Softwares de vigilância têm que ser auditáveis, frisa TCU
O Tribunal de Contas da União (TCU) apresentou ao Supremo Tribunal Federal (STF) um panorama da jurisprudência do órgão referente à contratação e uso de sistemas de coleta, extração e análise de dados por órgãos públicos. A exposição faz parte de audiência pública sobre a regulamentação do uso de softwares de monitoramento pelo governo iniciada nesta segunda-feira, 10, e também responde a pedido de informações da Corte.
Em síntese, o TCU vem recomendando que os contratos exijam mecanismos que possibilitem auditar os sistemas, sem necessariamente barrar o uso das ferramentas. Entre as licitações que já foram ou são alvos de processos pelo Tribunal estão contratos para uso de ferramentas citadas entre suspeitas de contratação irregular em petição do Ministério Público Federal (MPF) que originou o debate sobre o tema no STF (ADPF 1143). Os softwares em questão seriam capazes de interceptar dados ao infectar um dos dispositivos envolvidos na comunicação e simular estações rádio-base capturando dispositivos próximos.
“Entende-se que é necessário pensar de que maneiras – quando necessário usar esse tipo de sistema – nós tenhamos o Estado utilizando [a ferramenta] sempre vinculando a finalidade do interesse público, a um caso concreto, ao agente público responsável por isso e ter todo esse processo rastreável e disponível para as autoridades, que necessariamente vão fazer uso desse tipo de informação em sede de eventual corregedoria”, disse o secretário de Controle Externo de Governança, Inovação e Transformação Digital do, Wesley Vaz, em audiência pública.
Ao todo, houve cinco processos abertos desde 2020 e há outros dois ainda em andamento. Todos os casos analisaram três pontos: regularidade no processo de contratação; finalidade do uso; e quais controles existem para que essas ferramentas sejam utilizadas segundo a sua finalidade, mantendo possibilidade de auditoria. São eles:
- Pregão conduzido pela Secretaria de Gestão e Ensino em Segurança Pública (Segen) no Ministério da Justiça e Segurança Pública para aquisição de “solução de inteligência em fontes abertas, mídias sociais, deep e dark web”. Como resultado da análise, o TCU determinou que se fizesse constar do contrato e dos modelos de contrato desta natureza critérios e funcionalidades de segurança, além de garantia de possibilidade de auditoria. (Acórdão 1331/ 2022)
- Em 2021, também sobre Pregão da Segen, o TCU identificou irregularidade na habilitação de algumas empresas associadas à contratação de soluções de inteligência em fontes abertas, mídias sociais, deep web e dark web, e determinou abertura de processo administrativo pela Controladoria-Geral da União. (Acórdão 1353/2022)
- Em análise de Pregão Eletrônico sob responsabilidade do Comando de Comunicações e Guerra Eletrônica do Exército (CComGEx), com vistas à contratação de solução de tecnologia da informação para coleta e integração de dados, o TCU concluiu que não houve evidência de direcionamento e nem vedação de manifestação de participantes no caso em questão. (Acórdão 180/2023).
- TCU analisou suposto uso indevido do emprego de sistema pelo MJSP. Neste caso, “não houve a evidência de desvio de finalidade no caso concreto, porém se identificou a necessidade de recomendar ao órgão inserir controles no sistema, para dar uso responsável por meio da auditabilidade”, segundo Vaz. (Acórdão 1529/2022)
- Análise de Pregão Eletrônico do Departamento de Ciência e Tecnologia do Exército para “contratação de serviços de solução de coleta e integração de dados”. O edital foi revogado a partir de representação do TCU. Portanto, o julgamento perdeu objeto. (Acórdão 1525/2020)
Entre os dois processos que ainda estão em andamento no TCU, Vaz afirma que trata-se do mesmo objeto e que considerando a jurisprudência, “o Tribunal não vai deixar de refletir sobre os controles internos e os controles de aplicação que são absolutamente necessários para o uso desse tipo de sistema”.
Levantamento
Pesquisa do Instituto de Pesquisa em Direito e Tecnologia do Recife (IP.rec) apresenta dados mais amplos. O estudo, citado por Pedro Saliba, coordenador de Assimetrias e Poder do Data Privacy Brasil, identificou entre os anos 2015 e 2021 o total de 209 contratos da administração pública relativos a spywares, como podem ser classificadas ferramentas que motivaram preocupações do MPF e estão em análise pelo STF.
“Eles [spywares] podem ser definidos como programas com capacidades intrusivas de extração de informações e invasão a dispositivos ou sistemas eletrônicos. O seu objetivo é explorar falhas de segurança existentes para coleta de informações sobre seus alvos que dificilmente conseguem identificar a invasão”, explica Saliba.
O especialista ressalta que nos últimos anos há “proliferação sem salvaguardas dessas tecnologias” para perseguir jornalistas, ativistas e opositores políticos. Desta forma, a Data Privaxy Brasil defende maior atenção das autoridades para fiscalizar o uso das ferramentas.
“No Brasil, nós temos dezenas de exemplos que precisam ser analisados em detalhe, inclusive considerando quais órgãos detém as ferramentas […] Recomendamos à Corte um exame de proporcionalidade e razoabilidade sobre a aquisição, desenvolvimento e uso de spywares pelo Poder Público brasileiro, considerando as competências legais dos órgãos, capacidades técnicas das ferramentas e reconhecimento das múltiplas violações de direitos fundamentais que podem trazer”, destacou Saliba.
Teles e governo
Representantes das empresas de telecomunicações e do governo federal também participaram da audiência pública nesta segunda. A Conexis Brasil Digital se manifestou contra o uso de softwares espiões pelo governo, por violação aos direitos fundamentais de proteção dos dados pessoais e da inviolabilidade do sigilo das comunicações telemáticas.
A entidade considera que o uso de tais ferramentas apresenta riscos até mesmo mediante decisão judicial.
“Não há meio seguro de espionagem. Aliás, espionagem e segurança é quase uma contradição em termos. Não há garantia de que o operador da ferramenta cessará o uso quando expirado o prazo ou revogada a ordem judicial. Não há garantia de que o operador da ferramenta limitará o uso à finalidade da decisão judicial. E disso decorre um risco para terceiros, pessoas que não tem nada a ver com investigação”, afirmou André Cyrino, representando a entidade.
A Secretaria de Políticas Digitais da Secretaria de Comunicação Social (Secom) da Presidência da República também mostrou preocupações. A diretora de Promoção da Liberdade de Expressão da pasta, Samara Castro, deu ênfase para os casos de jornalistas vítimas de crimes de invasão de privacidade.
“A utilização de ferramentas de intrusão virtual e o monitoramento secreto por parte do Estado levanta várias e sérias questões sobre sua constitucionalidade. Mesmo que essa corte considere a possibilidade de uso dessas tecnologias em alguns casos, é imperativo que seja reconhecido potencial impacto na liberdade de expressão, na liberdade de imprensa e na proteção do direito constitucional dos jornalistas de manter o sigilo da fonte caso estes profissionais, de alguma forma, não sejam resguardados. Portanto, nós defendemos que tais ferramentas não devem ser utilizadas contra jornalistas em nenhuma situação”, disse Castro.