Invasão de privacidade com chancela oficial

Nixon Rabelo, de 48 anos, é mateiro da Universidade Federal do Amazonas (Ufam) no campus de Benjamin Constant, a 1.118 km de Manaus. Conhecedor e protetor da mata, passa o dia cuidando do trecho de floresta amazônica que se espalha pelo campus, além de acompanhar alunos e professores em aulas naquele ambiente. Como servidor da educação, entrou na lista de prioridades do Plano Nacional de Imunização e recebeu a primeira dose da vacina contra Covid-19 no dia 16 de abril. Ao chegar à Escola Professora Graziela Correa de Oliveira, seu posto de vacinação, percebeu que tinha esquecido o cartão do SUS. Não teve problema. Conseguiu ser vacinado apenas fornecendo seu CPF, RG e nome completo. O que não imaginava é que, poucos dias depois, esses dados estariam disponíveis para qualquer pessoa acessar na internet. Rabelo, que não faz compras virtuais por medo de seus dados vazarem, transformou-se em uma das vítimas do vazamento oficial de dados por parte da Prefeitura de Benjamin Constant. O site oficial traz tabelas e mais tabelas disponíveis a um clique, com nome completo dos vacinados, sexo, data de nascimento, categoria de grupo prioritário, CPF, cartão nacional de saúde (CNS, ou cartão SUS), posto em que se vacinou e até nome da mãe no site oficial da Prefeitura. 

O Amazonas foi um dos estados mais afetados pela Covid no Brasil. O sistema público de saúde colapsou e faltou oxigênio para doentes, alguns dos quais morreram asfixiados nos corredores de hospitais. Rabelo foi infectado em abril do ano passado. Manifestou sintomas leves e sentiu muito medo. Quando chegou a sua vez de se vacinar, quase não dormiu. Já no posto, entregou os dados solicitados e esqueceu o assunto. “Eu estava tão ansioso para tomar a vacina que nem pensei nisso, sinceramente. Era uma exigência. Pensei que fosse apenas para comprovar ao Ministério da Saúde.” O alívio pela vacina foi arranhado ao ser informado pela piauí da exposição de seus dados na plataforma da prefeitura. “Me assusta pensar que pessoas que nem me conhecem podem saber até o nome completo da minha mãe”, lamentou Rabelo, que autorizou a publicização de seus dados nesta reportagem. “Sou leigo nesse sentido, mas eu sei que CPF não deve ser público.”

A exposição não consensual ou sem finalidade específica de informações sobre os cidadãos na internet viola a Lei Geral de Proteção de Dados. A prática é passível de responsabilização administrativa, sanção do servidor ou órgão envolvido, afirma Chico Brito Cruz, doutor em direito pela USP e especialista em questões digitais. Órgãos de controle como Câmaras Municipais e Tribunais de Conta também têm competência para apurar os vazamentos. Se houve gasto de dinheiro público, é possível enquadrar o servidor responsável em improbidade administrativa e levar o caso ao Judiciário. 

Procurada desde o dia 28 de maio pela piauí por e-mail, telefone e WhatsApp, a Prefeitura de Benjamin Constant não se pronunciou.

A cidade amazonense de cerca de 44 mil habitantes não é a única a expor seus cidadãos sem consentimento. Outros oito municípios foram flagrados com práticas similares pelo matemático Krerley Oliveira, autor do painel de vacinação da Covid-19 do Laboratório de Estatística e Ciência de Dados da Universidade Federal de Alagoas (Ufal).

Ribeirópolis, no interior de Sergipe, divulga a lista das pessoas vacinadas em detalhes. Informa sexo, data de nascimento, CPF, Cartão SUS e a categoria do grupo prioritário. O vazamento, nas contas do pesquisador da Ufal, atinge 10% da população da cidade. Segundo a administração municipal afirmou à piauí, os dados foram expostos para cumprir orientação do Ministério Público, que solicitou transparência no processo de vacinação. “Como eles não especificaram os dados, achamos que, se não colocássemos tudo, poderiam achar que estávamos omitindo alguma informação”, afirmou o coordenador de Vigilância Epidemiológica de Ribeirópolis, Luís Carlos da Silva.

Buriti Alegre, em Goiás, expôs em seu site, em fichas de reserva organizadas por grupos, nomes de pessoas que estão aguardando para se vacinar, com nome e data de nascimento. Depois de vacinado, o cidadão vai parar numa tabela onde constam seu nome, seu grupo, local de trabalho e o laboratório que produziu o imunizante aplicado. Maraã, no Amazonas, lista em seu site oficial nome do vacinado, sexo, data de nascimento, categoria de grupo prioritário, CPF, Cartão SUS, nome da mãe, data da vacinação, nome do imunizante e dados do vacinador. Querência, em Mato Grosso, divulga todas essas informações em planilhas de Excel prontas para serem manuseadas em bancos de dados em larga escala. Jacundá, no Pará, também expõe os cidadãos em planilhas editáveis apontando nome, data de nascimento, categoria do grupo prioritário, data da vacinação, nome da vacina, tipo de dose, lote, produtor e nome do vacinador. As prefeituras de todas essas cidades foram procuradas, mas não deram retorno.

“É um problema de educação. Precisamos saber que é necessário tomar cuidado com nossas informações na internet e isso não está presente nas escolas”, critica Krerley Oliveira. 

A exposição dos cidadãos não se restringe às cidades pequenas. Capitais com populações numerosas incorrem na mesma prática. Fortaleza, capital cearense, divulga diariamente uma lista de todos os agendamentos da vacinação com nome completo e data de nascimento. A prefeitura disse que as informações “atendem a decisão judicial determinada na ação civil pública proferida pelos Ministérios Público Federal, Estadual e do Trabalho”. No Recife, as informações não são tão sensíveis e a lista também é atualizada todos os dias – nome completo, grupo prioritário, nome da vacina, lote, local e data de vacinação e o CPF “mascarado” (com apenas alguns dígitos do documento). Em nota, a prefeitura afirmou que a ação também foi acordada com o Ministério Público de Pernambuco e que “preserva dados como o CPF para resguardar a privacidade dos munícipes, com o respaldo da Corte de Contas do Estado”. Em Manaus, um documento com mais de 10 mil páginas possui dados de todos os vacinados e é alimentado diariamente com todos os números de CPF, nome completo, grupo prioritário e até a comorbidade da pessoa. Na aba de lista dos vacinados, a prefeitura afirma que não havia divulgado os dados antes “devido às restrições previstas na Lei Geral de Proteção de Dados”, mas que o fez por decisão judicial da Vara Federal da Seção Judiciária do Estado do Amazonas.

A Lei Geral de Proteção de Dados classifica como sensíveis os dados pessoais como gênero e estado de saúde do cidadão. “São informações com as quais temos que tomar cuidado especial, porque permitem discriminação grave”, diz Brito Cruz, diretor do Internetlab, centro independente de pesquisa focado em internet e direitos humanos. A posse das informações é imprescindível ao poder público para implementar o plano de imunização, ele observa, mas sua publicização deve atender a critérios claros estabelecidos em lei. “A transparência se esgotaria com a divulgação do número de pessoas vacinadas por faixa etária ou ainda mais logicamente por grupo de vacinação.”

O órgão federal que fiscaliza a proteção de dados em todo o território nacional está em processo de estruturação. A Autoridade Nacional de Proteção de Dados foi criada em julho de 2019. Em agosto de 2020, saiu sua estrutura regimental e, em março de 2021, aprovou-se o regimento. A primeira diretoria foi nomeada nos últimos meses pelo governo Jair Bolsonaro. Dela fazem parte técnicos respeitados, como a diretora Miriam Wimmer, e há militares em postos estratégicos. O diretor Arthur Pereira Sabbat, por exemplo, é oficial da reserva do Exército, com passagens em cargos ligados ao tema na Presidência da República e no Gabinete de Segurança Institucional. O presidente da ANPD, Waldemar Gonçalves Ortunho Junior, é engenheiro eletrônico formado pelo Instituto Militar de Engenharia (IME) e coronel do Exército. 

Brito Cruz afirma que a vinculação direta da ANPD à Presidência da República compromete a independência do órgão, apesar de a diretoria ter mandato. “Será problemático, por exemplo, a Autoridade analisar o tratamento de dados de partidos políticos. Vai ser esquisito avaliarem os dados do PT”, critica. A ANPD foi proativa na mudança dos termos de uso do WhatsApp e em megavazamentos de dados recentes. Mas em relação ao setor público demonstra mais lentidão, na avaliação de Brito Cruz, o que prejudica a conscientização acerca dos direitos no universo digital e a formação de uma cultura de proteção de dados.

A piauí solicitou entrevista ao presidente da ANPD, sua assessoria informou que responderia somente por escrito, mas não deu retorno às perguntas até a publicação desta reportagem.

A exposição indevida de dados na internet permite a coleta deles por pessoas que usam programas para extração de grandes volumes de informações. De posse delas, é possível cruzar bancos de dados para cometer crimes variados, desde vender serviços fraudulentos, invadir contas, aplicar golpes pelo WhatsApp e até usar os dados para abrir empresas laranjas. Por exemplo, seguradoras de saúde, de posse de informações às quais não deveriam ter acesso, podem oferecer planos específicos para um público-alvo sabendo se possui alguma comorbidade. Ou agências de marketing podem usar dados sobre eleitores como endereço e ocupação para venderem campanhas focadas em determinada região para candidatos em período eleitoral. “O ponto mais importante é: saber algo sobre alguém significa ter poder sobre esse alguém. Você convence a pessoa se sabe algo sobre ela. Esse poder precisa ser exercido de forma razoável, sem abuso”, afirma Brito Cruz.

Lianne Ceará

Jornalista e autora de Memórias Interrompidas: testemunhos do sertão que virou mar. Foi estagiária de jornalismo na piauí e também já contribuiu com Universa Uol, G1 Ceará e Diário do Nordeste.

Thais Bilenky

Foi repórter da piauí. Na Folha de S.Paulo, foi correspondente em Nova York e repórter de política em São Paulo e Brasília