Aplicativos do governo falharam em oferecer proteção a dados de usuários na pandemia

Falta de transparência no uso de informações de milhões de pessoas preocupa especialistas

Andrei Ribeiro Bruna Souza Cruz Paulo Veras Victor Lacombe
Salvador , São Paulo e Recife

Milhões de brasileiros em busca de informações sobre o coronavírus e o auxílio emergencial pago a trabalhadores atingidos pela crise entregaram ao governo nos últimos meses dados como o nome completo, o endereço, conta bancária e a localização do celular sem receber garantias de que essas informações serão usadas com cuidado e protegidas.

Os dois principais aplicativos lançados pelo governo federal durante a pandemia foram baixados mais de 125,4 milhões de vezes, mas demoraram meses para oferecer aos usuários políticas de privacidade claras e específicas, de acordo com as exigências do Marco Civil da Internet, em vigor desde 2014.

Entidades de defesa de direitos digitais, como a Coalizão Direitos na Rede, que representa mais de 40 organizações, apontam a falta de transparência do governo no tratamento de dados como uma das maiores falhas da resposta das autoridades brasileiras à pandemia no universo digital.

Sem proteção adequada, os cidadãos não possuem garantias de que os dados pessoais entregues serão usados somente para os fins dos aplicativos e ficam expostos a riscos de vazamentos, fraudes e até políticas de vigilância.

Pessoas em fila na frente de agência da Caixa Econômica Federal
Filas para atendimento nas agências da Caixa Econômica Federal aumentaram com a busca do auxílio emergencial na pandemia. - Rubens Cavallari/Folhapress

Para a advogada Joana Varon, diretora da organização Coding Rights e membro da Coalizão Direitos na Rede, a tecnologia tem um papel importante a desempenhar no combate ao vírus, mas está longe de ser uma solução perfeita.

“Não podemos cair em tecnosolucionismos, essa ideia de que uma tecnologia vai resolver um problema que é mais complexo, humano, social”, ela diz. “O que resolve de fato são políticas transparentes, compatíveis com as diretrizes da Organização Mundial da Saúde.”

Criado pela Caixa Econômica Federal para viabilizar o pagamento do benefício de R$ 600, o aplicativo Auxílio Emergencial foi baixado 115,4 milhões de vezes até 27 de agosto. Para se cadastrar, o cidadão precisa informar dados como nome completo, CPF, data de nascimento, nome da mãe, número do telefone celular, operadora, renda, endereço e conta bancária.

O problema do aplicativo, na visão dos especialistas, é que na hora de informar ao usuário o que será feito com esses dados, a Caixa exibe uma política de privacidade genérica, a mesma aplicada aos serviços online que o banco oferece a seus correntistas, em desacordo com com as regras estabelecidas pela LGPD (Lei Geral de Proteção de Dados), sancionada em 2018.

“A política da Caixa comunica o tratamento de dados de maneira interessante, mas falha por não ser específica para o aplicativo”, diz Nathalie Fragoso, coordenadora de privacidade e vigilância do InternetLab, centro de pesquisa em direito e tecnologia. “Sem isso, as pessoas ficam no escuro, expostas a risco”.

Pelas regras da LGPD, o documento específico do aplicativo do auxílio emergencial deveria informar quais dados coleta dos usuários, os fins para que serão usados, os mecanismos de segurança adotados, os limites de compartilhamento com terceiros, como empresas ou outros órgãos do governo, e o tempo em que ficarão armazenados.

“O ciclo de vida dos dados passa por vários processos e, quando chega na base de uma empresa, ela pode usá-los para muitas coisas”, explica Luis Gustavo Nonato, professor do Instituto de Ciências Matemáticas e de Computação da USP (Universidade de São Paulo). “Elas podem cruzar essas informações para desenvolver mecanismos de recomendação de produtos, saber o que os usuários compram, o que olham em determinados sites, e fornecê-las para outras empresas.”

Para o professor, a LGPD vem exatamente para colocar uma barreira de comercialização dos dados e na importância da anonimização, quando as bases de dados são alteradas para que não exista a identificação de seus titulares e preservar as pessoas.

Em decorrência da pandemia, a data de vigência da lei entrou em discussão no Congresso. As regras começaram a valer na última sexta (18). As punições em caso de descumprimento só terão efeito em agosto de 2021.

Em nota, a Caixa informou que não fornece os dados coletados a terceiros, com a exceção da Dataprev (Empresa de Tecnologia e Informações da Previdência), responsável pela verificação das informações dos candidatos ao benefício.

Essa informação não consta da política de privacidade apresentada aos usuários do aplicativo do auxílio emergencial. A Caixa não soube informar se a Dataprev descarta informações dos usuários que não atendem às exigências para concessão do benefício.

A Dataprev explicou que mantém em seus bancos de dados informações que servem para consultas dos cidadãos e de órgãos de controle, mas não entrou em detalhes. A estatal não respondeu por quanto tempo os dados coletados pelo aplicativo do auxílio emergencial serão guardados.

O risco de vazamento de informações não pode ser descartado. No ano passado, uma falha no sistema de segurança do Departamento Estadual de Trânsito (Detran) do Rio Grande do Norte permitiu que, com apenas o número do CPF, qualquer pessoa pudesse obter nome completo, endereço, telefone, RG, data de nascimento e outros dados sensíveis de mais de 70 milhões de brasileiros, abrindo caminho para falsificação de documentos e outros golpes aplicados por criminosos.

O INSS (Instituto Nacional do Seguro Social), cujo processamento de dados é feito pela Dataprev, reconheceu no início do ano passado a possibilidade de vazamento de dados de pessoas em processo de aposentadoria. Na época, houve denúncias de que bancos e financeiras sabiam quem iria se aposentar antes mesmo da concessão do benefício.

“A justificativa da emergência sanitária tem servido para tratar dados de maneira pouco responsável ou abusiva”, ressalta Nathalie Fragoso. O professor Nonato acrescenta que as plataformas online precisam incorporar mecanismos para preservar a segurança das pessoas e deixar isso claro para elas.

O aplicativo Coronavírus-SUS também foi alvo de críticas quanto à falta de transparência e o risco para a privacidade. Até julho, ele foi baixado 10 milhões de vezes.

A plataforma foi criada como um canal de informações sobre a doença. O usuário não precisa informar nenhum dado pessoal, como CPF, nome ou número de telefone, explica o Ministério da Saúde.

No lançamento, o aplicativo usava o sistema de geolocalização dos celulares para informar aos usuários as unidades de saúde mais próximas, incluindo os horários de atendimento. No entanto, a plataforma não possuía uma política de privacidade que detalhasse como as informações eram usadas e protegidas. A falta de transparência foi alvo de críticas do InternetLab, em um relatório de abril que avaliou potenciais riscos à violação de segurança de aplicativos disponibilizados por governos durante a pandemia.

No dia 31 de julho, o Ministério da Saúde anunciou um novo recurso baseado na tecnologia de rastreamento de contatos desenvolvida pelo Google e pela Apple, e informou que usará a comunicação via Bluetooth de celulares com o app Coronavírus-SUS instalado. A tecnologia não permite coletar dados de geolocalização.

Usuários que tenham se aproximado fisicamente nos últimos 14 dias de alguém com Covid-19 serão avisados pelo aplicativo, que depende da colaboração voluntária de quem foi contaminado pelo vírus. Nesse caso, é preciso validar o resultado positivo do teste em uma plataforma do Ministério, para evitar falsos comunicados.

A eficácia da medida, porém, depende do uso massivo do aplicativo e da disposição das pessoas para reportar testes positivos. Segundo o Ministério, as informações são criptografados, não identificam a pessoa contaminada e são salvas localmente no celular para maior segurança aos usuários.

Com a atualização, o aplicativo deixou de ter o recurso de exibição das unidades de saúde mais próximas ao usuário, que usava a localização dos celulares. Discretamente, o Ministério da Saúde também passou a exibir uma política de privacidade, ligada exclusivamente à nova função de rastreamento de contatos, e atualizou os Termos de Uso da plataforma, espécie de acordo firmado entre o usuário e o aplicativo.

“Para ser utilizada, todos os nossos sistemas que usam essa tecnologia passaram por um crivo internacional —inclusive das duas empresas detentoras da tecnologia— e esse crivo fez uma série de alertas e ajustes necessários para que esse sistema fosse aprovado e se tornasse disponível na loja”, explica o Ministério da Saúde.

À Folha o Ministério da Saúde afirmou que atualizou o aplicativo para oferecer maior segurança e anonimização dos dados dos usuários, e que apresentou sua política de privacidade assim que o programa foi disponibilizado nas lojas de aplicativos com a função para notificação de casos de contaminação.

O professor Nivan Roberto Ferreira Junior, do Centro de Informática da UFPE (Universidade Federal de Pernambuco), diz que o usuário corre menos riscos ao compartilhar com empresas e governos a própria localização do que ao informar o nome, o CPF e o endereço.

De qualquer forma, a confiança de que as informações serão usadas corretamente é a única coisa que resta pelo fato de o Brasil ainda não ter um agência constituída com poderes para fiscalizar o cumprimento das normas criadas para proteger a privacidade no mundo digital.

“Existem aplicativos responsáveis que investem muito na parte da segurança e isso vai ficar ainda mais importante com a LGPD”, diz. “Mas é claro que existe o perigo, nada é 100% seguro. O pessoal brinca que o único momento em que um computador está seguro é quando você tira o cabo da internet.”

Na pandemia, vários países adotaram tecnologias para monitorar aglomerações. A medida serviu como estratégia de enfrentamento do coronavírus, mas o risco de vigilância em massa de cidadãos gerou discussões entre ativistas de direitos humanos, principalmente por causa de suas implicações depois que a crise passar.

A China ampliou o número de câmeras de vigilância instaladas em frente a domicílios - e até mesmo dentro deles. A Rússia instalou um sistema de rastreamento através de códigos QR, para controlar os deslocamentos nas cidades. Se mal utilizadas, essas medidas podem permitir que os governos vigiem os cidadãos, prendam opositores e impeçam protestos.

No Brasil, o governo federal tentou firmar, em abril, um acordo com operadoras de telefonia para monitorar aglomerações. Oi, Vivo, Claro, Algar e Tim forneceriam dados anonimizados de dispositivos ao Ministério de Ciência e Tecnologia para auxiliar o combate à Covid-19. O presidente Jair Bolsonaro suspendeu a parceria, cobrando maiores garantias de proteção ao usuário.

Estados e prefeituras, porém, tiveram autonomia para decidir suas estratégias. A empresa pernambucana InLoco, por exemplo, disponibilizou dados sobre a circulação de pessoas nas ruas durante o período de isolamento social a 22 governos estaduais - entre eles São Paulo - e nove prefeituras.

As localizações são coletadas a partir de aplicativos parceiros, que, segundo a empresa, precisam solicitar o consentimento dos usuários. A InLoco não divulga a identidade dos parceiros ou os termos dos acordos, mas diz que são aplicativos de bancos e grandes varejistas. Ao todo, dispositivos de 60 milhões de pessoas estão sendo monitorados, através de uma tecnologia que a empresa diz ser 30 vezes mais precisa do que o GPS.

Em Pernambuco, os dados da empresa são repassados ao Ministério Público Estadual, que divulga todos os dias um ranking dos municípios em que a população mais tem cumprido as recomendações de isolamento social.

O órgão diz que recebe os dados anonimizados e agregados por município, com exceção da capital, Recife, onde o índice é calculado por bairro. "Nenhum tipo de informação fica armazenado em servidores do MPPE ou fica à disposição para consumo futuro", explicou o Ministério Público, por meio de nota.

Para garantir a privacidade das pessoas, a InLoco disse à Folha que não coleta dados individualizados. Além disso, os índices são repassados a gestores públicos com um atraso de, no mínimo, 24h, "para evitar que os órgãos públicos possam reprimir em tempo real grupos que estejam descumprindo as regras de isolamento”, segundo a empresa. A cooperação não tem custos para os estados e é válida até o fim da crise.

No Rio, a prefeitura firmou um contrato não oneroso com a empresa Cyberlabs, que trabalha com imagens de câmeras de vigilância, para monitorar o isolamento social.

O método também não coleta dados pessoais, e as imagens são apagadas um minuto depois de terem sido analisadas pelos computadores, informou Felipe Vignoli, co-fundador da empresa. Parte do objetivo da análise da Cyberlabs é “auxiliar a tomada de decisão” das autoridades, informando em tempo real onde há aglomerações. A empresa diz que “às vezes” tem acesso às imagens, mas que não realiza identificação de pessoas.

Segundo especialistas, as parcerias ainda pecam pela falta de transparência. “O argumento é que são dados anonimizados”, diz Joana Varon. “O que a gente precisa entender é se a técnica é efetiva, se anonimiza de fato.”


APP AUXÍLIO EMERGENCIAL

O que é: lançado em 7 de abril pela Caixa Econômica Federal, o aplicativo realiza cadastros para pagamento de auxílio emergencial de R$ 600 a trabalhadores informais, microempreendedores, autônomos e desempregados;

Nº de downloads:115,4 milhões até 27 de agosto;

Dados solicitados no cadastro: nome completo, CPF, data de nascimento, nome da mãe, número do telefone celular, operadora de telefonia, renda, endereço e conta bancária;

Críticas: segundo especialistas, falta uma política de privacidade específica para o app, que explicite a finalidade da coleta de dados pessoais, quais os mecanismos de segurança adotados, quais as regras para compartilhamento de informações com terceiros, por quanto tempo os dados pessoais ficarão armazenados e como serão descartados.


APP CORONAVÍRUS-SUS

O que é: desenvolvido pelo Ministério da Saúde, o aplicativo disponibiliza informações gerais sobre a Covid-19, notícias sobre saúde e identifica, com ajuda do sistema de Bluetooth, se uma pessoa esteve próxima a outra diagnosticada com a doença;

Nº de downloads: 10 milhões até agosto;

Dados solicitados no cadastro: o usuário não precisa informar nenhum dado pessoal para utilizar a plataforma;

Críticas: o app afirma não coletar dados pessoais, mas no seu lançamento, utilizava dados de localização dos dispositivos móveis sem divulgar uma política de privacidade aos usuários. Mesmo depois de passar a disponibilizar o documento na plataforma, o Ministério da Saúde não informa como os dados coletados anteriormente serão tratados.

Tópicos relacionados

Comentários

Os comentários não representam a opinião do jornal; a responsabilidade é do autor da mensagem.