A Secretaria de Cultura e Economia Criativa de São Paulo confirmou na noite desta quinta-feira (24) que um "erro técnico cometido pela gestão anterior" permitiu a exposição de dados pessoais de cidadãos inscritos no ProAC (Programa de Incentivo Cultura do Estado).
O programa é o principal meio de fomento à cultura no estado e auxilia produções de pequeno porte.
A antiga gestão, de Romildo Campello, alega que seu sistema de cadastro era protegido pela Prodesp (Companhia de Processamento de Dados do Estado de São Paulo), foi contratada para fazer a manutenção e garantir a segurança do site.
"Duas hipóteses: ou eles construíram um programa novo de cadastro do Proac ou usaram o sistema antigo sem segurança. O nosso era protegido pela Prodesp", diz Campello.
O site Congresso em Foco publicou que dados de cerca de 28 mil candidatos que buscaram o apoio financeiro do programa estavam disponíveis na internet. Eram fotocópias de documentos como carteira de identidade e CPF, comprovante de endereço e telefone.
As propostas de editais apresentadas de 2015 também estavam expostas. A secretaria informou que a vulnerabilidade técnica não afetou dados de 2019.
O problema estava na área de cadastros, que saiu do ar no fim da tarde. Os documentos exibidos foram incluídos no site pelos proponentes.
Em nota, a secretaria afirmou que bloqueou imediatamente o acesso aos dados e adotou medidas para resguardar a privacidade dos participantes do programa.
“A pasta notificou a empresa responsável pelo sistema e, por determinação do secretário, abriu procedimento preliminar para identificação de eventuais falhas no sistema. Além disso, abriu sindicância para apurar a responsabilidade pelo episódio”, afirmou.
A vulnerabilidade permitia que terceiros fizessem o download de documentos de outras pessoas cadastradas. Segundo um especialista em segurança da informação, é uma brecha simples de ser evitada. Uma saída seria incluir um tipo de verificação que identificasse que o usuário que incluiu seu arquivo no site é o mesmo que fez o download.
A lei de proteção de dados, que entra em vigor em 2020, prevê penalidades ao Poder Público em casos do tipo. Elas não incluem multas, mas medidas como suspensão do tratamento de dados pelo órgão.
Comentários
Os comentários não representam a opinião do jornal; a responsabilidade é do autor da mensagem.