Por Francisco Camargo, presidente da ABES
6 de janeiro de 1978, uma data histórica, a França é o primeiro pais do mundo a criar uma lei relativa à informática, arquivos e liberdades, segundo a nomenclatura da época.
A preocupação então era que com a capacidade da tecnologia da informação, o governo francês cruzasse todas as bases de dados dos cidadãos e acabasse com a privacidade dos franceses e a lei deveria estabelecer limites para isso.
De lá para cá, os governos conseguem cruzar todos os dados sobre a nossa vida pessoal, sabem quanto gastamos durante o ano nos cartões de crédito, qual foi a nossa movimentação financeira, quantas multas levamos e, portanto, onde estivemos, os hotéis em que nos hospedamos, sabem o que acessamos na internet, etc.
Vamos supor que os governos agem de boa fé e, portanto, quem não deve não teme. O problema é que o governo é capaz de fazer tudo isso, organizações criminosas também o são e isto tem que ser levado em conta em qualquer politica nacional de segurança da informação e privacidade dos dados.
Desde maio de 2016 discute-se o Projeto de Lei 5276/2016 que trata da Proteção de Dados Pessoais, assunto delicado, pois de um lado se quer ter o máximo de privacidade pessoal, com o máximo conforto e sem atrapalhar o desenvolvimento do país, numa era em que a economia mundial se transforma em uma economia movida à dados.
De uma analise do projeto, chama a atenção o artigo 2º, item III:
A disciplina da proteção de dados pessoais tem como fundamento a o respeito à privacidade e:
I – A autodeterminação informática;
II – A liberdade de expressão, de comunicação e de opinião;
III – A inviolabilidade da intimidade, da vida privada, da honra e da imagem;
IV – O desenvolvimento econômico e tecnológico; e
V – A livre iniciativa, a livre concorrência e a defesa do consumidor.
Bem como o artigo 5º, que descreve, no seu item I o seguinte:
I – Dados pessoais: dado relacionado à pessoa natural identificada ou identificável, inclusive números identificativos, dados locacionais ou identificadores eletrônicos quando estes estiverem relacionados a uma pessoa;
De fato, por privacidade entende-se que ninguém vai irromper em sua casa ou trabalho para ameaça-lo, roubá-lo, ou que ninguém vai usar o seu nome, roubar a sua identidade.
As três estórias a seguir, que acontecem todos os dias, ilustram concretamente o Item III do parágrafo 1º do PL 5276/16.
A aposentada:
O telefone toca, a aposentada atende e que se apresenta diz que faz parte da Central de Bancos (?) :
CB – Bom dia, gostaria de falar com a Sra. Leticia.
Le – É ela.
CB – Bom dia dona Leticia, aqui é o Alfredo, da Auditoria da Central de Bancos, e gostaria de confirmar que a senhora quer mesmo um Cartão MCard Black para aposentados, sem taxa de anuidades para o resto da vida e com limite de crédito de 20 mil reais?
Le – Bem, não tem custo mesmo?
CB – Absolutamente e a taxa de juros é a menor do mercado, 1,99% ao mês contra 14% dos outros cartões.
CB – Preciso confirmar alguns dados que já tenho com a senhora, pois necessito identificação positiva de que a senhora é mesmo a Dona Leticia. Eu falo e a senhora só confirma:
CB – Seu CPF é 202.728.497-08? A senhora reside à Rua Santa Antônia, 45? Sua mãe é a Senhora Judith? Sua conta no Banco Federal é na agencia 3045, conta 27889-5?
CB – Muito bom, a sua identificação está confirmada.
CB – Para finalizar e a senhora receber o seu MCard Black sem anuidade pelo resto da sua vida, precisamos de cópia xerox da sua Carteira de Identidade, do seu CPF e de prova de residência, pode ser a conta de luz.
CB – Como se trata de um Cartão MCard Black, enviaremos um mensageiro à sua casa para coletar os documentos. O Cartão e a senha a senhora receberá pelo correio em envelopes separados.
Ela liga para o filho, pouco antes de entregar os documentos para o portador e ele consegue convencê-la que tudo não passava de um golpe, de mais um roubo de identidade.
Aparentemente o único lugar em que os criminosos poderiam acessar todos esses dados é no cadastro do INSS. Será que os dados do cadastro foram hackeados?
A multa:
José recebe uma multa de trânsito por não respeitar o rodízio em São Paulo, R$ 130,16, verifica a foto, a placa confere, verifica a data, confere. Como é desconfiado, verifica o RENAVAN, confere.
Não lembra de andar com o carro na quinta-feira, mas vá lá, pagamento dentro de 30 dias com desconto de 20%, paga logo em banco para se livrar do problema e economizar R$ 26,00.
No licenciamento, meses depois, verifica que aquela multa nunca existiu.
Criminosos tiram fotos aleatórias, montam a multa, com um código de barras que leva à conta corrente bancária de algum “laranja”. Conseguiram todos os dados do José em algum lugar, a partir da placa chegaram ao RENAVAM, do RENAVAM ao seu endereço e enviaram a falsa multa.
Será que o cadastro do Detran ou do Contran foi hackeado?
A Revista:
Maria recebe propaganda da Revista no seu e-mail, mas em nome do seu falecido pai. Estanho, ele nunca teve e-mail na vida. Maria reflete sobre o problema e lembra que o único lugar em que informou o seu e-mail como sendo o do pai foi no Imposto de Renda.
Como a Revista teve acesso aos registros do seu pai na Receita Federal?
Como agora o debate sobre privacidade e proteção de dados permeia a sociedade, o Congresso, Executivo e Judiciário, está na hora de voltar às origens do problema e discutir claramente o que são dados pessoais, metadados e o que de fato se entende por privacidade e o real papel do Governo.
Ninguém quer que seus dados pessoais sirvam para criminosos roubarem a sua identidade, nem invadirem a sua casa quando saem de férias, sequestrarem os seus filhos na escola, e mesmo divulgarem a sua intimidade.
O artigo 5º do PL 5276/16, item um lembra que são dados pessoais: inclusive números identificativos.
O mais importante dado pessoal que cada um tem no Brasil, seu único número identificativo, é o número do seu CPF, e por incrível que pareça, este dado é público.
Faça uma pesquisa do Google colocando no campo de busca o seu nome seguido pelo seu CPF e você certamente encontrará o seu CPF.
Outro dado pessoal muito importante é a sua residência, use o mesmo site de busca e você encontrará facilmente o seu endereço.
Os mais importantes dados pessoais, CPF e residência estão em Bancos de Dados Públicos, que não são criptografados ou não tem acesso controlado, qualquer funcionário com as credenciais adequadas pode acessá-lo e ninguém controla a necessidade desse acesso.
Qualquer ação na Justiça que você faça parte tem o seu CPF disponível para quem quiser ver.
Existe mesmo a lenda de que é possível comprar o cadastro de Contribuintes e do INSS na Rua Santa Efigênia em São Paulo, com os dados cadastrais e mesmo de renda de qualquer um.
Evidentemente que a Justiça tem que ser transparente, mas, com a tecnologia de hoje é possível criptografar os dados e, e na hora da apresentação, usar a tecnologia Format Preserved Encription, e os dados aparecem com o formato preservado, como já fazem os cartões de crédito:
José Antonio Silva, CPF 201.XX9.XX7-49, residente e domiciliado à ALXMXXA XOX NXXBIQXXS n. 0X7X, e-mail JXXXXO.XXXA@UOL.COM.BR.
Estes dados seriam suficientes para identificar o Sr. Silva, mas não o suficiente para roubar a sua identidade.
Incomoda-me receber e-mails não desejados, pois o emissor não está respeitando o Código de Ética, mas incomoda-me muito mais ter a minha identidade roubada, cartões de credito emitidos em meu nome e uma dívida desconhecida aparecer no fim do mês.
A tecnologia não pode nem deve atropelar a Privacidade Individual, mas ao contrário, no Brasil de hoje, certamente mais tecnologia, mais criptografia, apresentação mascarada de dados com o formato preservado, ajudariam de fato a defender a nossa privacidade.
O ataque à privacidade não vem só dos sites de auxilio à navegação, nem dos de ofertas de sapatos, mas vem principalmente da falta de tecnologia e segurança dos bancos de dados dos governos, nos três níveis.
A proteção dos dados começa com a proteção dos dados em poder dos governos.
Embora o Governo Federal tenha avançado na gestão e na segurança da informação, com o lançamento de uma politica e de uma estratégia nacional de governança da informação em 2016, há muito a fazer nessa área, tanto no governo federal como nos governos estaduais e municipais.
Falta uma norma nacional para todos os níveis de governo, algo tipo PCI, que é a norma internacional para cartões de crédito (Payment Card Industry Data Security Standard), que defina os padrões mínimos para o armazenamento e exposição dos dados privados em poder dos Governos, sem isso, privacidade não estará garantida.
Francisco Camargo é engenheiro de Produção pela Escola Politécnica da USP, com cursos na Escola de Comunicação e Artes da USP e na Harvard Extention School, é empresário e especialista em Segurança da Informação.