PRF DESRESPEITA LEI
E COMPRA CÓPIA DA BASE DE DADOS BIOMÉTRICOS DOS MOTORISTAS COM CNH NO BRASIL
A
Polícia Rodoviária Federal tem em mãos fotos e informações de mais de 80
milhões de brasileiros – o que corresponde a 37% da população. Isso porque, em
agosto de 2022, a PRF assinou um contrato com o Serviço Federal de
Processamento de Dados, o Serpro, para ter cópia dos dados biométricos de
todos os aptos a dirigir no país. As fotos e assinaturas armazenadas no
Registro Nacional de Condutores Habilitados, o Renach, permitem o uso de tecnologias
de reconhecimento facial. O valor do serviço foi fechado entre
PRF e Serpro foi de R$ 205.722,80.
Pode
parecer natural, a princípio, que a PRF tenha autorização para extrair os dados
da Carteira Nacional de Habilitação, CNH, de todos os motoristas, já que o
papel dela é fiscalizar as rodovias federais do Brasil. Mas não funciona bem
assim. A Lei Geral de Proteção de Dados, a LGPD, exige
transparência, cuidados e critérios com os dados dos cidadãos, além de
justificativas e finalidades sólidas para o requerimento dessas informações –
vale ressaltar, a PRF já tem acesso às CNHs pelos bancos de dados do próprio
Serpro, dos Detrans, Ministério de Segurança Público e secretarias de segurança
pública, mas apenas para consulta. Elas não estavam armazenadas no sistema da
instituição.
A
história se assemelha com um caso ocorrido na Argentina em
2019, que terminou em investigação. Lá, o governo de Buenos Aires, Ministério
da Justiça e Segurança e o órgão público que realiza a identificação e o
registro das pessoas físicas que vivem no país fecharam um acordo para
consultas à base de dados de milhões de cidadãos. Foram mais de 18 milhões de
consultas aos registros, sob a justificativa de prevenção de crimes ou para
alimentação do serviço de reconhecimento facial de fugitivos.
A
Procuradoria de Investigações Administrativas decidiu investigar o caso. E não
encontrou razão lógica para as milhões de consultas. No fim de abril, a
Procuradoria denunciou as autoridades de Buenos Aires por “espionagem ilegal a
milhões de cidadãos através do sistema de dados biométricos”.
Aqui
no Brasil, novo acordo precisou do aval da Secretaria Nacional de Trânsito, a
Senatran, a quem pertencem os dados das CNHs. O Serpro é a empresa pública
responsável por gerir as informações e atende aos pedidos de outros órgãos para
fazer o compartilhamento de dados – por isso o contrato foi fechado entre PRF e
Serpro, mas precisou da autorização da Senatran.
Com
o serviço, que começou a ser entregue no começo de março, a PRF criou uma cópia
da base de dados que contém fotos e assinaturas de todos os condutores do
Brasil. A justificativa é tacanha: “aperfeiçoamento do serviço”.
Em
2020, a Agência Brasileira de Inteligência, a Abin, teve frustrada uma
tentativa de também ter acesso aos dados da CNH dos brasileiros, conforme
contado em reportagem publicada pelo Intercept, em junho de 2020. Na ocasião, o compartilhamento
foi alvo de uma ação no Supremo Tribunal Federal. Os ministros decidiram que o
troca-troca de informações dos cidadãos pode ser feito, desde que se
limite ao mínimo necessário para atender a finalidade informada.
No
entanto, o contrato entre a PRF e a Serpro nem sequer atende aos critérios de
transparência. Não encontramos, por exemplo, o contrato, nem os termos anexados
a ele, nos portais de transparência e no Diário Oficial da União. Só
conseguimos obter os documentos anexados ao contrato por meio da assessoria de
imprensa deles.
Segundo
consta no Termo de Referência, a PRF precisa da
extração dos dados das CNHs para “possibilitar a identificação de usuários que
não possuam sua documentação no momento da abordagem, trazendo mais agilidade
às mesmas e mais conforto aos usuários das rodovias federais”. Até então essas
informações poderiam ser acessadas pelos policiais, mas não era possível
copiá-las e armazená-las.
Tampouco
se sabe quais dados serão cruzados com as cópias das CNHs. “Não há uma
justificativa clara do porque precisam desse enorme banco de dados. E isso
impossibilita até fazer previsões sobre as finalidades, porque são inúmeras”,
explica o pesquisador Felipe Rocha, do Laboratório de Políticas Públicas e
Internet, o Lapin, que integra o Comitê Central de Segurança de Dados, criado
em 2019, para gerenciar o compartilhamento de informações pessoais com o
governo.
Segundo
especialistas, ainda há os riscos pelo uso da tecnologia de reconhecimento
facial: perseguição e vigilância política. “Temos muitos casos de uso de dados
para mirar grupos marginalizados. E ainda existe um risco de vigilância e de
compartilhamento desses dados com empresas privadas, já que muitas agências se
utilizam deste setor para serviços públicos”, me explicou Cynthia Picolo,
diretora-presidente do Lapin.
“Esses
dados crus não significam muita coisa, o problema é quando você interliga com
vários outros, como as multas, por exemplo. Você consegue manipular esses dados
com objetivos que podem, por vezes, serem escusos. Temos um exemplo muito claro
das ações da PRF durante as eleições”, complementou Rocha.
·
Usurpação da PRF
No
governo Bolsonaro, a PRF teve suas funções alteradas e papel de destaque nas
ações orquestradas pelo ex-presidente. Em 2019, Sérgio Moro, então ministro da
Justiça e Segurança Pública, publicou uma portaria para ampliar os poderes do
órgão,
que passaria a investigar e cumprir mandados judiciais. Pressionado pela
Polícia Federal, André Mendonça, sucessor de Moro, anulou a portaria. Ainda
assim, manteve a possibilidade de a PRF, em parceria com outras polícias e
Ministério Público Federal, participar de operações. O trabalho em conjunto
culminou em chacinas como a da Vila Cruzeiro, no Rio de
Janeiro, em maio do ano passado, com mais de 20 mortos.
Anderson
Torres assumiu o cargo de Mendonça e foi ainda mais incisivo na radicalização
política da PRF. O ex-ministro da Justiça mapeou as cidades com mais eleitores
de Lula para
organizar os bloqueios durante o segundo turno das eleições – as ações da PRF
fizeram de Silvinei Vasques, ex-diretor-geral, réu em processo por improbidade
administrativa. Na casa de Torres também estava a “minuta do golpe”, um decreto
institucional que previa a instauração do estado de defesa no Tribunal Superior
Eleitoral, cujo intuito era apurar suspeições e interferências no processo
eleitoral. Em janeiro deste ano, o ex-ministro foi preso por “indícios de
omissão” e conivência com os atos golpistas no dia 8 daquele mês, que ocorreram
durante sua gestão como secretário de segurança pública do Distrito
Federal.
Foi
nesse contexto pós-eleitoral que os trâmites para o acordo entre o Serpro e PRF
se aceleraram. Embora os documentos não estejam datados, com exceção do termo
de autorização, é possível checar quando foram assinados. O Serpro
aceitou a proposta no dia 7 de novembro, segundo consta no texto do contrato, e
o termo de referência foi assinado no dia 14 de dezembro – dois dias após
eleitores de Bolsonaro atearem fogo em ônibus e carros, fecharem vias e
atacarem delegacias em Brasília.
O
contrato mesmo só recebeu as assinaturas no final de janeiro, já no governo
Lula, e prevê que o Serpro entregue os dados em “até 45 dias após a emissão da
Ordem de Serviço pelos fiscais do contrato”.
Questionamos
o Serpro para saber se os dados já estão sob a posse da PRF, eles disseram que
“já vem cumprindo o previsto no Contrato Administrativo”, mas não especificou o
quanto já foi repassado à PRF.
·
O que diz a LGPD
Aprovada
em 2018, a Lei Geral de Proteção de Dados fez do
cuidado com esses dados pessoais um direito constitucional. O artigo 4º traz
algumas exceções à lei, entre elas está o tratamento de informações para fins
exclusivos de segurança pública, defesa nacional, segurança do Estado ou
atividades de investigação e repressão de infrações penais. Estipulou-se que as
discussões sobre proteção de dados por órgãos de segurança pública precisam ser
regidas por uma lei específica. E assim a área segue quase num limbo, embora já
exista um anteprojeto, elaborado por uma comissão de juristas, em trâmite na
Câmara dos Deputados.
Isso
não quer dizer que os órgãos de segurança pública podem usar como bem entendem
os dados pessoais dos cidadãos. Eles ainda precisam seguir os critérios básicos
da LGP: especificação de finalidades, justificativas e segurança dos dados.
“Muitas
instituições acabam utilizando esses escopo da segurança pública para fugir das
balizas da LGPD. É muito estratégico fazer pedidos absurdos como esse da PRF
sob a alegação de fins de segurança pública”, explica Picolo. “A administração
pública federal se rege pelo princípio da legalidade. Se não tem uma lei
especificando o que ele pode fazer, então ele não pode fazer. Também nos
surpreende a simplicidade com que o Serpro acatou ao pedido, sem exigir
justificativas”, questiona Rocha.
Até
mesmo uma lei polêmica coloca em dúvida a legalidade do pedido da PRF. O decreto 10.046, de 2019,
criticado por violar a privacidade dos cidadãos, dispõe sobre o
compartilhamento de dados entre entes públicos e estabelece que a troca precisa
se limitar “ao mínimo necessário para o atendimento da finalidade informada”.
Na lista de leis mencionadas no termo de referência como “requisitos legais”
que embasam a solicitação, a PRF nem sequer menciona este decreto. Ele só
aparece no termo de autorização emitido pela Senatran, ao informar que “a
documentação prevista no decreto 10.046 (…) está em ordem e o acesso para
desempenho de suas atividades foi avalizado pela Senatran”.
“Puxar
todos os dados das CNHs é flagrantemente contra a LGPD. É desproporcional pedir
essa quantidade toda. Se fosse um caso específico, de um grupo específico, até
daria para justificar”, criticou Luã Cruz, especialista em telecomunicações
pelo Idec, Instituto Brasileiro de Defesa do Consumidor.
Em
setembro do ano passado, no julgamento da ação motivada pela reportagem do
Intercept, o Supremo Tribunal Federal impôs novas
regras ao decreto –
entre elas, a participação de outras instituições da sociedade civil no Comitê
Central de Governança de Dados. Gilmar Mendes, relator do julgamento, disse que
“a permissão de acesso a dados de acesso a dados pressupõe propósitos
legítimos, específicos e explícitos para seu tratamento e deve ser limitada a
informações indispensáveis ao atendimento do interesse público”. E reforçou a
necessidade de cumprir integralmente os requisitos estabelecidos pela LGPD.
Ainda de acordo com a decisão do STF, a inclusão de novos dados à qualquer base
precisa ter uma “justificativa formal, prévia e detalhada”.
Procurada,
a PRF informou ter feito um Relatório de Impacto de Dados Pessoais, que prevê e
mitiga os riscos de vazamentos. Pedi acesso a esse relatório, mas eles não
enviaram justificando ser “reservado por conta do grau de sensibilidade das
informações relacionadas a sistemas focados na área de segurança pública”. O
órgão também afirmou ter um programa de governança, monitoramento e mitigação
de riscos em caso de incidentes de segurança durante o compartilhamento de
dados – mas também não deu qualquer detalhe sobre o programa.
Em
nota, o Serpro disse que a responsabilidade pela avaliação de riscos, definição
de quais dados serão tratados e outros requisitos de tratamento são de
responsabilidade da Senatran.
“O
Serpro, como operador, seguiu os requisitos definidos pela Controladora no
Termo de Autorização, conforme preconiza a LGPD, e realizou a operação somente
mediante os termos autorizativos definidos pela Senatran e instrumento
contratual junto à PRF, adotando as medidas de segurança necessárias para a
proteção dos dados”.
Segundo
a Senatran, o órgão avaliou os riscos dos diferentes cenários e repassou
recomendações às áreas técnicas para “reforçar as medidas de segurança e o uso
responsável no acesso aos dados”. Também disseram que avaliaram que seria
necessário extrair os dados, e não apenas permitir consultas, após os pedidos
realizados pela PRF e Ministério da Justiça e Segurança Pública. “Com base no
referido processo, de acordo com os pareceres jurídicos e notas técnicas
elaboradas à época, entendeu-se que a concessão de acesso a dados à PRF
respeitava todas as diretrizes legais e infralegais existentes no momento da
solicitação”.
Não é possível acessar o processo mencionado pela secretaria no site do
Ministério da Infraestrutura – apenas suas movimentações.
Fonte:
Por Carol Castro, em The Intercept
Nenhum comentário:
Postar um comentário