A Polícia Rodoviária Federal tem em mãos fotos e informações de mais de 80 milhões de brasileiros – o que corresponde a 37% da população. Isso porque, em agosto de 2022, a PRF assinou um contrato com o Serviço Federal de Processamento de Dados, o Serpro, para ter cópia dos dados biométricos de todos os aptos a dirigir no país. As fotos e assinaturas armazenadas no Registro Nacional de Condutores Habilitados, o Renach, permitem o uso de tecnologias de reconhecimento facial. O valor do serviço foi fechado entre PRF e Serpro foi de R$ 205.722,80.
Pode parecer natural, a princípio, que a PRF tenha autorização para extrair os dados da Carteira Nacional de Habilitação, CNH, de todos os motoristas, já que o papel dela é fiscalizar as rodovias federais do Brasil. Mas não funciona bem assim. A Lei Geral de Proteção de Dados, a LGPD, exige transparência, cuidados e critérios com os dados dos cidadãos, além de justificativas e finalidades sólidas para o requerimento dessas informações – vale ressaltar, a PRF já tem acesso às CNHs pelos bancos de dados do próprio Serpro, dos Detrans, Ministério de Segurança Público e secretarias de segurança pública, mas apenas para consulta. Elas não estavam armazenadas no sistema da instituição.
A história se assemelha com um caso ocorrido na Argentina em 2019, que terminou em investigação. Lá, o governo de Buenos Aires, Ministério da Justiça e Segurança e o órgão público que realiza a identificação e o registro das pessoas físicas que vivem no país fecharam um acordo para consultas à base de dados de milhões de cidadãos. Foram mais de 18 milhões de consultas aos registros, sob a justificativa de prevenção de crimes ou para alimentação do serviço de reconhecimento facial de fugitivos.
A Procuradoria de Investigações Administrativas decidiu investigar o caso. E não encontrou razão lógica para as milhões de consultas. No fim de abril, a Procuradoria denunciou as autoridades de Buenos Aires por “espionagem ilegal a milhões de cidadãos através do sistema de dados biométricos”.
Aqui no Brasil, novo acordo precisou do aval da Secretaria Nacional de Trânsito, a Senatran, a quem pertencem os dados das CNHs. O Serpro é a empresa pública responsável por gerir as informações e atende aos pedidos de outros órgãos para fazer o compartilhamento de dados – por isso o contrato foi fechado entre PRF e Serpro, mas precisou da autorização da Senatran.
Com o serviço, que começou a ser entregue no começo de março, a PRF criou uma cópia da base de dados que contém fotos e assinaturas de todos os condutores do Brasil. A justificativa é tacanha: “aperfeiçoamento do serviço”.
Em 2020, a Agência Brasileira de Inteligência, a Abin, teve frustrada uma tentativa de também ter acesso aos dados da CNH dos brasileiros, conforme contado em reportagem publicada pelo Intercept, em junho de 2020. Na ocasião, o compartilhamento foi alvo de uma ação no Supremo Tribunal Federal. Os ministros decidiram que o troca-troca de informações dos cidadãos pode ser feito, desde que se limite ao mínimo necessário para atender a finalidade informada.
No entanto, o contrato entre a PRF e a Serpro nem sequer atende aos critérios de transparência. Não encontramos, por exemplo, o contrato, nem os termos anexados a ele, nos portais de transparência e no Diário Oficial da União. Só conseguimos obter os documentos anexados ao contrato por meio da assessoria de imprensa deles.
Segundo consta no Termo de Referência, a PRF precisa da extração dos dados das CNHs para “possibilitar a identificação de usuários que não possuam sua documentação no momento da abordagem, trazendo mais agilidade às mesmas e mais conforto aos usuários das rodovias federais”. Até então essas informações poderiam ser acessadas pelos policiais, mas não era possível copiá-las e armazená-las.
Tampouco se sabe quais dados serão cruzados com as cópias das CNHs. “Não há uma justificativa clara do porque precisam desse enorme banco de dados. E isso impossibilita até fazer previsões sobre as finalidades, porque são inúmeras”, explica o pesquisador Felipe Rocha, do Laboratório de Políticas Públicas e Internet, o Lapin, que integra o Comitê Central de Segurança de Dados, criado em 2019, para gerenciar o compartilhamento de informações pessoais com o governo.
Segundo especialistas, ainda há os riscos pelo uso da tecnologia de reconhecimento facial: perseguição e vigilância política. “Temos muitos casos de uso de dados para mirar grupos marginalizados. E ainda existe um risco de vigilância e de compartilhamento desses dados com empresas privadas, já que muitas agências se utilizam deste setor para serviços públicos”, me explicou Cynthia Picolo, diretora-presidente do Lapin.
“Esses dados crus não significam muita coisa, o problema é quando você interliga com vários outros, como as multas, por exemplo. Você consegue manipular esses dados com objetivos que podem, por vezes, serem escusos. Temos um exemplo muito claro das ações da PRF durante as eleições”, complementou Rocha.
Uso político da PRF
No governo Bolsonaro, a PRF teve suas funções alteradas e papel de destaque nas ações orquestradas pelo ex-presidente. Em 2019, Sérgio Moro, então ministro da Justiça e Segurança Pública, publicou uma portaria para ampliar os poderes do órgão, que passaria a investigar e cumprir mandados judiciais. Pressionado pela Polícia Federal, André Mendonça, sucessor de Moro, anulou a portaria. Ainda assim, manteve a possibilidade de a PRF, em parceria com outras polícias e Ministério Público Federal, participar de operações. O trabalho em conjunto culminou em chacinas como a da Vila Cruzeiro, no Rio de Janeiro, em maio do ano passado, com mais de 20 mortos.
Anderson Torres assumiu o cargo de Mendonça e foi ainda mais incisivo na radicalização política da PRF. O ex-ministro da Justiça mapeou as cidades com mais eleitores de Lula para organizar os bloqueios durante o segundo turno das eleições – as ações da PRF fizeram de Silvinei Vasques, ex-diretor-geral, réu em processo por improbidade administrativa. Na casa de Torres também estava a “minuta do golpe”, um decreto institucional que previa a instauração do estado de defesa no Tribunal Superior Eleitoral, cujo intuito era apurar suspeições e interferências no processo eleitoral. Em janeiro deste ano, o ex-ministro foi preso por “indícios de omissão” e conivência com os atos golpistas no dia 8 daquele mês, que ocorreram durante sua gestão como secretário de segurança pública do Distrito Federal.
Foi nesse contexto pós-eleitoral que os trâmites para o acordo entre o Serpro e PRF se aceleraram. Embora os documentos não estejam datados, com exceção do termo de autorização, é possível checar quando foram assinados. O Serpro aceitou a proposta no dia 7 de novembro, segundo consta no texto do contrato, e o termo de referência foi assinado no dia 14 de dezembro – dois dias após eleitores de Bolsonaro atearem fogo em ônibus e carros, fecharem vias e atacarem delegacias em Brasília.
O contrato mesmo só recebeu as assinaturas no final de janeiro, já no governo Lula, e prevê que o Serpro entregue os dados em “até 45 dias após a emissão da Ordem de Serviço pelos fiscais do contrato”.
Questionamos o Serpro para saber se os dados já estão sob a posse da PRF, eles disseram que “já vem cumprindo o previsto no Contrato Administrativo”, mas não especificou o quanto já foi repassado à PRF.
Proteção da LGPD
Aprovada em 2018, a Lei Geral de Proteção de Dados fez do cuidado com esses dados pessoais um direito constitucional. O artigo 4º traz algumas exceções à lei, entre elas está o tratamento de informações para fins exclusivos de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais. Estipulou-se que as discussões sobre proteção de dados por órgãos de segurança pública precisam ser regidas por uma lei específica. E assim a área segue quase num limbo, embora já exista um anteprojeto, elaborado por uma comissão de juristas, em trâmite na Câmara dos Deputados
Isso não quer dizer que os órgãos de segurança pública podem usar como bem entendem os dados pessoais dos cidadãos. Eles ainda precisam seguir os critérios básicos da LGP: especificação de finalidades, justificativas e segurança dos dados.
“Muitas instituições acabam utilizando esses escopo da segurança pública para fugir das balizas da LGPD. É muito estratégico fazer pedidos absurdos como esse da PRF sob a alegação de fins de segurança pública”, explica Picolo. “A administração pública federal se rege pelo princípio da legalidade. Se não tem uma lei especificando o que ele pode fazer, então ele não pode fazer. Também nos surpreende a simplicidade com que o Serpro acatou ao pedido, sem exigir justificativas”, questiona Rocha.
’A administração pública federal se rege pelo princípio da legalidade. Se não tem uma lei especificando o que ele pode fazer, então ele não pode fazer’.
Até mesmo uma lei polêmica coloca em dúvida a legalidade do pedido da PRF. O decreto 10.046, de 2019, criticado por violar a privacidade dos cidadãos, dispõe sobre o compartilhamento de dados entre entes públicos e estabelece que a troca precisa se limitar “ao mínimo necessário para o atendimento da finalidade informada”. Na lista de leis mencionadas no termo de referência como “requisitos legais” que embasam a solicitação, a PRF nem sequer menciona este decreto. Ele só aparece no termo de autorização emitido pela Senatran, ao informar que “a documentação prevista no decreto 10.046 (…) está em ordem e o acesso para desempenho de suas atividades foi avalizado pela Senatran”.
“Puxar todos os dados das CNHs é flagrantemente contra a LGPD. É desproporcional pedir essa quantidade toda. Se fosse um caso específico, de um grupo específico, até daria para justificar”, criticou Luã Cruz, especialista em telecomunicações pelo Idec, Instituto Brasileiro de Defesa do Consumidor.
Em setembro do ano passado, no julgamento da ação motivada pela reportagem do Intercept, o Supremo Tribunal Federal impôs novas regras ao decreto – entre elas, a participação de outras instituições da sociedade civil no Comitê Central de Governança de Dados. Gilmar Mendes, relator do julgamento, disse que “a permissão de acesso a dados de acesso a dados pressupõe propósitos legítimos, específicos e explícitos para seu tratamento e deve ser limitada a informações indispensáveis ao atendimento do interesse público”. E reforçou a necessidade de cumprir integralmente os requisitos estabelecidos pela LGPD. Ainda de acordo com a decisão do STF, a inclusão de novos dados à qualquer base precisa ter uma “justificativa formal, prévia e detalhada”.
Procurada, a PRF informou ter feito um Relatório de Impacto de Dados Pessoais, que prevê e mitiga os riscos de vazamentos. Pedi acesso a esse relatório, mas eles não enviaram justificando ser “reservado por conta do grau de sensibilidade das informações relacionadas a sistemas focados na área de segurança pública”. O órgão também afirmou ter um programa de governança, monitoramento e mitigação de riscos em caso de incidentes de segurança durante o compartilhamento de dados – mas também não deu qualquer detalhe sobre o programa.
Em nota, o Serpro disse que a responsabilidade pela avaliação de riscos, definição de quais dados serão tratados e outros requisitos de tratamento são de responsabilidade da Senatran.
“O Serpro, como operador, seguiu os requisitos definidos pela Controladora no Termo de Autorização, conforme preconiza a LGPD, e realizou a operação somente mediante os termos autorizativos definidos pela Senatran e instrumento contratual junto à PRF, adotando as medidas de segurança necessárias para a proteção dos dados”.
Segundo a Senatran, o órgão avaliou os riscos dos diferentes cenários e repassou recomendações às áreas técnicas para “reforçar as medidas de segurança e o uso responsável no acesso aos dados”. Também disseram que avaliaram que seria necessário extrair os dados, e não apenas permitir consultas, após os pedidos realizados pela PRF e Ministério da Justiça e Segurança Pública. “Com base no referido processo, de acordo com os pareceres jurídicos e notas técnicas elaboradas à época, entendeu-se que a concessão de acesso a dados à PRF respeitava todas as diretrizes legais e infralegais existentes no momento da solicitação”.
Não é possível acessar o processo mencionado pela secretaria no site do Ministério da Infraestrutura – apenas suas movimentações.
Você sabia que...
O Intercept é quase inteiramente movido por seus leitores?
E quase todo esse financiamento vem de doadores mensais?
Isso nos torna completamente diferentes de todas as outras redações que você conhece. O apoio de pessoas como você nos dá a independência de que precisamos para investigar qualquer pessoa, em qualquer lugar, sem medo e sem rabo preso.
E o resultado? Centenas de investigações importantes que mudam a sociedade e as leis e impedem que abusadores poderosos continuem impunes. Impacto que chama!
O Intercept é pequeno, mas poderoso. No entanto, o número de apoiadores mensais caiu 15% este ano e isso está ameaçando nossa capacidade de fazer o trabalho importante que você espera – como o que você acabou de ler.
Precisamos de 1.000 novos doadores mensais até o final do mês para manter nossa operação sustentável.
Podemos contar com você por R$ 20 por mês?