A Estratégia de Governo Digital para o período de 2020 a 2022 foi recentemente atualizada pela Presidência da República. Inicialmente publicada em abril de 2020, as mudanças feitas agora no texto trazem alguns importantes aprimoramentos, como a inclusão de ações de segurança e privacidade entre os requisitos mínimos para elaboração dos Planos de Transformação Digital dos órgãos e entidades da administração pública federal.
Desde a publicação da primeira versão da Estratégia de Governo Digital, a digitalização dos serviços públicos deu grandes passos, especialmente em um momento em que a sociedade precisou se adequar a uma nova rotina frente aos cuidados necessários para combate à pandemia de Covid-19. De acordo com informações disponíveis no portal único Gov.br, hoje mais de 4.800 serviços públicos já estão disponíveis de forma digital, representando 76% do total e somando 120 milhões de brasileiros cadastrados no serviço de login único.
A dúvida que fica é: os dados transacionados e centralizados através desta plataforma única estão devidamente seguros e protegidos? Parece que não.
No ano passado, o Tribunal de Contas da União – TCU, divulgou o relatório de acompanhamento sobre a transformação digital e os mecanismos de governança digital conduzidas pelo Governo Federal em que identificou a falta de uma governança de segurança da informação. Por esse motivo houve a atualização da Estratégia de Governo Digital em março de 2022, trazendo correções de pontos de atenção indicados neste relatório do TCU.
Diante da rápida transformação digital dos serviços públicos e do crescimento no número de ataques cibernéticos e vazamentos de dados observados no último ano, a Controladoria-Geral da União – CGU avaliou a segurança e a privacidade dos aplicativos móveis do Governo Federal.
O resultado deste trabalho, publicado em março, detectou fragilidades no código-fonte dos aplicativos móveis e na gestão das funcionalidades que permitem ao sistema Android franquear acesso a recursos e dados sensíveis dos equipamentos móveis, o que aumenta o risco de vazamentos de dados. A análise também identificou brechas de segurança ou vulnerabilidades cibernéticas que ampliam a superfície de ataque.
Os trabalhos realizados tanto pelo TCU, quanto pela CGU em momentos diferentes do processo de transformação digital dos serviços públicos demonstram que pode estar havendo um desbalanceamento na equação entre a simplificação e a segurança. Na veemência de trazer os cidadãos brasileiros para utilizar os serviços públicos eletrônicos e, assim, concentrar seus dados pessoais e sensíveis, biometrias e padrões de comportamento em uma plataforma única, pecou-se pela falta de processos e mecanismos pensados com o objetivo de proteger essas transações e garantir a privacidade dos cidadãos brasileiros, que deveriam ter sido implementados desde as primeiras fases de desenvolvimento dessas aplicações, de acordo com o que demonstram os relatórios.
A CGU, na avaliação recém-publicada, ainda destaca o "risco de impactos severos nessa infraestrutura, principalmente dos dados que servem de alicerce à prestação de serviços públicos". Essa preocupação deve ser ainda maior para os agentes públicos e para os cidadãos neste momento em o número de cadastros no portal único Gov.br foi exponencialmente multiplicado, após o lançamento do serviço de recuperação de valores esquecidos em bancos, o que levou milhões de brasileiros a atualizar os seus dados pessoais na plataforma, enviar uma foto atualizada para biometria facial e ter essas informações convalidadas por bancos.
Vale reforçar que, diferentemente de outros serviços, a verificação de valores a ser recebidos foi disponibilizada apenas de forma online, obrigando os brasileiros a se cadastrar no portal Gov.br e compartilhar seus dados. Tudo isso logo após o Ministério da Economia formalizar acordos com associações de bancos para liberar gratuitamente o acesso aos dados biométricos e biográficos de cerca de 120 milhões de brasileiros pelo prazo de um ano. Tais acordos estão sendo investigados pelo Ministério Público Federal – MPF.
O Ministério da Economia também já foi questionado no Congresso Nacional sob o desrespeito à Lei das Assinaturas Eletrônicas (Lei nº 14.063/2020), ao submeter o acesso do usuário que utiliza de seu certificado digital no padrão da infraestrutura de chaves públicas brasileira (assinatura eletrônica qualificada, nos termos da Lei) ao cadastro da conta Gov.br, mesmo que a legislação vigente seja clara quanto à sua utilização independentemente de cadastro prévio, justamente com o objetivo de proteger os dados do cidadão e evitar o compartilhamento dessas informações.
O vazamento de dados de bases públicas já é uma realidade, especialmente após o "megavazamento" de dados ocorrido no início de 2021, em que dados biográficos de mais de 223 milhões de brasileiros foram expostos em rede. Em março de 2021, por exemplo, o Ministério da Economia comunicou ter tido conhecimento de vulnerabilidades no sistema JuventudeWeb que permitia a obtenção de dados de pessoas físicas cadastradas na plataforma para o Cadastro Nacional de Aprendizagem Profissional (CNAP). A falha de segurança permitiu que fossem extraídos dados como CPF, nome completo, nome da mãe, data de nascimento e endereço. Em dezembro do último ano, um ataque cibernético fez com que o aplicativo ConecteSUS passasse mais de 10 dias fora do ar.
A transformação digital dos serviços públicos, que há algumas décadas tem sido uma das estratégias para desburocratização do Estado e aprimoramento do ambiente de negócios, parece ter o potencial de se tornar uma grande dor de cabeça para o Governo, caso não sejam revistas as políticas de inovação e sejam implementados os mecanismos de segurança e privacidade dos dados dos brasileiros, e para os cidadãos, que podem já estar sendo vítimas de golpes e fraudes e terão de lidar com as consequências financeiras, jurídicas e sociais da falta de proteção em relação aos seus dados pessoais.
E como os brasileiros podem se proteger dessas vulnerabilidades? Cobrando seriedade, respeito e segurança dos entes públicos no tratamento dos seus dados pessoais, tomando conhecimento das leis e normas sobre o tema, informando-se sobre as boas-práticas no compartilhamento de dados pessoais e optando por utilizar, sempre que possível, a assinatura eletrônica com o maior nível de segurança – assinatura eletrônica qualificada.
Uma política pública efetiva deve estar alinhada a uma boa governança de segurança da informação, que garanta que estejam implementados mecanismos que protejam os dados pessoais e sensíveis e a identidade digital dos cidadãos brasileiros.
Thaís Covolato, coordenadora do Comitê de Identidades Digitais da Câmara Brasileira da Economia Digital (Camara-e.net).
