Soberania de dados: como a sua privacidade está ligada à segurança nacional do Brasil?
No Brasil, duas empresas públicas estão no centro da preservação dos dados da população, o Serpro e a Dataprev. Listadas para privatização, elas acumulam informações diversas de todos os brasileiros. A Sputnik Brasil ouviu servidores dessas companhias e especialistas para discutir riscos e a importância da soberania de dados.
SputnikA ampliação da presença das redes sociais e do compartilhamento de informações pessoais com gigantes do setor de tecnologia criou um turbilhão de dados de comportamento à disposição de empresas e governos. Revelações como as de Julian Assange e Edward Snowden mostraram ao mundo os riscos da onipresença digital para os cidadãos e criaram novas preocupações de soberania e segurança para os Estados.
Inicialmente, as revelações sobre vigilância massiva e espionagem dos Estados Unidos contra o Brasil durante a gestão da ex-presidente Dilma Rousseff (PT) geraram reações diplomáticas, além do fortalecimento da legislação digital e do incentivo ao software livre. Esse processo foi parcialmente revertido durante os dois governos seguintes.
Na gestão do presidente Jair Bolsonaro (PL), a centralidade das promessas de privatizações incluiu duas gigantes responsáveis pelas principais bases de dados públicos do país: o Serviço Federal de Processamento de Dados (Serpro) e a Empresa de Tecnologia e Informações da Previdência (Dataprev).
Fundado em 1964, o Serpro tem cerca de 7,7 mil funcionários e receita bruta de
R$ 3,4 bilhões, conforme
dados do painel
Panorama das Estatais. Entre outros serviços, o Serpro opera
120 milhões de cadastros de identificação no Acesso Gov, os sistemas da Receita Federal, como o do Imposto de Renda da Pessoa Física (IRPF), e as informações sobre as
exportações e importações realizadas pelo Brasil, no Sistema Integrado de Comércio Exterior (Siscomex).
Já a Dataprev, criada em 1974, tem cerca de 3,1 mil funcionários e uma receita bruta de R$ 1,8 bilhão. A empresa compila dados sensíveis utilizados para a organização de programas sociais, como o Auxílio Brasil, e é responsável pela gestão da gigantesca base de dados sociais brasileira, especialmente a do Instituto Nacional do Seguro Social (INSS).
No início de 2020, por obra dos decretos
Nº 10.206 e
Nº 10.199, as duas empresas foram incluídas, ao lado de outras estatais, no Programa de Parcerias de Investimentos da Presidência da República (PPI) e no
Programa Nacional de Desestatização (PND). O movimento gerou protestos e alertas de riscos à soberania e à segurança nacional, devido à amplitude dos dados tratados pelas estatais.
Ligações com o governo, contratos com gigantes e riscos à soberania
Em conversa com a Sputnik Brasil, pessoas ligadas ao Serpro e à Dataprev afirmaram que já há diversas movimentações nas direções das companhias voltadas à privatização, em uma espécie de preparação de terreno enquanto avançam os estudos de venda. Um desses sinais descritos foi o apontamento de Caio Paes de Andrade como diretor-presidente do Serpro, em 2019. Andrade fez parte da equipe do Ministério da Economia durante a gestão do presidente Jair Bolsonaro e é visto como aliado do ministro Paulo Guedes.
O sucessor de Andrade no Serpro e atual presidente da empresa é Gileno Gurjão Barreto, que recentemente foi apontado pelo Planalto para integrar e presidir o Conselho de Administração da Petrobras. Em junho, Gurjão Barreto foi um dos responsáveis por aprovar o nome de Paes de Andrade como novo presidente da gigante do setor de energia. Fontes apontaram que, além de próximos, ambos têm ligações com o alto escalão do governo federal.
Pessoas ligadas ao Serpro e à Dataprev citam preocupações com recentes contratos com grandes conglomerados de tecnologia, nos quais apontam riscos de
vazamento de dados. Essas parcerias estão ligadas ao projeto
"multinuvem" do Serpro, que abriu
chamamento público em 2019 para a integração de empresas.
Em 2020, um
contrato de cinco anos no valor de
R$ 71,2 milhões com a Amazon Web Services (AWS) foi
firmado sem licitação no projeto "multinuvem", sob o modelo de "parceria de negócios", conforme item do artigo 28 da Lei das Estatais (
Lei 13.303/16). O item menciona a possibilidade de dispensa de licitação em determinadas situações. Em março, o contrato recebeu
aditivo de
R$ 12 milhões.
Desde o primeiro contrato com a AWS, o Serpro também firmou acordos nos mesmos moldes dentro do projeto multinuvem com a Oracle (
R$ 41,5 milhões), a IBM (
R$ 40,3 milhões), a Huawei (
R$ 23 milhões) e a Microsoft/Azure (
R$ 22,6 milhões). Os contratos das parcerias exigem operação exclusiva em datacenters situados no Brasil, o que, segundo fontes,
não é garantia de segurança.
A AWS foi introduzida em outras áreas do governo nos últimos anos. Em fevereiro, a Agência Espacial Brasileira (AEB)
fechou um acordo de cooperação com o serviço, o primeiro do tipo na região. Ainda antes, em abril de 2020, os dados do DATASUS, plataforma que reúne
informações de saúde de toda a população brasileira, foram transferidos para a plataforma da Amazon. Em março, o repórter Paulo Motoryn, do Brasil de Fato,
revelou um possível conflito de interesses nesse processo, uma vez que o diretor responsável pela migração assumiu cargo na Amazon menos de um mês após deixar o posto no DATASUS. O caso é investigado pelo Tribunal de Contas da União (TCU).
Devido à natureza dos dados tratados pelo Serpro e pela Dataprev, fontes alertam para os riscos envolvidos em uma possível privatização. Para elas, não é viável transferir esses serviços, uma vez que as eventuais compradoras passariam a controlar informações sensíveis e compulsórias dos brasileiros que vão desde a biometria e dados sociais ao histórico de dívidas pessoais, além da movimentação financeira e comercial de empresas e cidadãos.
"Esses projetos foram criados e aperfeiçoados ao longo de muitos anos. Ao serem entregues a uma empresa privada, com o seu objetivo central de lucro, passamos a ter uma situação de aprisionamento do Estado por elas. Nos momentos de renovação de contrato, elas podem cobrar o que bem entender pela utilização dos sistemas, pois uma substituição levaria um tempo inviável de paralisação dos serviços do Estado", alerta o analista de redes do Serpro Deivi Kuhn, em entrevista à Sputnik Brasil.
Serpro pretende transferir dados de 120 milhões de pessoas à nuvem da Amazon
Com exclusividade, fontes afirmaram à Sputnik Brasil que o Serpro está transferindo a base de dados do BRCidadão (
Plataforma Gov.br) do
Estaleiro, o sistema de dados em nuvem desenvolvido e operado pela estatal, para o
AWS. A migração estava prevista para o dia 14, mas foi adiada para o sábado (27). O adiamento
coincide com o início de uma greve dos servidores da empresa.
Especialistas consultados pela Sputnik Brasil afirmaram que não há necessidade para esses contratos com a Amazon e outros serviços de nuvem. Segundo eles, o Estaleiro é plenamente capaz de fornecer esses serviços, com tecnologia nacional e controle público.
Conforme o
relatório integrado anual do Serpro de 2021, a Plataforma Gov.Br tem cerca de
120 milhões de cadastros com dados de brasileiros que servem para acessar os portais de serviços do governo. Esses cadastros são a garantia de acesso a milhares de serviços para
virtualmente todos os brasileiros vivos, incluindo histórico de vacinas, imposto de renda, serviços do SUS, carteira de trabalho digital e o portal eSocial.
Tensão no Serpro reflete disputa pela privatização e preocupação com soberania
Em meio à instabilidade na empresa, a situação política interna no Serpro é tensa. Desde o dia 10, os servidores da estatal estão em greve nacional por tempo indeterminado. Os grevistas denunciam o
esvaziamento do quadro de servidores por meio de programas de demissão voluntária. O número de funcionários do Serpro caiu de
9.033, em 2019, para os atuais
7.701, segundo
dados do governo. Servidores ouvidos pela Sputnik Brasil denunciam a movimentação como forma de abrir caminho para a venda da empresa.
Milton Pantuzzo, diretor do sindicato dos trabalhadores de tecnologia da informação do Distrito Federal (Sindpd-DF) e uma das lideranças da greve, explica à Sputnik Brasil que o protesto dos servidores inclui a discussão sobre o risco de privatização.
"A gente queria discutir a questão de privatização com a empresa e a mesa [diretora]. E a empresa se recusa a conversar sobre esse tema da privatização porque ela alega — inclusive escreveu isso em ata de negociação — que a privatização é um tema governamental e foge à governabilidade dela", relata o servidor, que trabalha há 38 anos na empresa.
Pantuzzo defende a importância do controle público da empresa devido à relação direta entre dados e poder. Para ele, o Serpro funciona como uma espécie de "guardião dessas informações" e seria arriscado que o conjunto de dados dos cidadãos brasileiros fosse para a iniciativa privada.
'Salve seus dados': campanha de servidores alerta para riscos
O economista e analista de redes Deivi Lopes Kuhn é servidor do Serpro há 24 anos e o atual representante da campanha Salve Seus Dados. A campanha denuncia riscos ligados à privatização do Serpro e da Dataprev, alertando para os riscos de perda de controle público sobre dados empresariais, tributários e de seguridade social, assim como informações pessoais da população brasileira.
"O cidadão será diretamente afetado, tendo aspectos de sua vida privada sob controle de empresas que geram lucros justamente analisando e predizendo os comportamentos das pessoas. Diferentemente de uma relação comercial, o cidadão é obrigado a fornecer seus dados para o Estado. Esse caráter compulsório é completamente incompatível com o controle de empresas sediadas em outros países, fora do alcance da nossa legislação", explica o servidor.
Kuhn ressalta que, sendo a tecnologia um aspecto central da administração pública e de qualquer tática organizacional, o Brasil adotou a estratégia de segurança de criar empresas públicas especializadas, com carreira própria sob regime da CLT, garantindo estabilidade ao controle e gestão dos principais sistemas que garantem o funcionamento do Estado brasileiro.
Para o analista de redes, o Serpro e a Dataprev são "a garantia de manutenção do conhecimento e inteligência da área de TIC [Tecnologia da Informação e Comunicação]" do Estado brasileiro, sendo que o modelo atual é utilizado há décadas e "sustenta o sucesso da informatização do setor governamental no Brasil".
A posição da campanha é corroborada por estudos e posicionamentos de outras instituições públicas. Em
nota técnica de fevereiro de 2021, o Ministério Público Federal (MPF) apontou que a eventual privatização do Serpro fere a Lei Geral de Proteção de Dados (
LGPD) e
ameaça a soberania nacional:
"[...] delegar os serviços do Serpro e Dataprev a entes privados coloca em maior risco a segurança de pessoas e instituições, podendo até mesmo comprometer os interesses nacionais", diz o documento. O MPF ressalta que o próprio estatuto do Serpro cita que seus serviços são "imperativos de segurança nacional".
Em julho, a Controladoria-Geral da União (CGU)
divulgou um relatório apontando que
a Dataprev não tem concorrentes no setor privado capazes de realizar integralmente as funções exercidas pela companhia. O relatório cita riscos e salienta a
"manutenção de informações sigilosas e sensíveis" sob controle do Estado como uma razão para não se privatizar as empresas. O estudo da CGU foi realizado para subsidiar as decisões do governo sobre a possível venda das estatais.
Em
nota técnica, o Departamento Intersindical de Estatística e Estudos Socioeconômicos (Dieese) também reforçou a preocupação com a soberania nacional e em relação ao
risco à privacidade de potencialmente toda a população brasileira.
O analista de redes e servidor do Serpro Deivi Kuhn acredita que o compartilhamento das bases de dados dessas empresas com companhias estrangeiras pode expor as riquezas do Brasil.
"Nos documentos compartilhados com o mundo pelo Edward Snowden, ficou evidente que o objetivo central dos chamados 'Five Eyes', países aliados liderados pelos EUA, foi obter informações estratégicas sobre as reservas brasileiras de petróleo e de recursos minerais. Os mesmos documentos mostraram que havia uma relação de cooperação entre as grandes empresas de tecnologia e os órgãos de inteligência, principalmente a NSA [sigla em inglês para Agência de Segurança Nacional]. Entregar nossas informações para essas empresas poderá expor toda a nossa riqueza natural", alerta.
Cláusulas contratuais não garantem segurança, diz especialista em dados
O pesquisador
Rodolfo Avelino, professor do Ibmec, ressalta que golpes com
dados pessoais detalhados estão se espalhando, o que reforça a importância da proteção desse tipo de informações presente em bancos de dados. Conforme Avelino, o número de
golpes sofisticados tem crescido devido ao aumento do número de vazamentos de dados pessoais de diversas bases, incluindo informações relacionadas a crédito, emprego e tipos de serviços consumidos. Segundo ele, isso é utilizado nas estratégias de persuasão por fraudadores.
O pesquisador explica que o vazamento de dados pessoais é um fenômeno mundial e ocorre devido à falta de controle dos processos em torno da segurança dessas informações, ampliada pela terceirização de serviços. "Parte da infraestrutura tecnológica foi terceirizada. Então é difícil ter uma empresa que tenha a gestão e a governança de todos os processos tecnológicos da sua cadeia de produção", explica Avelino em entrevista à Sputnik Brasil, acrescentando que essa situação ocorre tanto na iniciativa privada quanto na administração pública.
"Isso não é diferente nos órgãos públicos. A gente tem empresas terceiras que vão prover desde a infraestrutura até serviços para essas entidades. Faltam governança e políticas de segurança da informação que permitam que determinados processos tenham controles efetivos de segurança. Não são apenas cláusulas contratuais que garantem que de fato uma empresa presta os devidos cuidados de segurança em seus serviços", afirma, acrescentando que o ideal seria reduzir o chamado outsourcing — a terceirização desses serviços.
'Risco mundial': colonialismo de dados impõe desafios aos países
O pesquisador Rodolfo Avelino ressalta que a lógica de marketing e propaganda das grandes empresas de tecnologia norte-americanas é um modelo que acarreta um "risco mundial" à soberania dos países e aos direitos das populações.
"A gente tem uma Internet totalmente refém de um modelo de mercado baseado em dados pessoais. Boa parte da população mundial não tem conhecimento disso, não entende o problema que está relacionado a essas questões, sobretudo que elas não sairão das bases de dados dessas empresas", afirma Avelino, ressaltando que esses dados são usados para modular o comportamento dos usuários para atender aos modelos de negócio de parceiros.
Leonardo Paz, analista de Inteligência Qualitativa no Núcleo de Prospecção e Inteligência Internacional da FGV (FGV NPII), concorda com essa visão sobre o modelo de negócio dependente da extração de dados. Segundo ele afirma à Sputnik Brasil, esse modelo impulsiona grandes empresas de tecnologia a fazerem "todo tipo de sistema para poder cada vez mais pegar cada tipo de dado possível", inclusive driblando regulamentações.
O pesquisador da FGV também ressalta que a questão da dependência de tecnologias da informação dos EUA não é exatamente uma novidade, apesar de acreditar que as coisas pioraram devido ao armazenamento dos dados em servidores norte-americanos.
"Não um problema novo. Temos que lembrar, por exemplo, que até muito pouco tempo toda a informação que o Brasil usava, tanto via satélite quanto via cabos submarinos, era toda dos EUA. Os satélites eram norte-americanos e os cabos eram todos dos EUA. [...] Nós já não tínhamos soberania", afirma.
Sérgio Amadeu, pesquisador da área de tecnologia e dados e professor da Universidade Federal do ABC (UFABC), é um dos organizadores do
livro "Colonialismo de Dados", que discute diversas dimensões do controle tecnológico. Segundo ele, o controle das tecnologias digitais por poucos países abriu espaço para um
modelo atualizado de colonialismo.
"No colonialismo histórico, a matriz controlava a economia das colônias e delas retirava metais preciosos, matérias-primas, alimentos e demais produtos agrícolas. No atual colonialismo, as plataformas extraem de todo o mundo os dados das populações para tratamento e análise e para o desenvolvimento de produtos e serviços neles baseados. Essa coleta massiva e permanente de dados é chamada de colonialismo de dados", explica o pesquisador em entrevista à Sputnik Brasil.
Amadeu detalha que esse colonialismo digital envolve três componentes — os softwares, os hardwares e as infraestruturas de conexão e de desenvolvimento tecnológico. Segundo ele, os países ricos que controlam os três concentram riquezas ao submeter os demais à condição de usuário e comprador e bloquear a tecnodiversidade e a criatividade de sociedades pobres.
No mesmo sentido, Rodolfo Avelino avalia que, em meio ao desenvolvimento do modelo capitalista das tecnologias digitais, há "um cenário de colonialismo digital norte-americano" que não fica restrito ao chamado sul global. Apesar de exceções, como China e Rússia, o pesquisador aponta que o mundo inteiro vive uma "grande dependência da infraestrutura" de servidores como os da Microsoft e da AWS, um dos serviços de nuvem "mais utilizados por corporações, entidades e órgãos públicos".
Segundo o pesquisador, enquanto esse modelo de negócio for regra para investidores do setor, os riscos de vazamento e uso político das informações continuarão. Para mitigar o problema, seria necessário "investimento massivo na segurança da informação" e na fiscalização de empresas que lidam com bases públicas de dados, além de uma "mudança cultural".
Legislação brasileira precisa avançar para proteger soberania
Para Leonardo Paz, não seria realista pensar em alternativas radicais como o uso de plataformas alternativas como estratégia de proteção de dados, a exemplo do que ocorre na China com o Weibo e o WeChat. Diante disso, ele acredita em soluções como o aperfeiçoamento da legislação brasileira e o avanço da educação digital.
"Do ponto de vista legal, o Brasil tem boas legislações, tanto o Marco Civil quanto a LGPD são boas legislações. O problema é, na minha opinião, mais sobre a garantia de que elas estão sendo efetivamente implementadas e seguidas", aponta Paz, ressaltando que a LGPD ainda engatinha no Brasil.
Avelino ressalta que essa legislação, notadamente a LGPD e o
Marco Civil da Internet, é um importante passo para o avanço do controle de dados e dos direitos digitais no Brasil. Apesar disso, a velocidade do avanço tecnológico
impõe desafios contínuos à legislação e à fiscalização, como no caso da inteligência artificial.
Para Sérgio Amadeu, a base legal brasileira tem capacidade de proteger a soberania de dados do país. O especialista alerta, porém, que os dados não hospedados no Brasil, como os compilados por empresas estrangeiras, não seguem a lógica da legislação brasileira, compatível com o regulamento europeu de proteção de dados.
"Quando dados sensíveis saem da nossa jurisdição, a sociedade não mais os controla e perde a possibilidade de definir limites para cruzamentos e para a realização de correlações perigosas e probabilisticamente perigosas. É preciso aprimorar a legislação brasileira sobre os fluxos internacionais de dados tendo como princípio a soberania de dados", afirma.
"Ao entregar os dados das pessoas para as Big Techs, o país deixa de desenvolver soluções que geram mais riqueza, local e nacionalmente. A democracia fica, simultaneamente, cada vez mais fragilizada", conclui Amadeu.
A Sputnik Brasil procurou o Serpro para esclarecer informações sobre seus contratos de nuvem e questões relacionadas à possível privatização, mas não houve resposta até a publicação desta reportagem.