados e motivados pelas mais diversas intenções.

    Nos casos onde há vazamento de dados pessoais, os cidadãos podem recorrer à Justiça para a aplicação de medidas corretivas, com base em leis como o Marco Civil e no Código de Defesa do Consumidor. Em casos mais amplos, a atuação fica nas mãos do Ministério Público.

    Todos os conteúdos publicados no Nexo têm assinatura de seus autores. Para saber mais sobre eles e o processo de edição dos conteúdos do jornal, consulte as páginas Nossa equipe e Padrões editoriais. Percebeu um erro no conteúdo? Entre em contato. O Nexo faz parte do Trust Project.

    Já é assinante?

    Entre aqui

    Continue sua leitura

    Para acessar este conteúdo, inscreva-se abaixo no Boletim Coronavírus, uma newsletter diária do Nexo: