terça-feira, 23 de agosto de 2022

Soberania de dados: como a sua privacidade está ligada à segurança nacional do Brasil?


Solon NetoAugust 23, 2022

© Sputnik / Kirill Kallinikov / Abrir o banco de imagens

No Brasil, duas empresas públicas estão no centro da preservação dos dados da população, o Serpro e a Dataprev. Listadas para privatização, elas acumulam informações diversas de todos os brasileiros. A Sputnik Brasil ouviu servidores dessas companhias e especialistas para discutir riscos e a importância da soberania de dados.

A ampliação da presença das redes sociais e do compartilhamento de informações pessoais com gigantes do setor de tecnologia criou um turbilhão de dados de comportamento à disposição de empresas e governos. Revelações como as de Julian Assange e Edward Snowden mostraram ao mundo os riscos da onipresença digital para os cidadãos e criaram novas preocupações de soberania e segurança para os Estados.

Inicialmente, as revelações sobre vigilância massiva e espionagem dos Estados Unidos contra o Brasil durante a gestão da ex-presidente Dilma Rousseff (PT) geraram reações diplomáticas, além do fortalecimento da legislação digital e do incentivo ao software livre. Esse processo foi parcialmente revertido durante os dois governos seguintes.

Na gestão do presidente Jair Bolsonaro (PL), a centralidade das promessas de privatizações incluiu duas gigantes responsáveis pelas principais bases de dados públicos do país: o Serviço Federal de Processamento de Dados (Serpro) e a Empresa de Tecnologia e Informações da Previdência (Dataprev).

O fundador do WikiLeaks, Julian Assange, e o ex-agente da inteligência americana Edward Snowden
© AFP 2022 / CARL COURT

Fundado em 1964, o Serpro tem cerca de 7,7 mil funcionários e receita bruta de R$ 3,4 bilhões, conforme dados do painel Panorama das Estatais. Entre outros serviços, o Serpro opera 120 milhões de cadastros de identificação no Acesso Gov, os sistemas da Receita Federal, como o do Imposto de Renda da Pessoa Física (IRPF), e as informações sobre as exportações e importações realizadas pelo Brasil, no Sistema Integrado de Comércio Exterior (Siscomex).

Já a Dataprev, criada em 1974, tem cerca de 3,1 mil funcionários e uma receita bruta de R$ 1,8 bilhão. A empresa compila dados sensíveis utilizados para a organização de programas sociais, como o Auxílio Brasil, e é responsável pela gestão da gigantesca base de dados sociais brasileira, especialmente a do Instituto Nacional do Seguro Social (INSS).

No início de 2020, por obra dos decretos Nº 10.206 e Nº 10.199, as duas empresas foram incluídas, ao lado de outras estatais, no Programa de Parcerias de Investimentos da Presidência da República (PPI) e no Programa Nacional de Desestatização (PND). O movimento gerou protestos e alertas de riscos à soberania e à segurança nacional, devido à amplitude dos dados tratados pelas estatais.

Ligações com o governo, contratos com gigantes e riscos à soberania

Em conversa com a Sputnik Brasil, pessoas ligadas ao Serpro e à Dataprev afirmaram que já há diversas movimentações nas direções das companhias voltadas à privatização, em uma espécie de preparação de terreno enquanto avançam os estudos de venda. Um desses sinais descritos foi o apontamento de Caio Paes de Andrade como diretor-presidente do Serpro, em 2019. Andrade fez parte da equipe do Ministério da Economia durante a gestão do presidente Jair Bolsonaro e é visto como aliado do ministro Paulo Guedes.

O sucessor de Andrade no Serpro e atual presidente da empresa é Gileno Gurjão Barreto, que recentemente foi apontado pelo Planalto para integrar e presidir o Conselho de Administração da Petrobras. Em junho, Gurjão Barreto foi um dos responsáveis por aprovar o nome de Paes de Andrade como novo presidente da gigante do setor de energia. Fontes apontaram que, além de próximos, ambos têm ligações com o alto escalão do governo federal.

Ministro da Economia, Paulo Guedes
© Foto / Isac Nóbrega / Palácio do Planalto

Pessoas ligadas ao Serpro e à Dataprev citam preocupações com recentes contratos com grandes conglomerados de tecnologia, nos quais apontam riscos de vazamento de dados. Essas parcerias estão ligadas ao projeto "multinuvem" do Serpro, que abriu chamamento público em 2019 para a integração de empresas.

Em 2020, um contrato de cinco anos no valor de R$ 71,2 milhões com a Amazon Web Services (AWS) foi firmado sem licitação no projeto "multinuvem", sob o modelo de "parceria de negócios", conforme item do artigo 28 da Lei das Estatais (Lei 13.303/16). O item menciona a possibilidade de dispensa de licitação em determinadas situações. Em março, o contrato recebeu aditivo de R$ 12 milhões.

Desde o primeiro contrato com a AWS, o Serpro também firmou acordos nos mesmos moldes dentro do projeto multinuvem com a Oracle (R$ 41,5 milhões), a IBM (R$ 40,3 milhões), a Huawei (R$ 23 milhões) e a Microsoft/Azure (R$ 22,6 milhões). Os contratos das parcerias exigem operação exclusiva em datacenters situados no Brasil, o que, segundo fontes, não é garantia de segurança.

Aplicativo do ConecteSUS, do Ministério da Saúde
© Folhapress / Aloisio Mauricio

A AWS foi introduzida em outras áreas do governo nos últimos anos. Em fevereiro, a Agência Espacial Brasileira (AEB) fechou um acordo de cooperação com o serviço, o primeiro do tipo na região. Ainda antes, em abril de 2020, os dados do DATASUS, plataforma que reúne informações de saúde de toda a população brasileira, foram transferidos para a plataforma da Amazon. Em março, o repórter Paulo Motoryn, do Brasil de Fato, revelou um possível conflito de interesses nesse processo, uma vez que o diretor responsável pela migração assumiu cargo na Amazon menos de um mês após deixar o posto no DATASUS. O caso é investigado pelo Tribunal de Contas da União (TCU).

Devido à natureza dos dados tratados pelo Serpro e pela Dataprev, fontes alertam para os riscos envolvidos em uma possível privatização. Para elas, não é viável transferir esses serviços, uma vez que as eventuais compradoras passariam a controlar informações sensíveis e compulsórias dos brasileiros que vão desde a biometria e dados sociais ao histórico de dívidas pessoais, além da movimentação financeira e comercial de empresas e cidadãos.

"Esses projetos foram criados e aperfeiçoados ao longo de muitos anos. Ao serem entregues a uma empresa privada, com o seu objetivo central de lucro, passamos a ter uma situação de aprisionamento do Estado por elas. Nos momentos de renovação de contrato, elas podem cobrar o que bem entender pela utilização dos sistemas, pois uma substituição levaria um tempo inviável de paralisação dos serviços do Estado", alerta o analista de redes do Serpro Deivi Kuhn, em entrevista à Sputnik Brasil.

Monitores com logotipos da gigante de tecnologia Amazon
© AFP 2022 / LEON NEAL

Serpro pretende transferir dados de 120 milhões de pessoas à nuvem da Amazon

Com exclusividade, fontes afirmaram à Sputnik Brasil que o Serpro está transferindo a base de dados do BRCidadão (Plataforma Gov.br) do Estaleiro, o sistema de dados em nuvem desenvolvido e operado pela estatal, para o AWS. A migração estava prevista para o dia 14, mas foi adiada para o sábado (27). O adiamento coincide com o início de uma greve dos servidores da empresa.

Especialistas consultados pela Sputnik Brasil afirmaram que não há necessidade para esses contratos com a Amazon e outros serviços de nuvem. Segundo eles, o Estaleiro é plenamente capaz de fornecer esses serviços, com tecnologia nacional e controle público.

Conforme o relatório integrado anual do Serpro de 2021, o Plataforma Gov.Br tem cerca de 120 milhões de cadastros com dados de brasileiros que servem para acessar os portais de serviços do governo. Esses cadastros são a garantia de acesso a milhares de serviços para virtualmente todos os brasileiros vivos, incluindo histórico de vacinas, imposto de renda, serviços do SUS, carteira de trabalho digital e o portal eSocial.

Celular exibe o aplicativo do Auxílio Brasil
© Folhapress / Denner Ovidio/iShoot

Tensão no Serpro reflete disputa pela privatização e preocupação com soberania

Em meio à instabilidade na empresa, a situação política interna no Serpro é tensa. Desde o dia 10, os servidores da estatal estão em greve nacional por tempo indeterminado. Os grevistas denunciam o esvaziamento do quadro de servidores por meio de programas de demissão voluntária. O número de funcionários do Serpro caiu de 9.033, em 2019, para os atuais 7.701, segundo dados do governo. Servidores ouvidos pela Sputnik Brasil denunciam a movimentação como forma de abrir caminho para a venda da empresa.

Milton Pantuzzo, diretor do sindicato dos trabalhadores de tecnologia da informação do Distrito Federal (Sindpd-DF) e uma das lideranças da greve, explica à Sputnik Brasil que o protesto dos servidores inclui a discussão sobre o risco de privatização.

"A gente queria discutir a questão de privatização com a empresa e a mesa [diretora]. E a empresa se recusa a conversar sobre esse tema da privatização porque ela alega — inclusive escreveu isso em ata de negociação — que a privatização é um tema governamental e foge à governabilidade dela", relata o servidor, que trabalha há 38 anos na empresa.

Pantuzzo defende a importância do controle público da empresa devido à relação direta entre dados e poder. Para ele, o Serpro funciona como uma espécie de "guardião dessas informações" e seria arriscado que o conjunto de dados dos cidadãos brasileiros fosse para a iniciativa privada.

Imagem ilustrativa de 6 de março de 2019 mostra celular e notebook nos portais da Receita Federal
© Folhapress / Eduardo Valente

'Salve seus dados': campanha de servidores alerta para riscos

O economista e analista de redes Deivi Lopes Kuhn é servidor do Serpro há 24 anos e o atual representante da campanha Salve Seus Dados. A campanha denuncia riscos ligados à privatização do Serpro e da Dataprev, alertando para os riscos de perda de controle público sobre dados empresariais, tributários e de seguridade social, assim como informações pessoais da população brasileira.

"O cidadão será diretamente afetado, tendo aspectos de sua vida privada sob controle de empresas que geram lucros justamente analisando e predizendo os comportamentos das pessoas. Diferentemente de uma relação comercial, o cidadão é obrigado a fornecer seus dados para o Estado. Esse caráter compulsório é completamente incompatível com o controle de empresas sediadas em outros países, fora do alcance da nossa legislação", explica o servidor.

Kuhn ressalta que, sendo a tecnologia um aspecto central da administração pública e de qualquer tática organizacional, o Brasil adotou a estratégia de segurança de criar empresas públicas especializadas, com carreira própria sob regime da CLT, garantindo estabilidade ao controle e gestão dos principais sistemas que garantem o funcionamento do Estado brasileiro.

Para o analista de redes, o Serpro e a Dataprev são "a garantia de manutenção do conhecimento e inteligência da área de TIC [Tecnologia da Informação e Comunicação]" do Estado brasileiro, sendo que o modelo atual é utilizado há décadas e "sustenta o sucesso da informatização do setor governamental no Brasil".

Interface do aplicativo CTPS Digital, parceria entre o Ministério do Trabalho e a Dataprev, em 21 de novembro de 2018
© Folhapress / Adriana Toffetti / A7 Press

A posição da campanha é corroborada por estudos e posicionamentos de outras instituições públicas. Em nota técnica de fevereiro de 2021, o Ministério Público Federal (MPF) apontou que a eventual privatização do Serpro fere a Lei Geral de Proteção de Dados (LGPD) e ameaça a soberania nacional:

"[...] delegar os serviços do Serpro e Dataprev a entes privados coloca em maior risco a segurança de pessoas e instituições, podendo até mesmo comprometer os interesses nacionais", diz o documento. O MPF ressalta que o próprio estatuto do Serpro cita que seus serviços são "imperativos de segurança nacional".

Em julho, a Controladoria-Geral da União (CGU) divulgou um relatório apontando que a Dataprev não tem concorrentes no setor privado capazes de realizar integralmente as funções exercidas pela companhia. O relatório cita riscos e salienta a "manutenção de informações sigilosas e sensíveis" sob controle do Estado como uma razão para não se privatizar as empresas. O estudo da CGU foi realizado para subsidiar as decisões do governo sobre a possível venda das estatais.

Em nota técnica, o Departamento Intersindical de Estatística e Estudos Socioeconômicos (Dieese) também reforçou a preocupação com a soberania nacional e em relação ao risco à privacidade de potencialmente toda a população brasileira.

O analista de redes e servidor do Serpro Deivi Kuhn acredita que o compartilhamento das bases de dados dessas empresas com companhias estrangeiras pode expor as riquezas do Brasil.

"Nos documentos compartilhados com o mundo pelo Edward Snowden, ficou evidente que o objetivo central dos chamados 'Five Eyes', países aliados liderados pelos EUA, foi obter informações estratégicas sobre as reservas brasileiras de petróleo e de recursos minerais. Os mesmos documentos mostraram que havia uma relação de cooperação entre as grandes empresas de tecnologia e os órgãos de inteligência, principalmente a NSA [sigla em inglês para Agência de Segurança Nacional]. Entregar nossas informações para essas empresas poderá expor toda a nossa riqueza natural", alerta.

Instalações da NSA em Fort Meade, Maryland
© AP Photo

Cláusulas contratuais não garantem segurança, diz especialista em dados

O pesquisador Rodolfo Avelino, professor do Ibmec, ressalta que golpes com dados pessoais detalhados estão se espalhando, o que reforça a importância da proteção desse tipo de informações presente em bancos de dados. Conforme Avelino, o número de golpes sofisticados tem crescido devido ao aumento do número de vazamentos de dados pessoais de diversas bases, incluindo informações relacionadas a crédito, emprego e tipos de serviços consumidos. Segundo ele, isso é utilizado nas estratégias de persuasão por fraudadores.

O pesquisador explica que o vazamento de dados pessoais é um fenômeno mundial e ocorre devido à falta de controle dos processos em torno da segurança dessas informações, ampliada pela terceirização de serviços. "Parte da infraestrutura tecnológica foi terceirizada. Então é difícil ter uma empresa que tenha a gestão e a governança de todos os processos tecnológicos da sua cadeia de produção", explica Avelino em entrevista à Sputnik Brasil, acrescentando que essa situação ocorre tanto na iniciativa privada quanto na administração pública.

"Isso não é diferente nos órgãos públicos. A gente tem empresas terceiras que vão prover desde a infraestrutura até serviços para essas entidades. Faltam governança e políticas de segurança da informação que permitam que determinados processos tenham controles efetivos de segurança. Não são apenas cláusulas contratuais que garantem que de fato uma empresa presta os devidos cuidados de segurança em seus serviços", afirma, acrescentando que o ideal seria reduzir o chamado outsourcing — a terceirização desses serviços.

Homem observa um monitor de câmera de reconhecimento facial em um estande da empresa chinesa Ping'an Technology, em Pequim, em 25 de abril de 2018
© AP Photo / Mark Schiefelbein

'Risco mundial': colonialismo de dados impõe desafios aos países

O pesquisador Rodolfo Avelino ressalta que a lógica de marketing e propaganda das grandes empresas de tecnologia norte-americanas é um modelo que acarreta um "risco mundial" à soberania dos países e aos direitos das populações.

"A gente tem uma Internet totalmente refém de um modelo de mercado baseado em dados pessoais. Boa parte da população mundial não tem conhecimento disso, não entende o problema que está relacionado a essas questões, sobretudo que elas não sairão das bases de dados dessas empresas", afirma Avelino, ressaltando que esses dados são usados para modular o comportamento dos usuários para atender aos modelos de negócio de parceiros.

Sérgio Amadeu, pesquisador da área de tecnologia e dados e professor da Universidade Federal do ABC (UFABC), é um dos organizadores do livro "Colonialismo de Dados", que discute diversas dimensões do controle tecnológico. Segundo ele, o controle das tecnologias digitais por poucos países abriu espaço para um modelo atualizado de colonialismo.

"No colonialismo histórico, a matriz controlava a economia das colônias e delas retirava metais preciosos, matérias-primas, alimentos e demais produtos agrícolas. No atual colonialismo, as plataformas extraem de todo o mundo os dados das populações para tratamento e análise e para o desenvolvimento de produtos e serviços neles baseados. Essa coleta massiva e permanente de dados é chamada de colonialismo de dados", explica o pesquisador em entrevista à Sputnik Brasil

Amadeu detalha que esse colonialismo digital envolve três componentes — os softwares, os hardwares e as infraestruturas de conexão e de desenvolvimento tecnológico. Segundo ele, os países ricos que controlam os três concentram riquezas ao submeter os demais à condição de usuário e comprador e bloquear a tecnodiversidade e a criatividade de sociedades pobres.

No mesmo sentido, Rodolfo Avelino avalia que, em meio ao desenvolvimento do modelo capitalista das tecnologias digitais, há "um cenário de colonialismo digital norte-americano" que não fica restrito ao chamado sul global. Apesar de exceções, como China e Rússia, o pesquisador aponta que o mundo inteiro vive uma "grande dependência da infraestrutura" de servidores como os da Microsoft e da AWS, um dos serviços de nuvem "mais utilizados por corporações, entidades e órgãos públicos".

Segundo o pesquisador, enquanto esse modelo de negócio for regra para investidores do setor, os riscos de vazamento e uso político das informações continuarão. Para mitigar o problema, seria necessário "investimento massivo na segurança da informação" e na fiscalização de empresas que lidam com bases públicas de dados, além de uma "mudança cultural".

Sistema de reconhecimento facial é testado no aeroporto de Congonhas, em São Paulo, 15 de junho de 2021
© Folhapress / Danilo Verpa

Legislação brasileira precisa avançar para proteger soberania

Avelino ressalta que a legislação brasileira, notadamente a LGPD e o Marco Civil da Internet, são importantes passos para o avanço do controle de dados e dos direitos digitais no Brasil. Apesar disso, a velocidade do avanço tecnológico impõe desafios contínuos à legislação e à fiscalização, como no caso da inteligência artificial.

Para Sérgio Amadeu, a base legal brasileira tem capacidade de proteger a soberania de dados do país. O especialista alerta, porém, que os dados não hospedados no Brasil, como os compilados por empresas estrangeiras, não seguem a lógica da legislação brasileira, compatível com o regulamento europeu de proteção de dados.

"Quando dados sensíveis saem da nossa jurisdição, a sociedade não mais os controla e perde a possibilidade de definir limites para cruzamentos e para a realização de correlações perigosas e probabilisticamente perigosas. É preciso aprimorar a legislação brasileira sobre os fluxos internacionais de dados tendo como princípio a soberania de dados", afirma.

"Ao entregar os dados das pessoas para as Big Techs, o país deixa de desenvolver soluções que geram mais riqueza, local e nacionalmente. A democracia fica, simultaneamente, cada vez mais fragilizada", conclui Amadeu.

A Sputnik Brasil procurou o Serpro para esclarecer informações sobre seus contratos de nuvem e questões relacionadas à possível privatização, mas não houve resposta até a publicação desta reportagem.

Fonte: https://telegra.ph/Soberania-de-dados-como-a-sua-privacidade-est%C3%A1-ligada-%C3%A0-seguran%C3%A7a-nacional-do-Brasil-08-23

Nenhum comentário:

Postar um comentário