Segurança e Cidadania

Por Patrícia Araújo de Oliveira, Kátia Adriana Cardoso de Oliveira e Juliana de Albuquerque Gonçalves Saraiva*

O furto ou roubo, ou mesmo perda de um aparelho celular sempre é uma dor de cabeça. Em casos assim, os usuários entram em uma corrida contra o tempo para realizar o bloqueio da linha telefônica, do aparelho (quando possível), aplicativos bancários, de armazenamento em nuvens, e-mails e redes sociais.

O 17º Anuário Brasileiro de Segurança Pública [I] indica um aumento significativo do roubo e furto de celulares no último ano. Em 2022, foram registrados 999.223 roubos e furtos de celulares no país.  Visando diminuir a frequência desse tipo de ocorrência, o Ministério da Justiça e Segurança Pública (MJSP) lançou, no dia 22 de dezembro de 2023, um aplicativo que facilita o bloqueio rápido do aparelho, da linha e dos aplicativos bancários.

Isso é possível devido a uma parceria do Ministério com a Anatel (Agência Nacional de Telecomunicações), Febraban (Federação Brasileira de Bancos) e instituições financeiras. O aplicativo atua como centralizador das ações que já são realizadas pela maioria dos usuários quando se tem o celular roubado ou furtado. Apesar de estar limitado a aplicativos bancários, há promessas de que outros tipos de serviços como Uber, Mercado Livre e Nubank se juntarão ao serviço, estimulando outras plataformas digitais a também participarem da iniciativa, tornando o serviço mais eficaz.

FUNCIONAMENTO DO APLICATIVO

O aplicativo possui três funcionalidades básicas: (1) Registro do telefone, (2) Cadastro de pessoas de confiança e (3) Registro de ocorrência (Figura 1). Com o “Registro do telefone” é possível enviar esses dados do aparelho para as empresas de telecomunicações para que seja efetuado o bloqueio da linha e do dispositivo. O “Cadastro de pessoas de confiança” permite cadastrar pessoas que estarão autorizadas pelo usuário para efetuar o alerta sobre a perda,  roubo ou furto do aparelho. Já na função “Registro de ocorrência” é possível enviar alertas para os parceiros para que sejam tomadas as providências necessárias quanto ao roubo ou furto (mas atenção, essa ação não substitui o boletim de ocorrência). Além das funcionalidades mencionadas, o aplicativo integrou a funcionalidade de localização remota já existente nos sistemas AndroidiOS.

O acesso ao serviço é feito após a realização de login com a conta GOV.BR, disponibilizada de forma gratuita para todos os brasileiros. É com este login que o Governo Federal oferece vários outros serviços públicos como os serviços digitais do INSS, a carteira de trabalho digital, o conecte SUS, dentre outros.

Tela inicial do aplicativo Celular Seguro
Figura 1 – Tela inicial do aplicativo Celular Seguro

ACESSOS AOS DADOS PESSOAIS E A LEI GERAL DE PROTEÇÃO  DE DADOS

A Lei Geral de Proteção de Dados Pessoais (LGPD), Lei nº 13.709/2018 [II], representa um marco na proteção dos direitos fundamentais de liberdade e privacidade no Brasil. Em 2022, a aprovação da Emenda Constitucional 115/22 elevou a proteção de dados ao patamar de direito fundamental, ampliando ainda mais seu alcance e importância.

Tratamento de dados é toda a operação realizada com dados pessoais, como as que se referem a: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Sob a LGPD, destacam-se duas figuras centrais no tratamento de dados pessoais: o “controlador”, responsável pelas decisões sobre o tratamento de dados, e o “operador”, que executa esse tratamento sob as ordens do controlador.   No caso do aplicativo Celular Seguro, o controlador é o MJSP, que definiu a hipótese de tratamento de dados com base no consentimento do titular.

A LGPD estabelece que o consentimento deve ser expresso, de forma livre, informada e inequívoca e deve ter finalidade específica, que nos termos do uso do aplicativo serão para:  bloqueio de dispositivos, gestão do consentimento e compartilhamento de dados com a ABR TELECOM, a ANATEL, as instituições financeiras e de pagamento aderentes ao Serviço Celular Seguro. Caso os titulares não concordem, poderão revogar o consentimento a qualquer tempo, e os dados serão anonimizados pelos agentes de tratamento. Nesse ponto, cumpre mencionar que não existe uma técnica de anonimização considerada totalmente segura, e a LGPD tampouco esclarece o que seriam “esforços razoáveis” para evitar a reversão dessa anonimização. Esse é um tema pendente de regulamentação pela Autoridade Nacional de Proteção de Dados, conforme indicado no item 11 da agenda regulatória [III].

Na prática, a gestão eficiente de dados pessoais envolve um equilíbrio delicado. Organizações devem ponderar constantemente sobre quais dados manter, por quais razões e quais descartar. Armazenar dados sem necessidade implica riscos, reforçando a ideia de que a minimização desses riscos está diretamente ligada à redução da quantidade de dados coletados. Embora o risco zero seja uma utopia, a gestão cuidadosa dos dados pode mitigar significativamente as vulnerabilidades associadas ao seu tratamento.

Vale ressaltar ainda que o compartilhamento de informações pessoais realizado pelo Governo Federal com as instituições vinculadas ao serviço “Celular Seguro”, por meio da efetivação de login do GOV.BR, tem finalidade específica, conforme informado no site do Ministério da Justiça e nos Termos de Uso do aplicativo. Nesse sentido, há respaldo na própria LGPD sobre tratamento de dados pessoais pelo Poder Público (arts. 23 a 30 da lei).

Ademais, diferentemente do que se especula na internet, o Governo Federal não tem o propósito de coletar dados ou monitorar pessoas indevidamente, por meio do uso do aplicativo Celular Seguro, mesmo porque a maioria das informações necessárias para o seu funcionamento já estão em posse do Poder Público, para que haja prestação de serviços públicos como pagamento de benefícios e bolsas, gestão de aposentadorias pelo INSS, controle vacinal, dentre outros serviços. Adicionalmente, é importante ressaltar que o Governo Federal não terá acesso às contas bancárias, nem, consequentemente, às transações financeiras e comportamento de compra de usuários do aplicativo Celular Seguro.

TRATAMENTO DE DADOS PESSOAIS

O aplicativo coleta dados como nome, CPF, telefone e e-mail (para cadastro de pessoa de confiança) (Figura 2-a), e marca/modelo, número de série (opcional), operadora, telefone e IMEI[1] (opcional) para registro do telefone (Figura 2-b). As demais informações necessárias para seu funcionamento serão obtidas em base de dados das soluções que estão integradas, como o Gov܂br e aplicativos de bancos, e toda comunicação é realizada utilizando criptografia (ver ilustração Figura 3).
Tela de cadastro do aplicativo Celular Seguro

Tela de cadastro do aplicativo Celular Seguro
(a) Cadastro de pessoa da confiança     (b) Registro de aparelho

Figura 2 – Telas de cadastro do aplicativo Celular Seguro

Integração do aplicativo Celular Seguro

Figura 3 – Integração do aplicativo Celular Seguro

SEGURANÇA DA INFORMAÇÃO E RESPONSABILIZAÇÃO

Nos termos de uso do aplicativo há previsão de responsabilidade tanto do controlador quanto do operador, que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais.

Os agentes de tratamento de dados devem utilizar medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão. Incidentes de segurança são eventos que afetem pelo menos um dos três principais pilares de segurança da informação: confidencialidade, integridade e disponibilidade.

Caso ocorra o incidente com dados pessoais, a Autoridade Nacional de Proteção de Dados deverá ser comunicada em até 2 dias da ciência do fato, podendo haver prorrogação do prazo, por 30 dias. Os titulares de dados também devem ser comunicados para se prevenirem de eventuais fraudes e golpes a que podem estar sujeitos dada a exposição de seus dados pessoais.

Nesse contexto, é importante trazer alguns esclarecimentos sobre o aplicativo seguro, que, com o seu lançamento, suscitou o surgimento de diversas fake news indicando que a solução funcionará como um spyware[2]. Se verificarmos as informações do aplicativo, nenhuma permissão é necessária, pois nenhum dado do usuário é coletado durante o uso ou enquanto o aplicativo está instalado no aparelho.

Para se entender melhor, podemos comparar as permissões solicitadas de um aplicativo de rede social instalado em um aparelho de celular, que solicita permissões de acesso à câmera, fotos, vídeos, localização, microfone e notificações (Figura 4). Nesse sentido, as informações inseridas no aplicativo são passadas pelo próprio titular do dado pessoal, através de digitação livre ou cópia/cola das informações do celular, sendo tecnologicamente impossível o monitoramento contínuo do Governo Federal sobre sua localização, sua câmera, seu microfone, ou qualquer meio de obtenção de informações privadas.

Comparação das permissões do aplicativo Celular Seguro e do aplicativo de uma rede social
Comparação das permissões do aplicativo Celular Seguro e do aplicativo de uma rede social
(a) Permissões Celular Seguro  (b) Permissões redes sociais

Figura 4 – Comparação das permissões do aplicativo Celular Seguro e do aplicativo de uma rede social

É importante destacar que a maior parte de vazamento de dados ocorridos em meios digitais é devida a erro humano [IV] por meio de Engenharia Social[3]. Por essa razão, é fundamental que os usuários baixem o aplicativo das plataformas recomendadas e não compartilhem informações pessoais com terceiros, principalmente por meios digitais não confiáveis como Whatsapp. Assim, é fundamental atentar-se ao meio correto de instalação e acesso ao aplicativo “Celular Seguro” porque ele não será disponibilizado por meio de envio de Links por mensagens SMS ou via WhatsApp, nem mesmo anexos de e-mail, apenas mediante download nas Lojas Digitais dos diferentes sistemas operacionais Google PlayApple Store.

O QUE AINDA PODE MELHORAR

Na primeira versão do aplicativo, para cadastro do telefone, a marca e o modelo do aparelho são preenchidos automaticamente. O IMEI, apesar de ser opcional, poderia, em versões futuras, ser preenchido automaticamente para facilitar o preenchimento por usuários leigos. Outra funcionalidade interessante seria o uso de APIs governamentais para preenchimento automático de, por exemplo, informações relacionadas a determinado CPF.

Além disso, o aplicativo não oferece a opção de registrar mais de uma linha para o mesmo aparelho (apesar de ser possível realizar mais de um registro para o mesmo dispositivo). Seria um facilitador no mesmo registro a opção de incluir um segundo telefone (como também um segundo IMEI[4]) para o caso de celulares que possibilitem o uso de dois chips.

Este texto limitou-se a realizar a análise à luz da LGPD e realizar a verificação no lado do usuário quanto à questão de segurança da informação e coleta de informações não autorizadas, desmentindo informações falsas sobre o assunto. Questões relacionadas à gestão de segurança da informação são de responsabilidade dos órgãos responsáveis pela solução, para aplicação de controle de estruturação básica de gestão de privacidade e segurança da informação como gestão contínua de vulnerabilidade, testes de invasão, gestão de resposta a incidentes, entre outras.  Nesse contexto, é oportuno mencionar que o Governo Federal, por meio do Ministério da Gestão e da Inovação em Serviços Públicos, possui um Programa de Privacidade e Segurança da Informação (PPSI), que oferece uma série de documentos e ações que visam auxiliar a maturidade e a resiliência dos órgãos e entidades do Governo Federal em relação à segurança da informação. Além disso, no dia 27 de dezembro de 2023, o Governo Federal instituiu a Política Nacional de Cibersegurança (PNCiber), com o objetivo de promover ações para combater ações maliciosas relacionadas à segurança da informação no país.

Sobre as autoras:

Patrícia Araújo de Oliveira
Doutora em Ciência da Computação pela Universidade de Málaga (Espanha)
Pesquisadora do Think Tank da ABES
Professora Adjunta da Universidade Federal do Amapá
Atualmente atua como Assessora de TI da Agência Nacional do Cinema

Kátia Adriana Cardoso de Oliveira
Doutoranda em Direito, com foco em Inteligência Artificial e Proteção de Dados pelo Centro Universitário de Brasília (CEUB/DF)
Pesquisadora do Think Tank da ABES na área de privacidade e proteção de dados
Advogada OAB/DF especialista em direito digital e proteção de dados Servidora Pública Federal

Juliana de Albuquerque Gonçalves Saraiva
Doutora em Ciência da Computação pela Universidade Federal de Pernambuco
Pós-doutora em Segurança da Informação pela Universidade Federal de Pernambuco
Advogada OAB/RN especialista em Direito Digital
Professora Adjunta da Universidade Federal da Paraíba

[1] IMEI é um número de identificação único do aparelho.

[2] Spyware é um termo utilizado para um software de espionagem, ou seja, qualquer software que possua comportamento malicioso com o objetivo de coletar informações sobre uma pessoa ou organização e enviá-las para outra entidade de uma forma que prejudique o usuário, violando sua privacidade, colocando em risco a segurança de seu dispositivo ou outros meios.

[3] Engenharia Social é uma técnica de manipulação que usa a confiança e a ingenuidade das pessoas para obter informações pessoais ou acesso a sistemas.

[4] Para as redes de telecomunicações cada IMEI é considerado um “aparelho” diferente. Pode haver mais de um IMEI em um mesmo celular caso seja um dispositivo que possibilite mais de um chip.

REFERÊNCIAS

[I] FÓRUM BRASILEIRO DE SEGURANÇA PÚBLICA. 17º Anuário Brasileiro de Segurança Pública. São Paulo: Fórum Brasileiro de Segurança Pública, 2023. Disponível em: Forum Seguraça. Acesso em: 24 de dezembro de 2023.

[II] BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais. Diário Oficial da União, Brasília, DF, 15 ago. 2018. Seção 1, p. 1. Disponível em: Planalto. Acesso em: 23 dez. 2023.

[III] BRASIL. Portaria ANPD Nº 35, de 4 de novembro de 2022. Torna pública a Agenda Regulatória para o biênio 2023-2024. Disponível em: Link. Acesso em 23 dez. 2023.

[IV] “60% dos vazamentos de dados das empresas são por erro humano”. Palestra na UPF teve como tema a Lei Geral de Proteção de Dados com a presença do Secretário de Estado da Segurança Pública Adjunto do RS. Disponível em: UPF

Compartilhe