Governo como plataforma para a privacidade e a liberdade de expressão

Série Identidade e Internet* | um trabalho para Coding Rights

Levar o governo para a Internet não é tarefa trivial. Essa transição não pode ser feita a partir de premissas de tempos onde a Internet ainda não existia. É preciso uma atualização de todos os elementos da plataforma — o governo, as pessoas e os serviços — para que a Internet possa ser de fato uma ferramenta de acesso para o cidadão. Do contrário, pode servir apenas para repressão e vigilância.

Imagem a partir do trabalho de Kumi Yamashita

Não adianta só digitalizar e fazer o upload: é preciso repensar tudo

Durante a série Identidade e Internet da Coding Rights para a Privacy International, vários sistemas de prestação de serviços ao cidadão foram analisados a partir de documentos de identificação. O CPF, a carteira de identidade, a carteira de trabalho, as certidões de registro civil: todas representam uma relação do cidadão com o Estado. Caso não sejam devidamente securitizadas, ao serem conectadas à Internet, essas relações acabam tendo entrada (registro de usuários, por exemplo) ou saída (no caso de consultas, por exemplo) exploradas, portanto, prejudicando o cidadão. A série mostrou também como é necessário evitar o pensamento de que a Internet vai trazer por si só maior eficiência para governos no atendimento ao cidadão. Sem capacidade técnica ou políticas específicas para assegurar direitos no meio digital, o efeito pode ser até mesmo o contrário: governos podem acabar facilitando fraudes e/ou colocando seus sistemas online sem pensar em preservar a privacidade de cada pessoa que atendem.

Outro fator a ser considerado é o poder do Estado em países onde a balança da Democracia anda pendendo pra um só lado. Governos, por causa de suas relações históricas com empresas controladas por pessoas do círculo de apoiadores de políticos, permanecem à mercê de empresas privadas que prestam serviços digitais no mínimo precários a preços exorbitantes e acabam coletando dados que não precisariam nem deveriam coletar, na esperança de estabelecer mais pontos de segurança para os sistemas (ou mesmo para ter algum tipo de vantagem por isso), irônicamente, de modo completamente inseguro: não há auditorias instituídas, nem sequer uma lei que proteja os dados do cidadão.

Além disso, existe um problema que foi criado quando as leis de transparência e suas práticas foram implementadas: os movimentos que pressionaram para a sua criação não levaram em conta, assim como os formuladores de políticas públicas, as assimetrias de poder entre os envolvidos nas relações com o Estado. Assim, no Brasil, os dados pessoais de quem recebe o benefício do Bolsa-família, por exemplo, são hoje publicados na web em formato legível por máquina, conforme a LAI. Ao mesmo tempo, dados de pessoas que são proprietárias de empresas, mesmo as que têm relacionamento com agentes públicos, são preservados por leis que protegem o sigilo de empresários. Há inúmeras discrepâncias na coleta dos dados para registro de pessoas que estão em situação de vulnerabilidade, como é o caso de pessoas que são soropositivas, por exemplo — a situação é, no mínimo, inusitada. Estas pessoas precisam fornecer ao governo vários dados pessoais, pois a notificação e o acompanhamento é compulsório para o médico desses pacientes. Via de regra, o governo brasileiro fica muito a dever em políticas para e-gov que priorizem a privacidade e a dignidade dos seus cidadãos. As iniciativas que são feitas para transpor serviços ao cidadão do mundo físico para o mundo online normalmente ou são executadas por empresas terceirizadas ou por órgãos de tecnologia da informação do governo — geralmente defasados e cheios de vícios no desenvolvimento de soluções, resquício de tempos onde a tecnologia não era interconectada pela Internet.

Base criada é base à venda

O Brasil vive um momento no qual uma distorção grave e fundamental à democracia é vista, em regra, como uma prática tolerável: diversas instituições, em busca de um pretenso lucro tanto fácil quanto duvidoso, a curto prazo, procuram tornar a venda de dados pessoais dos cidadãos algo comum e tolerável — normalizando o vilipêndio de um bem que sequer é seu, porém dos cidadãos. Um dos casos mais recentes foi o do INSS (o cadastro operado pela DATAPREV, empresa do governo que centraliza vários cadastros realizados por instituições do governo no Brasil), que passou dados de aposentados para empresas que vendem crédito consignado. Apesar do Ministério Público de São Paulo ter entrado com uma ação civil pública, trata-se de um caso clássico de leite derramado: uma vez transmitidos os dados pessoais, não há absolutamente nenhuma garantia de que não serão utilizados. E mais, sem uma lei de proteção aos dados pessoais, qualquer medida compensatória é algo ainda mais distante. Por mais que se tenha condenado a venda, uma sentença não é capaz de inibir o uso desses dados. Do mesmo modo, recentemente o prefeito recém-eleito de São Paulo e seu secretário da desestatização decidiram vender a base de dados do bilhete único, programa que atende principalmente cidadãos de baixa renda. Embora a venda possa ser interpretada como ilegal, acordos de cooperação que facilitam o cruzamento de dados pessoais de cidadãos são comuns entre Governo e iniciativa privada, e inclusive previstos em legislação. Afinal, basta trocar de “venda” para “acordo de cooperação para análise” ou alguma outra designação que permita o acesso para que as bases possam ser transferidas livremente, sem transparência, nem prestação de contas para o cidadão, que é o verdadeiro dono dos dados. E ainda, o que não chega a ser uma surpresa, alguns instrumentos e institutos já consolidados em diversos outros países há bastante tempo não são previstos por nossa legislação, como a necessidade de que sejam seguidas normas de segurança e boas práticas, procedimentos a serem seguidos no caso de vazamento dos dados, tampouco há um responsável específico que responda por vazamentos, caso ocorram.

Nestes dois casos mencionados, as bases de dados pessoais se referem diretamente a pessoas em situação de evidente vulnerabilidade. O benefício do bilhete único e o INSS são serviços imprescindíveis para muitos cidadãos. Não há opt-out, ou negociação nos termos de uso. O que existe é uma troca, de fato, compulsória: dados pessoais em troca de descontos ou benefícios — o que, em particular no caso de cidadãos em situação de vulnerabilidade econômica.ão é uma escolha livre, nem real. Dada a situação, é quase natural que bases de dados pessoais desse tipo sejam fáceis de encontrar no mercado paralelo. São dados fáceis de obter, reflexo de um sistema que deixa como legados a cada novo político eleito. Por exemplo, os dados de saúde de mais de 650 mil pessoas que vazaram — especialmente gestantes, em São Paulo (em 2016) — e cuja justificativa para a publicação até hoje um mistério.

Outra situação muito comum é a dos sistemas que estão sendo “ajeitados” para funcionarem pela internet — uma outra fonte potencial de riscos. Os sistemas Poupatempo, por exemplo, criados no Estado de São Paulo em 1996 e operados pela PRODESP (a companhia de processamento de dados do Estado de SP) começaram a funcionar realizando basicamente cadastros para atendimento online. Os postos de atendimento que, via de regra, são elogiados pela sua eficiência, quando são transpostos para a Internet acabam assimilando vícios resultantes de uma má metodologia de transposição e apresentando erros grosseiros, como enviar a senha do usuário sem nenhum tipo de medida de segurança, por email ou por SMS, ou também gerar senhas com nível baixo de segurança — ambos exemplos de eros crassos de segurança. O risco apresentado por essas práticas tende a crescer junto com a quantidade de dados que são coletados, bem como cresce também o incentivo econômico para que agentes maliciosos procurem se aproveitar de falhas no sistema. Bases que contém dados biométricos, por exemplo, ou bases de dados com informações sobre a saúde das pessoas, são extremamente valorizadas nesse tipo de lógica, pois são úteis tanto para a prática de fraudes, como para a formação de perfis comportamentais (profiling).

Sociedade anônima, sociedade livre

Vários países têm seus sistemas de gestão da Identidade dos cidadãos. Em alguns países, governos trabalham para mitigar os riscos de vazamento de dados pessoais de cidadãos e evitar a publicização indevida de dados que possam se tornar persistentes na Web. Em muitos países, um número único de identificação é utilizado sem que ocorram maiores problemas de vazamentos ou invasões à privacidade. Porém a identificação que carrega qualificações que podem ser utilizadas para políticas discriminatórias direcionadas não é uma prática recomendável. O número único de publicação já foi utilizado, por exemplo, para identificar diferentes níveis de acesso aos serviços do governo, como no caso do Apartheid sul-africano, onde havia um dígito único no número de identificação para estabelecer a raça — se negro ou não, o que facilitava e operacionalizava as restrições ao acesso de negros a direitos civis.

Outras soluções, como a adotada nos Estados Unidos, passam por informar ao cidadão que seus dados estão sendo utilizados, por quem e para quem estão sendo “emprestados”, para que empresas possam fazer suas análises e oferecer serviços customizados aos cidadãos. Porém, essas análises, neste caso, não são proibidas por lei, e o cidadão já está sujeito a esse escrutínio cotidianamente.

A coleta de dados por órgãos de governo é muitas vezes justificada pela tese de que o cidadão precisa ser atendido e portanto ser identificado e monitorado, e também para que o governo mantenha projeções e contas precisas sobre seus investimentos e resultados. No entanto, a tese de que o governo precise monitorar indivíduos para melhorar suas políticas já pode ser contestada — afinal, estamos na era do Big Data. Coletar dados pessoais não é mais necessário, em vários casos, quando há possibilidades de cruzamento e de criação de modelos que podem projetar com facilidade cenários, inclusive com teste prévio da aplicação de políticas públicas, sobre dados que não são pessoais. Lembrando que este não é o caso da anonimização dos dados, um conceito já ultrapassado na ciência.

Uma das soluções mais ágeis para o problema do uso indiscriminado de dados pessoais de cidadãos é a introdução da cultura de não coletar dados pessoais, e não tornar o fornecimento de dados pessoais a contrapartida obrigatória na prestação de serviços. Além disso, a criação de bancos de dados gera custos que só tendem a aumentar, uma vez que a coleta é contínua, portanto o custo operacional — servidores, infraestrutura, capacitação de pessoal — é maior, muitas vezes, do que distribuir o benefício para mais pessoas. No caso do bilhete único, por exemplo, ao se colocar na balança a quantidade de dinheiro que o governo gastou implementando o sistema para restringir o acesso ao benefício de desconto nas passagens e o quanto gastaria para liberar o desconto para uma fatia maior da população com diferentes características, percebe-se que o gasto com a infraestrutura de dados pode crescer a uma velocidade maior do que o que se gastaria com o benefício em si. Um outro exemplo de coleta bastante questionável de determinado conjunto de dados (dataset)são os casos de pessoas que sofreram violência sexual. Nesse caso, a justificativa é que os dados são coletados para estabelecer a relação entre o Estado, que deveria prestar assistência à essas pessoas e viabilizar uma melhora no estado de saúde das mesmas. Tais datasets contém nomes e endereço, dados de saúde e CPF, correlacionados à documentação do ato de violência. Por essa correlação de dados, um banco assim pode expor ainda mais as vítimas, uma vez que a sociedade ainda culpa as vítimas pela violência em casos de feminicídio ou crimes contra a mulher, por exemplo. É difícil equacionar coleta versus privacidade. Para equilibrar essa conta é preciso criatividade e preciosismo, além de dedicação exclusiva ao usuário e suas necessidades.

Evitar o desastre antes que ele aconteca

A seguir, algumas perguntas que o agente de políticas públicas precisa aprender a se fazer antes de criar um novo cadastro ou ponto de coleta de dados pessoais:

  1. Para que eu preciso desses dados?
  2. Estes dados pessoais podem ser substituídos por outro tipo de dados?
  3. Quanto vou gastar com a manutenção desses dados ao longo dos próximos 20 anos?
  4. Quais as empresas que ficarão responsáveis por gerenciar esses bancos de dados?
  5. Sou obrigado pelo Estado a coletar estes dados? Se sim, como questionar essa diretriz?
  6. Os dados que serão coletados pertencem a um grupo vulnerável? Se sim, repensar de novo o recorte da política pública.

Como falado anteriormente, banco de dados criado é banco de dados à venda. Estamos na era da informação e os dados têm natureza não só fluida como intangível, o que nos impede de “pegar de volta” um pacote que foi transmitido. Portanto, é importante estabelecer políticas de apagar bancos de dados que contenham informações pessoais de cidadãos qualificando-os, extinguindo a chance do novo gestor resolver vendê-los ou negociar de qualquer maneira tais dados.

Uma outra solução, menos inovadora, porém com enormes benefícios, é promover a atualização técnica dos agentes públicos que cuidam de contratos de gestão de bancos de dados ou até da gestão desses bancos de dados em si. Na internet existem diversos cursos gratuitos sobre o assunto, como é o exemplo do excelente “Securing Web Applications”, ou “Tornando Aplicações Web seguras” — do MIT, que podem ser utilizados como base para cursos de atualização das pessoas que trabalham no governo. São essas pessoas que vão definir a infraestrutura de dados e as maneiras de assegurar que os cidadãos, ainda que com dados coletados, tenham seu direito à privacidade garantido.


E o leite derramado?

Outra solução passa por promover boas práticas na adoção de padrões mundiais para a Internet. O Brasil tem uma performance baixíssima no quesito adoção de padrões Web em todas as áreas, e a área da segurança dos dados é uma delas. Por último, é preciso ter alguém responsável pela decisão de coletar os dados e também por possíveis vazamentos. Privacidade e o direito à livre expressão andam de mãos dadas com a prevenção de fraudes e não são mercadoria a ser negociada em acordos de cooperação ou vendas. O governo não pode privatizar uma base de dados que não é sua, assim como as pessoas não podem ser escravas em troca de, necessidades básicas como a própria comida ou o transporte — pois para muitos daqueles que têm seus dados coletados não existe opção senão permitir a sua coleta.

One clap, two clap, three clap, forty?

By clapping more or less, you can signal to us which stories really stand out.