SouGov: Transferência de dados de servidores públicos a empresa estrangeira preocupa especialistas

Recentemente, o governo federal lançou, via Ministério da Economia, um aplicativo chamado SouGov.br. A promessa é facilitar a listagem de servidores públicos ativos, aposentados e pensionistas junto à administração pública federal. O que chama a atenção de especialistas em proteção de dados, contudo vai além da ‘possibilidade de uma vida funcional, na palma da mão!’, como alardeiam as propagandas do aplicativo.

 

O problema mora no termo de uso e política de privacidade da plataforma, na parte que trata sobre a transferência internacional de dados.

“Ao concordar com Termo de Uso e Política de Privacidade do aplicativo SouGov o usuário estará consentindo com a transferência internacional das informações digitadas no chat do aplicativo SouGov”, destaca um trecho do documento. A transferência será feita à empresa International Business Machines (IBM), com sede nos Estados Unidos.

Até o dia 30 de julho, data em que CartaCapital concluiu a apuração e procurou o Ministério da Economia para esclarecer algumas questões, a política previa o compartilhamento de ao menos 35 informações da vida dos servidores à empresa, passando por nome, endereço, número de telefone, dados bancários, dados financeiros e contracheque, bem como dados do dispositivo móvel, tais como modelo de hardware e sistema operacional.

Na segunda-feira 2, no entanto, a reportagem foi comunicada de uma mudança na política do aplicativo, que não mais demandaria dos servidores informarem seus dados pessoais no chat pelo qual seria feito o atendimento. A mudança, no entanto, ainda deixa dúvidas em relação às intenções da plataforma, que segue podendo transferir dados internacionalmente.

O SouGov foi anunciado em substituição ao aplicativo Sigepe Mobile, encerrado no dia 3 de junho, e promete reunir serviços até então inéditos como o envio de atestado médico, a solicitação de auxílio-transporte e a prova de vida digital. O anúncio feito pelo governo é o de que, até 2022, o aplicativo possa ofertar cerca de 50 serviços aos usuários.

Dados serão usados para treinar serviço de inteligência artificial da IBM

A transferência internacional de dados não é ilegal. Pode existir sobre algumas condições previstas na Lei Geral de Proteção de Dados. Segundo a legislação, é permitido transferir esses dados a países ou organismos internacionais que proporcionem grau de proteção aos dados pessoais; e também quando o controlador (pessoa ou empresa a quem compete as decisões referentes ao uso dos dados) oferece e comprova a garantia dos princípios de segurança em cláusulas contratuais ou normas específicas.

Além disso, a lei prevê algumas situações em que a transferência internacional é permitida: em casos de cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução, de acordo com os instrumentos de direito internacional; para a proteção da vida do titular dos dados ou de terceiro; quando a autoridade nacional autorizar a transferência; quando a transferência resultar em compromisso assumido em acordo de cooperação internacional; ou quando for necessária para a execução de política pública ou atribuição legal do serviço público.

Os especialistas ouvidos por CartaCapital, no entanto, questionam os motivos pelos quais aplicativo SouGov se propõe a transferir dados à empresa norte-americana.

A possibilidade se abre a partir do momento que o usuário utiliza usa o chat de atendimento do aplicativo. A ferramenta SerproBot, do Serviço Federal de Processamento de Dados, usa tecnologia da IBM. A política de dados destaca que ‘o usuário fica ciente de que os dados digitados no chat poderão ser transferidos internacionalmente e ficarão armazenados na infraestrutura da empresa por um período de 30 dias’. Após esse período, segundo o documento, os dados seriam excluídos definitivamente. O objetivo é o de promover o aprendizado da ferramenta Watson da empresa norte-americana, direcionada a negócios.

Questionado, o Ministério da Economia afirmou que o chat está programado apenas para responder questões sobre a navegação e funcionalidades do aplicativo, e que os usuários não são orientados e nem há necessidade de digitar qualquer informação de caráter pessoal na interação. Na teoria, isso estaria de acordo com a Lei Geral de Proteção de Dados (LGPD) que blinda o compartilhamento de informações sensíveis em caso de obtenção de vantagem econômica entre controladores.

O SouGov indica que o responsável pelas decisões referentes ao tratamento de dados pessoais (controlador) é o Departamento de Sistemas e Informações Gerenciais da Secretaria de Gestão e Desempenho de Pessoal do Ministério da Economia. Já o tratamento de dados (operador) será feito pelo Serviço Federal de Processamento de Dados – Serpro. A operação ainda tem como encarregado a Autoridade Nacional de Proteção de Dados (ANPD) pela representante Marta Juvina de Medeiros.

Para a líder geral de projetos da Associação Data Privacy Brasil de Pesquisa, Marina Meira, ainda é preciso avaliar a operação do ponto de vista do interesse público, princípio também resguardado pela LGPD no caso de tratamento de dados.

“Ainda que o chat apenas seja treinado para responder sobre a navegação e funcionalidades, é possível que os usuários, ao formular suas dúvidas ao bot, digitem no chat dados pessoais ou digitem mensagens a partir das quais possam ser inferidos dados pessoais”, explica.

“Por isso, é importante que as regras da LGPD sejam observadas, que seja avaliado o interesse público na transferência de dados e em todas as atividades de tratamento de dados realizadas”, completa.

O professor associado da Universidade Federal do ABC (UFAB), Sergio Amadeu da Silveira, especialista em proteção de dados e inteligência artificial, também levanta questões sobre a operação e a critica do ponto de vista do desenvolvimento nacional.

“Para que vão treinar os algoritmos da IBM? Não existe nenhuma empresa brasileira capaz de produzir repostas feitas pelos servidores no chat?”, questiona. “A cada consulta feita, os dados serão armazenados na IBM por 30 dias. Ou seja, cada consulta será armazenada até treinar o algoritmo da IBM. Pagamos por isso? Ou fazemos isso de graça para a IBM? Isso é um absurdo”, condena.

“A partir dos dados, você poderia juntar universidades e empresas nacionais, sob controle total do nosso sistema jurídico formal, da nossa legislação, para treinar os nossos algoritmos, envolver a nossa tecnologia de inteligência artificial, mas não, a gente entrega isso para a IBM, comercializando dados de servidores, é lamentável”, lamenta.

Base única e com dados sensíveis também é motivo de preocupação

O aplicativo usará como base de informações dos usuários os dados contidos no Sistema Integrado de Administração de Pessoal (Siape), plataforma já utilizada para atividades de gestão dos servidores, como pagamentos. A política de dados da plataforma destaca que os dados podem ser compartilhados com órgãos públicos que demandem da utilização desses dados pessoais.

Do ponto de vista da proteção de dados, a conformação de bases únicas e o compartilhamento de informações entre órgãos do governo, também é motivo de preocupação. A operação, ressaltam os especialistas, foi facilitada a partir do decreto 10.046/2019, assinado por Jair Bolsonaro.  A lei, inclusive, teve sua constitucionalidade questionada pela OAB junto ao Supremo Tribunal Federal.

“Os estados são máquinas gigantescas que precisam ser compartimentadas em defesa da sociedade. Não à toa temos a tradicional divisão dos três poderes”, explica Amadeu. “Com esse decreto de compartilhamento de dados ficou mais fácil concentrá-los, o que é extremamente perigoso do ponto de vista do vazamento dessas informações. É mais fácil vazar de um lugar só do que de vários lugares”.

Ele também fala sobre o risco de desvirtuamento dessas informações. “O que precisa ficar claro é que quem está fazendo isso é o Paulo Guedes. Ele quer a privatização a todo custo e uma das forma de privatizar é terceirizar informações que são importantes para a gestão pública“, avalia o professor.

O Serpro, inclusive, é objeto de possível privatização pelo ministro da Economia. Marina Meira conduziu um estudo recente com demais especialistas da Data Privacy em que ressalta como a operação de privatizar a estatal, que hoje atua com coleta e processamento de dados para a administração pública pode gerar “vantagens competitivas injustificáveis se, por hipótese, for mantido intocado o acesso do Serpro às bases públicas de dados que hoje o abastecem e alimentam”.

O perigo da lógica do estado preditivo

Marina Meira reconhece uma tendência à digitalização dos serviços públicos que, cada vez mais, apostam em mediações digitais. Ela pontua que a prática, por si só, não é um problema, mas precisa ser avaliada com base na transparência do estado no processo, referindo-se à concentração de dados sensíveis de cidadãos por órgãos públicos.

“O estado preditivo nada mais é uma lógica de que o estado, a partir do cruzamento de dados, é capaz de prever quais serão as necessidades futuras dos cidadãos e oferecer soluções a cada um deles”, explica.

“É importante a gente problematizar esse conceito porque, de certa forma, a gente entra em uma situação em que os cidadãos passam a ser muito transparentes ao estado, sem que necessariamente ele [o estado] também seja transparente aos cidadãos e isso abre margem para potenciais casos de discriminação e para um estado potencialmente de vigilância constante.”

A especialista cita como exemplo o recente caso de perseguição ao professor de direito da USP, Conrado Hubner Mendes, que passou a ser alvo de uma representação a pedido do STF. O ministro Kássio Nunes Marques encaminhou um pedido de apuração à PGR indicando que o pesquisador teria publicado textos que feririam a sua honra. Também citou o monitoramento, por parte do governo, via Ministério da Justiça, a servidores antifascistas, que teriam tido revelados seus nomes, fotos e endereços de redes sociais.

Meira destaca que o mau uso dos dados dos servidores é ainda mais preocupante em se tratando de professores universitários. “Entre os servidores públicos federais existem os professores universitários, e estamos passando por um momento em que a autonomia universitária está sendo posta em risco”, coloca ao novamente defender uma análise minuciosa acerca do SouGov.

Quais são as alternativas?

Uma possível medida para reduzir danos em caso de  transferência de dados de usuários seria garantir a publicação de um relatório de impacto à proteção de dados pessoais. “Um documento capaz de avaliar os riscos que a cadeia de atividades oferece aos titulares de dados, no caso aos servidores públicos federais, e aos dados sensíveis dos dependentes dos servidores, como crianças e adolescentes, por exemplo”, sugere Meira.

“A possibilidade de tais dados serem acessados por diversos agentes públicos, de desvio de finalidade, são fatores que dão à atividade esse caráter de risco aos cidadãos. A autoridade nacional de proteção de dados pode solicitar o documento aos agentes do poder público”, acrescenta.

Para a especialista também precisa ficar claro se os servidores têm garantida a possibilidade de não baixar o aplicativo e não serem lesados no acesso aos serviços. “Eles falam sobre consentimento para usar o aplicativo, e a LGPD estabelece alguns requisitos para isso, como o da livre manifestação. Ou seja, tem que ser de fato uma manifestação de sua própria vontade, você precisa ter a opção de dizer sim ou não. As pessoas têm a possibilidade de dizer não ao aplicativo?”

“O acesso ao SouGov pela internet, que me parece ser possível, desabilitaria algumas coletas de dados como, por exemplo, as coletas de geolocalização a partir do celular. Seria talvez uma forma menos intrusiva aos cidadãos.”

O que diz o Ministério da Economia?

Em nota encaminhada à reportagem de CartaCapital, o Ministério da Economia ressaltou que a transferência de dados pessoais de servidores não será feita pelo aplicativo SouGov.

“O aplicativo Sougov não transfere dados pessoais. Cabe esclarecer que o Termo de Uso e Política de Privacidade adotado pelo Sougovbr já foi atualizado”, destacou. “Apesar da possibilidade da transferência de dados ter constado da versão inicial do Termo de Uso e Política de Privacidade, o fato é que nenhuma transferência de dados pessoais foi realizada”, completou a pasta.

A reportagem também questionou se a transferência internacional de dados à IBM pode justificar possível vantagem econômica à empresa, o que foi negado pela pasta, que ainda afirmou estar em acordo com a LGPD.

“Como o SouGov não transfere dados pessoais dos servidores, não há vantagens a qualquer empresa privada. Quanto à adequação à LGPD, o SouGov cumpre os requisitos exigidos”, afirmou o Ministério.

“Os dados que o chatbot do SouGov recebe e utiliza nas suas interações com os usuários, servidores públicos federais, são os mesmos dos tutoriais sobre as funcionalidades e no manual do usuário, que são documentos públicos e estão disponíveis em https://www.gov.br/servidor/pt-br/assuntos/sou-gov/sou-gov.br”, destacou a pasta em outro trecho do comunicado.

Ainda de acordo com o Ministério, mais de 577 mil servidores públicos federais já utilizam o aplicativo. Os servidores que não quiserem fazer uso do canal digital podem buscar atendimento na unidades de gestão de pessoas (RH) dos seus órgãos e entidades, informou a pasta.