Comissão Especial para estudo, atualização, modernização e adaptação de normas jurídicas brasileiras, no sentido de incorporar a elas os avanços tecnológicos nas relações interpessoais e atividades diárias
(Audiência Pública e Deliberação Extraordinária (semipresencial))
Em 19 de Setembro de 2023 (Terça-Feira)
às 15 horas e 30 minutos
| Horário | (Texto com redação final.) |
|---|---|
|
15:49
RF
|
O SR. PRESIDENTE (Lafayette de Andrada. Bloco/REPUBLICANOS - MG) - Havendo número regimental, declaro aberta a 7ª Reunião Extraordinária da Comissão Especial para estudo, atualização, modernização e adaptação de normas jurídicas brasileiras, no sentido de incorporar a elas os avanços tecnológicos nas relações interpessoais e atividades diárias.
Encontra-se à disposição, na página da Comissão na Internet, a ata da 6ª reunião, realizada no dia 13 de setembro de 2023.
Informo que a sinopse do expediente recebido encontra-se à disposição na página da Comissão na Internet.
Esclareço que esta audiência cumpre decisão do colegiado em atendimento aos Requerimentos nºs 23, 25, 26, 27 e 28, de 2023.
Eu gostaria de agradecer muito a todos a presença nesta Comissão. O nosso escopo aqui é justamente dialogar, para aprimorarmos a legislação referente ao tema.
A audiência contará com a participação de vários convidados. Convido para compor a Mesa o Dr. Rogerio Mascarenhas, Secretário de Governo Digital do Ministério da Gestão e da Inovação em Serviços Públicos — MGI, representando a Secretaria de Governo Digital e a Ministra da Gestão e da Inovação em Serviços Públicos.
Caro Dr. Rogerio, antes de passar a palavra ao senhor, quero dizer que eu gosto sempre de fazer esse pequeno preâmbulo. A nossa Comissão tem exatamente por escopo a modernização do direito. Eu falo sempre que o nosso direito não avançou ainda de maneira tão veloz como as tecnologias. E as tecnologias já estão incorporadas no nosso dia a dia. Nós pagamos por meio do Pix, conversamos pelo WhatsApp, e grande parte disso, ou quase nada disso, está incorporado ao nosso direito. Portanto, temos uma lacuna legal e até mesmo, em certo aspecto, uma insegurança jurídica. Esta Comissão foi criada justamente com esse objetivo. O Presidente Arthur Lira entendeu que é importante criarmos uma Comissão específica para a atualização do direito. A Comissão, que é chamada de Comissão do Direito Digital, nada mais é do que uma atualização do nosso arcabouço jurídico, trazendo para ele os reflexos do avanço tecnológico que já está incorporado no dia a dia da nossa sociedade.
Então, na data de hoje, nós vamos conversar sobre um tema importante, que é justamente a identidade digital, até porque sabemos que o Governo tem feito um grande esforço no sentido de universalizar a identidade digital. E gostaríamos de ouvir, então, o Ministério e, depois, também a própria Comissão sobre o que estamos fazendo no sentido de procurar universalizar a identidade digital.
|
|
15:53
RF
|
Agradeço ao Deputado Lafayette de Andrada por todo esse trabalho que o Parlamento vem fazendo. Falamos há pouco da Frente Parlamentar para essa questão da identidade.
É uma oportunidade, como disse, de conhecer um pouquinho esse projeto e onde ele se insere. Eu acho que temos como contribuir muito na questão desse robustecimento do arcabouço legal, que é fundamental quando estamos discutindo novas tecnologias e novas soluções. Eu acho que nós endereçamos, com essa pauta da identificação, uma pauta que o nosso País persegue pelo menos desde a década de 80. Eu acho que há vários esforços. E, neste momento, temos elementos, seja no aspecto tecnológico, seja no arranjo federativo, para que, de fato, essa pauta seja bem-sucedida.
(Segue-se exibição de imagens.)
Começando a falar um pouquinho sobre o projeto, acho que, logo que falamos dessa questão de identidade, saltam aos olhos certamente algumas mazelas que nós passamos, mesmo sem falar em fraude ou qualquer desvio. O nosso sistema permite, dentro desse arranjo federativo, que os 27 Estados tenham uma numeração própria, um registo próprio. E isso, por si só, já traz um grande desafio quando falamos de integração de informações ou identificação do cidadão.
Não é pouco comum que um cidadão tenha pelo menos mais de um número de registro. E, quando estamos discutindo política pública, é muito complicado endereçar isso, além de haver aspectos de segurança que eu acho que são muito próprios. Não à toa, a competência das Secretarias de Segurança Pública dos Estados de fazer a emissão desse documento está preservada nesse projeto. Então, acho que nós endereçamos pautas bastante sensíveis, como questões de subtração de crianças, porque esse documento nasce com a criança com vida e finaliza com o óbito do cidadão. Há um cruzamento dessas informações que garante uma robustez.
Em termos de política pública, esse documento é muito mais do que só um documento de segurança pública. Eu costumo dizer internamente que ele é como se fosse um token, como se cada cidadão hoje tivesse um token, um certificado digital que vai possibilitar que essa relação entre o Estado e o cidadão altere o patamar que hoje existe, seja de o Estado enxergar um cidadão único, seja de o cidadão ter uma visão única do Estado.
Eu gosto muito desse eslaide porque ele representa, de fato, a meta que foi estabelecida tanto pelo Presidente Lula quanto pela Ministra Esther, que é a busca, de fato, da interação entre o Estado e o cidadão, para que ele tenha a visão de que o Estado está ali atendendo às suas necessidades. Então, com a nova identificação e com esse conceito que nós vamos trabalhar aqui um pouquinho da jornada de vida da pessoa, na verdade, o que vai estar lá quando um jovem de 18 anos, que vai fazer o vestibular, tiver uma interação com o Estado?
A opção do ENEM, a opção de tirar uma carteira de identidade. Avançamos um pouquinho? A pessoa está procurando emprego? Já sabemos que ela está desempregada. Estarão lá as opções, a aposentadoria, toda essa questão. De fato, o Estado passa a ser proativo na sua relação com o cidadão. E esse documento de identidade, na verdade, é um grande token que viabiliza isso tudo.
|
|
15:57
RF
|
Essa estratégia da carteira de identidade faz parte de um projeto, ou pelo menos de um conjunto de objetivos estratégicos, que vem sendo perseguido pelo Governo desde o início desse ciclo para o estabelecimento de um arcabouço que envolve a plataforma gov.br, que é um autenticador que hoje já tem mais de 150 milhões de pessoas. Isso é feito com o parceiro certo, que inclusive está presente conosco aqui hoje. Nós vamos detalhar um pouquinho sobre essa questão da plataforma gov.br, uma infraestrutura de dados que...
Uma das grandes questões que surgem quando estamos discutindo tecnologia ou prestação de serviços para o cidadão é a dificuldade que nós temos de eliminar silos informacionais entre os vários órgãos do Governo. Essa é uma estratégia que persegue exatamente essa interoperabilidade ou essa integração entre as várias bases ou os vários conjuntos de dados que nós temos na administração pública. Então, quando nós temos dados, sejam de previdência, sejam de trabalho, sejam de saúde, na verdade, o que esse projeto busca é uma integração. Não se trata necessariamente de integração física, e nós não vamos falar de transposição de dados para uma única entidade, mas esperamos ter minimamente uma integração lógica desses dados, fazer com que esses dados possam se conectar.
E esse, inclusive, é um programa conduzido pela Secretaria de Governo Digital — SGD, que se chama Conecta. A conexão através dele permite que o acesso do cidadão ao serviço de Estado seja perfeitamente integrado. Quando o cidadão interagir com o Estado, ele fará isso uma única vez. Aquela questão de um cidadão ir lá buscar um certificado para entregar para outro órgão, quando a administração pública já sabe que ele teve aquela interação... Essa é uma das metas que esse projeto de integração e de construção dessa infraestrutura nacional de dados busca alcançar.
O terceiro pilar é a identidade. Vamos detalhar um pouquinho como é que ela entra nesse processo. Uma temática muito atual, de que os senhores talvez tomem conhecimento ou já tomaram conhecimento, é a construção da chamada DPI, que é a infraestrutura digital pública.
Quando nós somamos esses três grandes objetivos ou esses três grandes pilares, nós, na verdade, provemos essa estrutura que permite que tenhamos melhor relação, inclusive quando discutimos com a questão de mercado, melhoria da política pública.
Por si só, uma das grandes questões também colocadas dentro dessas metas de Governo é que todos os avanços — e vemos que o Brasil avançou muito quando avaliamos essa pauta da transformação digital, sobretudo no nível federal —, essas lições aprendidas, essas aplicações, essas ferramentas que foram desenvolvidas sejam levadas para Estados e Municípios.
E o Brasil hoje goza de uma posição de destaque quando conversamos sobre a pauta de transformação digital no mundo. Isso tem sido feito de forma já bastante intensa. Nós inclusive estamos em uma certa caravana pelo Brasil, realizando oficinas nos vários Estados e regiões, para que tenhamos condição de disponibilização de ferramentas e também de ouvir as necessidades deles. A realidade, quando vamos ao Amazonas, é uma; quando estamos no centro de São Paulo, é outra completamente diferente, então as soluções precisam ser adequadas a essas realidades. E o objetivo estratégico trabalha esse conceito, e a identidade também trabalha esse conceito, porque essas informações, na medida em que esse projeto for avançando, serão compartilhadas com os Estados e Municípios.
Por fim, dentro desse conjunto de cinco elementos ou cinco grandes objetivos estratégicos que estão sendo conduzidos no âmbito da SGD, nós temos essa pauta de privacidade e segurança. Eu brinco e me permito aqui repetir a brincadeira, ao dizer que isso não é propaganda do Ministério do Turismo, mas, infelizmente, o Brasil hoje é um dos cinco destinos de ataques cibernéticos no mundo. Não são poucas as ações. O Governo Federal já procurou, desde o início do ano, estruturar-se dentro desse processo, através do Centro Integrado de Segurança Cibernética, onde nós procuramos monitorar os ambientes, alertar os órgãos sobre um eventual ataque e, da mesma maneira, orientá-los sobre a utilização e a aplicação da LGPD, que é um instrumento legal, eu diria, de certa maneira recente dentro do arcabouço legal. Por isso, precisamos orientar os órgãos sobre como eles devem proceder nesse segmento.
|
|
16:01
RF
|
Então, esses cinco grandes pilares recebem informações ou nutrem esse grande projeto da carteira de identidade nacional.
Aqui está um pouco da realidade, senhores, do nosso País. O Brasil, a despeito das dificuldades de conectividade ou mesmo da própria inclusão, é um país conectado, onde 99% dessa conexão são feitos via dispositivo móvel, os celulares. Isso diz muito sobre a realidade de como as pessoas se utilizam disso. Estamos inclusive numa audiência, e não é raro todos nós utilizarmos a Internet. Mas, saindo um pouquinho dos centros, encontra-se essa realidade também no interior do nosso País.
Vejam que 70% das pessoas já fizeram ou fazem uso de serviços do Governo de forma digital, nas várias instâncias, seja federal, estadual ou municipal. E o grande, vamos dizer assim, elemento de conexão é o gov.br, com mais de 150 milhões de usuários.
O gov.br é um autenticador; é, na verdade, uma plataforma que permite que a pessoa seja identificada e assine documentos nas opções de selos que temos, que são três grandes selos. O selo bronze é aquele em que a pessoa é identificada, mas não tem todos os elementos que permitiriam que se autenticasse, dando-lhe condição de assinar um documento, fazer uma prova de vida. Isso só se confere a ele nas modalidades de selo prata ou ouro.
O selo prata é obtido com a rede bancária, através dos autenticadores dos bancos, e o selo ouro é aquele que a pessoa obtém ou com o certificado digital, ou mesmo utilizando a base do TSE. Então, são essas as três grandes mobilidades.
Como eu disse, todo esse arcabouço é feito numa grande parceria que envolve o SERPRO e o ITI, que cuida da gestão dessas assinaturas, de como é feito esse processo.
Vou falar e mergulhar um pouquinho na carteira de identidade. Eu acho que o grande desafio que, ao longo dos anos, nós perseguimos foi ter uma identificação, um número único, um registro. Isso foi vencido com a escolha do CPF e hoje é uma questão legal, já determinada. O CPF permite que se faça a integração, na verdade, de três documentos, três modalidades de um mesmo documento, que é a nova carteira. Então, existe a modalidade em papel, a modalidade do policarbonato, aquele plástico, e a própria carteira digital, que é baixada e confere, desde que todos os requisitos estejam atendidos, a modalidade ouro. Então, o gov.br na modalidade ouro integra-se a esse processo permitindo que o cidadão tenha condição de, além de se autenticar numa eventual prestação de serviço, fazer a sua assinatura de forma digital e ter a prova de reconhecimento de vida, porque existe toda uma base biométrica por trás desse processo.
|
|
16:05
RF
|
Destaco que esse documento na modalidade de policarbonato permite inclusive que, à medida que o Brasil desenvolva ou tenha acordos de cooperação com algum país, ele faça a substituição do próprio passaporte, porque temos ali toda uma estrutura que é aquele MRZ, o código próprio do passaporte.
Aliás, pouco antes de estarmos aqui nessa audiência, nós estávamos com representantes do governo português, numa conversa inicial sobre a possibilidade de integração do cartão de cidadão português, que hoje o cidadão português possui, com a identidade brasileira. Isso traria benefícios tanto para os portugueses aqui residentes quanto para os brasileiros também lá residentes.
Nós entendemos que, nesse ciclo, haverá a substituição, muito provavelmente dentro de alguns anos, pelo documento digital. À medida que formos conseguindo avançar nessa pauta pelo Brasil, teremos condições de ter esse documento digital como preponderante.
É importante conhecermos a estrutura de governança desse projeto. Há a Câmara Executiva, que cuida da identidade, coordenada pela Casa Civil e secretariada pela SGD. No caso, eu respondo ali como Secretário Executivo da nova carteira, desse novo processo. Há a SGD, que faz também a parte da operação. Há o Ministério da Justiça, porque, como eu disse, toda essa parte é uma pauta de segurança pública, e existe toda uma interação que acontece via SENASP, com as Secretarias de Segurança Pública dos diversos Estados, dentro dessa questão federativa de integração.
Inclusive o próprio financiamento desse projeto é feito com uma parcela do Fundo Nacional de Segurança, porque os Estados recebem um repasse de fundo para que possam avançar nessa pauta de emissão do novo documento. Há a Receita Federal, porque, como eu disse, o número único é o CPF, e toda essa guarda e atualização de informações do CPF feita com os OICs lá dos Estados fica por conta da Secretaria da Receita Federal do Brasil.
Vou falar um pouquinho do documento. Como eu já tive oportunidade de dizer, o documento, na verdade, nasce com a criança. Ela pode não recebê-lo fisicamente, mas, quanto ao número de registro, se acontecer um nascimento com vida, essa informação é validada com o registro da certidão de nascimento. Sabemos que há casos, infelizmente muito frequentes, de subtração de crianças nesse processo, que existe um registro dado obrigatoriamente pelo médico, mas a criança não é registrada. Então, nós vamos fazer uma validação dentro desse processo e vimos mantendo conversas com os cartórios de registro civil para que isso ocorra. Da mesma maneira, esse ciclo se encerra com o óbito e, ao longo de todo esse processo, há uma série de validações que acontecem na visão do ciclo de vida da pessoa. Portanto, essa questão é um dos alicerces desse processo.
Esta figura representa um pouquinho do que eu já antecipei para os senhores. À medida que nós conectamos essas informações — eu vou usar um certo linguajar técnico —, a carteira de identidade passa a ser uma espécie de golden record, um registro de ouro. Nós a conectamos com as bases sociais ou mesmo com algum órgão que precise daquela informação. Por exemplo, na questão da própria segurança pública, ela tem uma pessoa perfeitamente identificada que conecta os eventos, no caso aqui, aos eventos de vida social da pessoa, da vida que ela tem. Se a pessoa tem um bebê, existe um processo que já se inicia com isso, que é a possibilidade de ela ter salário-maternidade, então você conecta a informação àquele órgão para que, de fato, você comece a ter uma visão de Estado mais proativo. Portanto, a oferta que se fará para a pessoa, na verdade, estará de acordo com o ciclo de vida dela. Da mesma maneira, a pessoa pode ter uma questão de saúde, que também sensibiliza um sistema de previdência ou um sistema de assistência.
Ou seja, a relação entre Estado e cidadão muda: em vez de a pessoa requerer, esse ônus é invertido, e o Estado passa a ser proativo, dando a ela a opção para que possa fazer o exercício dessa função.
|
|
16:09
RF
|
Nós já vimos fazendo uma POC que representa essa questão da conexão pretendida. Estes são os dados básicos que todo processo de identificação no País seguirá. Hoje podemos ter a emissão de um documento de registro geral nos Estados e, às vezes, seguindo um determinado protocolo, passamos a ter uma padronização na emissão desse documento. Então, existe um set base, um conjunto básico de informações que constituirão o processo de identificação, e, em qualquer lugar do País onde a pessoa dê entrada a esse processo, ela seguirá um rito com essas informações.
Existe um processo padrão, assim como existe um conjunto mínimo de informações que deve ser prestado pelo cidadão para que ele tenha a identificação emitida.
Isso é um pouquinho da situação de como estamos com a carteira de identidade. Como eu disse, a competência de emissão é das Secretarias Estaduais de Segurança Pública. Hoje há 12 Estados que estão emitindo a nova carteira. O prazo final para que todos façam a adesão é o dia 6 de novembro. Temos assistido a esse processo de integração e acompanhando-o nas reuniões da Câmara Executiva Federal de Identificação do Cidadão — CEFIC.
Hoje, a conexão, inclusive, feita com a Receita Federal está sofrendo um ajuste, para tornar o processo mais célere e mais seguro, saindo de um processo de APIs, que são obtidas por CPF, para um processo baseado num blockchain, em que gravamos cada registro da informação, como está sendo feito isso, eventuais atualizações, por que mudou, porque, às vezes, a pessoa muda de nome. Então, há todo um processo feito nessa interação para atualização do CPF.
Trago um pouquinho dos números. Hoje há 1 milhão e 600 mil emissões. Esse é um pouquinho do mapa de como estão as emissões. Santa Catarina e Rio Grande do Sul hoje estão à frente dentro desse processo de emissão, dentro dessa questão, como eu antecipei dessa integração federativa.
No caso do Estado do Rio Grande do Sul, vimos fazendo, inclusive, gestão. Se eu não me engano, é o Tudo Fácil. Eles têm lá um Poupatempo, que faz, na verdade, todo esse processo. Eles estão engajados nesse processo para receber o cidadão e para orientá-lo a obter e baixar a carteira digital, usando o processo do gov.br. Acho que a tendência, inclusive, é a de que esses números, no caso do Estado do Rio Grande do Sul, continuem sendo potencializados ali. Como eu adiantei, o dia 6 de novembro é a data final para a adesão dos Estados.
|
|
16:13
RF
|
Já finalizando, trago um pouquinho do potencial da ferramenta, quando nós avaliamos as questões relacionadas a ter um documento que acompanha o ciclo de vida, como eu falei para os senhores. Na verdade, há um grande registro de ouro que conecta nas bases, sejam sociais, sejam de segurança pública, sejam para qualquer outra finalidade voltada para essa eficiência dos serviços públicos.
Temos uma fonte segura. Como eu disse, há um problema no processo. Quando vamos emitir e olhar essa questão do histórico dos RGs e estabelecer uma relação de segurança, muitas vezes, o processo acontece antes da efetivação de um registo civil, que é o caso, por exemplo, da certidão de nascimento. Então, nós conseguimos dar um passo atrás a esse processo. Sempre que acontece o nascimento de uma criança, agora nós passamos a ter essa informação, que é checada com o batimento, com o registro civil. Mudamos um pouquinho e robustecemos esse processo.
Estabelecemos ali um fluxo de segurança na identificação com atualização. Falei aqui, inclusive, dessa relação e de como será feito, utilizando uma tecnologia que permite que nós guardemos todo esse registro de como essa atualização é feita, por exemplo, se mudou de nome.
Há todo um sistema que nos permite ter uma robustez melhor para mitigar essa questão de fraude por identificação. Há um número do INSS, um número oficioso, mas se economizaria algo em torno de 7 bilhões de reais por ano só em questão de atualização cadastral, ou seja, uma correção cadastral.
Por fim, eu peço desculpas porque ficou cortado um pouquinho. Não sei se está saindo na tela. Trata-se, na verdade, do atendimento à LGPD. O que acontece nesse processo? Quando qualquer informação é utilizada da base da CIN para o cidadão, se algum evento aconteceu, através da base gov.br de um sistema que hoje notifica o cidadão, ele será notificado do uso daquela informação. Então, a partir da identificação que temos, avisamos para o cidadão que houve uma consulta da base por tal órgão. O que nós colocamos nisso? Nós robustecemos, damos essa visão de transparência e de conformidade do cidadão sobre para que aquela informação está sendo utilizada em relação a ele. Existem algumas questões previstas, obviamente, de aplicação de uma política pública dentro da LGPD. Entendemos que isso é uma forma de dar transparência e publicização a esse processo.
Senhores, quero agradecer. Acho que dei uma ideia do que é esse projeto, de onde estamos andando, de onde ele se insere nesse processo no âmbito da transformação digital brasileira.
Muito obrigado.
|
|
16:17
RF
|
O SR. PRESIDENTE (Lafayette de Andrada. Bloco/REPUBLICANOS - MG) - Eu agradeço muito a participação do Dr. Rogerio Mascarenhas, que nos traz aqui importantes elementos sobre a nova carteira digital.
O SR. ROGERIO MASCARENHAS - Só repiso um pouquinho de como todo esse processo é feito. A emissão desses documentos fica a cargo das Secretarias de Segurança Pública. Esse processo é feito por parceiros privados. Há várias empresas no Brasil hoje que produzem tanto a carteirinha em papel quanto a carteira em policarbonato, à medida que há contratos entre as Secretarias de Estado e essas empresas que fornecem essa carteira nas duas modalidades.
Eu acho que vale destacar que a guarda e o dado ficam com a Secretaria de Segurança Pública do Estado, a partir dessa interação que é feita com a Receita Federal. Então, essa base preserva essa informação do CPF. E o CPF é uma chave para os dados da Secretaria de Segurança, como já é hoje. Não há uma mudança, a não ser o número que estamos colocando.
|
|
16:21
RF
|
O SR. PRESIDENTE (Lafayette de Andrada. Bloco/REPUBLICANOS - MG) - Mas e os dados do cidadão? Eu estou perguntando até por ignorância, dada a sua explicação. Os meus dados vão estar inseridos nesse documento, não é isso?
O SR. PRESIDENTE (Lafayette de Andrada. Bloco/REPUBLICANOS - MG) - E quem produz o documento é uma entidade privada, é um contratado.
O SR. PRESIDENTE (Lafayette de Andrada. Bloco/REPUBLICANOS - MG) - Hoje era aquela física. Você datilografa e contrata alguém para fazer e imprimir.
O SR. PRESIDENTE (Lafayette de Andrada. Bloco/REPUBLICANOS - MG) - Mas, pela explicação, essa identidade digital vai comportar uma porção de informações sobre o cidadão, como informações previdenciárias, etc.
O SR. PRESIDENTE (Lafayette de Andrada. Bloco/REPUBLICANOS - MG) - Ah, não exerce essa informação.
O SR. ROGERIO MASCARENHAS - Ela não tem a informação do cidadão. Essa é uma competência da Secretaria de Segurança Pública.
E nessa conexão feita, no caso que eu exemplifiquei aqui, com a base social, essa base social não fica vinculada à carteira de identidade.
A carteira de identidade trará, como eu disse, um registro que chamamos de registro de ouro, vamos dizer assim. Até na área de dados há o uso de um golden record. Ela representa, na verdade, um elemento de identificação para que, quando conectada a uma base que pode ser uma base social, uma base de segurança pública, você saiba que está falando com aquele cidadão que está ali.
O SR. PRESIDENTE (Lafayette de Andrada. Bloco/REPUBLICANOS - MG) - E esses dados transitam? A Receita Federal com a Secretaria de Segurança Pública? Não tem vazamento?
Como eu disse, toda essa parte que é feita... Hoje, inclusive, o processo está se robustecendo nisso, para exatamente evitar... Não que a tecnologia não seja... Hoje a tecnologia que se chama de API, uma ligação base a base, passa a ter outra modalidade, utilizando uma tecnologia de blockchain, que permite uma robustez maior nesse processo, inclusive com os processos de atualização, como é feita a atualização naquela base. Então, tudo isso está sendo robustecido, inclusive dentro desse processo.
O SR. PRESIDENTE (Lafayette de Andrada. Bloco/REPUBLICANOS - MG) - O senhor falou que é utilizada a tecnologia de blockchain.
O SR. PRESIDENTE (Lafayette de Andrada. Bloco/REPUBLICANOS - MG) - É porque o parceiro privado vai produzir a carteira. Ele não vai ter acesso, então, aos dados? Os dados não vão para ele?
O SR. PRESIDENTE (Lafayette de Andrada. Bloco/REPUBLICANOS - MG) - A carteirinha vem com o chip?
|
|
16:25
RF
|
O SR. ROGERIO MASCARENHAS - Não. Houve essa discussão durante anos. Hoje, até pela conjuntura, seja dos valores para emitir o documento, seja pela conversa que aconteceu ao longo dos anos até se chegar a esse formato, a esse layout da nova carteira, ela utiliza uma tecnologia, que é o QR Code. A partir do QR Code, nós conseguimos fazer essa identificação. Na carteira em si, nos dados de emissão da carteira, para a pessoa fazer a impressão, o nome e os dados vão estar dentro da carteira. A leitura das bases de dados associadas a isso não é feita pelo privado.
O SR. PRESIDENTE (Lafayette de Andrada. Bloco/REPUBLICANOS - MG) - As informações que estão na carteira, como CPF, identidade, documento de motorista, esses dados vão para a empresa?
O SR. ROGERIO MASCARENHAS - Sim, para efeito de emissão, como é feito hoje. Esse é o processo de identificação que é feito hoje, mas a utilização desse mecanismo habilitador pela empresa para o acesso dos dados que invadem, vamos dizer assim, as questões do cidadão, ela não possui. Ela vai ter lá os dados. Obviamente, isso tem restrições contratuais estabelecidas. Como ocorre hoje, no processo de emissão de carteira, seja da CNH, seja de qualquer documento, mantém-se o mesmo processo, posto que ele tem uma robustez, um padrão de segurança estabelecido.
O SR. PRESIDENTE (Lafayette de Andrada. Bloco/REPUBLICANOS - MG) - Perfeito. Muito bem.
Quero dizer que a questão da identidade digital é muito cara para todos nós. Nós vamos ter que trabalhar efetivamente na legislação sobre o controle de dados, porque é algo realmente em que vamos precisar ter uma segurança muito forte, visto que o prejuízo que pode ter o cidadão em um vazamento é algo que nós não podemos comensurar.
O SR. PRESIDENTE (Lafayette de Andrada. Bloco/REPUBLICANOS - MG) - Muito obrigado.
|
|
16:29
RF
|
O Dr. Eduardo Magalhães estava ponderando aqui que a CEFIC é um órgão dentro do Ministério, e que como o Dr. Rogerio já havia falado, talvez isso o dispensaria de também falar. Mas eu convidei justamente a CEFIC para saber sobre a questão da certificação, porque, se eu não estou enganado, é a CEFIC que certifica as empresas que produzem as carteiras.
Eu sou o adjunto do Rogerio, por isso que não faz sentido falar de novo as mesmas coisas, mas eu vou explicar. A CEFIC possui um processo de credenciamento provisório das empresas que produzem a nova carteira de identidade que está estabelecido na Resolução nº 2, da CEFIC.
Todos os critérios inicialmente são passivos: as empresas submetem documentações e modelos de documentos para ver se elas estão aptas aos requisitos técnicos impostos pelo Decreto nº 10.977. A partir daí, nós fazemos algumas visitas técnicas in loco às gráficas, para ver exatamente se os equipamentos condizem com as declarações feitas pela empresa.
O SR. PRESIDENTE (Lafayette de Andrada. Bloco/REPUBLICANOS - MG) - Há também uma curiosidade. Feita a certificação à empresa, existe o check list quanto aos pré-requisitos: a empresa se apresenta e demonstra que preenche todos os pré-requisitos necessários, pleiteia o credenciamento e obtém o credenciamento. A partir daí — essa é a minha pergunta —, no dia seguinte, existe algum tipo de fiscalização a essas empresas depois que elas já foram credenciadas?
O SR. EDUARDO MAGALHÃES DE LACERDA FILHO - Existe um processo de reativação do credenciamento de 6 em 6 meses. Então, de 6 em 6 meses, as empresas se submetem de novo à apresentação da documentação para ver se elas ainda continuam com as mesmas autorizações e atestados técnicos exigidos para o credenciamento.
O SR. PRESIDENTE (Lafayette de Andrada. Bloco/REPUBLICANOS - MG) - Então, o credenciamento é renovado a cada 6 meses.
O SR. PRESIDENTE (Lafayette de Andrada. Bloco/REPUBLICANOS - MG) - O período de credenciamento dura 6 meses.
O SR. PRESIDENTE (Lafayette de Andrada. Bloco/REPUBLICANOS - MG) - O.k.
O SR. PRESIDENTE (Lafayette de Andrada. Bloco/REPUBLICANOS - MG) - E quais seriam os requisitos exigidos?
O SR. PRESIDENTE (Lafayette de Andrada. Bloco/REPUBLICANOS - MG) - Quais são os elementos de segurança? O senhor sabe?
O SR. PRESIDENTE (Lafayette de Andrada. Bloco/REPUBLICANOS - MG) - São duas camadas, três camadas...
O SR. PRESIDENTE (Lafayette de Andrada. Bloco/REPUBLICANOS - MG) - Na carteira vem impresso o número da Carteira de Identidade e o CPF. Se, na carteira, há duas ou três camadas, é a mesma empresa que produz todas essas camadas?
O SR. EDUARDO MAGALHÃES DE LACERDA FILHO - As empresas gráficas produzem o substrato, que é como nós o chamamos.
Então, tanto para o papel quanto para o policarbonato, existem os requisitos com os quais elas precisam produzir. Elas têm máquinas com as quais conseguem produzir os layers, essas camadas a que o senhor está se referindo. São elas que fazem. Depois, existe um processo de impressão dos dados variáveis do cidadão, que pode ser feito pelas mesmas gráficas ou por órgão de identificação ou empresa pública. Mas são as gráficas que produzem os substratos.
|
|
16:33
RF
|
O SR. PRESIDENTE (Lafayette de Andrada. Bloco/REPUBLICANOS - MG) - E, aí, existe, como você disse, a fiscalização. Aliás, você tinha dito que, a cada 6 meses, há renovação do credenciamento, ou seja, ela tem que provar novamente que tem capacidade de fazer isso.
O SR. PRESIDENTE (Lafayette de Andrada. Bloco/REPUBLICANOS - MG) - Então, você está dizendo que, quanto à certificação, quem contrata é o Estado ou a Polícia do Estado?
O SR. PRESIDENTE (Lafayette de Andrada. Bloco/REPUBLICANOS - MG) - São vocês que certificam a empresa que pretende ser contratada pelo Estado?
O SR. PRESIDENTE (Lafayette de Andrada. Bloco/REPUBLICANOS - MG) - Vocês exigem que haja um contrato do órgão, do Estado com a gráfica? Estou dizendo gráfica, mas me refiro à empresa que... Você, para certificar, exige que ela tenha um contrato com o Estado? Como é que ela teve um contrato com o Estado se ela não tinha certificação?
O SR. PRESIDENTE (Lafayette de Andrada. Bloco/REPUBLICANOS - MG) - Mas é isso o que eu estou dizendo. Como é que o Estado contratou uma gráfica que não tem certificação, no sentido de ter a conferência?
O SR. PRESIDENTE (Lafayette de Andrada. Bloco/REPUBLICANOS - MG) - Vamos lá. O Estado contrata e informa... Ou ela informa aqui: "Olhe, eu fui contratada pelo Estado". E você garante: "Estado, realmente ela tem capacidade".
O SR. EDUARDO MAGALHÃES DE LACERDA FILHO - Isso. Nós fazemos o pós, que, na verdade, nem é uma certificação. Nós chamamos de credenciamento provisório. É exatamente isso. Nós verificamos se...Porque o processo de impressão de um documento, Deputado, não é simplesmente ela ter a capacidade de formar as camadas, é também saber se ela consegue, por exemplo, fazer um offsetting, em primeira passagem, de um documento. É muito técnico. E ela precisa ajustar, muitas vezes, o seu maquinário para o que existe no Decreto nº 10.977, para o documento ser, de fato, nacional. Como queremos um documento...
O SR. PRESIDENTE (Lafayette de Andrada. Bloco/REPUBLICANOS - MG) - É isso o que eu estou dizendo: como existe um contrato anterior se você não disse que ela tem?
O SR. EDUARDO MAGALHÃES DE LACERDA FILHO - Mas isso é anterior mesmo. Nós não podemos disponibilizar o nosso manual, a nossa matriz se o órgão de identificação não tem um contrato estabelecido com uma gráfica.
Esse não é um processo de credenciamento, como é o processo, por exemplo, da CNH, que, primeiro, você precisa estar credenciado para ser habilitado dentro do processo licitatório. Esse processo não é igual, é diferente.
|
|
16:37
RF
|
O SR. PRESIDENTE (Lafayette de Andrada. Bloco/REPUBLICANOS - MG) - Ah, mas está errado. Você vai me desculpar. A culpa não é sua, não. Essa é mais uma razão por que precisamos olhar isso com muita calma, porque, na prática, o que está acontecendo é isto. Se essa é a cadeia de fatos, o Estado está habilitado e vai cuidar de quem ele quiser. E depois ele vai perguntar: "Olha, quem eu contratei é gente boa?" "Não, é gente boa, sim." "Esse não é gente boa, não." Mas já está contratado. Não sei se vocês estão entendendo, mas estou falando de uma maneira...
O SR. EDUARDO MAGALHÃES DE LACERDA FILHO - Dificilmente, Deputado... Todas as gráficas que estão credenciadas estão habilitadas, todas elas. Dos 27 Estados, das 27 unidades federativas, todas elas têm a capacidade de fazer, até porque o atestado de capacidade técnica é emitido pelo próprio órgão de identificação. Então, dentro dos contratos, já existem essas questões estabelecidas.
O SR. PRESIDENTE (Lafayette de Andrada. Bloco/REPUBLICANOS - MG) - A LGPD está em vigor. Eu não concebo como é que pode isso acontecer.
O SR. PRESIDENTE (Lafayette de Andrada. Bloco/REPUBLICANOS - MG) - E também não há como dizer que não tem a ver com o compartilhamento de dados da pessoa se, na carteira, está impressa a minha identidade, está impresso o meu CPF.
O SR. PRESIDENTE (Lafayette de Andrada. Bloco/REPUBLICANOS - MG) - Perfeito. Eu digo que tudo é o mesmo assunto, é o mesmo tema, está tudo imbricado, está tudo junto. Mas as coisas são como são. Nós estamos aqui para nos aperfeiçoarmos, na medida do possível, inclusive com a ajuda dos senhores. Eu sempre digo isso aqui. Às vezes, sou até um pouco duro. Aqui não é CPI. Às vezes eu até aperto um pouco, mas a nossa preocupação, o nosso desejo é justamente aprimorar. Vendo, percebendo que há algum tipo de falha em algum item, aqui ou lá, vamos aprimorar. Esse é o objetivo de todos nós, é o que todos nós desejamos.
Então, eu agradeço demais ao Dr. Eduardo Magalhães, Coordenador-Geral de Identificação Civil, pela importante colaboração que trouxe para esta Comissão. Como eu disse e volto a repetir, outras reuniões sobre esse tema vão acontecer, algumas em âmbito de audiência pública nesse formato ou em outras reuniões de trabalho, e nós fazemos questão de convidá-los para participar, colaborar, porque é um tema realmente importante e sensível para todo o povo brasileiro.
|
|
16:41
RF
|
O SR. PRESIDENTE (Lafayette de Andrada. Bloco/REPUBLICANOS - MG) - Está participando conosco, de forma remota, a Dra. Letícia Cesarino, Chefe da Assessoria Especial de Educação e Cultura em Direitos Humanos, representando o Ministério dos Direitos Humanos e da Cidadania. Como existe uma participação do Ministério dos Direitos Humanos também na questão da identidade, nós entendemos interessante convidar também esse Ministério a participar.
A SRA. LETÍCIA CESARINO - Boa tarde. Cumprimento todos os membros da Comissão, através da pessoa do eminente Relator, o Deputado Lafayette de Andrada, e agradeço bastante o convite, esta oportunidade de compartilhar com vocês a visão do Ministério dos Direitos Humanos e da Cidadania sobre as questões que vêm sendo discutidas no âmbito desta Comissão, que é uma Comissão bastante oportuna e traz também um desafio bastante grande. A adaptação das normas do direito ao modo como a tecnologia vem afetando as relações interpessoais e as atividades cotidianas dos cidadãos brasileiros é um escopo de ação gigantesco, porque hoje essas tecnologias impactam praticamente todas, senão quase todas, as dimensões da vida dos brasileiros e das brasileiras.
O que eu pensei em trazer aqui para vocês hoje, ainda mais considerando que, se eu entendo corretamente, a Comissão está iniciando os seus trabalhos, é uma visão geral, a partir da dimensão dos direitos humanos e da cidadania, sobre a relação, cada vez mais íntima, cada vez mais capilarizada, entre as tecnologias digitais e os cidadãos brasileiros.
É claro que a questão da identidade digital, especificamente, incide diretamente sobre o acesso aos direitos, o acesso à cidadania. Ainda que o Ministério dos Direitos Humanos e da Cidadania, nesta etapa, não esteja diretamente envolvido nesses projetos de identidade e segurança digital, trata-se certamente de uma pauta na qual, à medida que essa frente vai avançando e que essas tecnologias vão chegando e se capilarizando junto aos cidadãos brasileiros, o Ministério estará entrando cada vez mais.
O que eu pensei em trazer para vocês hoje é essa visão geral a partir não só da dimensão dos direitos humanos e da cidadania, mas também, enquanto assessora de educação e cultura e pesquisadora das relações humanas e de tecnologia antes de eu entrar para o Ministério, de uma dimensão para se contrapor a essa mais técnica, que é a que vem sendo enfatizada aqui nesta Comissão, ou seja, a dimensão dos efeitos dessas tecnologias na sociedade brasileira, mais especificamente dos efeitos não intencionais das tecnologias.
Isto é algo bem conhecido na história não só das tecnologias digitais, mas também de várias outras tecnologias: um conjunto de tecnologias, na medida em que elas são criadas, produzidas e difundidas no meio social, dificilmente vai operar exatamente da forma como foi preconizado ou concebido por aqueles que o desenvolveram.
E, no caso da tecnologia digital, nós não estamos falando de uma ou outra tecnologia pontual; estamos falando de toda uma infraestrutura que está altamente capilarizada em todas as dimensões da vida dos brasileiros hoje. Então, o potencial dos efeitos não intencionais é muito maior.
Gostaria de destacar aqui algumas preocupações nossas nesse sentido. Quando em debates ou em outras ocasiões em que podermos contribuir, entraremos em questões mais específicas.
|
|
16:45
RF
|
Quanto aos efeitos não intencionais, no caso das plataformas, eles já apareceram. Houve um aumento ali, e essas tecnologias foram tomando corpo na sociedade de forma praticamente desregulada. E aí eu não estou falando só do Brasil, mas de vários outros países também. A partir de determinado momento, eu diria, na última década, esses efeitos, que não foram programados pela indústria, começaram a tomar corpo na sociedade.
Falou-se aqui, em outras reuniões — eu fiz o meu dever de casa e assisti a algumas outras audiências desta Comissão —, sobre a discriminação algorítmica, e eu acrescentaria a desinformação, que é algo que impacta diretamente nos direitos fundamentais, na questão do acesso a direitos e à cidadania. Então, esta é uma preocupação bastante grande desta gestão do Ministério.
Também se falou sobre a segurança cibernética, a inteligência artificial, que, como foi falado aqui, são caixas-pretas, porque, diferentemente do algoritmo comum, este é um algoritmo de aprendizado de máquina e ele aprende sozinho. Muitas vezes não é possível nem a quem o desenvolveu acompanhar exatamente por que tal efeito aconteceu ou não, isso para não falar do que ocorre quando essas tecnologias interagem ativamente com pessoas concretas e vão se adaptando também a essas pessoas, porque são tecnologias flexíveis, e acabam gerando esses efeitos de escala, efeitos não intencionais, e depois o Estado, o poder público, tem que ficar correndo atrás para apagar essas fogueiras, que nem sempre podem ser apagadas.
Esta é uma dimensão que eu destacaria para esta Comissão e que é uma preocupação nossa também: que as relações entre o humano e a máquina, entre os usuários e a tecnologia, sejam tratadas de forma concreta. Por que eu estou falando isso? Porque me preocupa, às vezes, ver como se invisibiliza esse aspecto dos efeitos não intencionais.
Um exemplo que aconteceu — não vou aqui nomeá-lo — foi que um grande especialista em inteligência artificial participou de uma entrevista, num programa de grande alcance aqui no Brasil, e fez uma analogia entre a revolução digital e a prensa mecânica de Gutenberg, no fim do século XV. Eu achei a analogia correta. De fato, fazem muito essa analogia. E ele falou ali que aos poucos a sociedade europeia foi se adaptando a essa nova tecnologia. O que ele se esqueceu de dizer — ou talvez nem saiba, o que é pior ainda — é que esse processo de adaptação da sociedade à tecnologia, no caso da prensa, envolveu basicamente 100 anos de guerra civil, as chamadas guerras de religião, que começaram ali, junto com a ascensão e a difusão da prensa, e só foi se estabilizar em meados do século XVII, com o tratado de Vestfália.
Eu concordo que não seja possível parar o progresso tecnológico, como foi falado aqui. Mas, se o poder público não acompanha o progresso tecnológico, não o controla e não se antecipa aos seus efeitos, ele não vai seguir indefinidamente. O que vai acontecer é que ele vai parar sozinho, a partir da própria exaustão. E, geralmente, isso toma a forma de alguma catástrofe, como ocorreu no caso da prensa.
É por isso que, nos anos 70, se pensou no chamado princípio da precaução, no âmbito dos efeitos não intencionais da tecnologia, para a questão ambiental, para a questão climática.
É preciso que o poder público se antecipe a esses riscos, a esses danos, antes que eles ocorram. Esse é um ponto que eu quero destacar aqui.
No caso da indústria de tecnologia, da indústria tech, ela já avançou de forma praticamente desregulada em muitas dimensões, e agora o poder público, em vários países do mundo, não só no Brasil, tem que correr atrás. Eu chegaria a dizer que elas produziram um verdadeiro vácuo de soberania, na medida em que, em boa parte da infraestrutura pública que temos hoje — e eu não estou falando só da esfera pública de mídia, mas do próprio Estado, das escolas, de toda a institucionalidade por meio da qual o Estado brasileiro acessa o cidadão —, infraestruturas privadas já estão presentes. Neste momento, por exemplo, estamos conversando via Zoom, que é uma ferramenta de uma dessas empresas. Então, aceitou-se muito facilmente o paradigma da autorregulação, de que o máximo que o poder público pode fazer é pressionar por fora para que essas empresas façam uma melhor autorregulação, como é o caso do DSA na Europa. O PL 2.630/20 também tem essa característica. Mas eu acho que podemos forçar um pouco mais, ousar um pouco mais na nossa relação com elas.
|
|
16:49
RF
|
Estão aqui os representantes do MGI. Semanas atrás, esteve no MGI inclusive o Evgeny Morozov, que é um pesquisador importante nessa área também e que falou da importância de se investir em infraestruturas públicas. É sobre essa chave que eu estou entendendo essa questão da identidade digital, todo esse esforço que o MGI está fazendo para melhorar a governança digital, as ferramentas de governo digital que temos, o que é absolutamente crucial para, entre outras coisas, impedir o avanço do setor privado dentro de infraestruturas públicas que têm a ver diretamente com a questão da soberania nacional e em que o poder público toma decisões e elas são acatadas, porque sabemos que a relação com as plataformas é muito complicada. Elas ouvem quando querem, atendem quando querem. O embate tem que ser no plano da reocupação dessas infraestruturas pelo Estado brasileiro. Então, vemos com muito bons olhos esses novos projetos que estão sendo colocados pelo MGI e por outras instâncias.
E, do ponto de vista do cidadão comum, podemos antecipar que a presença do Estado, a presença do poder público para garantir o acesso a direitos a partir dos meios digitais, a partir do celular, por exemplo, como é o caso da identidade digital e de outros projetos, é bastante crucial, parece-me, para mudar certa percepção do senso comum de que o espaço digital é um espaço privado. É importante a presença do Estado, do poder público ali, mas é preciso que seja uma presença positiva, de modo que o cidadão veja que a presença do poder público dentro do meio digital não é uma presença intrusiva, não é uma presença que censura, que retira direitos, que coage, mas, sim, uma presença cidadã, uma presença do poder público que vai potencializar o acesso a direitos por parte dos cidadãos.
Então, tem esse "metaefeito", digamos assim, esse tipo de política tecnológica por parte do MGI e outras áreas do Estado, o que, do ponto de vista social, parece-me bastante interessante. É o Estado começando a competir com as plataformas, porque as plataformas realmente criaram uma espécie de regulação paralela ou de governança paralela para praticamente toda a esfera em que o Estado atua.
|
|
16:53
RF
|
Durante a pandemia, por exemplo, vimos todo um sistema de saúde paralelo que apareceu para regular os efeitos da pandemia através de agentes privados dentro da Internet. Com a questão da segurança pública, acontece a mesma coisa: está piorando cada vez mais. É algo que também estamos acompanhando com espécies de sistemas de justiça paralelos que passam pela Internet.
A questão da educação, que é a nossa preocupação aqui na minha Assessoria, é basicamente crucial. Como o que chega pela Internet para os estudantes começa a competir diretamente com a presença do poder público e as políticas de cidadania que são levadas pela escola? É uma situação bastante crítica, que está tendendo a piorar.
Meu tempo já está acabando, mas eu quero destacar de fato a importância de se estar adaptando uma estrutura analógica do direito. Eu teria mais a falar sobre isso, através de outras instâncias, mas respeito o modo como o direito trabalha com suposições sobre uma relativa estabilidade das noções de agência, estabilidade das noções de causalidade, que o ambiente cibernético problematiza completamente. Nem sempre é fácil e simples diferenciarmos o que é fato do que é ficção, o que é público do que é privado, o que é causa do que é efeito, porque não estamos falando de causalidades lineares, estamos falando de causalidades cibernéticas ou causalidades circulares e recursivas e de quem é sujeito e quem é objeto, porque muitas vezes nós somos influenciados por algoritmos sem percebermos.
Há a questão da autenticidade e da fraude. Essa epidemia de fraudes de todo tipo que temos visto nos últimos anos não é à toa. Ela tem a ver com o modo como a infraestrutura cibernética altera as relações sociais.
Para finalizar, trago aqui algumas pontuações com relação à questão da identidade digital e da segurança também.
É preciso que a inclusão digital se dê com qualidade. Há 10 a 15 anos, falava-se muito só de inclusão digital, como se fosse uma panaceia, mas, junto com a inclusão digital, vieram também todos esses riscos de que estamos falando aqui. Então, não adianta só colocar um celular na mão de cada cidadão brasileiro para a coisa se resolver. É preciso que o poder público acompanhe isso e tenha políticas para que a inclusão digital seja feita com qualidade, porque, junto com a informação, chega a desinformação; junto com o acesso a direitos, chegam os golpes, chegam as fraudes, chegam os problemas de segurança também.
E parte disso — e aí já estou puxando a brasa, puxando a sardinha para a minha Assessoria — passa pela questão do letramento digital, não só no sentido de ensinar os usuários, o cidadão comum, por exemplo, a evitar fraudes ou a impedir que sua identidade digital seja usada de forma equivocada, mas também no sentido de fazer com que o usuário passe a ter uma noção de como a tecnologia funciona. É essencial que o cidadão comum saia dessa situação de alienação completa com relação à tecnologia. Nós olhamos para o celular e não fazemos ideia do que está acontecendo dentro desse artefato.
Então, eu pontuaria como elementos importantes isso e algo que já foi mencionado aqui numa outra reunião, que é esse reequilíbrio entre os imperativos de privacidade e de rastreabilidade. Na questão dos aplicativos de mensagem, por exemplo, existe um desequilíbrio muito grande. Você tem criptografia, você tem privacidade absoluta, mas você não tem rastreabilidade. Então, como você vai responsabilizar alguém que comete um crime se você não tem a rastreabilidade? Foi colocado aqui, numa outra reunião, que blockchain poderia ser uma das vias. Pode ser interessante mesmo.
|
|
16:57
RF
|
Por fim, algo que nos preocupa muito no Ministério é a questão da liberdade e proteção, principalmente a questão da liberdade de expressão e o equilíbrio que precisa haver entre liberdade de expressão e proteção contra violências, contra discurso de ódio e contra outros danos aos direitos dos cidadãos que também ocorrem, cada vez mais, em ambientes on-line.
O SR. PRESIDENTE (Lafayette de Andrada. Bloco/REPUBLICANOS - MG) - Eu agradeço a intervenção da Dra. Letícia Cesarino, da Assessoria Especial de Educação e Cultura em Direitos Humanos, que está representando aqui o Ministério da Cidadania.
A Dra. Letícia fez aqui uma reflexão, uma digressão, um panorama generalizado sobre todo o ambiente digital. Nós agradecemos muito. A nossa reunião hoje é mais sobre identidade digital, mas as reflexões trazidas aqui são todas muito procedentes e merecem ser levadas em consideração, sobretudo quando ela fala de causalidades circulares, de autenticidade e fraude. São realmente elementos aos quais precisamos sempre ter atenção. A questão da identidade e da inclusão digital de qualidade é algo fundamental. E aí eu não vou me alongar, mas cabe ao poder público cobrar das concessionárias de telecomunicações as obrigações acessórias de levar a inclusão digital aos rincões do Brasil com qualidade.
Finalizando, agradeço muito à Dra. Letícia e ressalto que novas reuniões acontecerão. E sempre a presença do Ministério dos Direitos Humanos será requisitada. Ele será convidado a comparecer para trazer aqui as suas contribuições.
Vamos convidar agora o Dr. Ney Rêgo Barros Junior, representante do Ministério da Justiça e Segurança Pública, Subsecretário de Tecnologia da Informação e Comunicação.
Dr. Ney, antes de lhe passar a palavra, eu quero renovar o agradecimento pela presença do Ministério da Justiça colaborando com esta Comissão no sentido de procurar atualizar as nossas leis. Hoje, eu gostaria de conversar e ouvir a palavra do Ministério da Justiça, sobretudo sobre a questão da identidade digital.
|
|
17:01
RF
|
Depois de explanações focadas nos Ministérios da Gestão e da Inovação e dos Direitos Humanos, eu acho que seria mais produtivo apresentar uma visão em termos de segurança pública, mostrando como o Ministério da Justiça e Segurança Pública está engajado nesse projeto da Carteira de Identidade Nacional.
É uma grande satisfação cuidar disso. É um projeto estratégico dentro do Ministério da Justiça, que tem um acompanhamento muito próximo do nosso Ministro Flávio Dino, do nosso Secretário-Executivo Ricardo Cappelli. É um projeto que está especificamente dentro do escopo de atuação da Subsecretaria de Tecnologia da Informação. Enquanto toda a parte estratégica fica a cargo do MGI, muito da parte de execução, de geração de QR Code, de armazenamento e tratamento de informações está dentro da nossa infraestrutura. É algo muito caro para nós, por conta da LGPD e de todas as informações que são armazenadas, guardadas.
Essas informações ficam com as Secretarias de Justiça. Na Federação, essa separação de esferas... A segurança pública hoje atua tanto na União quanto nos Estados e nos Municípios. Não usurpamos essa competência dos entes — dos Estados ou dos Municípios —, mas fazemos um termo de agregação, que cobre o que conseguimos coletar. Isso é extremamente importante.
O Secretário Rogerio comentou a questão dos silos informacionais. Acontece hoje exatamente o que ele falou. É possível ter 27 identidades diferentes dentro no Brasil — uma em cada Estado e no Distrito Federal —, além das identidades profissionais. Então, em termos de segurança pública hoje, para fazer a identificação de uma pessoa, há uma grande dificuldade. Por mais que façamos uma integração de dados, são pelo menos 27 bases de identificação diferentes. E nós temos uma máxima dentro do Ministério que diz que, infelizmente, o crime não tem fronteiras, nem estaduais, nem nacionais. Então, é fundamental que, dentro desse contexto de segurança pública em que trabalhamos, tenhamos a capacidade de colocar uma informação na mão do...
O SR. PRESIDENTE (Lafayette de Andrada. Bloco/REPUBLICANOS - MG) - Quero aproveitar para fazer uma pergunta. Não quero cortá-lo, mas acho que está dentro do raciocínio. O senhor estava dizendo que são 27 bases de dados — cada Estado tem a sua. Hoje existe algum tipo de integração, de comunicação entre essas bases de dados?
O SR. PRESIDENTE (Lafayette de Andrada. Bloco/REPUBLICANOS - MG) - Mas elas são integradas?
O SR. NEY RÊGO BARROS JUNIOR - Não. Nós fazemos acordos e intercambiamos dados. Se eu faço um acordo com a Marinha, por exemplo, eu consigo ter acesso aos cadastros das embarcações, aos dados das pessoas que têm hoje uma habilitação amadora e coisas assim. Então, dentro desse nosso ecossistema de segurança pública, estamos sempre compartilhando informações, para que possamos criar uma base robusta de segurança pública.
O SR. PRESIDENTE (Lafayette de Andrada. Bloco/REPUBLICANOS - MG) - Não, eu me refiro às bases de dados dos Estados. Tradicionalmente, são eles que fazem as carteiras de identidade. Essas bases estaduais hoje se comunicam?
|
|
17:05
RF
|
O SR. NEY RÊGO BARROS JUNIOR - Exatamente. Ótima pergunta. A solução que a Carteira de Identidade Nacional traz para o Brasil é exatamente essa unificação. Nós vemos as dificuldades dos nossos agentes da segurança, quando não havia essa integração que vai haver agora, quando se pegava a identidade de uma pessoa, e essa pessoa tinha um mandado de prisão em um Estado, mas, naquele Estado em que ele estava, ela não tinha.
O SR. PRESIDENTE (Lafayette de Andrada. Bloco/REPUBLICANOS - MG) - Ele apresenta outra identidade. Ou, então, se apresenta... Quem é você? Sou fulano.
O SR. NEY RÊGO BARROS JUNIOR - Exatamente. Era a mesma pessoa, mas havia 27, 30 identidades. A Carteira de Identidade Nacional traz uma segurança, em termos de segurança, fundamental, porque identifica o cidadão de forma única. Nesse contexto de identificação de forma única, nós conseguimos agir de maneira eficiente para chegar ao cidadão.
Não estou me referindo à área que a Dra. Letícia falou, eu estou indo à outra parte, à parte das pessoas sobre as quais precisamos ter algum controle. Mas, de qualquer maneira, a Carteira de Identidade Nacional, como o Secretário mostrou, cria uma entrada única em termos de identificação, cria um barramento no qual todos os serviços públicos vão ali ficar pendurados. Na Carteira de Identidade atual constam nome da mãe, nome do pai, CPF, certidão de nascimento, etc., etc. Na Carteira de Identidade nova há um conjunto de informações reduzido que pode ser verificado por um QR Code de segurança. A parte importante é que, com essa entrada única, o cidadão pode acessar qualquer outro serviço — Previdência, saúde, segurança, qualquer outro serviço. E ele garante que a entrada é única, então, evita-se a fraude. O número que o Secretário Rogerio falou em torno de 7 bilhões de fraudes por ano pode ser muito maior.
Portanto, é uma segurança que o Brasil cria para o cidadão, que o Brasil cria para as instituições e que o Brasil cria para si. Trata-se de um projeto, dentro desse contexto, estratégico do Ministério da Justiça. Por isso, ele é tão importante.
Em paralelo a isso, quando começamos a fazer o mapeamento e a interligação dessas bases todas, começamos a ter outras derivações, como o mapeamento de organizações criminosas, como se consegue ligar A a B, passando por tudo isso, utilizando tecnologias de ponta, como base de dados de grafos e inteligência artificial. Assim, consegue-se, de uma forma não humana, criar vínculos de uma forma muito mais rápida e muito mais eficiente. Como você liga A a B, ele fala "O A tinha um carro que foi vendido para fulano, que está em uma empresa que fez isso, que tem aquilo..." e se consegue fazer ligações.
Entenda que o Ministério da Justiça não tem poder de investigação, mas conseguimos fornecer ferramentas para que a Polícia Federal, a Polícia Rodoviária Federal e todas as demais consigam atingir seus objetivos.
Então, nosso papel como Ministério da Justiça é fazer essa integração, e a Carteira de Identidade Nacional é uma ferramenta
crucial para conseguirmos fazer isso, tanto é que o Dr. Tadeu Alencar, nosso Secretário da SENASP... Uma grande parte dos recursos que financia principalmente os Estados mais deficitários, Estados que têm problema orçamentário e tecnológico, uma parte do dinheiro vai do nosso Fundo de Nacional de Segurança Pública.
|
|
17:09
RF
|
O SR. PRESIDENTE (Lafayette de Andrada. Bloco/REPUBLICANOS - MG) - As suas palavras me despertaram algumas curiosidades, algumas dúvidas. O senhor estava falando que essa nova Carteira de Identidade na verdade garante uma porta única para um conjunto de informações que vai estar sob um barramento. Esse barramento está sob os cuidados do Ministério da Justiça?
O SR. NEY RÊGO BARROS JUNIOR - Não, Ministério da Gestão e da Inovação em Serviços Públicos. Na verdade, ele está sendo desenvolvido em parceria estratégica do Ministério da Gestão e da Inovação, desenvolvido pelo SERPRO. A parte interessante é que, como ele vai ter uma interface única, todos os Ministérios conseguem se encaixar neles. A capacidade que o poder público vai conseguir de entregar serviços ao cidadão de uma forma garantida, de uma forma é identificada, de uma forma segura vai melhorar muito.
O SR. PRESIDENTE (Lafayette de Andrada. Bloco/REPUBLICANOS - MG) - Através dessa porta única eu vou, como cidadão...
O SR. PRESIDENTE (Lafayette de Andrada. Bloco/REPUBLICANOS - MG) - ...eu vou ter lá informações sobre a minha vida previdenciária.
O SR. PRESIDENTE (Lafayette de Andrada. Bloco/REPUBLICANOS - MG) - É claro, cada Ministério cuida da sua parte, mas todas as informações sobre mim estarão nesse barramento.
O SR. PRESIDENTE (Lafayette de Andrada. Bloco/REPUBLICANOS - MG) - Sim, perfeito. A minha pergunta é a seguinte: eu, como cidadão, tenho acesso a esse conjunto de informações sobre mim?
O SR. PRESIDENTE (Lafayette de Andrada. Bloco/REPUBLICANOS - MG) - Do outro lado do balcão, o setor público tem acesso a todo esse conjunto de informações?
O SR. NEY RÊGO BARROS JUNIOR - É ele que mantém essas informações. Acho que a parte mais relevante do contexto é como você, depois que conecta todas essas partes embaixo, começa a fazer interligação entre elas, para fazer políticas públicas muito mais eficientes para o cidadão, e não olhando somente silos. Como a questão de saúde, a questão de previdência e a questão de segurança, lógico, no futuro, se interligariam? Como elas fariam essas ligações para gerar políticas públicas muito mais eficientes do que uma política pública "silada", vamos dizer assim, uma que fica somente no silo?
O SR. PRESIDENTE (Lafayette de Andrada. Bloco/REPUBLICANOS - MG) - É o admirável mundo novo.
|
|
17:13
RF
|
Então, há toda a questão de segurança de dados, toda a questão de tratamento dessas informações, de como isso é criptografado, anonimizado, de como é esse transporte de informações entre os órgãos. É fundamental que isso seja criptografado, que haja uma questão de responsabilidade, vamos dizer assim, afetiva — desculpe o nome, afetiva — de como é que você vai tratar o meu dado.
Portanto, em termos estruturais, todos os Ministérios, todos os órgãos que tratam desses dados têm diretrizes de mantenimento de segurança de informação muito severas, e esse transporte de dados entre os órgãos tem um protocolo de comunicação, que é o seguinte: eu não passo mais do que o necessário para você. Então, hoje cada um cuida, vamos dizer assim, da sua informação, e o transporte entre eles, quando preciso, é do estritamente necessário. Enquanto isso, nós usamos toda a parte de segurança de informação, com criptografia, com anonimização, com tudo o que há de melhor hoje.
O SR. PRESIDENTE (Lafayette de Andrada. Bloco/REPUBLICANOS - MG) - Eu agradeço muito, e é isso, eu cada vez mais me convenço da necessidade que nós temos de reformular, de atualizar o nosso direito, inclusive a LGPD, sobretudo no que diz respeito à troca de informações de órgãos públicos entre si. A proteção digital é algo importante, sobre o qual precisamos refletir, e eu fico satisfeito de saber que os senhores estão lá fazendo o máximo de esforço possível para tomar esses cuidados.
O SR. PRESIDENTE (Lafayette de Andrada. Bloco/REPUBLICANOS - MG) - Da minha parte, Dr. Ney, eu acho que foi bastante satisfatória a sua fala, inicialmente. Mais uma vez, digo que outras reuniões virão, que vamos começar a fazer reuniões de trabalho, efetivamente, e que vamos, então, convidar sempre o Ministério da Justiça para participar conosco, porque o que queremos é isso, uma legislação boa para o cidadão, para o Brasil, para todos nós, e a contribuição de todos será sempre bem-vinda.
O SR. PRESIDENTE (Lafayette de Andrada. Bloco/REPUBLICANOS - MG) - Eu que agradeço, Dr. Ney. Muito obrigado.
|
|
17:17
RF
|
O SR. ALEXANDRE MAIMONI - Boa tarde a todos. Boa tarde, Sr. Relator, Deputado Lafayette de Andrada, na pessoa de quem eu cumprimento todos os Parlamentares aqui da Comissão.
O meu papel hoje aqui é representar o SERPRO — Serviço Federal de Processamento de Dados. Eu sou Diretor Jurídico de Gestão e Riscos, faço a parte de compliance e sou de DPO do SERPRO na parte de proteção de dados também. Estou aqui representando o nosso Presidente, Alexandre Amorim, que não pôde estar presente. Ele está afastado nesta semana para realizar um procedimentozinho médico.
Eu estou aqui como Presidente da empresa, no sentido de simbolizar aqui o respeito aos trabalhos da Comissão e à necessidade que temos de nos fazer presentes aqui, colaborando com os trabalhos da Casa.
O SERPRO é a maior empresa pública de TI do mundo. Ela tem 7.700 empregados e é o principal instrumento de inclusão digital do Governo Federal. Quem operacionaliza a maioria das discussões que as autoridades do Governo trouxeram nesta tarde é o SERPRO, que é o principal executor dessas políticas públicas. Por exemplo: a integração da carteira digital nacional, que é um grande projeto com o gov.br, é feita pelo SERPRO, que armazena os dados do gov.br atualmente em nuvem privada. Essa é uma discussão também importante.
O SERPRO é um instrumento de soberania, porque os senhores sabem que o serviço de nuvem é oferecido pelas grandes empresas, pelas big techs, e o SERPRO tem uma nuvem própria que está sendo utilizada cada vez mais por este Governo para os dados estratégicos de segurança pública e de cidadania.
Eu trouxe aqui para me acompanhar dois técnicos, o Rafael Soto e o Daniel Cesar. Pelo que eu estou entendendo, isso veio a calhar com os objetivos do Relator, que está buscando um conhecimento mais aprofundado da dinâmica de funcionamento. O Daniel é Analista de Privacidade do SERPRO e trouxe, para nos auxiliar, o tema Segurança digital e governança de dados. O Daniel poderá responder às perguntas que eu já vi que o Relator tem a respeito disso. E o Rafael Soto é o nosso Superintendente para tratar justamente de identidade digital e contas gov.br.
Então, resumindo, nós temos hoje grandes desafios. Acho que o Relator expôs bem aqui o objetivo da Comissão, que é trazer o assunto para o mundo do direito. Eu sou advogado de formação e também acho importante isso, porque muita coisa ainda está solta. A LGPD, por exemplo, é uma realização nova. Temos um órgão que está começando seus trabalhos, mas, de fato, nós ainda não sabemos o que o futuro nos reserva. Temos grandes desafios, e o cidadão tem buscado cada vez mais a tecnologia para resolver seus problemas.
|
|
17:21
RF
|
Temos essa questão estratégica da nuvem privada, a inteligência artificial e as questões relacionadas aos direitos humanos decorrentes da aplicação da inteligência artificial, a Internet das Coisas, enfim, o mundo da tecnologia está em evolução. Esse, na verdade, é o principal desafio de nós todos — da empresa, que operacionaliza essas políticas públicas; dos Deputados, que têm que legislar sobre isso; e de nós cidadãos, que buscamos uma tecnologia que facilite a nossa vida cada vez mais, que resolva os nossos problemas. É nesse sentido que o SERPRO se coloca à disposição da Comissão.
O SR. PRESIDENTE (Lafayette de Andrada. Bloco/REPUBLICANOS - MG) - Eu vou fazer a pergunta. Na resposta, eles podem fazer uma breve apresentação.
Para responder a esta, é importante que o senhor esteja aqui. Recentemente, saiu uma portaria da Receita Federal, e isso me preocupa demais. O nosso amigo, o Dr. Daniel, é Analista de Privacidade e Proteção de Dados. Trata-se da Portaria nº 220, de 20 de setembro de 2022, e da Portaria nº 346, de 24 de agosto de 2023.
Eu posso responder de modo geral. Vou passar a palavra ao Daniel, para ele aprofundar, mas o escopo dessas normas foi possibilitar ao SERPRO e à administração pública prestarem um melhor serviço relacionado ao próprio interesse do cidadão.
Então o SERPRO, por exemplo, atua em um produto chamado Datavalid, que confere mais segurança a transações comerciais, transações bancárias, conferindo autenticidade, atuando como se fosse um cartório aonde se vai reconhecer firma de uma assinatura, dizendo que aquela pessoa é ela mesma. No nosso entendimento e no entendimento da ANPD — Autoridade Nacional de Proteção de Dado também, isso validou essas portarias.
O SR. PRESIDENTE (Lafayette de Andrada. Bloco/REPUBLICANOS - MG) - Isso está o.k., mas o que a portaria está falando é que o SERPRO fica autorizado a compartilhar informações que estão sob gestão da Receita Federal.
|
|
17:25
RF
|
O SR. PRESIDENTE (Lafayette de Andrada. Bloco/REPUBLICANOS - MG) - Pois é, a LGPD não permite nem que o SERPRO nem que a Receita Federal abra para qualquer cidadão as informações, ainda mais aquelas que estão na Receita Federal, que têm sigilo fiscal.
O SR. PRESIDENTE (Lafayette de Andrada. Bloco/REPUBLICANOS - MG) - A portaria não está dizendo se são as sensíveis ou as não sensíveis. Fica autorizado o SERPRO a compartilhar informações que estão sob...
O SR. PRESIDENTE (Lafayette de Andrada. Bloco/REPUBLICANOS - MG) - Tem a palavra o Dr. Daniel. Não é CPI, não, vocês não têm culpa nenhuma. Eu estou criticando a portaria.
Essa portaria traz também quais são os dados que a Receita Federal envia, os anexos, qual é o conjunto de dados de CPF, de CNPJ, de nota fiscal eletrônica. E, em uma das reuniões, que está até no site aqui da Comissão, o representante da Receita Federal afirmou que houve uma melhoria, um desenvolvimento para tornar possível que consultas em larga escala feitas por empresas fossem feitas de forma a não onerar o ambiente da Receita Federal, o seu site web, a utilização de robôs e tudo mais. Essas informações são, evidentemente, públicas; elas não são de sigilo fiscal.
O SR. PRESIDENTE (Lafayette de Andrada. Bloco/REPUBLICANOS - MG) - Qual informação minha é pública?
O SR. PRESIDENTE (Lafayette de Andrada. Bloco/REPUBLICANOS - MG) - Para isso, eu não preciso consultar a Receita Federal, para saber meu nome.
O SR. DANIEL CESAR - Há também a data de inscrição do seu CPF, qual é o CNAE de uma empresa, o quadro societário de uma empresa. Então, esse é um conjunto de informações que a Receita determinou. Não são informações de sigilo fiscal, não são de sigilo tributário, não vai estar disponível qual é a declaração dos seus bens, quanto você recebe por mês. Então, é um conjunto de informações, acesso às APIs, API CPF, API CNPJ. Empresas que estão nesse segmento, que precisam da validação desses dados, vão até o SERPRO fazer essas consultas. Então, não há quebra de sigilo fiscal.
O SR. PRESIDENTE (Lafayette de Andrada. Bloco/REPUBLICANOS - MG) - Já foi.
O SR. PRESIDENTE (Lafayette de Andrada. Bloco/REPUBLICANOS - MG) - É sim ou não.
O SR. PRESIDENTE (Lafayette de Andrada. Bloco/REPUBLICANOS - MG) - Bom, está respondido. Se eu concordei ou não, é outra história.
O SR. PRESIDENTE (Lafayette de Andrada. Bloco/REPUBLICANOS - MG) - Qual é o produto?
|
|
17:29
RF
|
O SR. DANIEL CESAR - O SERPRO, como operador, tem desenvolvido mais de 3 mil sistemas para diferentes órgãos públicos. Ele não toma decisões por conta própria. Ele não vai chegar lá e dizer: "Eu tenho a base de contribuintes. Eu tenho a base de condutores de veículos. Eu vou gerar aqui um produto e vou vender esses dados para quem quiser". Isso não existe. Tudo isso acontece com autorizações do controlador, seja a Receita Federal, seja a Secretaria Nacional de Trânsito, seja a Procuradoria-Geral da Fazenda. Quanto a essas informações, uma vez havendo a autorização, a devida base legal para a realização desse serviço, nós desenvolvemos essa solução.
Então, o SERPRO não vende, não tira da cartola a necessidade de um produto pensando: "Vou desenvolvê-lo e vou fazer isso à revelia dos órgãos públicos, que são os detentores, os guardiões dessa informação". Nós desenvolvemos essas APIs. Informado um CPF, ele vai retornar a regularidade desse CPF, o nome, a situação cadastral; informado um CNPJ, a localidade, a CNAE, o nome fantasia, o nome, enfim...
O SR. PRESIDENTE (Lafayette de Andrada. Bloco/REPUBLICANOS - MG) - Ele cobra?
O SR. DANIEL CESAR - Há um valor a ser pago pelo próprio processamento. Como foi falado pelo representante da Receita Federal, entende-se que pode haver gasto público de máquina, de energia, e ficar sem contrapartida privada por utilização desse dado. Ele está num processo de negócio dele. Então, ele teria que ter a contrapartida para não onerar o cofre público.
O SR. PRESIDENTE (Lafayette de Andrada. Bloco/REPUBLICANOS - MG) - Eu vou ler uma notícia de jornal: "O SERPRO continua vendendo dados da Receita Federal para o mercado sem nenhum questionamento de ninguém. Sob alegação de estar realizando 'políticas públicas' em nome do fisco. A Autoridade Nacional de Proteção de Dados (...)". Aí, vem a manchete da matéria: Mudou o governo, mas não a venda de dados pelo SERPRO. (Risos.)
O SR. PRESIDENTE (Lafayette de Andrada. Bloco/REPUBLICANOS - MG) - Daí a pergunta, viu?
A Autoridade Nacional de Proteção de Dados acompanha essa questão e nos questionou. É um trabalho que tem sido feito já há meses. Existe um processo atualmente de validação disso que está em curso.
O SERPRO implementou melhorias. Nós estamos lidando com um cenário novo em termos legislativos. A própria ANPD e o SERPRO...
Para o senhor ter ideia, Deputado, num primeiro momento, havia o entendimento de que o SERPRO era o controlador. Posteriormente, houve debates, pareceres jurídicos. O atual entendimento — e da própria autoridade — é de que nós somos operadores. Nós não somos o controlador, o dono da base, que continua sendo o Governo Federal, através de seus órgãos públicos.
O SR. PRESIDENTE (Lafayette de Andrada. Bloco/REPUBLICANOS - MG) - E existem, naturalmente, convênios de compartilhamento de dados do SERPRO com outros órgãos?
|
|
17:33
RF
|
O SR. PRESIDENTE (Lafayette de Andrada. Bloco/REPUBLICANOS - MG) - Eu quero chegar ao seguinte ponto: é natural o compartilhamento de dados. O SERPRO, como órgão público, seja controlador ou operador, está com os dados. Na medida em que ele compartilha esses dados com outro órgão, qual é a garantia de que o órgão que recebeu os dados vai respeitar, com segurança, a LGPD e os critérios inerentes à proteção de dados? No convênio de compartilhamento há algum tipo de cobrança nesse sentido?
O SR. DANIEL CESAR - Existe um contrato, que diz que devem ser adotadas as medidas de segurança administrativas. O SERPRO tem feito, dentro da sua governança, dentro de seus processos, toda essa garantia da segurança e da privacidade. Tanto é que, no ano de 2022, saiu o Acórdão do TCU nº 1.384, e nós fomos um dos poucos órgãos públicos a chegar ao nível aprimorado. De 382 órgãos, apenas 11 conseguiram isso, e o SERPRO foi um deles. Então, nós temos feito as medidas necessárias.
Essa cobrança tem que ser feita em toda a cadeia de tratamento dos dados. Da mesma forma que nós temos nos debruçado e adotado todas as práticas — a segurança é um valor incorporado pelo SERPRO há muito tempo, e a privacidade entrou também como um valor muito forte para nós —, os demais órgãos, seja da administração federal, estadual ou municipal, e as empresas privadas precisam fazer a sua lição de casa, com todas as medidas de segurança que são adotadas, com boas práticas. Então há todo um leque de atividades.
Eu acho que entra uma função importante a partir da lei que os senhores vão construir nesta Casa: que a privacidade no desenho da solução e também a segurança devem ser by design. Então, eu vou desenvolver uma solução que terá que levar em consideração a privacidade e a segurança desde o seu nascimento. Isso não pode ser um fardo, isso não pode ser um peso, não pode ser visto como algo que vai fazer com que eu não venda, com que eu não faça. Isso é uma lei. Isso está posto. Isso coloca o Brasil, dentro de um cenário mundial, em paridade com outros países e abre portas de negócios. Então, essa força legislativa para gerar compliance a todos os que estão envolvidos nessa cadeia de tratamento de dados é essencial. Isso é uma necessidade.
O SR. PRESIDENTE (Lafayette de Andrada. Bloco/REPUBLICANOS - MG) - Perfeito.
Eu agradeço demais a presença do Dr. Alexandre Brandão Maimoni, Presidente interino do SERPRO, que trouxe aqui o Dr. Rafael Souto, Superintendente de Digitalização, e o Dr. Daniel Cesar, Analista de Privacidade e de Proteção de Dados do SERPRO.
Eu volto a repetir que faremos novas reuniões. Eu tenho algumas divergências, mas o fato é que precisamos construir uma lei que seja boa para todos nós.
Queremos contar com a colaboração e com a expertise do SERPRO e, nessa questão da liberação das informações da Receita, nós vamos conversar com ANPD. Sei lá!
|
|
17:37
RF
|
O SR. PRESIDENTE (Lafayette de Andrada. Bloco/REPUBLICANOS - MG) - Por fim, convido o representante da DATAPREV, Dr. Alan Santos, Diretor de Relacionamento e Negócio da Empresa de Tecnologia e Informações da Previdência Social — DATAPREV.
O SR. PRESIDENTE (Lafayette de Andrada. Bloco/REPUBLICANOS - MG) - Boa tarde, Dr. Alan. Eu passo a palavra ao senhor, que já ouviu nossas falas introdutórias.
Quero cumprimentar o Deputado Lafayette e, na pessoa dele, toda a Comissão e todos os participantes da agenda.
É importante nós podermos contribuir nessa discussão. A DATAPREV, na condição de operadora de algumas das principais políticas públicas do Governo, em especial da parte previdenciária, trabalhista e assistencial, também tem participado de outros programas em várias áreas do Governo. Essa questão da identidade é um ponto central que nos aflige, na medida em que, como já foi discutido, temos um problema estrutural na qualidade da identificação do brasileiro.
Nas fontes primárias de dados, basicamente o Registro Civil e a identificação pelos Institutos de Identificação, temos limitações de qualificação, ou seja, ainda não temos elementos de integração dessa base de dados na forma como o mundo digital exige. Então, a Carteira de Identidade Nacional gera a oportunidade de conseguirmos esse grau de qualidade. Isso vai afetar toda a cadeia de dados que é utilizada pelas várias bases cadastrais.
A DATAPREV utiliza, por exemplo, dados da base de CPF que recebemos do SERPRO em D+1, da base do PIS, da Caixa, da base do próprio CadÚnico, que também é da Caixa. Nós temos a base de várias fontes de dados e outras que são geradas no ambiente da DATAPREV.
Todas elas têm origem, a princípio, no dado primário do Registro Civil ou no Instituto de Identificação. Na medida em que essas informações não são frequentemente conciliadas, nós temos um risco grande de falha no processo de identificação. Para evitar isso, o Estado acaba criando diversos processos de controle, onerando os balcões para atualizá-las.
|
|
17:41
RF
|
Quando alguém muda um dado básico de identificação tem que bater na porta de diversos órgãos para atualizar suas informações. Quando chega uma informação de atualização, o cidadão acaba sendo penalizado por isso. Da mesma forma, nos processos de negócio, nós acabamos trazendo um grau de complexidade que poderia ser muito menor. Nós poderíamos prestar um serviço melhor ao cidadão.
Nesse sentido, a DATAPREV está participando diretamente do processo. A ideia com a qual nós vimos trabalhando de participação na Carteira de Identidade valida-se à possibilidade de conectar essas estruturas de informação. Nós operamos um sistema importante nesse processo, que é o Sistema Nacional de Informações de Registro Civil, que traz a possibilidade de conectar dados de nascimento, casamento e óbitos dos cartórios com as informações das bases de dados. A conciliação dessas informações permite, por exemplo, que uma identidade criada com toda a segurança e com toda a qualidade que foi informada tenha uma duração de 10 anos. Durante esse ciclo de tempo, a pessoa pode mudar de nome, pode ter um evento de óbito, pode ter uma informação alterada nas redes de atendimento em geral. É importante que o documento de identificação — ele vai funcionar como uma chave de acesso à política pública, entre outras coisas — dê a certeza de que aquela identificação permanece íntegra e válida.
A sistemática com a qual vimos contribuindo no projeto permite que identifiquemos, mapeemos e alertemos quando houver alguma inconsistência ou informação que implique a necessidade de reavaliação ou de atualização daquele documento. Essa é uma das questões principais do tratamento.
Outra questão fundamental é a possibilidade de conciliarmos as informações. Na prática, o processo de emissão da Carteira de Identidade vai permitir uma qualificação dos dados. Historicamente, as bases de dados têm uma série de limitações. Nós temos diferença de grafia na escrita dos dados básicos e erros de execução. Isso acaba prejudicando. Às vezes, quando a pessoa vai procurar um serviço de governo ou mesmo um serviço privado e tem o nome de solteira ainda não atualizado, a abreviação de um nome, um apóstrofo que o sistema não estava preparado para tratar e entende como erro, isso gera um efeito perverso na qualificação dos dados e afeta a política de segurança, a política assistencial, enfim, toda a cadeia de valor em que o cidadão está envolvido.
Aqui nós temos a oportunidade de sanear essa informação com esse processo. E, a partir daí, criar instrumentos de qualificação contínua desse dado através de processos que operam no contexto da DATAPREV, no contexto do SERPRO, no contexto dos Institutos de Identificação, por meio das empresas estaduais ou da estrutura que cada instituto estabelece e também no próprio cartório de registro civil. Nós temos a condição de conciliar isso e ter a informação com um nível de qualidade que o Brasil ainda não alcançou. Isso traz um leque de oportunidades de melhoria de serviço, de desoneração e principalmente de segurança na qualidade do dado que está sendo trabalhado.
|
|
17:45
RF
|
Para o mundo digital, isso é algo fundamental. Quando não se tem certeza de quem está do outro lado de um serviço digital, ou criam-se diversos processos que tornam complexo esse trabalho, ou assume-se o risco que acabe estabelecendo cenários de revalidação ou mesmo de risco de negócio, o que é percebido em várias situações, como foi colocado no primeiro eslaide apresentado pelo Secretário de Governo Digital, com uma série de ocorrências, justamente por conta da fragilidade que temos hoje no cenário de documentação.
Então, a contribuição da DATAPREV no processo se dá justamente no sentido de tentar apoiar esse processo de conciliação e qualificação dos dados para poder apoiar as políticas públicas e, principalmente, a fim de o cidadão ter um elemento mais adequado para ter acesso a tudo aquilo que ele precisa de serviços, tanto na esfera pública quanto na esfera privada.
O SR. PRESIDENTE (Lafayette de Andrada. Bloco/REPUBLICANOS - MG) - Agradeço demais ao Dr. Alan a participação. Mas volto ao mesmo tema: a questão de segurança de dados, a questão de vazamentos. Eu tinha que ter feito essa pergunta para a DATAPREV e para o SERPRO, mas não o fiz. Sobre essas questões, quais são os cuidados que são tomados para impedir que haja vazamentos de dados?
O SR. ALAN SANTOS - Existem várias ações. O risco do uso e do acesso aos dados acontece em várias dimensões. Uma das principais questões — e eu acho que o SERPRO falou um pouquinho nessa linha também — é que o modelo de utilização dos dados — isso está na agenda do Ministério da Gestão — a ser trabalhado é que eles sempre sejam trabalhados em núcleos seguros de gestão de dados, de modo que essas informações possam ser utilizadas sem a necessidade do compartilhamento desses dados, de forma que se perca a rastreabilidade dessas informações.
Por exemplo, quando executamos determinado programa, passamos pelo processo de autorização dos dados pelo controlador. Nesse sentido, temos procurado sempre trabalhar com o conceito de perguntas sobre a informação. Ou seja, se aquela pessoa tem uma renda para determinado programa social, por exemplo, em vez de entregar a informação da renda, eu respondo se a pessoa está ou não dentro do critério daquela política, se ela ganha até tantos salários mínimos, se ela tem determinada condição, que é o que aquela política precisa saber para dar conta da decisão.
Isso nem sempre foi assim. Havia precariedade e limitações técnicas no passado, mas a tendência e a melhor prática vêm justamente nesse sentido. Inclusive, quando tratamos de políticas que afetam dados que perpassam a DATAPREV, às vezes envolvendo a DATAPREV, o SERPRO, outros entes de Governo, Tribunais, enfim, a perspectiva é que consigamos fazer essa conciliação de informações sem a necessidade de compartilhamento. Essa é uma ação estrutural.
Outra questão importante é o processo de identificação porque o acesso a dados é feito não só ao usuário final, mas também ao usuário do sistema de Governo, a vários atores que participam e acessam o sistema. Eles têm credenciais e essas credenciais têm níveis de vulnerabilidade. E, hoje, talvez o principal calcanhar de Aquiles de qualquer serviço seja o cidadão e a fragilidade do processo de autenticação.
Então, é uma guerra constante das áreas de segurança a qualificação desse acesso para saber se é mesmo aquela pessoa que está acessando os dados, se aquela operação é legítima ou se há algum tipo de risco no acesso a essas informações.
|
|
17:49
RF
|
Nesse contexto, nós temos um perímetro de maior governança em que conseguimos monitorar, por exemplo, a estação de trabalho, um dispositivo de acesso utilizado de forma complementar por um simples usuário e coisas do tipo. Mas há serviços que vão além desse perímetro de segurança. Então, é um processo em que, talvez, o próprio projeto de identidade traga mais elementos para que agreguemos valor e criemos fatores ou requisitos.
Foi mencionado aqui pelo SERPRO também o Datavalid, que é um serviço que é consumido por diversos órgãos. Mas o fato é que, por exemplo, a questão biométrica, que é bastante utilizada no mercado para dar essa segurança, ainda tem uma limitação. A CNH não alcança todos os brasileiros; a própria base do TSE não alcança todos os brasileiros. E esse processo que trazemos com a agenda da identidade encerra finalmente a oportunidade de ter a identificação biométrica, com segurança dos dados biográficos e com a possibilidade de agregar um cenário de segurança maior na autenticação do usuário e na validação do acesso. Talvez hoje esse seja o ponto mais crítico desse processo, em termos de vulnerabilidade. As empresas investem milhões nas camadas de segurança, nos acessos antiataque massivo e antiataques refinados. Mas nós vimos, nas principais ocorrências recentes de perda de dados em várias empresas, sejam entes públicos ou privados, que normalmente o problema nasceu numa credencial comprometida, num acesso que, de alguma forma, foi corrompido por processos, por tecnologia, por algum leitor de senha, coisas do tipo. E essa parte talvez seja a agenda mais crítica a que teremos que atentar para buscarmos os meios de conseguir eliminar o risco de acesso.
O SR. PRESIDENTE (Lafayette de Andrada. Bloco/REPUBLICANOS - MG) - A minha imensa preocupação é com essa proteção do cidadão, com a proteção dos dados.
Tenho aqui uma matéria de 2022, que diz: "A Justiça Federal de São Paulo condenou a Caixa Federal, a DATAPREV e a ANPD a pagarem indenização pelo vazamento de dados no Auxílio Brasil. É um importante marco na consolidação da Lei de Proteção de Dados" — avalia um especialista. "A decisão envolve mais de 3 milhões de beneficiados do programa de transferência de renda do Bolsa Família."
O SR. ALAN SANTOS - Nesse caso específico, que tivemos condição de acompanhar, a DATAPREV atua em parte desse processo de gestão dos dados do Auxílio Brasil, e a Caixa faz a outra parte do processo. O pagamento do benefício e toda a qualificação dos beneficiários é feito, num primeiro momento, na Caixa, e a DATAPREV faz uma revalidação com base em dados de renda e em outras condições que o beneficiário precisa ter para poder permanecer dentro do programa.
Dentro desse contexto, a oferta das informações de crédito consignado às instituições financeiras foi viabilizada por um modelo de acesso, em que os correspondentes e o mercado financeiro tinham informações para poder oferecer esses dados.
Nessa configuração de acesso, foi identificado um cenário diferente daquilo que ANPD entendeu como adequado. E esse processo passou por uma avaliação e uma adequação para poder evitar essa disponibilidade.
|
|
17:53
RF
|
O SR. PRESIDENTE (Lafayette de Andrada. Bloco/REPUBLICANOS - MG) - E alguém foi punido?
O SR. PRESIDENTE (Lafayette de Andrada. Bloco/REPUBLICANOS - MG) - Eu agradeço novamente ao Dr. Alan a participação. A DATAPREV obviamente irá contribuir muito conosco nesse esforço da atualização do direito digital.
Volto a insistir que não somos CPI, não. Às vezes, eu dou um aperto ou outro, mas é porque as notícias que passam são uma preocupação minha muito forte nessa questão da proteção de dados. Mas o que nós queremos, na verdade, é resolver todos esses problemas. Onde existe ser humano existem problemas, porque os problemas são inerentes ao ser humano. Cabe a nós tentarmos minimizar o máximo possível esses problemas.
Mas, fugindo um pouquinho do nosso tema de hoje, que seria a identidade digital, para não deixar de aproveitar aqui a presença da DATAPREV, temos uma questão que foge um pouco do escopo da nossa Comissão, que é a prova de vida dos velhinhos. Não é possível, gente, na era digital em que nós estamos, obrigar o velhinho que está lá dentro de casa, na cadeira de roda ou de cama a ir ao banco fazer a prova de vida?! Desculpe-me o desabafo, mas isso é inaceitável! Para você tirar o documento do veículo, lhe é exigido tirar uma foto portando a carteira de identidade. Então, por que não se pode fazer isso com o velhinho? Por que o velhinho tem que ir ao banco para fazer a prova de vida?
É importante a preocupação do Governo, no sentido até da economia, de não pagar benefício a quem já morreu, a quem já não está aí, ou seja, que haja evasão de divisas. Mas exigir, hoje, no mundo digital, onde se paga com Pix, conversa-se pelo WhatsApp, que o velhinho saia de casa, sobretudo aquele velhinho mais pobre, que sai não sei de onde, que tem que pegar um táxi, o que para ele é oneroso, há toda uma dificuldade, pois, às vezes, o filho dele trabalha, tem que perder um dia de trabalho para poder pegar a mãe em casa e levá-la ao banco, e, ao chegar no banco, ainda tem que enfrentar uma fila de 2 horas, para provar que está vivo?
O SR. PRESIDENTE (Lafayette de Andrada. Bloco/REPUBLICANOS - MG) - Volta e meia, nós vemos no jornal: "Prova de vida; fila dos velhinhos no banco".
|
|
17:57
RF
|
O SR. PRESIDENTE (Lafayette de Andrada. Bloco/REPUBLICANOS - MG) - Você nunca vai conseguir inferir que ele está vivo, porque ele foi lá hoje na prova de vida e amanhã pode morrer. Então, eu digo o seguinte: existir a prova de vida, não sou contra isso. É o Governo que tem que segurar as suas divisas e não deixá-las ir pelo ralo. O que eu estou discutindo é a maneira como é feita a prova de vida: mandar o velhinho lá na agência bancária. Isso é que não é possível. Hoje em dia todo mundo tem um celular na mão, e, se não tiver, que arranje o do vizinho. É isso.
Quanto à prova de vida, eu não sou contra que ela exista. Isso nós temos que ter. Nós temos que estar pagando para alguém que exista. Agora, a prova de vida ser presencial, tirando o velhinho de casa, acamado, no soro, para ir lá para a fila do banco para provar que ele está vivo, a isso eu sou contrário. Desculpem-me. É um protesto público que eu faço aqui.
Dr. Alan, a culpa não é sua também, não, mas a DATAPREV tem que arranjar um jeito de melhorar isso aí.
No mais, eu quero agradecer muito. Volto a insistir: agradeço demais aos senhores todas essas considerações que nos têm trazido aqui. Elas são importantíssimas para nós. É só olhar, porque nós vamos tratar. Como eu disse, falhas existem, isso é do ser humano, e compete a nós minimizá-las. Entre elas está aí a prova de vida do velhinho.
O SR. PRESIDENTE (Lafayette de Andrada. Bloco/REPUBLICANOS - MG) - Muito obrigado.
|