Ausência de proteção de dados na contratação de tecnologias de vigilância para segurança pública
Ausência de proteção de dados na contratação de tecnologias de vigilância para segurança pública
Agosto/2024
Análise das contratações de tecnologia e dos recursos institucionais para proteção de dados pessoais em secretarias estaduais de segurança pública revela baixa adesão à LGPD e entraves à garantia de direitos dos titulares
CC-BY
Este trabalho está sob a licença CC BY 4.0. Mediante atribuição de crédito à organização autora, pode ser
copiado e redistribuído em qualquer suporte ou formato; remixado e adaptado para qualquer fim, inclusive comercial (nestes casos, as alterações feitas devem ser indicadas).
FICHA TÉCNICA
agosto/2024
DIREÇÃO EXECUTIVA
Xxxxxxx Xxxxx
AUTORIA
Xxxxxx Xxxxx
AGRADECIMENTOS
A Transparência Brasil agradece a Xxxxx Xxxxxxx, Xxxxx Xxxxxxxxx, Xxxxxxx Xxxxxx, Xxxxxxxxx Xxxxx Xxxx, Xxxxxxx Xxxx e às organizações parceiras Artigo 19, data_labe, Instituto de Pesquisa em Direito e Tecnologia do Recife (IP.rec), InternetLab, e Laboratório de Políticas Públicas e Internet (LAPIN), pelas considerações, sugestões e contribuições a este relatório.
FINANCIAMENTO
Absence of data protection in surveillance technology contracts for public security purposes
Executive summary
The gap in the Brazilian General Data Protection Law (LGPD) for public security activities paves the way for the use of technologies with a high potential for
rights violations, as well as for the establishment of a state surveillance apparatus. To understand the current conditions of data protection in this
context, this report analyzes contracts for data management and online activity monitoring technologies by the Public Security Secretariats (SSPs) of four
brazilian states: Bahia, Paraná, Rio de Janeiro, and São Paulo.
In total, 61 contracts, effective from 2020 onwards, were analyzed to verify the presence of provisions addressing information confidentiality and/or data
protection. The SSPs were also evaluated regarding their institutional capacity to ensure the protection of personal data in their activities. The state of Mato Grosso do Sul, also selected for this study, had its analysis hindered by lack of transparency. The State Secretariat of Justice and Public Security (SEJUSP-MS) did not provide the requested contractual information through Access to
Information Law (LAI), merely indicating the search for contracts on the state contracting portal, where they could not be located.
From the analyzed contracts, it was found that:
● 31% have a confidentiality agreement, and 67% include a confidentiality clause in the text – both instruments aimed at ensuring information security but insufficient for data protection;
● 36% have at least one general data protection clause, without referencing the LGPD;
● Only 28% contain a clause that directly references the LGPD, with the state of Bahia not even having its own regulation of the national law;
● In cases of adherence to the LGPD in the contract, clauses suggest
greater accountability for contracted companies in guaranteeing the rights of data subjects than for the state.
The majority (68%) of contracts with potential for expanding online state surveillance were signed with the company TechBiz Forense Digital Ltda., national representative of Israeli company Cellebrite DI. Nearly all (92%)
contracts with TechBiz deal with the acquisition of intrusive access tools to mobile devices, and their public procurement processes all took place through waiver of competitive bidding.
Even contracts that adhered to the LGPD present little clarity regarding the
responsibilities of the contracted companies and of the state, as the contracting party and operator of technologies. The SSPs lack clear mechanisms to
guarantee the rights of data subjects, as well as proper transparency about technologies in use and ongoing personal data processing – essential
information for making any personal data subject request, under the LGPD.
State regulations of the LGPD also actively exclude public security activities from their provisions, and internal regulations of SSPs on technologies tend to ignore data protection altogether.
To improve the transparency of these technologies and ensure the rights of personal data subjects, in order to avoid a possible expansion of state
surveillance, we recommend the National Data Protection Authority (ANPD) to publish recommendations on mechanisms and procedures to effectively enable the rights of data subjects, as well as request the SSPs to produce Personal Data Protection Impact Reports (RIPD) for their current technologies and activities, under the terms of art. 4°, § 3° of the LGPD.
To the SSPs, we recommend enhancing public transparency on personal data processing activities, on the technologies used for their activities, and on their
contracting processes; prioritizing competitive and public bidding processes
for procuring and contracting technologies; and establishing clear and
effective mechanisms to guarantee the rights of data subjects within the scope of their activities.
Sumário executivo
A lacuna da Lei Geral de Proteção de Dados Pessoais (LGPD) para atividades de segurança pública abre caminho para a utilização de tecnologias com alto
potencial de violações a direitos, bem como para a efetivação de um aparato estatal de vigilância. Para entender quais seriam as condições de proteção de
dados nesse contexto, este relatório analisa contratos de tecnologias de gestão de dados e monitoramento de atividades online pelas secretarias de Segurança Pública (SSPs) de quatro estados: Bahia, Paraná, Rio de Janeiro e São Paulo.
Ao todo, foram analisados 61 contratos, vigentes de 2020 em diante, para
verificar a presença de dispositivos que tratem de sigilo de informações e/ou proteção de dados. As SSPs também foram avaliadas quanto à capacidade
institucional de garantir a proteção de dados pessoais em suas atividades. O Mato Grosso do Sul, também selecionado para este estudo, teve a análise
inviabilizada por falta de transparência. A Secretaria de Estado de Justiça e Segurança Pública (SEJUSP-MS) não forneceu as informações contratuais solicitadas via Lei de Acesso à Informação (LAI), apenas indicou a busca pelos
contratos no portal estadual de contratações, mas não foi possível encontrá-los.
A partir dos contratos analisados, verificou-se que:
● 31% possui termo de sigilo de informações e 67% contém cláusula de sigilo incorporada ao texto – ambos instrumentos voltados à garantia de segurança de informação, mas insuficientes para a proteção de dados;
● 36% contam com ao menos uma cláusula geral de proteção de dados, sem referenciar a LGPD;
● Apenas 28% contém cláusula que faz referência direta à LGPD, sendo que o estado da Bahia sequer possui regulamentação da lei nacional;
● Nos casos de adesão à LGPD no contrato, as cláusulas sugerem maior responsabilização às empresas contratadas na garantia de direitos dos titulares de dados do que ao estado.
A maioria (68%) das contratações com potencial para expansão de vigilância estatal online foi firmada com a empresa TechBiz Forense Digital Ltda.,
representante nacional da israelense Cellebrite DI. Quase todos (92%) os
contratos com a TechBiz tratam da aquisição de ferramentas de acesso intrusivo a dispositivos móveis, e foram realizados sem licitação.
Mesmo os contratos que aderiram à LGPD apresentam pouca clareza quanto às responsabilidades das empresas contratadas e do estado, enquanto contratante e operador das tecnologias. Nas SSPs, faltam mecanismos claros para a
garantia de direitos dos titulares, bem como a devida transparência sobre tecnologias em uso e tratamentos de dados pessoais realizados de forma
corrente – informações essenciais para a realização de qualquer requerimento de titular de dados pessoais, nos termos da LGPD. As regulamentações estaduais da LGPD também excluem ativamente as atividades de segurança pública de suas disposições, e as normativas internas das SSPs sobre tecnologias tendem a ignorar a proteção de dados.
De forma a aprimorar a transparência sobre essas tecnologias e garantir os
direitos dos titulares de dados pessoais, para evitar uma possível expansão da vigilância de estado, recomendamos que a Autoridade Nacional de Proteção de Dados (ANPD) produza recomendações sobre mecanismos e procedimentos de viabilização de direitos dos titulares, bem como solicite às SSPs a produção de Relatórios de Impacto à Proteção de Dados Pessoais (RIPD), nos termos do art. 4°, § 3° da LGPD.
Às SSPs, recomendamos o aprimoramento da transparência pública sobre tratamentos de dados pessoais realizados, sobre as tecnologias utilizadas para suas atividades e seus processos de contratação; a priorização de processos licitatórios concorrenciais e públicos; e o estabelecimento de mecanismos claros e efetivos para a garantia dos direitos dos titulares no âmbito de suas atividades.
Introdução
Como o poder público tem realizado contratações de soluções de tecnologia
para segurança pública hoje, na situação de ausência de regulação específica de proteção de dados para suas atividades de investigação e persecução penal?
Existem mecanismos de proteção de dados adequados e efetivamente funcionando, no caso das informações coletadas, armazenadas e utilizadas para estes fins?
Ano após ano, a utilização de tecnologias de vigilância por diferentes instituições de segurança pública no Brasil passa por considerável expansão. É possível observar um foco crescente na adoção de tecnologias voltadas para o monitoramento biométrico em espaços físicos e públicos, em especial a partir
da contratação e uso de ferramentas de reconhecimento facial – à revelia das diversas manifestações, tanto nacionais quanto internacionais e oriundas dos mais diferentes setores, em favor de sua moratória1 ou banimento2.
Diferentes estudos demonstram os elevados riscos no emprego destas tecnologias, especialmente dados os viéses nelas observados – frequentemente incorrendo em outputs ou decisões embasadas em discriminação racial e de gênero – e à possibilidade de ampliação da vigilância e controle sobre o espaço público físico3. Como apontado no relatório “Regulação do
1 A moratória é a suspensão das tecnologias enquanto estas não atingirem patamar aceitável na correção de vieses e satisfação de critérios de transparência e proteção de direitos. A título de exemplo, a Organização das Nações Unidas (ONU) tem expedido posicionamentos em favor da moratória. Nas recomendações do relatório “Impact of new technologies on the promotion and protection of human rights in the context of assemblies, including peaceful protests”, de 2020, o Alto-Comissariado das Nações Unidas para os Direitos Humanos (ACNUDH) manifesta-se no parágrafo 53(f-j) pela moratória até que estejam satisfeitos uma série de critérios de proteção de dados, de correção de vieses discriminatórios e de transparência algorítmica. Essa posição é referendada no relatório “Right to Privacy in the Digital Age”, de 2021, em seu parágrafo 59(d).
2 No Brasil, a campanha Tire Meu Rosto da Sua Mira, que recebeu o prêmio EPIC International Privacy Champions, defende o banimento de tecnologias de reconhecimento facial na segurança pública.
3 Campanha Tire Meu Rosto da Sua Mira. Miniguia para juristas sobre o uso de tecnologias de reconhecimento facial na segurança pública. Coalizão Direitos na Rede: 2022.
Reconhecimento Facial no Setor Público”, realizado pela Associação Data Privacy Brasil de Pesquisa e o Instituto Igarapé e publicado em 2020, a expansão das tecnologias de vigilância biométrica, no caso brasileiro, não foi acompanhada
por uma evolução adequadamente sofisticada em termos de legislação específica e pertinente para a proteção de dados.
E apesar da expectativa otimista, à época, de que a entrada em vigor da LGPD pudesse contribuir para que houvesse, ao menos, uma aderência a seus
princípios nas ferramentas empregadas para fins de segurança pública, hoje é
possível afirmar que isso não tem ocorrido de maneira satisfatória. Nem mesmo a devida transparência pública sobre essas atividades é garantida, apesar de sua obrigatoriedade nos termos da Lei nº 12.527/2011, a LAI.
Nesse contexto, a atenção e o trabalho da sociedade civil especializada tem sido fundamental na compreensão do cenário de expansão da coleta massiva de dados pessoais para fins de segurança pública e da potencial ampliação do vigilantismo pelo Estado brasileiro, dada a inacessibilidade de informações sobre as tecnologias empregadas e suas finalidades.
O projeto O Panóptico, iniciativa do Centro de Estudo de Segurança e Cidadania (CESeC), tem mapeado a expansão de instrumentos de vigilância biométrica em espaços públicos nos estados da Bahia4, Ceará5, Goiás6 e Rio de Janeiro7 e suas consequências. De acordo com os dados mais recentes do projeto8, existem
hoje 235 casos de utilização de tecnologias deste tipo no Brasil, perfazendo uma infraestrutura de vigilância física que atinge mais de 73 milhões de brasileiros.
4NUNES, Pablo; LIMA, Xxxxxxxx G. L.; XXXX, Xxxxx X. O Sertão vai virar mar: expansão do reconhecimento facial na Bahia. Rio de Janeiro: CESeC. 2023.
5 XXXXXXX, Xxxxxx; XXXXXXXX, Xxxxxxx; XXXXX, Xxxxx; LIMA, Xxxxxxxx. Da construção de uma infraestrutura de vigilância à introdução do reconhecimento facial no Ceará. Rio de Janeiro: CESeC, 2024.
6 XXXXX, Xxxxx; LIMA, Xxxxxxxx G. L.; XXXXXXXXX, Xxxxxx. Das planícies ao planalto: como Goiás influenciou a expansão do reconhecimento facial na segurança pública brasileira. Rio de Janeiro: CESeC, 2023
7 XXXXX, Xxxxx; XXXXX, Xxxxxx X; xx XXXXXXXX, Xxxxxx, X. Um Rio de olhos seletivos [livro eletrônico]: uso de reconhecimento facial pela polícia fluminense / – Rio de Janeiro: CESeC, 2022. 8 10.jun.2024
Para além dos vieses inerentes a estas tecnologias, resultantes da discriminação recorrente em nossa sociedade, e da ineficiência do gasto público na
contratação das ferramentas – incapazes de entregar o que prometem, em termos de política pública de segurança –, os estudos do CESeC identificaram a precariedade na garantia da transparência, da proteção de dados e dos direitos dos titulares em todos os casos analisados9. Conclusões similares foram
encontradas em uma série de estudos conduzidos por organizações como o
Instituto de Pesquisa em Direito e Tecnologia do Recife (IP.rec)10, o Laboratório de Políticas Públicas e Internet (LAPIN)11 e o Instituto Igarapé12.
Paralelamente a esse movimento, observa-se uma preocupante tendência e pressão pela adoção de tecnologias voltadas à vigilância online e à coleta massiva de dados pessoais nas atividades de segurança pública – como a utilização de ferramentas de intrusão de dispositivos, de varreduras amplas e automatizadas sobre atividades online e de spyware –, constituindo um contexto de efetiva expansão do hacking governamental.
Há uma dificuldade generalizada na compreensão da adoção dessas tecnologias pelo poder público que, diferentemente do aparato de vigilância biométrico, se disseminam e são utilizadas internamente pelas forças policiais. Todavia, uma
característica persiste: o uso dessas ferramentas sem que haja a devida publicidade e transparência sobre suas contratações, sobre a real
capacidade dos recursos que oferecem e sobre quais dados de cidadãos brasileiros estariam sendo coletados, tratados e instrumentalizados para viabilizar seu funcionamento.
A presente análise se ocupa da compreensão da disseminação destas ferramentas nas secretarias estaduais de segurança pública brasileiras, no
contexto de absoluta fragilidade de proteção de dados pessoais nas atividades de investigação e persecução penal. Para isso, investigamos tanto os
9 XXXXX, XXXXX x xx XXXXXXXX, 2022, p. 19-21; XXXXX, XXXX e XXXXXXXXX, 2023, p. 12; XXXXXXX, XXXXXXXX, NUNES, e LIMA, 2024, p. 22-24; XXXXX, XXXX, e XXXX, 2023, p.12-14.
10 Nota técnica: Revelando rostos, ocultando sujeitos: como a implementação do reconhecimento facial fere direitos garantidos na Constituição Federal – IP.rec
11 Vigilância automatizada: uso de reconhecimento facial pela Administração Pública no Brasil
12 Infográfico reconhecimento facial no Brasil - Instituto Igarapé
dispositivos de proteção de dados incorporados em contratos de tecnologias de gestão de dados e de monitoramento de atividade online na segurança pública, quanto o arcabouço normativo e institucional presente nas secretarias estaduais para a garantia da proteção de dados pessoais e dos direitos de titulares, no âmbito de suas atividades.
Este estudo é parte de projeto firmado com o Xxxxxxx Xxxxxxxxxxxxx, grupo
internacional que mapeia e analisa o impacto de legislações sobre ambientes digitais no Sul Global, e que é composto por cinco organizações: Centre for
Intellectual Property and Information Technology Law (CIPIT), da Universidade de Strathmore (Quênia), Association for Progressive Communications (APC), Social Media Exchange (SMEX), Columbia Global Freedom of Expression (CGFoE) e Derechos Digitales (DD).
A seção a seguir apresenta a metodologia utilizada no levantamento de
informações e na sua posterior avaliação. As duas seções seguintes propõem,
respectivamente, discussões sobre o movimento de expansão de tecnologias de vigilância para fins de segurança pública no país e sobre o estado atual do
debate regulatório brasileiro em nível federal, dada a lacuna da aplicação da
LGPD sobre essas atividades. Após esse esforço de contextualização do estado da arte sobre o tema, apresentamos os principais achados deste relatório,
culminando em nossas recomendações ao poder público para endereçar os desafios identificados ao longo da análise.
Metodologia
O presente relatório tem por objetivo analisar quais medidas para salvaguarda e defesa de direitos referentes à proteção de dados pessoais estão sendo adotadas, em contratações vigentes de 2020 em diante13, por instituições
estaduais de segurança pública brasileiras. O foco está especialmente em suas contratações de soluções ou serviços de tecnologia junto a empresas privadas que ofereçam potencial para estabelecimento de mecanismos de vigilância online ou que, pela natureza de gestão de bases de dados no âmbito da segurança pública, possam oferecer riscos à proteção de dados pessoais.
Nesta análise, selecionamos as secretarias de Segurança Pública de cinco
estados brasileiros para condução de estudos de casos localizados: Bahia, Mato Grosso do Sul, Paraná, Rio de Janeiro e São Paulo. A amostra foi delimitada com base em uma abordagem dupla: por um lado, preocupando-se em incluir os
estados que já reconhecidamente investem mais em segurança pública e, por outro, pela maximização da representatividade regional em um estudo de
escopo limitado, dado o abreviado tempo de condução e capacidade de análise. Não é possível ignorar, contudo, que as despesas com segurança pública em geral, e com inteligência especificamente, despontam em diversos estados
brasileiros, sendo a intenção deste estudo a de desenvolver e promover uma abordagem metodológica que possa ser replicada, futuramente, a todas as unidades federativas.
A região Sudeste acabou superrepresentada na amostra com a inclusão de São Paulo e Rio de Janeiro, mas a escolha se justifica pelo fato destes estados
despenderem grandes montantes em segurança pública, ano após ano, e pela centralidade conferida à pauta por seus próprios governos. De acordo com
dados do Anuário Brasileiro de Segurança Pública de 2023, produzido pelo Fórum Brasileiro de Segurança Pública, São Paulo é o estado que mais despende na segurança pública, em números absolutos. O Rio de Janeiro figura em segundo lugar, além de ter se constituído historicamente como um dos estados
13 A amostra abarca alguns contratos firmados ainda em 2019, cuja vigência se estendia, no mínimo, até 2020.
cuja força policial apresenta maiores índices de letalidade. Na região Nordeste, a Bahia também desponta em primeiro lugar nos investimentos na segurança
pública, e teria ultrapassado o Rio de Janeiro, em 2023, nas taxas de letalidade policial.
Quanto à escolha do Paraná, pela região Sul, e o Mato Grosso do Sul, pela região Centro-Oeste, identificamos um crescente interesse na aplicação de tecnologias para fins de segurança pública, mas poucos dados tornados públicos sobre esse movimento. Ambos os estados foram escolhidos pelo Ministério da Justiça,
respectivamente em 201814 e 202115, para sediar o Centro Integrado de
Inteligência de Segurança Pública em suas regiões. O governo do Mato Grosso do Sul teria aumentado em 137% os investimentos na segurança pública de 2021 a 2022, mas há pouca clareza sobre suas aplicações e propósitos.
No Paraná, foram identificados dois grandes projetos referentes a utilização de tecnologia para segurança pública: Falcão e Olho Vivo – o primeiro, referente a contratação de tecnologias aéreas dotadas de ferramentas de inteligência
artificial para reconhecimento facial, e o segundo, referente a sistemas de coleta massiva de dados biométricos em espaços público com reconhecimento facial
que, de acordo com informações publicizadas pelo estado em 202216, já cobriria cerca de 65% de sua população.
Entendemos que esses dados corroboram com a percepção de uma expansão de estratégia tecnosolucionista da parte das forças de segurança que, via de
regra, se atrela à expansão de mais uma série de ferramentas de gestão de
dados e de vigilância online, essas muito menos publicizadas e compreendidas pelo público leigo. O estado do Mato Grosso do Sul, contudo, teve de ser
retirado da análise por entraves no acesso aos dados públicos, sem que houvesse a possibilidade de substituí-lo em tempo hábil, devido aos prazos da LAI. As dificuldades encontradas no acesso a informações do estado estão
descritas na seção seguinte.
14 Centro integrado de segurança do Sul começa a operar no PR | Agência Estadual de Notícias
15 Ministério da Justiça instala em MS centro de combate ao crime organizado; “resultado para o Brasil”, afirma governador – SEJUSP
16 Com os projetos Falcão e Olho Vivo, Paraná amplia e moderniza sistemas de segurança pública
| Agência Estadual de Notícias
Coleta de informações
Adotamos duas fontes de informações principais:
I. o conjunto de normativas infralegais (resoluções, portarias, entre outras) emitidas pelo respectivo órgão para regular suas contratações de tecnologia e as práticas internas de gestão e compartilhamento de dados vigentes no âmbito destas contratações;
II. o conjunto de todos os contratos de tecnologia pertinentes encontrados – seja a partir do próprio documento em seu inteiro teor ou a partir das minutas de contrato anexadas no edital da respectiva licitação – com foco específico em suas cláusulas e termos relativos ao sigilo e à
confidencialidade de informações e à proteção de dados pessoais.
Com relação à pertinência das tecnologias contratadas, para este estudo, foi selecionado um recorte específico do universo dos contratos de tecnologia, de forma a abarcar somente aqueles cujo objeto se refere a tecnologias com maior risco potencial de violação de direitos online, como ferramentas de gestão e operação de bases de dados massivas – possivelmente contendo dados
pessoais e/ou sensíveis, passíveis de vazamentos que constituiriam incidentes graves – e ferramentas de monitoramento massivo, incluindo soluções de OSINT e extração forçada de informações de dispositivos móveis para apoio a atividades de investigação e persecução penal.
O primeiro esforço de coleta foi realizado mediante o envio de quatro solicitações17 via LAI para cada Secretaria de Segurança Pública, requerendo:
1) Todas as normativas infralegais vigentes emitidas pelo órgão referentes à regulamentação de contratações de tecnologia;
2) O inteiro teor dos contratos de serviços ou soluções de monitoramento de redes sociais firmados desde 2020, se houver;
17 Os pedidos de acesso a informação foram realizados entre fevereiro e março de 2024.
3) O inteiro teor dos contratos de serviços ou soluções de gestão de bases de dados firmados desde 2020, se houver;
4) O inteiro teor dos contratos de serviços ou soluções que envolvam uso de ferramentas de inteligência artificial desde 2020, se houver.
À exceção da Secretaria de Segurança Pública da Bahia (SSP-BA), que enviou apenas um contrato em inteiro teor, as demais secretarias indicaram que se
realizasse a busca destes contratos nos respectivos repositórios de contratos e licitações mantidos pelos poderes executivos estaduais.
Assim, o segundo esforço de coleta envolveu a realização de buscas sucessivas por informações nestes portais específicos18, os quais apresentaram uma série de fragilidades e precariedade generalizada quanto a seu nível de transparência e usabilidade. Foi necessário recorrer a buscas em portais adicionais, como os
do Sistema Eletrônico de Informações (SEI), para localizar documentos na íntegra. Ainda assim os resultados obtidos foram parciais, já que foram
identificados contratos colocados em sigilo sem justificativa expressa ou até mesmo completamente ausentes dos sistemas.
Para o caso de São Paulo, no qual não fora possível localizar o inteiro teor dos contratos pelo sistema disponibilizado (e-Negócios), optamos por avaliar as
minutas de contrato anexadas aos respectivos editais de licitação apresentados no sistema, que contam com as cláusulas, dispositivos e termos referentes a
proteção de dados e sigilo de informações a serem incorporados ao instrumento final.
A Secretaria de Estado de Justiça e Segurança Pública do Mato Grosso do Sul
(SEJUSP-MS) não forneceu as informações contratuais requeridas, alegando não manter quaisquer contratos de tecnologia do tipo solicitado – nem mesmo para gestão de dados, os quais, segundo resposta fornecida, estariam “armazenados na Superintendência de Gestão da Informação
(STI/SETDIG/SEGOV)”. Mesmo tendo declarado a inexistência de contratos do tipo, indicou no âmbito da solicitação que se realizasse a busca no portal oficial
18 As coletas foram realizadas nos meses de março e abril de 2024.
de contratações do estado do Mato Grosso do Sul, mas à época não foram
encontrados os contratos firmados para aquisição ou contratação de serviços de tecnologia utilizados pela Secretaria.
Há ao menos uma grande ferramenta de gestão de dados empregada pela segurança pública do Mato Grosso do Sul: trata-se do Sistema Integrado de Gestão Operacional (SIGO), desenvolvido pela empresa Compnet Tecnologia e
contratado sem licitação. O sistema tem sido alvo de controvérsia: desde 2019, é submetido às ações civis públicas (ACPs) nº 0915388-41.2019.8.12.0001 e nº 0902280-71.2021.8.12.0001, impetradas pelo Ministério Público do Mato Grosso do Sul, que objetivam a anulação do contrato e a transferência de tecnologia ao estado, sob a justificativa de dependência tecnológica da secretaria à empresa, além de dispêndios milionários na manutenção da utilização do sistema que, de acordo com reportagem do G1, é utilizado há mais de 20 anos. Além disso, sucessivos episódios de instabilidade no sistema têm prejudicado as atividades da polícia no estado.
O contrato com a Compnet Tecnologia não foi localizado no portal estadual, nem fornecido via LAI. A busca pela Compnet Tecnologia na seção de fornecedores do portal retorna apenas a razão social “COMPNET
TECNOLOGIA EIRELLI” e indica que sua situação é “inativo”. Nas ACPs impetradas pelo MP-MS, contudo, a empresa citada possui razão social “Compnet Tecnologia Ltda” – que também não consta neste registro de fornecedores.
Imagem I. Busca pela empresa fornecedora Compnet Tecnologia no registro de fornecedores do portal Central de Compras do estado do Mato Grosso do Sul
A existência do contrato do SIGO contraria a negativa fornecida pelo SEJUSP-MS quanto à existência de contratos para tecnologias de gestão de dados, a qual
representa violação do direito de acesso a informação. Nos termos do art. 32 da LAI, a prática constitui conduta ilícita que enseja responsabilidade do agente
público:
“Art. 32 (...)
I - recusar-se a fornecer informação requerida nos termos desta Lei, retardar deliberadamente o seu fornecimento ou fornecê-la intencionalmente de forma incorreta, incompleta ou imprecisa”
Entendemos que há um potencial de subdimensionamento do universo dos
contratos de tecnologia, seja em decorrência da baixa adesão adequada à LAI por estas secretarias, da precariedade das ferramentas estaduais de gestão de contratos em transparência ativa, ou de um potencial ocultamento ou
determinação de sigilo de informações intencional sobre alguns destes instrumentos, para os quais não haveria qualquer informação pública documental disponível na íntegra.
Apesar disso, avaliamos que estes entraves de transparência não inviabilizam a análise, uma vez que o foco estaria nas práticas regulatórias internas
emergentes nas contratações estaduais de tecnologia em segurança pública
com maior risco de incidente de violação de dados pessoais, dado o contexto de vigência da LGPD e a simultânea ausência de regulamentação de proteção de
dados para a esfera da segurança pública e persecução penal. Estas práticas muito provavelmente se replicam para todos os contratos dessa mesma área, assim como pudemos observar que, em cada estado, as cláusulas tendem a ser copiadas ipsis litteris de um contrato para o outro, uma vez que passem a ser
incorporadas.
Classificação dos contratos
O esforço de coleta nos portais estaduais de transparência de contratos e
licitações resultou em uma base de dados contendo 61 contratos estaduais de tecnologia na segurança pública, distribuídos de maneira desigual entre os
quatro estados analisados:
Tabela I. Contratos de tecnologia encontrados, por UF
Estado | Quantidade de contratos | % do total |
SP | 24 | 39% |
PR | 17 | 28% |
RJ | 15 | 25% |
BA | 5 | 8% |
Total geral | 61 | 100% |
Todos os contratos foram analisados a partir das informações públicas
documentais disponibilizadas nestes mesmos portais, de forma a auferir a
presença de alguma adesão a dispositivos normativos de sigilo de informações ou proteção de dados em suas cláusulas contratuais ou termos acessórios.
Priorizou-se o acesso aos documentos de inteiro teor do contrato como fonte
primária. Quando estes não foram encontrados, analisamos a minuta contratual disponibilizada no edital de licitação.
A classificação buscou verificar em que medida houve adesão, em contratos vigentes a partir de 2020, às diretrizes de sigilo de informação ou proteção de dados pessoais em cada um destes instrumentos. Assim, os contratos foram avaliados quanto à presença das seguintes disposições ou documentos:
1. Termo específico de sigilo e/ou confidencialidade de informações;
2. Cláusula que versa expressamente sobre sigilo e/ou confidencialidade de informações no instrumento contratual;
3. Cláusulas gerais sobre proteção de dados no instrumento contratual;
4. Cláusula diretamente fundamentada na LGPD no instrumento contratual.
Os itens listados acima se organizam em uma gradação de adesão à proteção de informações no âmbito das tecnologias aplicadas à segurança pública. Os termos e disposições referentes ao sigilo e à confidencialidade voltam-se à garantia mínima da segurança de informações em um contexto de
compartilhamento de dados entre instituições públicas e privadas, mas sua utilização precede a LGPD e, portanto, estes não garantem a proteção de dados pessoais. Dessa maneira, o item 1 constitui o instrumento mais básico e
incipiente de proteção de informações e o item 4, o instrumento mais avançado de proteção de dados identificado até o momento.
Condições para garantia de proteção de dados pessoais e direitos dos titulares pelas secretarias
Adicionalmente à análise e classificação dos contratos de tecnologia na segurança pública quanto a sua aderência à proteção de dados, também buscamos compreender de que maneira os direitos dos titulares de dados
pessoais poderiam ser garantidos em um contexto de intensa coleta, utilização e tratamento de dados para fins de segurança pública e persecução penal.
Assim, realizamos uma análise paralela sobre as condições atualmente fornecidas pelas secretarias para informar ao cidadão sobre os potenciais tratamentos de dados pessoais sendo realizados de forma corrente em suas atividades, bem como sobre os caminhos adequados para realização de
requerimentos, solicitações, reclamações ou denúncias fundamentadas na LGPD em seus respectivos portais eletrônicos.
Para isso, delimitamos os seguintes critérios, com relação à presença ou ausência de cada um deles, de forma a avaliar a infraestrutura institucional de proteção de dados na segurança pública, para cada estado:
1. Regulamentação estadual da LGPD;
2. Normativas infralegais emitidas pela SSP sobre governança e proteção de dados no âmbito de suas atividades;
3. Portal eletrônico com detalhamento e orientações para solicitações de Ouvidoria relativas à proteção de dados;
4. Portal eletrônico com detalhamento e orientações sobre direitos dos titulares de dados;
5. Portal eletrônico com informações básicas de identificação, atribuições e contato do servidor encarregado de dados da SSP.
Expansão das ferramentas de vigilância
online no Brasil
Com relação ao contexto maior da adoção de ferramentas de vigilância online, é seguro afirmar que sua entrada teria ocorrido, inicialmente, por instituições de inteligência e segurança pública da esfera federal. O relatório “Mercadores da
Insegurança: conjuntura e riscos do hacking governamental no Brasil”, publicado pelo IP.rec em 2022, denuncia o aumento destas práticas a partir de
investigação minuciosa sobre a utilização dessas tecnologias por diversas instituições do estado brasileiro, em diferentes níveis federativos, mas
capitaneada e incentivada principalmente pela administração pública federal.
O IP.rec destaca a tendência ao imbricamento dos atores privados que vendem soluções de vigilância e as instituições de segurança pública do estado, mantendo relações estreitas e simbióticas. O vínculo alimenta a ausência de transparência sobre essas tecnologias, apesar da crescente adoção e
disseminação dessas ferramentas como solução para os problemas da segurança pública, em uma postura tecnosolucionista. Além disso, a análise
chama atenção ao contexto de desenvolvimento das tecnologias e à idoneidade de seus proponentes, tanto nos casos internacionais quanto no brasileiro:
“Fabricantes como a Cellebrite e a Verint são vinculadas a escândalos de vigilância governamental abusiva que envolvem a persegução, prisão e até mesmo tortura de críticos e dissidentes políticos como defensores de direitos humanos e jornalistas. No Brasil, empresas centrais na conjuntura aqui apresentada, como a Suntech, tem sócios investigados e presos em crimes federais que envolvem vigilância e tráfico de informações. Ou seja, antes de auxiliarem no combate ao crime organizado, carregam o potencial de favorecer facções criminosas caso operem sem supervisão e regulação prévia”.19
Destaca-se, ainda, que o surgimento e estímulo ao desenvolvimento destas tecnologias estaria necessariamente atrelado à exploração predatória e
19 IP.rec. 2020. Mercadores da Insegurança: conjuntura e riscos do hacking governamental no Brasil (p. 79).
contínua das vulnerabilidades em softwares e dispositivos20, como modelo de negócios21, e a práticas voltadas para a expansão irrestrita do autoritarismo e da vigilância em contextos de perseguição política, espionagem de estado, guerra, apartheid e genocídio – como é verificado no caso das desenvolvedoras
israelenses, em geral sobrerrepresentadas nesse setor22.
A forte adesão da população brasileira às plataformas de redes sociais23
representa riscos adicionais nesse sentido, principalmente devido ao elevado potencial de exposição de seus dados pessoais – incluídos aqui os dados
pessoais sensíveis – para coleta e mineração por ferramentas especializadas, que são hoje empregadas pelo setor público. Dentre as soluções contratadas para fins de segurança pública que coletam dados de atividade online,
encontram-se principalmente as ferramentas de intrusão e extração total de dados oriundos de dispositivos telemáticos24 e as de Open Source Intelligence (OSINT), ou inteligência de fontes abertas.
Ferramentas de OSINT são tecnologias capazes de coletar, em larga escala, dados disponíveis abertamente na internet. Isso inclui dados de mídia e
imprensa, dados abertos de websites diversos, dados públicos, dados de
periódicos acadêmicos e publicações profissionais e, principalmente, dados de redes sociais, entre outros. No caso das contratações com o poder público, as soluções de OSINT oferecem não somente a ferramenta para coleta, mas
também para a organização, tratamento e até mesmo análise automatizada dos dados obtidos.
No relatório “As práticas de Inteligência de Fontes Abertas (OSINT) são amigas ou inimigas dos direitos humanos?”, de 2023, a Artigo 19 destaca a ausência de
20 Buying Spying: How the commercial surveillance industry works and what can be done about it 21 IP.rec. 2020. Mercadores da Insegurança: conjuntura e riscos do hacking governamental no Brasil (p. 14-17).
22 Como Israel se tornou um centro de tecnologia de vigilância
23 Brasil é o terceiro maior consumidor de redes sociais em todo o mundo - Forbes
24 Entendem-se dispositivos telemáticos como aqueles dotados da capacidade de transmissão de dados por redes de telecomunicação e informática. Em linhas gerais, englobam dispositivos, móveis ou não, ligados à internet, a sistemas de GPS e satélite, à radiofrequência e/ou às redes de telefonia.
normativas, legais ou infralegais, que lidem diretamente com o tratamento dos dados oriundos da utilização de ferramentas de OSINT no contexto da segurança pública brasileira. Esse fato, por si só, poderia ser entendido como uma “estratégia para minimizar a responsabilização de quem atua no estado por uso abusivo de OSINT”25. Resguarda-se, assim, a possibilidade de vigilância, monitoramento e investigação irrestrita de quem quer que seja considerado um opositor ou “inimigo interno”.
Nesse sentido, o relatório destaca o caso do “dossiê antifascista”, documento sigiloso organizado pela Secretaria de Operações Integradas (SEOPI) do Ministério da Justiça e Segurança Pública (MJSP) que continha informações
pessoais de 579 servidores, federais ou estaduais, e três professores universitários – à época considerados opositores ao governo federal –, o qual constitui um exemplo notório de uso de OSINT por instituição de segurança pública para fins de perseguição política.
A justificativa então fornecida pelo MJSP para a elaboração deste documento foi a de que o órgão “integra o Sisbin (Sistema Brasileiro de Inteligência)”26 e que a
inteligência na segurança pública faz “ações especializadas” com o objetivo de “subsidiar decisões que visem ações de prevenção, neutralização e repressão de atos criminosos de qualquer natureza que atentem contra a ordem pública, a
incolumidade das pessoas e o patrimônio”.27 Tornado público em 2020, o dossiê foi alvo da Ação de Descumprimento de Preceito Fundamental (ADPF) nº 722, na qual o Supremo Tribunal Federal decidiu por sua ilegalidade e
inconstitucionalidade.28
25 ARTIGO 19. 2023. As práticas de Inteligência de Fontes Abertas (OSINT) são amigas ou inimigas dos direitos humanos?
26 No contexto do Sisbin, o documento também foi compartilhado com outras instituições do sistema de defesa, inteligência e segurança pública, como a Polícia Federal, o Centro de Inteligência do Exército, a Agência Brasileira de Inteligência, a Polícia Rodoviária Federal, a Força Nacional e, ainda, a centro regionais de inteligência vinculados ao Seopi, nas regiões Sul, Norte e Nordeste do país.
27 Ação sigilosa do governo mira professores e policiais antifascistas - 24/07/2020 - UOL Notícias
28 Supremo Tribunal Federal. Arguição de Descumprimento de Preceito Fundamental nº 722
Já as ferramentas de intrusão e extração constituem soluções que, uma vez
conectadas a dispositivos telemáticos – como computadores, tablets e telefones celulares – são capazes de explorar suas vulnerabilidades para acessar e extrair a totalidade dos dados encontrados em sua memória, incluindo dados de atividade online, dados criptografados de aplicativos diversos, e dados apagados. Em geral, essas soluções são vendidas em um pacote, no qual a ferramenta principal de intrusão é acompanhada de soluções adicionais
voltadas à organização, análise e armazenamento dos dados extraídos29. No
caso da segurança pública, trata-se de ferramentas consideradas como parte do arsenal da ciência forense digital para a produção de provas no curso de
investigações, a partir da intrusão de dispositivos apreendidos mediante decisão judicial.
Entretanto, o potencial de aquisição de imensas quantidades de dados pessoais sensíveis oferecido por estas ferramentas é muito significativo, inclusive sobre pessoas alheias à investigação em questão, mas que possam estar de alguma forma conectadas devido às redes de relações e contatos que mantêm em sua vida privada. A prática de coleta, tratamento e armazenamento dessas informações – sem finalidade ou justificativa legalmente embasada –
apresenta graves riscos de violação de dados pessoais e de ampliação da capacidade de monitoramento ilegal pelo estado, intensificando, na mesma medida, a abertura para o estabelecimento de práticas de vigilância sobre
cidadãos.
Não por acaso, as empresas que desenvolvem e fornecem essas soluções
conduzem-se pela opacidade e sigilo com relação a suas capacidades, fato que contraria o princípio da publicidade, da transparência pública e do direito de acesso a informação. No diagnóstico “Vigilância biométrica remota na América Latina: as empresas estão respeitando os direitos humanos?”, produzido pelo LAPIN em parceria com a Access Now, a Asociación por los Derechos Civiles
(ADC) e a XxXxxxx.xxx – no âmbito da produção do relatório “Tecnologia de Vigilância – Feita no Exterior, Implantada em Casa” –, as organizações
identificaram que as principais empresas responsáveis pelo desenvolvimento e
29 A technical look at Phone Extraction
venda de tecnologias de vigilância não foram capazes de fornecer informações suficientes e claras sobre os produtos e serviços que vendem a instituições
públicas de diversos países latinoamericanos, tendendo a esquivar-se
continuamente da responsabilidade sobre os usos que estejam sendo feitos dessas tecnologias e sobre seu impacto nas populações afetadas. Também se abstém de conceder clareza sobre sua adesão às normas e legislações
pertinentes, para além das suas políticas internas frágeis quanto à preocupação com a defesa de direitos, e em geral não possuem canais de denúncia apropriados.
Um caso particularmente preocupante é o da israelense Cellebrite, que chegou a orientar diretamente seus contratantes e aplicadores, durante treinamentos oferecidos em conjunto com as ferramentas, a manter segredo tanto sobre os recursos e capacidades dessas tecnologias quanto sobre sua própria utilização no curso de investigações.30 A permeabilidade que o poder público
crescentemente garante a empresas com condutas similares e às suas tecnologias dentro das atividades cruciais, finalísticas e inerentes às políticas públicas contribui para a erosão do ecossistema de transparência pública, necessário e indispensável à manutenção da democracia.
O conjunto destas ferramentas em funcionamento – capazes de realizar amplas varreduras automatizadas em diferentes fontes e viabilizar a construção de grandes bases contendo dados pessoais e privados de atividades online, sob a
justificativa de necessidade para fins de investigação – implica em um risco ampliado de vigilantismo de Estado e de restrição dos direitos fundamentais e digitais. No caso da utilização de OSINT, o próprio conhecimento sobre a sujeição dos espaços virtuais à varredura por instituições de segurança pública pode incutir a autocensura e inibir a liberdade de expressão da população que faz uso destas redes31, em desacordo à pactuação do Marco Civil da Internet,
que sedimenta na liberdade de expressão o princípio fundamental do uso da internet no Brasil.
30 Cellebrite asks cops to keep its phone hacking tech ‘hush hush’ | TechCrunch
31 ARTIGO 19. 2023. As práticas de Inteligência de Fontes Abertas (OSINT) são amigas ou inimigas dos direitos humanos? (p. 42)
Assim, para além dos riscos inerentes da captura dos usos da web por algumas plataformas digitais de maior adesão, mantidas por Big Techs – e, hoje, alvo de litígios diversos em relação à garantia da liberdade de expressão, como mapeado na base de dados do Cyrilla Collaborative – o espaço público digital ainda está sujeito a restrição política sobre atividades legais e protegidas
constitucionalmente, devido à incursão das ferramentas de vigilância
empregadas para fins de segurança pública em atividades irrestritas de coleta de dados.
Em um país historicamente marcado pelo autoritarismo de estado,
principalmente voltado às pessoas negras e indígenas, pela perseguição política de opositores e por elevadas taxas de violência32 e assassinato de defensores de direitos humanos33, a ausência de regulamentação clara e diretiva que lide com os riscos no uso dessas ferramentas abre imensa janela de oportunidade para a replicação, o acirramento e a naturalização de práticas opressivas, pelo estado, no ambiente digital.
As consequências últimas desse movimento incorrem em um imenso potencial de cerceamento e restrição do espaço cívico, que fora verificado na prática em alguns casos notórios. O projeto Excel é emblemático nesse sentido, tendo sido uma primeira incursão em grande escala das ferramentas de intrusão de
dispositivos telemáticos nas secretarias de segurança pública brasileiras,
incentivada por políticas do próprio Ministério da Justiça, em 2020, conforme reportagem do Intercept34.
O MJSP à época oferecia o empréstimo destas ferramentas às secretarias
estaduais, mediado pela SEOPI, e solicitava como contrapartida o fornecimento
32 No relatório “Ativismo cercado: um diagnóstico da criminalização das lutas sociais em São Paulo”, publicado em 2023 pelo Instituto de Defesa do Direito de Defesa (IDDD), o estudo de 55 casos de criminalização, violência e ameaças sofridos por defensores dos direitos humanos em São Paulo revelou que em 56,4% dos casos a perseguição foi praticada pela Polícia Militar; 67,3% dos casos mapeados foram de mulheres e 61,8% de pessoas negras.
33 De acordo com o estudo “Na Linha de Frente: violência contra defensoras e defensores de direitos humanos no Brasil”, realizado pela organização Terra de Direitos, houve 1.171 casos de violência contra defensores de direitos humanos no Brasil no período de 2019 a 2022, entre eles 169 assassinatos e 579 casos de ameaças.
34 Ministério da Justiça equipa polícias para vasculhar celulares em troca de dados
das bases contendo a totalidade dos dados que viessem a ser extraídos dos
dispositivos no curso das investigações. A prática, além de ilegal, revela o intento de promover uma vinculação automática das atividades de investigação com as de inteligência, dispensando quaisquer salvaguardas normativas,
intermediações institucionais e pontos de veto decisórios ou procedimentais que pudessem dar conta dos altos riscos de promoção da vigilância estatal
inerentes a esse comportamento.
Outros escândalos sobre contratações de tecnologias de espionagem e
vigilância pelo poder público reforçam a percepção dessa intencionalidade da parte de instituições governamentais. No Brasil, três casos recentes se
destacam: as tentativas de contratação da ferramenta Pegasus e as subsequentes contratações das ferramentas Augury e First Mile. Todas essas são consideradas ferramentas sofisticadas de spyware, cujas contratações
relacionam-se intimamente ao estabelecimento da “Abin paralela”, organização criminosa que teria se instalado dentro da Agência Brasileira de Inteligência
(Abin) entre 2019 e 2022, com a finalidade de monitorar cidadãos brasileiros considerados opositores políticos ao governo federal.
A ferramenta Pegasus, desenvolvida pela empresa israelense NSO Group, é um software de espionagem capaz de monitorar de forma ilimitada todas as atividades realizadas em um dispositivo telemático, uma vez infectado. A
infecção pelo Pegasus poderia ocorrer por três vetores de ataque distintos: (i) o usuário clicar em um link após recebimento de mensagem-isca baseada em
engenharia social e produzida pelo próprio Pegasus, que acompanha ferramentas para essa finalidade; (ii) via ataque de intermediário, que ocorre mediante a interceptação de tráfego de rede não criptografado, infectando assim o link que o usuário estivesse tentando acessar, redirecionando-o para site malicioso; (iii) a exploração de vulnerabilidades no sistema operacional ou em aplicativos já instalados no dispositivo – essa última, mais alarmante, já que pode ser considerada uma infecção zero-click e foi capaz de burlar dispositivos considerados mais seguros, como iPhones.
Todas essas informações foram verificadas a partir de análise forense da ferramenta, conduzida pela Anistia Internacional em 202135 após sucessivos escândalos internacionais de espionagem envolvendo o uso do software na perseguição de jornalistas e ativistas. Os casos de espionagem se tornaram ainda mais notórios pela relação com o assassinato de dois jornalistas, o
mexicano Xxxxxxx Xxxxxx Birto36, morto em 2017, e o saudita Jamal Khashoggi37, morto no ano seguinte.
Tentativas de contratação da solução no Brasil foram realizadas no âmbito do pregão eletrônico nº 03/21, do MJSP. À época, a NSO Group abandonou a
concorrência devido aos escândalos na imprensa. Ainda assim, entidades da sociedade civil manifestaram denúncia ao TCU38 em oposição à possibilidade de contratação de ferramentas de espionagem, já que o processo continuou e a
empresa Harpia Tech foi premiada na licitação para fornecer tecnologia similar. A licitação chegou a ser suspensa em 2021 por medida cautelar do TCU39, mas o Tribunal decidiu por liberar a contratação da ferramenta Harpia, no ano seguinte.40 O CEO da Harpia Tech defende que a tecnologia contratada seria apenas uma “poderosa ferramenta de OSINT”.41
Os casos das soluções Augury e First Mile, por sua vez, tratam-se de tecnologias internacionalmente controversas que foram efetivamente contratadas pelo
poder público. Contratada pela Abin em 2020 por dispensa de licitação, a ferramenta Augury é desenvolvida pela empresa estadunidense Team Cymru e constitui solução voltada ao rastreamento contínuo de atividades online a partir de um dado endereço de IP, englobando a coleta de dados de tráfego diversos – desde cookies de sessão e informações de navegação, como URLs visitadas, até
35 Forensic Methodology Report: How to catch NSO Group’s Pegasus - Amnesty International
36 Revealed: murdered journalist’s number selected by Mexican NSO client | Mexico | The Guardian
37 New analysis further links Pegasus spyware to Xxxxx Xxxxxxxxx murder - The Verge
38 O investimento do Governo Xxxxxxxxx em vigilantismo digital
39 TCU suspende pregão para comprar sistema espião pelo governo Xxxxxxxxx
40 TCU libera contrato do Ministério da Justiça para sistema de inteligência | CNN Brasil
41 Harpia é poderosa ferramenta de OSINT; está longe de ser "software espião" - Capital Digital
as credenciais de acesso (login e senha) a contas em aplicativos e plataformas
online privadas42.
De acordo com reportagem do Intercept, a ferramenta teria sido utilizada pela “Abin paralela” no monitoramento de opositores do governo federal à época,
incluindo agentes públicos, e não haveria rastros ou registros dessas práticas pois, segundo fontes internas ouvidas pelo veículo, todas as atividades eram operadas online e tanto o servidor quanto o próprio sistema estariam hospedados no exterior, o que facilitaria sua ocultação.
A ferramenta First Mile, desenvolvida pela israelense Cognyte e comercializada por intermédio da Suntech, sua representante brasileira, teria sido adquirida pela Abin em 2018 e permite o monitoramento em tempo de real de dados de
geolocalização de dispositivos telemáticos móveis, bem como de dados pessoais atrelados a eles, a partir da exploração de vulnerabilidades no protocolo SS7. A única informação necessária para viabilizar o monitoramento é o número de telefone do alvo.
Assim, a solução possibilitou o monitoramento massivo de indivíduos quanto à sua localização geográfica a partir da interceptação das transmissões do
dispositivo às estações rádio-base. De acordo com reportagem d’O Globo, a
contratação da ferramenta foi realizada em total sigilo, e sua utilização ocorria sem nenhum controle de acesso nem demanda de justificativa judicial para o monitoramento. Tudo era permitido sob a alegação de “segurança de estado”.
Em menor escala, nos estados, também já ocorrem casos similares de monitoramento contínuo de ativistas sem embasamento judicial pelas forças de segurança. Em maio deste ano, no Rio de Janeiro, o advogado e defensor dos
direitos humanos Xxxx Xxxx xx Xxxxx foi alvo de monitoramento pela Polícia Militar, de acordo com relatório elaborado pela Unidade de Polícia Pacificadora (UPP) da comunidade do Jacarezinho, e apontado como “advogado da quadrilha
42 Xxxx comprou programa que pode espionar tudo o que você faz na internet
que comanda o narcotráfico na comunidade”, em aparente tentativa de criminalização de seu trabalho43.
Xxxxx é diretor executivo do Instituto de Defesa da População Negra e
integrante da Coalizão Negra por Direitos, iniciativas pautadas na ampliação da justiça racial e na promoção do acesso à justiça pela população negra e
periférica, além de ter sido coordenador do Observatório Cidade Integrada. No mesmo relatório, ainda foram alvo de monitoramento o deputado estadual Xxxxxx Xxxxxxxx (PSOL-RJ); a ex-deputada estadual e pesquisadora do Dicionário de Favelas Xxxxxxxx Xxxxxx, Xxxxxx Xxxxxxxxx (PT-RJ); e o ex-deputado e líder
comunitário Xxxxxxxxx xx Xxxxx Xxxxxxx, também conhecido como Xxxxxxxxx xx Xxxxxx (Republicanos-RJ) – sugerindo um movimento igualmente pernicioso de
vigilância sobre atividades políticas.44
43 Advogado monitorado pela Polícia Militar no Jacarezinho é recebido na OABRJ
44 Inteligência da PM monitorou atuação de políticos e advogado de Direitos Humanos na favela do Jacarezinho
Proteção de dados frente à expansão da vigilância estatal: a lacuna da LGPD
A contratação de ferramentas de vigilância tem se expandido continuamente nas secretarias de segurança pública brasileiras. Se antes isso ocorria por
intermediação do governo federal, a prática corrente já passou a dispensá-la, dada a proliferação de contratos despadronizados e muito diversos para cada estado – e, por vezes, até mesmo dentro de cada estado. O cenário torna-se ainda mais preocupante tendo em vista a fraqueza do arcabouço normativo
para proteção de dados pessoais no âmbito da segurança pública, que se
intensifica no contexto subnacional, para o qual a adesão efetiva às normas federais tende a ser ainda mais imperfeita e demorada.
A expansão da adoção dessas tecnologias, aliada aos sucessivos escândalos a
elas relacionados, ocasionou a abertura da Ação Direta de Inconstitucionalidade por Omissão (ADO) nº 84, posteriormente convertida em Arguição de
Descumprimeto de Preceito Fundamental (ADPF) nº 1143 – sob relatoria do ministro Xxxxxxxxx Xxxxx – a partir de provocação oferecida pela
Procuradoria-Geral da República. Destaca-se, na petição inicial, a preocupação com a utilização abusiva e sigilosa destas ferramentas:
“O ponto central da controvérsia que a presente ação cinge-se ao uso secreto e abusivo desses softwares e ferramentas, sem autorização judicial, tampouco limites ou salvaguardas, de forma contrária à tutela do interesse público e aos deveres de proteção dos direitos fundamentais, que se impõem em um Estado de direito.” (p.27).
Como conclusão à petição inicial, a PGR aponta a necessidade urgente da produção de, no mínimo, um conjunto de diretrizes capazes de limitar as possibilidades de utilização dessas ferramentas pelo poder público em atividades de segurança pública, inteligência ou investigação:
“Desse panorama, entende-se que, ao menos, existirem diretrizes e condicionantes relevantes na legislação brasileira de proteção de dados pessoais
a serem observadas, incumbindo a esta Suprema Corte consolidar e explicitar, nesta ação direta, as balizas sistêmicas que afastem arbitrariedades no uso, por órgãos e agentes públicos em atividades de inteligência ou investigação criminal, de programas de intrusão virtual remota e/ou de ferramentas de monitoramento secreto e invasivo de aparelhos digitais de comunicação pessoal, como smartphones, tablets e dispositivos eletrônicos similares.” (p. 48)
Essa conclusão retoma o problema fundamental que assola as políticas e
práticas de “tecnologização” da segurança pública: o fato de que, além de não existir legislação específica voltada à regulação das tecnologias de intrusão e monitoramento, não há sequer uma legislação nacional que regulamente a
utilização de dados pessoais para fins de persecução penal. A infraestrutura regulatória de proteção de dados brasileira é marcada por uma fragilidade,
inserida pelo legislador no texto da LGPD, ao se furtar de decidir sobre este tema durante sua construção, de acordo com o inciso III do artigo 4º:
“Art. 4º Esta Lei não se aplica ao tratamento de dados pessoais: (...)
III - realizado para fins exclusivos de:
a) segurança pública;
b) defesa nacional;
c) segurança do Estado; ou
d) atividades de investigação e repressão de infrações penais”
No mesmo artigo 4º, contudo, a LGPD incluiu uma série de critérios mínimos
quanto à proteção de dados para estes fins, ao determinar em seus parágrafos, que:
“Art. 4º (...)
§ 1º O tratamento de dados pessoais previsto no inciso III será regido por legislação específica, que deverá prever medidas proporcionais e estritamente necessárias ao atendimento do interesse público, observados o devido processo legal, os princípios gerais de proteção e os direitos do titular previstos nesta Lei.
§ 2º É vedado o tratamento dos dados a que se refere o inciso III do caput deste artigo por pessoa de direito privado, exceto em procedimentos sob tutela de
pessoa jurídica de direito público, que serão objeto de informe específico à autoridade nacional e que deverão observar a limitação imposta no § 4º deste artigo.
§ 3º A autoridade nacional emitirá opiniões técnicas ou recomendações referentes às exceções previstas no inciso III do caput deste artigo e deverá solicitar aos responsáveis relatórios de impacto à proteção de dados pessoais.
§ 4º Em nenhum caso a totalidade dos dados pessoais de banco de dados de que trata o inciso III do caput deste artigo poderá ser tratada por pessoa de direito privado, salvo por aquela que possua capital integralmente constituído pelo poder público.”
Ainda que não exista e vigore, hoje, legislação específica capaz de regular o tratamento de dados pessoais na segurança pública, nas investigações criminais e na persecução penal, todas essas atividades devem necessariamente observar os princípios de proteção de dados e as garantias de direitos dos titulares
descritas na LGPD. Mais do que isso, a LGPD ainda restringe as hipóteses de tratamento de dados na segurança pública por entidades alheias ao poder
público, ao vedar que este seja realizado sem a tutela direta de instituição do estado sobre elas, e vedar qualquer possibilidade de que estas realizem tratamentos sobre a totalidade dos dados pessoais contidos nos bancos de dados empregados para esses fins.
Nos últimos anos, desde a aprovação da LGPD, houve tentativas de produção
legislativa sobre o tema de proteção de dados na seara da segurança pública e persecução penal que até o presente momento não renderam frutos, como o
Anteprojeto de Lei de Proteção de Dados Pessoais para Segurança Pública e Persecução Penal – conhecido amplamente como “LGPD Penal” –, elaborado
por comissão de juristas e entregue à Câmara dos Deputados em 2020, e o Projeto de Lei nº 1515/2022, de autoria de Coronel Xxxxxxx, ex-deputado federal pelo PL-SC.
O primeiro, que constitui o esforço mais completo e sofisticado de produção legislativa sobre o tema até então, sequer foi autuado como Projeto de Lei. O segundo persiste estacionado, sem tramitação desde 2022, e de fato não apresenta disposições maduras nem suficientes para a garantia efetiva da
proteção de dados na segurança pública. Sobre essas iniciativas, as organizações LAPIN e Instituto de Referência em Internet e Sociedade (IRIS) produziram, em 2022, análise comparativa dos textos e concluíram pela
recomendação de arquivamento do Projeto de Lei nº 1515/202245.
Não faltam iniciativas em tramitação no legislativo federal que buscam
disciplinar tecnologias de vigilância e seus usos. A maioria delas, contudo, obedece a visões específicas do próprio setor de segurança pública, sendo atravessadas pelo tecnosolucionismo e por disposições excessivamente
permissivas à utilização destas ferramentas, com poucas restrições e salvaguardas voltadas à garantia da proteção de dados e da transparência.
Não por acaso, boa parte dos PLs sobre o tema foram protocolados pelo mesmo parlamentar: o deputado federal Xxxxxxx Xxxxx (PL-DF), policial militar e atual
presidente da Comissão de Segurança Pública e Combate ao Crime Organizado. Foram localizados ao menos seis PLs de autoria do deputado que lidam, direta ou indiretamente, com a utilização de tecnologias de vigilância e dados pessoais para fins de segurança pública e persecução penal. São eles:
● Projeto de Lei nº 1477/2023: Institui, no âmbito do Sistema Brasileiro de Inteligência (SISBIN), o Subsistema de Monitoramento e Alerta Contra
Atos Extremistas Violentos, e dá outras providências.
● Projeto de Lei nº 3226/2023: Dispensa de licitação para contratações de "bens ou serviços para atividades finalísticas e específicas de inteligência de Estado, com necessária fundamentação". Acrescenta alínea ao inciso IV do art. 75 da Lei nº 14.133, de 1º de abril de 2021, lei de licitações e
contratos administrativos, e dá outras providências.
● Projeto de Lei nº 5369/2023: Altera o art. 11 da Lei nº 12.850, de 2 de agosto de 2013, e o inciso I do art. 53 da Lei nº 11.343, de 23 de agosto de 2006, para prever a infiltração policial por meio digital, e dá outras
providências.
45 Nota técnica: análise comparativa entre o anteprojeto de LGPD penal e o PL 1515/2022
● Projeto de Lei nº 53/2024: Altera a Lei nº 12.965, de 23 de abril de 2014, para dispor sobre fundamento da busca contínua da confiança na
Internet e no seu uso, a vedação do anonimato e acréscimo dos princípios da rastreabilidade e da integridade, e dá outras providências.
● Projeto de Lei nº 58/2024: Disciplina a utilização, para fins de atividades de inteligência estatal, de investigação criminal, de controle ou de fiscalização fazendária federais, de programas informáticos de intrusão virtual remota ou ferramentas de monitoramento sigiloso de aparelhos
digitais de comunicação pessoal, define crimes, e dá outras providências.
● Projeto de Lei nº 1212/2024: Altera o § 2º do art. 3º da Lei nº 12.850, de 2 de agosto de 2013, para dispor sobre o sigilo de contratações no curso de rastreamento e obtenção de provas em atividades investigativas contra organizações criminosas, e dá outras providências.
No âmbito da ADPF nº 1143, a PGR solicitou que a Suprema Corte determinasse prazo ao legislativo para a aprovação de norma específica sobre tecnologias de monitoramento remoto de terminais de comunicações pessoais, bem como um conjunto de regras provisórias quanto à proteção de direitos fundamentais no curso de sua utilização. O ministro relator teria, desde então, requisitado ao
Congresso Nacional informações a respeito do tema, e a resposta no Senado foi a autuação do PL nº 402, de 2024, de autoria do senador Alessandro Vieira
(MDB/SE).
Ainda que o PL proposto toque em diversas questões cruciais para o
impedimento da expansão de vigilância irrestrita do estado – como a submissão da utilização dessas ferramentas à LGPD, a necessidade de autorização judicial prévia para que se estabeleça o monitoramento, de acordo com finalidade e necessidade bem definidas e justificadas, e a vedação expressa de monitoramento de dispositivos de jornalistas e advogados no exercício de suas atividades profissionais –, ele ainda não é capaz, em sua redação atual, de dar
conta das possibilidades de monitoramento disponíveis aos órgãos de
segurança pública. O monitoramento online via ferramentas de OSINT, por exemplo, não está devidamente contemplado no texto da proposição.
Além disso, há uma série de populações vulneráveis ao monitoramento ilegal que não se constituem necessariamente como profissionais da advocacia ou
jornalismo e que continuariam mais desprotegidas no caso de vigilância sobre suas atividades. É o caso de indivíduos que integrem ou participem ativamente de movimentos sociais, coletivos, organizações da sociedade civil e partidos
políticos, todos sujeitos à possibilidade de perseguição política em decorrência de sua atuação.
Assim, mesmo se for aprimorada, a regulação das tecnologias específicas não poderia prescindir da aprovação de uma legislação que dê conta de amplas hipóteses de proteção de dados pessoais na segurança pública e de mecanismos de viabilização dos direitos dos titulares, aos moldes da proposta no texto do anteprojeto, ou LGPD Penal. A utilização segura deste tipo de ferramenta, se é que esta seja realmente possível e mesmo desejável,
dificilmente poderá ocorrer na ausência desse arcabouço regulatório fundamental.
Contratos de tecnologia e infraestrutura normativa para proteção de dados pessoais nas SSPs
Há um acentuado déficit de informações públicas sobre as tecnologias empregadas hoje pelas secretarias de Segurança Pública brasileiras que
envolvem gestão e tratamento de dados pessoais de qualquer tipo. Nenhuma das secretarias analisadas mantém um rol de informações mínimas sobre as
soluções contratadas publicado em seus portais de maneira estruturada, aberta e em conformidade com a LAI.
De saída, a partir das informações disponíveis nos portais eletrônicos das SSPs, não é possível para o cidadão brasileiro conhecer quais tecnologias com alto risco de expansão de vigilância governamental e violação de dados pessoais são utilizadas de forma corrente para fins de segurança pública e persecução penal. Também não é possível determinar se sequer existe a possibilidade de que seus dados pessoais estejam sob custódia da Secretaria, que sejam tratados e utilizados por alguma destas ferramentas.
Apenas mediante a busca específica dos respectivos instrumentos contratuais é que se torna possível estimar um conjunto de informações mínimas sobre estas tecnologias. Ainda assim, é preciso considerar toda a dificuldade de acesso à
informação e as lacunas em relação a essa prestação de contas nos portais
dedicados aos dados de licitações e contratações, de forma que as informações obtidas por essa via, muito provavelmente, também não concederão a real visão sobre a totalidade das tecnologias empregadas.
Contratações de tecnologia nas SSPs
Dentre os 61 contratos coletados e analisados neste estudo, foram identificados 42 contratos de soluções voltadas para gestão de dados e 19 de soluções com
ferramentas de coleta e monitoramento de atividade online e/ou acesso intrusivo a dispositivos telemáticos e portáteis.
Tabela II. Contratações de tecnologias de gestão de dados, por tipo de solução contratada
Tipo de tecnologia | Quantidade contratos | de | % de | do total dados | de | tecnologias | de | gestão | |
Gestão de dados operacionais ou | |||||||||
investigativos | 23 | 55% | |||||||
Gestão e análise de dados de | |||||||||
monitoramento físico | 10 | 24% | |||||||
Cibersegurança para bancos de dados | 7 | 17% | |||||||
Gestão de dados sensíveis de PMs | 2 | 4% | |||||||
Total geral | 42 |
As soluções voltadas à gestão de dados são diversas, compreendendo desde ferramentas para armazenamento e análise de dados sensíveis de saúde e
comportamento sobre candidatos e membros das forças policiais (4%), ferramentas para análise de dados coletados mediante uso de tecnologias físicas – como câmeras de vigilância, câmeras corporais e informações georreferenciadas (24%), e ferramentas para gestão de eventos e incidentes de cibersegurança (17%), até as ferramentas para gestão de dados operacionais e administrativos das atividades policiais e ferramentas voltadas efetivamente
para gestão, armazenamento e análise de dados de evidências e provas coletados no curso das investigações (55%).
Essas duas últimas hipóteses tendem a se confundir nos termos empregados para descrição do objeto nos contratos. Também não existe clareza sobre a natureza dos dados hoje coletados e armazenados para esses fins nos
instrumentos contratuais, mas é seguro estimar que parte deles envolve dados pessoais de maneira geral, e também dados pessoais sensíveis de indivíduos
envolvidos em ocorrências – sejam vítimas ou perpetradores –, assim como dos indivíduos considerados suspeitos ou dos que tenham alguma relação com
estes, além dos demais dados de suas redes de relacionamento coletados no curso de investigações policiais.
Tabela III. Contratações de tecnologias online, por tipo de solução contratada
Tipo de tecnologia | Quantidade de contratos | % do total de tecnologias | online |
Intrusão de dispositivos telemáticos | 13 | 68% | |
OSINT | 5 | 26% | |
Análise de big data e dados online | 1 | 5% | |
Total geral | 19 |
Para as 19 soluções de monitoramento online e/ou acesso intrusivo a dispositivos de atividade online, 16 delas (84%) foram contratadas na
modalidade de inexigibilidade de licitação. A justificativa para esta prática
consistiria na exclusividade da solução tecnológica oferecida, nos termos do
inciso I do art. 25 da Lei nº 8.666/93 e do inciso I do art. 74 da Lei nº 14.133/21. Assim, alega-se que sua contratação não poderia ser realizada com nenhuma outra empresa do ramo, por tratar-se de produto de tecnologia proprietária,
com recursos específicos que só poderiam ser encontrados nele.
Para estes casos, a prática de contratação com inexigibilidade não constitui, de saída, um tipo de irregularidade. Porém, é preciso considerar também as razões pelas quais as tecnologias com potencial de expansão de práticas de vigilância
estatal sejam consideradas tecnologias tão exclusivas a ponto de impossibilitar a concorrência pública.
Conforme discutido na seção “Expansão das ferramentas de vigilância online no Brasil”, com base nos apontamentos do estudo do IP.rec46, o desenvolvimento
dessas tecnologias ocorre pela via da exploração predatória de vulnerabilidades em dispositivos, sistemas operacionais, softwares e plataformas de comunicação telemática, e se proliferam especialmente em contextos de autoritarismo de
estado, com o objetivo específico de viabilizar a construção de aparatos de vigilância. Essas são as condições que favorecem o desenvolvimento de ferramentas consideradas competitivamente exclusivas nos termos de suas
46 IP.rec. 2020. Mercadores da Insegurança: conjuntura e riscos do hacking governamental no Brasil (p. 79).
capacidades, com amplos recursos e, portanto, de maior risco a violação de direitos.
Dentre as 19 contratações analisadas, 13 delas (68%) referem-se a contratos firmados com a empresa TechBiz Forense Digital Ltda., representante nacional da israelense Cellebrite DI, sendo 12 destes contratos voltados para a
contratação primária de ferramentas de acesso intrusivo a dispositivos móveis e de tecnologias adicionais para análise dos dados extraídos, além de outras soluções acessórias. Apenas uma das 13 contratações com a TechBiz foi
realizada na modalidade de pregão eletrônico, e as demais (92%) foram realizadas por inexigibilidade de licitação – coincidentemente, todas
correspondem aos contratos para a aquisição da ferramenta de intrusão.
Imagem II. Excerto do contrato nº 006/2020, firmado entre a Polícia Civil do Estado da Bahia e a empresa TechBiz Forense Digital Ltda., contendo parte da lista de recursos mínimos da tecnologia de intrusão
As demais tecnologias de utilização online contratadas incluem ou constituem-se principalmente de soluções de busca e análise massiva de dados da web mediante a utilização de ferramentas de OSINT ou similares, correspondendo a 25% do total das tecnologias sobre atividade online. Trata-se de ferramentas
capazes de operacionalizar buscas online automatizadas, em escala massiva quanto à capacidade de varredura e coleta de dados, sobre informações
disponíveis de forma aberta na web, incluindo-se aqui informações oriundas de redes sociais e mesmo da deep web, a parcela da internet não indexada nas ferramentas de busca usuais.
As soluções não se reservam meramente à coleta e estruturação pontual das
informações em grandes bases de dados. Parte da sua atratividade diz respeito à capacidade de contínua coleta e organização desses dados em relatórios automatizados que forneceriam “inteligência” ou, ao menos, uma produção
estruturada que confira visão – tanto ampla quanto específica – sobre as atividades online contínuas de indivíduos e de suas redes de relacionamento,
inclusive com recursos de perfilação, a fim de subsidiar ações de investigação e tomadas de decisão.
Seu potencial de utilização como ferramenta de vigilância já está dado na medida que o monitoramento das atividades online é irrestrito e contínuo. Isso se agrava quando verificamos que a coleta também congrega dados da deep web. A capacidade de investigação na deep web pode ser considerada central
para as forças de segurança, uma vez que a rede não-indexada tende a ser utilizada por organizações criminosas sofisticadas na condução de suas atividades.
Trata-se, porém, da mesma arena na qual exposições e vazamentos de dados pessoais são identificados com grande frequência. Assim, o emprego de ferramentas de OSINT capazes de varrer a deep web em busca de informações pode incorrer na coleta e utilização de dados publicizados ilegalmente em
decorrência de incidentes de segurança com dados pessoais. Para além da
preocupação com vazamento de seus dados, o cidadão precisaria se ocupar do fato de que estes podem estar subsidiando atividades de vigilância policial. Na imagem a seguir, é possível visualizar a ampla capacidade de um sistema de OSINT, como a tecnologia Cerberus, em contrato público:
Imagem III. Excerto do termo de referência do contrato nº 02/2024, firmado entre o Departamento Estadual de Investigações Criminais de São Paulo (DEIC-SP) e a empresa INSPECT INTELIGENCIA E TECNOLOGIA LTDA., contendo parte da lista dos recursos da tecnologia Cerberus
O segundo passo desta análise envolve a classificação de todos os contratos coletados de acordo com sua adesão a alguma normativa de sigilo de
informações e proteção de dados em suas cláusulas ou termos específicos.
Conforme descrito na metodologia, os contratos foram avaliados quanto à presença das seguintes disposições ou documentos anexos:
1. Termo específico de sigilo e/ou confidencialidade de informações;
2. Cláusulas que versem expressamente sobre sigilo e/ou confidencialidade de informações no instrumento contratual;
3. Cláusulas gerais sobre proteção de dados no instrumento contratual;
4. Cláusulas diretamente fundamentadas na LGPD no instrumento contratual.
Tabela IV. Adesão a normas de proteção de dados pessoais e sigilo de informações nos contratos, por tipo de tecnologia
Tipo de tecnologia | Cláusula diretamente fundamentadas na LGPD | Cláusulas gerais sobre proteção de dados | Cláusula sigilo de | sobre dados | Termo de sigilo específico |
Gestão de dados | 31% | 40% | 69% | 40% | |
Online | 21% | 26% | 63% | 11% | |
Total geral | 28% | 36% | 67% | 31% |
A presença de termos adicionais específicos para garantia de sigilo e
confidencialidade, a serem assinados pelas contratadas, apresentou baixa adesão – apenas 31% dos contratos apresentaram essa documentação.
Entretanto, é necessário considerar a hipótese de que essa estimativa esteja subdimensionada devido a opacidade de informações. Por se tratar de
documento anexo ao contrato, é possível que o termo exista, mas que o órgão
responsável simplesmente tenha deixado de juntá-lo ao corpo do documento do contrato específico disponibilizado no portal de transparência.
Quanto ao sigilo e confidencialidade de informações, houve maior adesão dos contratos a esse tipo de condição: 67% deles contam com alguma cláusula
específica para sua garantia. Consideramos tanto a adesão a um termo de sigilo quanto a inclusão de cláusula de sigilo no corpo do contrato como os
instrumentos mais simples na garantia de algum nível de segurança de
informação no contexto de compartilhamento de dados sensíveis entre o poder
público e o setor privado. De todo modo, com relação à proteção de dados pessoais, trata-se de instrumentos insuficientes para sua garantia.
Em relação à adesão destes contratos a alguma normativa de proteção de dados pessoais mediante inclusão expressa em suas cláusulas, ela é
consideravelmente menor: 36% do total conta com cláusulas gerais de proteção de dados e apenas 28% contém cláusulas que fazem referência, de maneira mais compreensiva e direta, à LGPD.
Gráfico I. % de adesão a normas de proteção de dados pessoais e sigilo de informações nos contratos, por ano
É possível observar uma evolução dessa adesão ao longo do período analisado, principalmente para os contratos elaborados a partir de 2021, e que ela tem
crescido ano após ano. A aparente queda observada em 2024 diz respeito ao fato das informações deste ano serem parciais, compreendendo apenas
contratos firmados até abril, período da conclusão da coleta de dados.
O efeito sugere um impacto da obrigatoriedade de adequação e aplicação da LGPD no poder público – que apesar de ter sido aprovada em 2018, delimitou em suas disposições transitórias o período de 24 meses da aprovação para a
entrada em vigor da maior parte de suas disposições. Todavia, também cabe questionar a forma pela qual essa adesão tem ocorrido, dada a ausência da
legislação específica para a proteção de dados pessoais na segurança pública e para fins de persecução penal.
No caso da Bahia, apesar do universo de análise restrito a 5 contratos –
compreendendo tecnologias de infraestrutura e gestão de dados oriundos de tecnologias de videomonitoramento em tempo real, manipulação de big data com ferramentas de data blending, ferramentas de intrusão e extração de
dispositivos telemáticos e até mesmo ferramentas capazes de grampear estes dispositivos –, nenhum dos contratos analisados conta com cláusula que
referencie, direta ou indiretamente, os termos da LGPD.
Mesmo nos casos de adesão a disposições da LGPD considerados mais avançados, como em algumas contratações do estado de São Paulo,
exemplificadas aqui pelo contrato DTIC nº 020/183/23 firmado entre a SSP-SP e a empresa GLOBAL WEB OUTSOURCING DO BRASIL S.A., é possível encontrar
disposições cuja redação parece sugerir a imputação de maiores
responsabilidades às empresas contratadas do que ao estado contratante,
especialmente nas atividades que dizem respeito à viabilização dos direitos de titulares.
Em sua cláusula décima-sexta, referente à proteção de dados pessoais com
embasamento na LGPD, encontramos alguns parágrafos que levantam esse tipo de questionamento:
“PARÁGRAFO QUARTO A CONTRATADA deve:
I – notificar o CONTRATANTE na primeira oportunidade possível, ao receber requerimento de um titular de dados, na forma prevista no artigo 18 da Lei Federal nº 13.709/2018; e
II – quando for o caso, auxiliar o CONTRATANTE na elaboração da resposta ao requerimento a que se refere o inciso I deste parágrafo.
(...)
PARÁGRAFO DOZE
Caso o objeto da presente contratação envolva o tratamento de dados pessoais com fundamento no consentimento do titular de que trata o inciso I do artigo 7º da Lei nº 13.709/2018, deverão ser observadas pela CONTRATADA ao longo de toda a vigência do contrato todas as obrigações específicas vinculadas a essa hipótese legal de tratamento de dados pessoais, conforme instruções por escrito do CONTRATANTE.“
Quanto ao parágrafo quarto, a princípio, faz todo sentido que a contratada comunique o recebimento de qualquer requerimento de titular de dados ao contratante, para seu conhecimento e providências. Contudo, a ausência
completa de transparência sobre as tecnologias contratadas – cujas informações mínimas sobre contratação, utilização, objetivo e tipo de dados empregados
deveriam estar disponíveis de forma acessível para o cidadão nos respectivos portais das instituições públicas – inviabilizaria que esse tipo de requerimento sequer pudesse ser submetido às empresas responsáveis pelo fornecimento, operação ou manutenção das tecnologias.
Descobrir qual empresa fornece qual tecnologia, hoje, requer a busca aprofundada dos instrumentos contratuais em portais de transparência
insuficientes e precários. A hipótese colocada aqui parece desconectada com a realidade e as possibilidades de acesso à informação pelo cidadão titular de
dados. Algo similar ocorre no parágrafo doze, que determina à contratada as
responsabilidades e obrigações específicas sobre a garantia de consentimento do titular, nos termos da LGPD, conforme instruções do contratante.
Persiste, nestas disposições, a lacuna sobre responsabilidades claras para procedimentos deste tipo – da mesma forma que persiste uma intenção do
Estado, contratante e operador destas tecnologias para os mais diversos fins, de se resguardar da obrigação ativa de proteger os dados pessoais de seus
cidadãos no âmbito da segurança pública.
Um caso notório que escancara o descuido das instituições estatais na definição de suas próprias obrigações, com base na LGPD, é o do contrato nº
048/SEPOL/2022, firmado entre a SEPOL-RJ e o consórcio L8 GROUP S/A, no qual este último teria ativamente solicitado à Secretaria a retirada do fornecimento
de um data center do contrato – que agora teria que ser desenvolvido e gerido pelo próprio poder público –, como medida para garantir o cumprimento da
LGPD.
Espera-se, na realidade, que o poder público se incumba ativamente de aplicar os princípios e disposições da LGPD em todos os seus contratos, sem que seja necessário que agentes externos se responsabilizem por esse papel. A avaliação mais detalhada contendo estatísticas dos contratos para cada estado pode ser encontrada no Anexo I deste relatório.
Proteção de dados e garantia de direitos dos titulares pelas SSPs
Além de entender o escopo das tecnologias contratadas e as salvaguardas
contratuais oferecidas com relação ao sigilo de informações e à proteção de
dados na segurança pública, é fundamental compreender se as SSPs atualmente fornecem condições para a garantia dessa proteção e dos direitos dos titulares, nos termos da lei.
Esse passo contribui para determinar se os titulares seriam capazes de mover requerimentos às SSPs, embasados na LGPD, para obter informações sobre tratamentos de dados pessoais, bem como solicitar sua exclusão de bases de dados ou sistemas para os quais não forneceram nenhum tipo de
consentimento, na hipótese de não haver decisão judicial ou condições de finalidade e necessidade que adequadamente justifiquem o acesso, o tratamento e a tutela, por tempo indeterminado, de suas informações pessoais.
A figura a seguir apresenta os achados de maneira resumida, de acordo com a verificação da presença dos cinco critérios adotados:
1. Regulamentação estadual da LGPD;
2. Normativas infralegais emitidas pela SSP sobre governança e proteção de dados no âmbito de suas atividades;
3. Portal eletrônico com detalhamento e orientações para solicitações de Ouvidoria relativas à proteção de dados;
4. Portal eletrônico com detalhamento e orientações sobre direitos dos titulares de dados;
5. Portal eletrônico com informações básicas de identificação, atribuições e contato do servidor encarregado de dados da SSP.
Os ícones em tom laranja representam critérios apresentados de maneira satisfatória, em laranja claro representam apresentação parcial, e em cinza, representam ausência. Para o caso do Rio de Janeiro, foram avaliados separadamente os portais da SEPM-RJ e da SEPOL-RJ.
Figura I. Condições para proteção de dados e garantia de direitos de titulares nas SSPs
Os estados do Paraná, Rio de Janeiro e São Paulo apresentam regulamentação da LGPD. A Bahia destaca-se negativamente em todos os critérios: não há
regulamentação da LGPD no estado. No caso das normativas estaduais e
infralegais referentes especificamente ao tratamento de dados pessoais para fins de segurança pública, foi identificada grande precariedade em todos os estados. Há uma tendência de, assim como a LGPD, excluir ativamente as atividades de segurança pública de salvaguardas para a proteção de dados
pessoais ou garantia de direitos dos titulares.
Quanto às ouvidorias, a SSP-BA apresentou apenas um link em seu portal para formulário de Ouvidoria genérico – e ainda assim não foi verificada qualquer
indicação clara e acessível ao cidadão quanto ao encaminhamento de demandas relativas à proteção de dados por esse canal específico. As demais secretarias oferecem contatos de Ouvidoria para interposição de solicitações diversas, e algumas chegam a incluir “LGPD” como um tema específico de solicitação em seus formulários. No entanto, nenhuma delas oferece informações e orientações mínimas necessárias ao cidadão para a realização das solicitações
referentes à aplicação da LGPD.
Com relação a presença de um servidor encarregado de dados pessoais nas SSPs, apenas a SEPM-RJ e a SESP-PR contam com informações sobre o servidor em seus portais. Aparentemente, não há encarregado de dados pessoais na SSP-SP, na SEPOL-RJ e nem na SSP-BA. A avaliação pormenorizada de todos os critérios, para cada uma das secretarias analisadas, encontra-se no Anexo II
deste relatório.
Assim, inexistem, hoje, mecanismos institucionais oficiais suficientemente claros ao cidadão, nas secretarias de Segurança Pública analisadas, para a realização
de solicitações, reclamações e demandas referentes a seus direitos como titulares de dados pessoais. O melhor caso é o do portal da SEPM-RJ, que ainda assim falha na apresentação de informações e orientações mínimas necessárias ao exercício dos direitos de titulares de dados no contexto de suas atividades.
Como pano de fundo de todos os critérios analisados, persiste a opacidade total sobre tecnologias, empregadas de forma corrente pelas secretarias de segurança pública, que dependem do tratamento de dados pessoais, sensíveis ou não. Esse fato torna o estabelecimento de quaisquer medidas institucionais
formais – como a criação de canais para recebimento de solicitações embasadas na LGPD – supérfluo. É impossível para qualquer cidadão, hoje, tomar ciência de que seus dados pessoais podem estar sendo armazenados ou utilizados, de maneira contínua, em atividades para fins de segurança pública sem decisão
judicial que forneça embasamento necessário e suficiente para tal.
Conclusões e recomendações
Os mecanismos de proteção de dados pessoais encontrados nos contratos de tecnologia para segurança pública, resultantes da desobrigação de aplicação das disposições da LGPD nessa seara, são insuficientes para coibir o tratamento
indevido desses dados, no curso da utilização de ferramentas que apresentem riscos de ampliação da vigilância pelas SSPs. A baixa capacidade das SSPs de garantir tanto a transparência sobre tecnologias utilizadas quanto a adoção de mecanismos institucionais acessíveis, claros e bem definidos para viabilização dos direitos dos titulares, contribui para o agravamento dessa fragilidade normativa.
A construção de uma legislação de proteção de dados pessoais para fins de segurança pública, que seja compreensiva e efetiva na proteção de direitos dos titulares e capaz de coibir hipóteses de vigilância desarrazoada sobre a
população, é um remédio possível a esse cenário. Porém, dadas as dificuldades inerentes ao andamento de iniciativas legislativas – que podem demorar anos para serem concluídas, ou mesmo acabarem reduzidas a textos espúrios e
inefetivos, de tramitação opaca e sem participação efetiva da sociedade civil e das populações afetadas – cabe ao poder público a responsabilidade de
endereçar os problemas aqui apresentados o quanto antes, especialmente tomando por base as hipóteses já contempladas pelos parágrafos do artigo 4º da LGPD.
Assim, com base na discussão conduzida e nos achados apresentados neste relatório, a Transparência Brasil recomenda:
À ANPD:
I. A solicitação de Relatórios de Impacto à Proteção de Dados Pessoais (RIPD), nos termos do art. 4°, § 3° da LGPD, a todas as secretarias
estaduais de segurança pública.
II. A produção de recomendações e orientações claras sobre os mecanismos e recursos mínimos necessários para a garantia e efetivação dos direitos dos titulares de dados pessoais, aplicáveis a todos os órgãos da administração pública.
Às secretarias estaduais de Segurança Pública:
I. O aprimoramento da transparência sobre as ferramentas de tecnologia desenvolvidas, contratadas e/ou empregadas, mediante a
disponibilização, nos respectivos portais de transparência, da relação das soluções em uso, de forma aberta, estruturada, acessível e em
conformidade com a LAI. É necessário que esteja explícito, no mínimo, o nome e o tipo de tecnologia, a empresa fornecedora, o objetivo de sua utilização e quais dados são coletados, tratados e armazenados no curso de sua utilização.
II. O aprimoramento dos mecanismos voltados à viabilização da garantia dos direitos dos titulares de dados, a partir da definição clara e acessível dos
procedimentos necessários para a realização de requerimentos de
informação e de exclusão das hipóteses de tratamento correntemente realizadas no âmbito de suas atividades, bem como sua publicação nos respectivos portais de transparência.
III. O aprimoramento das informações públicas referentes a processos de licitação e contratação de tecnologias, com a disponibilização em seus
portais de transparência, de maneira acessível e em conformidade com a LAI, dos documentos produzidos para embasá-los em seu inteiro teor,
com linguagem clara e suficientemente detalhada quanto às
características do objeto contratado e a finalidade da contratação, bem como à sua publicação completa e tempestiva no PNCP e nos portais de compras estaduais.
IV. A adoção prioritária de processos licitatórios concorrenciais e públicos
para a contratação ou aquisição de ferramentas ou serviços de tecnologia de qualquer natureza, a fim de evitar a utilização indiscriminada de hipóteses de dispensa e inexigibilidade, bem como a adoção das melhores práticas de transparência pública sobre os processos de
licitação e contratação como regra, de forma a coibir que se determine sigilo prévio sobre estes procedimentos, sob qualquer hipótese.
V. A publicização integral, nos respectivos portais de transparência, dos documentos informacionais submetidos à ANPD relacionados às atividades que envolvam tratamento de dados pessoais realizadas no
âmbito de suas atribuições, como avaliações sobre o legítimo interesse, testes de balanceamento e avaliações de risco e impacto.
ANEXO I
Contratações de tecnologia nas SSPs
A análise tem por foco as contratações de tecnologia realizadas pela segurança pública de quatro estados brasileiros: Bahia, Paraná, Rio de Janeiro e São Paulo. A amostra foi delimitada para abarcar contratos de segurança pública, vigentes de 2020 em diante, que envolvam compra de ferramentas ou serviços de tecnologia que apresentem risco de expansão de vigilância estatal e de violação no tratamento de dados pessoais.
Ao todo, foram analisados 61 contratos: 42 deles referentes a tecnologias
diversas voltadas para a gestão de dados das atividades policiais, e 19 referentes a tecnologias com capacidade de monitoramento de atividades realizadas online.
Imagem I. Contratos de tecnologia de vigilância para segurança pública por estado e tipo de ferramenta (vigentes entre 2020 e abril de 2024)
Gráfico II. Contratos de tecnologia de vigilância para segurança pública, por tipo de tecnologia e órgão
Bahia
No caso da Secretaria de Segurança Pública da Bahia (SSP-BA), foram analisados 5 contratos de tecnologias, dos quais 3 correspondem a tecnologias para gestão de dados e 2 às tecnologias de monitoramento online. É possível que haja mais contratos do que os que foram possíveis de ser levantados nesta análise, mas
entraves nas condições de transparência pública das contratações no estado inviabilizaram o acesso a maiores informações.
Tabela V. Contratos de tecnologia na segurança pública da Bahia, por tipo de tecnologia e subtipo
Número do Contrato | Contratado | Online ou gestão de dados | Subtipos |
03/2021 | Consórcio Video Policia OI MÓVEL SA OI SA AVANTIA TECNOLOGIA E ENGENHARIA SA | Gestão de dados | Físico e análise de imagens |
001/2023 | By Information Technology Services Eireli - Epp | Gestão de dados | Dados operacionais ou investigativos |
54/2022 | Horus Soluções Em Ti Ltda | Gestão de dados | Dados operacionais ou investigativos |
006/2020 | TECHBIZ FORENSE DIGITAL Ltda | Online | Invasão e extração forçada de dispositivos móveis |
002/2021 | Digitro Tecnologia S. A. | Online | OSINT |
Nenhum dos contratos da SSP-BA analisados conta com cláusula(s) referente(s) à proteção de dados. Também não foram localizadas cláusulas contratuais ou instrumentos adicionais de sigilo e confidencialidade de informações, para as referidas contratações.
Em contato com a SSP-BA, foi informado que todas as contratações realizadas
pela instituição contam com termo de sigilo de informações, mas aguardamos o envio dos documentos referidos para verificação.
O Portal estadual de contratações da Bahia é precário quanto à concessão de acesso aos documentos produzidos no curso das licitações e contratações.
Partindo das informações prestadas no portal, é preciso realizar buscas adicionais pela documentação em outras plataformas, como no Sistema Eletrônico de Informações (SEI) do estado.
Paraná
As contratações da Secretaria de Estado da Segurança Pública do Paraná
(SESP-PR) analisadas perfazem um total de 17 contratos, dos quais 11 (65%) correspondem a tecnologias de monitoramento online. Destas, 10 (91%) são
contratos firmados com a Techbiz Forense Digital LTDA, voltados à contratação de ferramentas de intrusão e extração de dados de dispositivos móveis e telemáticos para diversos setores da SESP-PR.
Tabela VI. Contratos de tecnologia na segurança pública do Paraná, por tipo de tecnologia e subtipo
Número do Contrato | Contratado | Online ou gestão de dados | Subtipos |
4274/2022 | AINOR SOFTWARE E GESTÃO LTDA CONSORCIO AIMART - BRQ | Gestão de dados | Cibersegurança |
1671/2024 | 4SECURITY TECNOLOGIA DA INFORMAÇÃO LTDA | Gestão de dados | Dados operacionais ou investigativos |
5961/2021 | E-GRAPHIC DESIGN ELETRONICO LIMITADA | Gestão de dados | Dados operacionais ou investigativos |
2597/2019 | IBM BRASIL-INDUSTRIA MAQUINAS E SERVICOS LIMITADA | Gestão de dados | Dados operacionais ou investigativos |
4128/2021 | IMAGEM GEOSISTEMAS E COMÉRCIO LTDA | Gestão de dados | Dados operacionais ou investigativos |
707/2019 | METDATA TECNOLOGIA DA INFORMACAO EIRELI - EPP | Gestão de dados | Dados operacionais ou investigativos |
2807/2019 | SUNTECH S.A. (Cognyte Brasil S.A) | Online | Invasão e extração forçada de dispositivos móveis |
3636/2020 | TECHBIZ FORENSE DIGITAL Ltda | Online | Invasão e extração forçada de dispositivos móveis |
5004/2021 | TECHBIZ FORENSE DIGITAL Ltda | Online | Invasão e extração forçada de dispositivos móveis |
4841/2021 | TECHBIZ FORENSE DIGITAL Ltda | Online | Invasão e extração forçada de dispositivos móveis |
4431/2021 | TECHBIZ FORENSE DIGITAL Ltda | Online | Invasão e extração forçada de dispositivos móveis |
5673/2022 | TECHBIZ FORENSE DIGITAL Ltda | Online | Invasão e extração forçada de dispositivos móveis |
1027/2022 | TECHBIZ FORENSE DIGITAL Ltda | Online | Invasão e extração forçada de dispositivos móveis |
6934/2022 | TECHBIZ FORENSE DIGITAL Ltda | Online | Invasão e extração forçada de dispositivos móveis |
561/2023 | TECHBIZ FORENSE DIGITAL Ltda | Online | Invasão e extração forçada de dispositivos móveis |
6758/2023 | TECHBIZ FORENSE DIGITAL Ltda | Online | Invasão e extração forçada de dispositivos móveis |
7136/2023 | TECHBIZ FORENSE DIGITAL Ltda | Online | Invasão e extração forçada de dispositivos móveis |
Quanto à adesão a cláusulas de proteção de dados no corpo dos contratos, seja
de maneira generalista ou diretamente referenciada à LGPD, a SESP-PR ainda apresenta uma baixa adesão para o período analisado: essas cláusulas são observadas em apenas 18% das contratações. Nesse caso, a SESP-PR figura atrás da SSP-SP e da SEPM-RJ. Em contato com a SESP-PR, fomos informados de que a adesão a disposições de proteção de dados é uma prioridade da
instituição, e que os contratos mais recentes já contam com essas previsões, e o mesmo deve ser esperado dos contratos futuros.
Quanto à adesão aos termos ou cláusulas de sigilo de informações, ela é maior para esta amostra: as cláusulas são encontradas em 65% dos contratos, e os termos de sigilo acompanham 36% deles. Nesse caso, a SESP-PR fica atrás apenas da SSP-SP.
Tabela VII. Contratos de tecnologia na segurança pública do Paraná, por tipo de adesão à LGPD ou a instrumentos de sigilo de informações
Contratos aderentes | % do total de contratos | |
Cláusula fundamentada na LGPD | 3 | 18% |
Cláusulas gerais sobre proteção de dados | 3 | 18% |
Cláusulas sobre sigilo de dados | 11 | 65% |
Termo de sigilo específico | 4 | 36% |
Gráfico III. Adesão a cláusulas contratuais por tipo de tecnologia, na SESP-PR
Rio de Janeiro
No caso do estado do Rio de Janeiro, foi necessário avaliar contratos de duas instituições: a Secretaria de Estado da Polícia Militar (SEPM-RJ) e a Secretaria Estadual da Polícia Civil (SEPOL-RJ), uma vez que a Secretaria de Estado de
Segurança Pública (SESP-RJ) havia sido extinta em 2019 pelo então governador Wilson Witzel.
A SESP-RJ foi recriada apenas em dezembro de 2023, pelo governador Cláudio Castro. Assim, para o período analisado neste relatório, os contratos tiveram de ser localizados diretamente a partir das aquisições ou contratações firmadas
pelas secretarias estaduais de polícia. A seguir, apresentamos a análise dos contratos para cada secretaria.
SEPM-RJ
Analisamos 7 contratos da SEPM-RJ no total, todos eles referentes a contratações de tecnologias de gestão de dados.
Tabela VIII. Contratos de tecnologia na SEPM-RJ, por tipo de tecnologia e subtipo
Número do Contrato | Contratado | Online ou gestão de dados | Subtipos |
2023010731 | EVERY TI TECNOLOGIA & INOVACAO LTDA | Gestão de dados | Dados operacionais ou investigativos |
2022006983 | PPN TECNOLOGIA E INFORMATICA LTDA | Gestão de dados | Dados operacionais ou investigativos |
2023010941 | 2LIVE STREAMING TELECOMUNICACOES DIGITAIS LTDA | Gestão de dados | Físico e análise de imagens |
2023005538 | 2LIVE STREAMING TELECOMUNICACOES DIGITAIS LTDA | Gestão de dados | Físico e análise de imagens |
14-2022 | GEOAMBIENTE SENSORIAMENTO REMOTO LTDA. | Gestão de dados | Físico e análise de imagens |
2021007588 | L8 Group SA | Gestão de dados | Físico e análise de imagens |
2022006810 | L8 Group SA | Gestão de dados | Físico e análise de imagens |
Dentre os 7 contratos analisados, apenas 2 (29%) contaram com adesão a disposições de proteção de dados e sigilo de informações. Especificamente
nesse caso, os contratos são exatamente os mesmos para todos os critérios avaliados, de forma que os demais 5 contratos não contam com nenhum desses instrumentos incorporados.
Tabela VI. Contratos de tecnologia na SEPM-RJ, por tipo de adesão à LGPD ou a instrumentos de sigilo de informações
Contratos aderentes | % do total de contratos | |
Cláusula fundamentada na LGPD | 2 | 29% |
Cláusulas gerais sobre proteção de dados | 2 | 29% |
Cláusulas sobre sigilo de dados | 2 | 29% |
Termo de sigilo específico | 2 | 29% |
Gráfico IV. Adesão a cláusulas contratuais por tipo de tecnologia, na SEPM-RJ
SEPOL-RJ
Analisamos 8 contratos da SEPOL-RJ no total, dos quais 6 (75%) são referentes a tecnologias de gestão de dados e os outros 2 (25%), a tecnologias de monitoramento online.
Tabela X. Contratos de tecnologia na SEPOL-RJ, por tipo de tecnologia e subtipo
Número do Contrato | Contratado | Online ou gestão de dados | Subtipos |
007/SEPOL/2024 | ARS TECNOLOGIA SERVIÇOS E CONSULTORIA LTD | Gestão de dados | Cibersegurança |
008/SEPOL/2024 | ARS TECNOLOGIA SERVIÇOS E CONSULTORIA LTD | Gestão de dados | Cibersegurança |
019/SEPOL/2021 | ANALISA BR LTDA | Gestão de dados | Dados operacionais ou investigativos |
013/SEPOL/2021 | ORACLE DO BRASIL SISTEMAS LTDA | Gestão de dados | Dados operacionais ou investigativos |
047/SEPOL/2022 | VERT SOLUÇÃO EM INFORMÁTICA | Gestão de dados | Dados operacionais ou |
LTDA | investigativos | ||
048/SEPOL/2022 | WEBTRIP L8 GROUP S/A (CONSÓRCIOOX21) | Gestão de dados | Físico e análise de imagens |
035/SEPOL/2021 | TECHBIZ FORENSE DIGITAL LTDA | Online | Invasão e extração forçada de dispositivos móveis |
051/SEPOL/2021 | Digitro Tecnologia S.A. | Online | OSINT e grampo telemático |
Quanto à adesão a disposições de proteção de dados e sigilo de informações, o caso da SEPOL-RJ é o menos avançado depois da SSP-BA: apenas 13% dos
contratos contam com alguma cláusula de proteção de dados.
Neste caso, destaca-se que nenhum dos contratos das ferramentas de monitoramento online – que incluem uma tecnologia de intrusão e extração forçada de dados de dispositivos móveis telemáticos e uma tecnologia de OSINT com capacidade de grampo telemático – contém quaisquer cláusulas de
proteção de dados, e nem instrumentos de sigilo de informações.
Tabela XI. Contratos de tecnologia na SEPOL-RJ, por tipo de adesão à LGPD ou a instrumentos de sigilo de informações
Contratos aderentes | % do total de contratos | |
Cláusula fundamentada na LGPD | 1 | 13% |
Cláusulas gerais sobre proteção de dados | 1 | 13% |
Cláusulas sobre sigilo de dados | 3 | 38% |
Termo de sigilo específico | 2 | 25% |
Gráfico V. Adesão a cláusulas contratuais por tipo de tecnologia, na SEPOL-RJ
São Paulo
Para a Secretaria de Segurança Pública de São Paulo (SSP-SP) analisamos um total de 24 contratos, 20 (83%) dos quais correspondem a contratações de ferramentas de gestão de dados, e os outros 4 (17%) a contratações de ferramentas de monitoramento online.
Tabela XII. Contratos de tecnologia na segurança pública de São Paulo, por tipo de tecnologia e subtipo
Número do Processo ou Contrato | Contratado | Online ou gestão de dados | Subtipos |
2021/01087 | GREEN4T SOLUCOES TI LTDA | Gestão de dados | Cibersegurança |
2020152288 | LOGIKS CONSULTORIA E SERVIÇOS EM TECNOLOGIA DA INF | Gestão de dados | Cibersegurança |
SSP-PRC-2022/00 259 | THS TECNOLOGIA INFORMACAO E COMUNICACAO LTDA | Gestão de dados | Cibersegurança |
2021183120 | ZIVA TECNOLOGIA E SOLUÇÕES LTDA. | Gestão de dados | Cibersegurança |
20231240331 | Advanta Sistemas de Telecomunicações e Serviços de Informática LTDA | Gestão de dados | Dados operacionais ou investigativos |
2021/00231 | ALGV COMERCIO E SERVICOS ADMINISTRATIVOS LTDA | Gestão de dados | Dados operacionais ou investigativos |
20231606618 | CENTRIC SYSTEM BRAZIL SOFTWARES LTDA | Gestão de dados | Dados operacionais ou investigativos |
00589/2021 | CONNECTCOM TELEINFORMÁTICA COMÉRCIO E SERVIÇOS LTDA | Gestão de dados | Dados operacionais ou investigativos |
20230010275 | GLOBAL WEB OUTSOURCING DO BRASIL S.A. | Gestão de dados | Dados operacionais ou investigativos |
20221210464 | GLOBAL WEB OUTSOURCING DO BRASIL S.A. | Gestão de dados | Dados operacionais ou investigativos |
139/2019 | LABWARE BRASIL SERVIÇOS DE INFORMÁTICA LTDA | Gestão de dados | Dados operacionais ou investigativos |
202207871718 | Não informado* | Gestão de dados | Dados operacionais ou investigativos |
20221210464 | GLOBAL WEB OUTSOURCING DO BRASIL S.A. | Gestão de dados | Dados operacionais ou investigativos |
270/2023 | Não informado* | Gestão de dados | Dados operacionais ou investigativos |
2020194056 | Não informado* | Gestão de dados | Dados operacionais ou investigativos |
2021378243 | Não informado* | Gestão de dados | Dados sensíveis de PMs |
20220469871 | INDRA BRASIL SOLUÇÕES E SERVIÇOS TECNOLÓGICOS LTDA | Gestão de dados | Dados sensíveis de PMs |
2021183024 | CONSÓRCIO AXON E ADVANTA | Gestão de dados | Físico e análise de imagens |
2020184119 | Não informado* | Gestão de dados | Físico e análise de imagens |
2020184120 | Não informado* | Gestão de dados | Físico e análise de imagens |
2021184107 | TECHBIZ FORENSE DIGITAL Ltda | Online | Análise de big data e dados online |
2020184105 | 4SECURITY TECNOLOGIA DA INFORMAÇÃO LTDA - ME | Online | OSINT |
20231423716 | APURA Comércio de Softwares e Assessoria em Tecnologia da Informação S.A. | Online | OSINT |
058.00018380/20 | INSPECT INTELIGENCIA E TECNOLOGIA | Online | OSINT |
24-12 | LTDA |
Quanto aos contratos cuja empresa contratada está listada como “não
informada*”, há uma série de contratações na plataforma e-Negócios para as quais não há informações nem documentos referentes ao andamento do
processo licitatório, ao contrato firmado e à empresa contratada. Em alguns
casos, foi possível localizar informações adicionais em outros repositórios, como no portal da Bolsa Eletrônica de Compras (BECSP) e no Diário Oficial do Estado
de São Paulo.
Para os demais casos, foram analisadas as disposições contratuais apresentadas na minuta de contrato do Edital disponibilizado, uma vez que a preocupação
desta análise está no tipo de normativa produzida com relação à proteção de dados. Contudo, consideramos que esse tipo de lacuna documental e
informacional constitui um problema grave na transparência pública das contratações.
Comparativamente aos demais estados, a SSP-SP apresentou maior adesão a cláusulas de sigilo ou proteção de dados em seus contratos de tecnologia do
período. A inclusão de cláusulas contratuais sobre sigilo foi realizada em todos os contratos desta amostra (100%). A inserção de cláusula relativa à proteção de dados de maneira geral (67%) e de cláusula com referência direta à LGPD (46%) teria ocorrido principalmente a partir da adoção de um modelo de cláusula
padrão, replicado integralmente em diversos contratos.
Tabela XIII. Contratos de tecnologia na segurança pública de São Paulo, por tipo de adesão à LGPD ou a instrumentos de sigilo de informações
Contratos aderentes | % do total de contratos | |
Cláusula fundamentada na LGPD | 11 | 46% |
Cláusulas gerais sobre proteção de dados | 16 | 67% |
Cláusulas sobre sigilo de dados | 24 | 100% |
Termo de sigilo específico | 11 | 46% |
Gráfico VI. Adesão a cláusulas contratuais por tipo de tecnologia, na SSP-SP
ANEXO II
Avaliação da Infraestrutura de Proteção de Dados das SSPs estaduais
São Paulo
● Regulamentação da LGPD e normativas estaduais correlatas
Decreto nº 65.347, de 09 de dezembro de 2020 – Dispõe sobre a aplicação da Lei federal nº 13.709, de 14 de agosto de 2018 (LGPD), no âmbito do Estado de São Paulo.
Decreto nº 64.790, de 13 de fevereiro de 2020 – Institui a Central de Dados do Estado de São Paulo - CDESP, a Plataforma Única de Acesso - PUA e o Comitê Gestor de Governança de Dados e Informações do Estado de São Paulo, e dá providências correlatas.
Deliberação Normativa CGGDIESP-1, de 30 de dezembro de 2021 – Institui a Política de Governança de Dados e Informações – PGDI, no âmbito da
Administração Pública Estadual, e dá providências correlatas.
Deliberação Normativa CGGDIESP-2, de 30 de dezembro de 2021 – Política de Proteção de Dados Pessoais – PPDP.
Assim como a Lei federal que pretende regulamentar, o Decreto nº 65.347/2020 não faz menção a qualquer tipo de mecanismo de proteção de dados pessoais na segurança pública. A deliberação normativa que cria a Política de Governança de Dados e Informações (PGDI), por sua vez, inclui disposições referentes à
proteção de dados pessoais, sigilo e segurança de informações, mas refere-se aos direitos dos titulares apenas de maneira principiológica, não dispondo de mecanismos práticos e específicos para que as instituições estaduais paulistas
viabilizem seu exercício desde o momento de estruturação e organização de suas bases de dados.
Este tipo de proteção encontra-se, efetivamente, na Política de Proteção de Dados Pessoais (PPDP) do estado. Contudo, já no inciso II de seu artigo 2º, a PPDP determina, como permitido e respaldado pela LGPD, que:
“Art. 2º - A política instituída por esta deliberação:
(...)
II - não se aplica às operações de tratamento de dados pessoais para fins exclusivos de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais.”
Replica-se assim, a nível estadual, a lacuna na proteção de dados pessoais utilizados para fins de segurança pública e na garantia dos direitos dos titulares de dados.
● Normativas infralegais sobre gestão e proteção de dados no âmbito de atividades da segurança pública
Resolução SSP nº 54, de 25 de agosto de 202347 - Institui o Comitê Gestor de Governança de Dados e Informações da Secretaria da Segurança Pública
(CGGDI-SSP).
Internamente à SSP, a Resolução nº 54/2023 cria o Comitê Gestor de Governança de Dados e Informações, composto por cinco representantes da Administração Superior da SSP; um representante da Polícia Civil; dois
representantes da Polícia Militar, sendo um deles do Corpo de Bombeiros; um representante da Superintendência da Polícia Técnico-Científica; e um
convidado da CDESP. Destaca-se a ausência de representantes da sociedade civil na composição do Comitê Gestor, o que prejudica o desenvolvimento de mecanismos de controle ou de incentivo à transparência voltados às necessidades da sociedade em geral.
47 Disponível apenas no Diário Oficial do Estado de São Paulo, Caderno Executivo, Seção I, de 28 de agosto de 2023, p.19.
Compete ao CGGDI-SSP, de acordo com o artigo 4º da Resolução:
“I - promover e organizar o desenvolvimento das melhores práticas de governança, alinhadas com a Deliberação Normativa CGGDIESP-1, de 30-12-2021; II - promover a implementação e monitoramento da segurança da informação e proteção de dados pessoais, alinhados com a Deliberação Normativa
CGGDIESP-2, de 30-12-2021;
III - fomentar a transformação digital voltada à segurança pública;
IV - uniformizar os procedimentos relacionados ao acesso e disponibilização das informações, por meio das plataformas digitais;
V - assessorar nas atividades de governança, planejamento, coordenação, organização, controle e monitoramento dos recursos de tecnologia da informação, comunicação e telecomunicação, no âmbito da secretaria.”
De acordo com seu artigo 5º, o CGGDI-SSP editará, em portaria, normas
complementares necessárias ao cumprimento da resolução, porém não foram localizadas quaisquer normativas editadas pelo órgão que referenciem a aplicação de instrumentos de proteção de dados pessoais em seus contratos, nem que contenham disposições para a efetivação dos direitos dos titulares
com relação aos dados tratados no âmbito da SSP-SP.
● Informações de Ouvidoria sobre solicitações referentes a LGPD
Há formulários eletrônicos disponíveis no portal oficial da SSP-SP para contato com sua Ouvidoria para submissão de denúncias, elogios e sugestões, além de telefone ou e-mail. Não há indicação de possibilidade de encaminhamento de solicitações referentes à LGPD.
● Informações sobre o exercício de direitos dos titulares
No portal oficial da SSP-SP ou de sua Ouvidoria, não constam informações nem orientações necessárias para a realização de solicitações ou reclamações
referentes a LGPD no âmbito de suas atividades.
Há uma página na seção "Canais de Comunicação" voltada à LGPD, mas que fornece informações limitadas a respeito do exercício de direitos dos titulares.
● Servidor dedicado à função de encarregado de proteção de dados pessoais
Não constam informações, no portal oficial da SSP-SP, sobre a existência de um servidor dedicado à função de encarregado de proteção de dados pessoais. A única alternativa é a de tratar com o encarregado de dados do Estado de São Paulo, que atua sob a Controladoria-Geral do Estado.
Paraná
● Regulamentação da LGPD e normativas estaduais correlatas
Decreto nº 6.474, de 14 de dezembro de 2020 – Regulamenta a aplicação da Lei Federal nº 13.709, de 14 de agosto de 2018 – Lei Geral de Proteção de Dados Pessoais (LGPD), no âmbito da Administração Pública Estadual direta, autárquica e fundacional do Poder Executivo do Estado do Paraná.
Decreto n° 9185, de 26 de outubro de 2021 – Altera e acrescenta os dispositivos que especifica no Decreto nº 6.474, de 14 de dezembro de 2020, que
Resolução CGE n° 39, de 13 de julho de 2021 – Institui o Comitê Gestor de Proteção de Dados Pessoais - CGPDP no âmbito da Controladoria-Geral do Estado.
Resolução CGE nº 13, de 03 de março de 2021 – Dispõe sobre a indicação do Encarregado pelo Tratamento dos Dados Pessoais, no âmbito dos órgãos e das
entidades da Administração Pública Estadual direta, indireta, autárquica e fundacional do Poder Executivo do Estado do Paraná.
Assim como a Lei federal que pretende regulamentar, o Decreto nº 6.474/2020 não faz menção a qualquer tipo de mecanismo de proteção de dados pessoais na segurança pública. Adicionalmente, as demais normativas também não tratam dos mecanismos para a viabilização de requerimentos relativos a direitos dos titulares.
No mesmo instrumento, destaca-se, ainda, quanto às hipóteses relativas ao
compartilhamento de dados entre entes públicos e privados, a seguinte redação de seu art. 15:
“Art. 15. O compartilhamento de dados pessoais entre entes públicos e privados deverá ser informado à Autoridade Nacional de Proteção de Dados – ANPD e dependerá de consentimento do titular, exceto quando:
I - os dados forem acessíveis publicamente, nos termos do inciso I do caput do art. 23 da Lei nº 13.709, de 2018;
II - houver execução descentralizada de atividade pública que exija a transferência, exclusivamente para esse fim específico e determinado, observado o disposto na Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação);
III - houver previsão legal ou a transferência for respaldada em contratos, convênios ou instrumentos congêneres; ou
IV - a transferência dos dados objetivar exclusivamente a prevenção de fraudes e irregularidades, ou proteger e resguardar a segurança e a integridade do titular dos dados, desde que vedado o tratamento para outras finalidades.
V - nas hipóteses legais de dispensa de consentimento.”
Na prática, admite-se que a edição e assinatura de contrato ou convênio seriam condição suficiente para a realização de compartilhamento de dados pessoais
com entidades privadas sem informar a ANPD e sem requerer o consentimento dos titulares.
● Normativas infralegais sobre gestão e proteção de dados no âmbito de atividades da segurança pública
Não foram localizadas as normativas infralegais sobre o tema no âmbito da SESP-PR.
● Informações de Ouvidoria sobre solicitações referentes a LGPD
O portal da SESP-PR conta com seção dedicada à Ouvidoria, com formulário eletrônico para solicitações, além de telefone e e-mail.
● Informações sobre o exercício de direitos dos titulares
No portal oficial da SESP-PR e na página de sua Ouvidoria, não constam
informações nem orientações necessárias para a realização de solicitações ou reclamações referentes a LGPD no âmbito de suas atividades.
● Servidor dedicado à função de encarregado de proteção de dados pessoais
Há um servidor identificado e dedicado à função de encarregado de proteção de dados pessoais na SESP-PR. O portal oficial conta com seção dedicada contendo informações para contato direto com o encarregado, via telefone e e-mail.
Rio de Janeiro
● Regulamentação da LGPD e normativas estaduais correlatas
No caso do Rio de Janeiro, ocorreu em 2019 a extinção da Secretaria de Segurança Pública (Seseg-RJ), que só viria a ser recriada em novembro de 2023. Dessa forma, o levantamento se concentrou nas normativas, documentações e informações disponibilizadas nos portais das Secretarias da Polícia Civil
(SEPOL-RJ) e da Polícia Militar (SEPM-RJ), que receberam as atribuições e responsabilidades da antiga Seseg-RJ no período.
Decreto nº 47.826, de 11 de novembro de 2021 – Institui o Comitê Estadual de Governança e Privacidade de Dados em consonância com a Lei Federal nº 13.709, de 14 de agosto de 2018 (LGPD).
Decreto 48.891, de 10 de janeiro de 2024 – Institui a Política de Governança em Privacidade e Proteção de Dados Pessoais do Estado do Rio de Janeiro, em
conformidade com a Lei Federal nº 13.709, de 14 de agosto de 2018 (LGPD).
O Decreto nº 47.826/2021 foi integralmente revogado pelo Decreto nº 48.891/2024, tendo sido mantidas apenas as designações de servidores
estaduais do Centro de Tecnologia de Informação e Comunicação do Estado do Rio de Janeiro (PRODERJ), da Controladoria-Geral do Estado e da Procuradoria Geral do Estado para a formação do Núcleo Normativo do Comitê Estadual de Governança e Privacidade de Dados.
No parágrafo único do art. 6º do Decreto nº 48.891/2024, encontramos a
ressalva de sua aplicação para os tratamentos de dados realizados para fins de segurança pública, propondo apenas o “respeito a fundamentos e princípios gerais” da proteção de dados pessoais e dos direitos dos titulares, sem, contudo, definir como isso se viabilizaria nestes casos:
“Art. 6º (...)
Parágrafo único. A política instituída por este Decreto não se aplica às operações de tratamento de dados pessoais para fins exclusivos de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais, que deverão, no entanto, respeitar os fundamentos e os princípios gerais de proteção de dados pessoais, bem como os direitos dos titulares, no que tais garantias forem compatíveis com a natureza dessas atividades.”
SEPM-RJ
● Normativas infralegais sobre gestão e proteção de dados no âmbito de atividades da segurança pública
Resolução SEPM nº 5146 de 30 de janeiro de 2024 – Estabelece as Políticas de Dados e Privacidade na Secretaria de Estado de Polícia Militar e dá outras
providências.
Portaria SEPM SEI nº 1065 de 19 de fevereiro de 2024 – Institui as Políticas
relativas à segurança da informação em soluções de tecnologia da informação e comunicação em âmbito da Secretaria de Estado de Polícia Militar, e dá outras providências.
Resolução SEPM nº 3458 de 13 de junho de 2023 – Estabelece o Encarregado de Proteção de Dados da Secretaria de Estado de Polícia Militar e dá outras
providências
● Informações de Ouvidoria sobre solicitações referentes a LGPD
No portal da Ouvidoria da SEPM-RJ, há informações de e-mail e telefone para contato, além do link para acesso direto ao formulário eletrônico unificado do sistema da Ouvidoria estadual (Ouverj). O formulário da Ouverj conta com
campo de assunto dedicado às solicitações referentes à LGPD.
● Informações sobre o exercício de direitos dos titulares
Na página específica sobre proteção de dados no portal oficial da SEPM-RJ,
constam a relação de servidores responsáveis por atendimentos referentes à
LGPD e, ao final da página, uma indicação de que este atendimento é realizado mediante solicitação à Ouvidoria.
A página inclui um telefone e um e-mail para contato, mas não oferece o link
direto ao formulário eletrônico da Ouverj. O portal da SEPM não oferece,
contudo, orientações sobre a realização de solicitações referentes a dados pessoais.
● Servidor dedicado à função de encarregado de proteção de dados pessoais
O portal da SEPM-RJ indica, em sua página específica sobre proteção de dados, que o encarregado de proteção de dados pessoais é o diretor da Diretoria de Sistemas de Informação da Secretaria.
A SEPM-RJ conta com mais dois servidores em cargos relativos à aplicação da LGPD: o gestor de segurança da informação e o encarregado do tratamento e incidentes de dados.
SEPOL-RJ
● Normativas infralegais sobre gestão e proteção de dados no âmbito de atividades da segurança pública
Não foram localizadas as normativas infralegais sobre o tema no âmbito da SEPOL-RJ.
● Informações de Ouvidoria sobre solicitações referentes a LGPD
No portal da Ouvidoria da SEPOL-RJ, há informações de e-mail e telefone para contato, além do link para acesso direto ao formulário eletrônico unificado do sistema da Ouvidoria estadual (Ouverj). O formulário da Ouverj conta com
campo de assunto dedicado às solicitações referentes à LGPD.
● Informações sobre o exercício de direitos dos titulares
No portal oficial da SEPOL-RJ, não constam informações nem orientações necessárias para a realização de solicitações ou reclamações referentes a LGPD no âmbito de suas atividades.
● Servidor dedicado à função de encarregado de proteção de dados pessoais
Não constam informações sobre a existência de servidor encarregado de proteção de dados pessoais para a SEPOL-RJ em seu portal oficial.
Bahia
● Regulamentação da LGPD e normativas estaduais correlatas
Não há regulamentação da LGPD no Estado da Bahia.
● Normativas infralegais sobre gestão e proteção de dados no âmbito de atividades da segurança pública
Não foram localizadas as normativas infralegais sobre o tema no âmbito da SSP-BA.
● Informações de Ouvidoria sobre solicitações referentes a LGPD
O portal oficial da SSP-BA conta com link para acesso direto ao formulário eletrônico unificado do sistema da Ouvidoria estadual. O formulário da
Ouvidoria estadual não conta com campo de assunto dedicado às solicitações referentes à LGPD.
● Informações sobre o exercício de direitos dos titulares
No portal oficial da SSP-BA e da Ouvidoria estadual, não constam informações nem orientações necessárias para a realização de solicitações ou reclamações referentes a LGPD no âmbito de suas atividades.
● Servidor dedicado à função de encarregado de proteção de dados pessoais
Não constam informações sobre a existência de servidor encarregado de proteção de dados pessoais para a SSP-BA em seu portal oficial.