O Ministério Público Federal (MPF) ingressou com ação civil pública contra as empresas Algar Soluções em TIC e Companhia de Tecnologia da Informação e Comunicação do Paraná (CELEPAR) por violação aos direitos de cidadãos que forneceram seus dados pessoais para acesso e utilização de serviços públicos disponibilizados em formato eletrônico naquele estado.
A ação originou-se de fatos ocorridos no dia 23 de setembro deste ano, quando milhares de cidadãos receberam mensagem de texto, via SMS, com conteúdo político-ideológico, tendo por remetente o canal oficial de comunicação do governo do Paraná.
Por meio dos sistemas da Algar, empresa sediada em Uberlândia, no Triângulo Mineiro, 324.818 mensagens foram disparadas, contendo o seguinte teor: “Vai dar Bolsonaro no primeiro turno! Senão, vamos a rua para protestar! Vamos invadir o congresso e o STF! Presidente Bolsonaro conta com todos nos!!” [sic.]. O caso veio a público após diversos cidadãos, irritados tanto com o conteúdo quanto com a ausência de autorização para uso de seus dados pessoais com tal finalidade, reportarem nas redes sociais o recebimento dos SMS.
As mensagens de cunho eleitoral foram enviadas do número “28523”, que é utilizado pela Celepar para comunicações oficiais sobre o andamento de serviços públicos e acessos cadastrais. Parte das mensagens, inclusive, foi disparada para usuários do mecanismo denominado “Paraná Inteligência Artificial-PIÁ”, sistema criado pela Celepar para centralizar o atendimento de mais de 350 serviços públicos.
“Ou seja, criou-se a aparência de que as mensagens teriam sido enviadas pelas entidades de governo, mas o que de fato ocorreu foi o acesso ilegal a uma base de dados extremamente sensíveis, eis que ali estão armazenadas informações individuais, necessárias para atendimento e prestação de diversos serviços públicos, como emissão de certificado de vacinação, pagamento de IPVA, agendamento de atendimentos no Detran, emissão de documentos médicos, além de pagamento de contas de energia elétrica e água”, relata o procurador da República Carlos Bruno Ferreira da Silva, autor da ação.
O procurador explica que, “ante essa diversidade de serviços, a estatal paranaense conta com substanciosa base de dados, viabilizada pela expectativa legítima do usuário de que seus dados encontram-se em segurança, bem como que serão utilizados apenas para acesso aos serviços públicos. No entanto, 324.818 cidadãos tiveram seus dados utilizados para o recebimento de conteúdo político, ilegal e não autorizado, o que revela não só um incidente de segurança como, repita-se, a utilização indevida dos dados pessoais dos titulares. Certo é que os fatos revelam lesão direta ao Direito Fundamental da Proteção de Dados dos titulares, seja pela ótica da Lei 13.709/18, chamada Lei Geral de Proteção de Dados (LGPD), seja pela ótica do Código de Defesa do Consumidor e de vários outros diplomas legais”.
Acesso indevido – De acordo com o MPF, a empresa privada Algar foi contratada em 2021 pela Celepar, empresa estatal de comunicação do Paraná, para operacionalizar o envio e recepção de mensagens SMS para a sua base de usuários.
Após o ocorrido, a Algar confirmou a ocorrência de acesso indevido, por um de seus funcionários, a uma parte da sua base informacional, o que, para o MPF, evidencia o estado de vulnerabilidade no qual se encontram milhares de dados pessoais em poder dessas empresas.
A ação relata que, anteriormente ao disparo das mensagens (em 23/09), houve ação preparatória do ilícito, com a criação, dois dias antes (21/09), de novo centro de custos nos sistemas da Algar, após alteração da senha do administrador. Mesmo com a atribuição atípica do nome “presidente_Bolsonaro_mais_uma_vaz” [sic.], os mecanismos de segurança das requeridas sequer identificaram a anomalia que, dois dias depois, geraria o disparo massivo das mensagens.
“E como os dados pessoais são a representação virtual do indivíduo, o uso inadequado ou inseguro deles impacta diretamente a esfera de direitos dos seus titulares, cuja proteção é garantida atualmente por um arcabouço legislativo, a começar da própria Constituição Federal de 1988, que, por meio da Emenda Constitucional nº 115/22, incluiu no rol de Direitos e Garantias Fundamentais o direito à proteção dos dados pessoais, inclusive nos meios digitais”, afirma Carlos Bruno Ferreira.
A ação cita também o paradigma estabelecido pelo Marco Civil da Internet (Lei n° 12.965/2014), que tem a privacidade como um de seus principais pilares e estabelece importantes limitações às atividades realizadas na internet, e pelo Código de Defesa do Consumidor (Lei 8.078/90), que regulamenta o uso de bancos de dados e cadastros de consumo, serviços de proteção ao crédito e acesso do consumidor às informações existentes nos referidos bancos e suas respectivas fontes.
“Importante destacar que foi em tal contexto regulatório que se deu a edição da Lei Geral de Proteção de Dados (Lei 13.709/18), que conferiu bases legais ao tratamento dos dados pessoais, estabelecendo fundamentos e princípios, mas também os direitos dos titulares desses dados e as sanções decorrentes da inobservância dos deveres de proteção”, lembra o procurador da República.
O artigo 46 da LGPD determina que os agentes de tratamento – aqueles que detêm a posse dos dados – “devem adotar medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito”
Contratos em vários estados – Segundo o MPF, no caso do disparo de mensagens feitas pela Algar/Celepar, os dados dos usuários foram tratados em total incompatibilidade com as bases legais permitidas pela legislação, não só expondo indevidamente o conteúdo da base informacional do estado do Paraná, como tratando ilegalmente os dados por meio do envio de mensagem de cunho político e “civilmente hostil”.
“Em acréscimo à gravidade da situação, consta do Boletim de Ocorrência lavrado pela Celepar junto à Polícia Civil que houve disparos em celulares habilitados também no estado de São Paulo, denotando que o prejuízo de segurança pode ser ainda maior”, alerta a ação ao informar que a Algar “possui contratos de prestação de serviços de tecnologia também com outros entes da federação, inclusive com a União. O objeto de tais contratos refere-se em sua maioria à prestação de serviços de comunicação, que pressupõe o compartilhamento de base de dados de proporções imensuráveis”.
Para exemplificar, o MPF diz que consulta ao Portal da Transparência do Governo Federal revelou que, apenas no ano de 2022, a empresa celebrou cinco contratos com a Administração Federal. Em 2021, foram assinados 27 contratos. Já no Portal da Transparência do Governo de Minas Gerais, há registro de diversos contratos vigentes com a Algar, entre eles, para a prestação de serviço semelhante ao do Paraná [fornecimento de SMS]. Contrato similar também foi celebrado com o governo paulista.
De acordo com o Ministério Público Federal, tais informações revelam o “altíssimo potencial danoso da guarda e tratamento de dados por meio dos mecanismos vulneráveis da requerida. A possibilidade de existência de outros tantos contratos no Brasil, junto a prefeituras e outros estados, incrementa o temor de violação de dados ainda maior do que a evidenciada”.
Retrocesso – A ação destaca que outra grave questão decorrente da falta de segurança revelada pelo ocorrido é o risco de eventual indisponibilidade dos sistemas de dados, o que acarretaria prejuízos à própria prestação dos serviços públicos informatizados.
Além disso, o MPF defende que o desvio de finalidade praticado por Algar e Celepar foge à expectativa individual e coletiva dos titulares de dados, gerando dúvidas até mesmo sobre como a Administração Pública conseguirá garantir o uso seguro dos dados pessoais sob sua guarda.
“O incidente de segurança impactou diretamente os níveis de confiança do cidadão frente ao estado. Os titulares que tiveram seus dados vazados podem, justificadamente, não mais se sentir seguros durante o acesso aos serviços públicos por meios eletrônicos, resultando em possível diminuição da adesão ao sistema e aumento da demanda de atendimento por outras vias, já subutilizadas, como os protocolos presenciais”, afirma o procurador da República.
Lembrando que, nesse sentido, os disparos em massa das mensagens representaram evidente retrocesso social, o MPF ressalta que o teor antidemocrático das mensagens, ao vincular o resultado eleitoral a ações de invasão do Congresso Nacional e STF, também provocou aumento da sensação de insegurança cívica e política.
“A convicção política é aspecto da personalidade especialmente protegido do ponto de vista individual do cidadão. A própria LGPD elenca a convicção política como dado pessoal sensível (artigo 5º, inciso II). Portanto, não é difícil reconhecer o abalo subjetivo de cada cidadão ao ver seu contato pessoal, fornecido ao estado para a estrita finalidade de acesso aos serviços públicos, ser utilizado para o recebimento de mensagem que incitou invasão ao Congresso Nacional e ao STF”, aponta Carlos Bruno Ferreira.
Indenizações individuais – A violação da privacidade do banco de dados levou o MPF a pedir indenização por danos morais individuais no valor total de R$ 974.454.000. “Foram mais de 324 mil pessoas afetadas e o valor individual da indenização ficaria por volta de apenas R$ 3 mil, quantia até inferior ao valor normalmente fixado pela jurisprudência em casos semelhantes”, explica o procurador da República.
A ação também pede que a Justiça Federal condene as duas empresas por danos morais coletivos. No caso, a quantia seria fixada em, no mínimo, 10% da soma dos quantitativos individuais, resultando assim no valor de R$ 97,44 milhões.
Outros pedidos – O MPF pede ainda que as duas empresas sejam obrigadas a contratar, no prazo de cinco dias, equipe técnica independente para a apresentação de relatório técnico, após auditoria em seus sistemas, que expressamente delimite a extensão do dano causado à segurança dos dados.
O objetivo da auditoria será esclarecer se a vulnerabilidade que permitiu o acesso indevido foi devidamente corrigida pela empresa; quais foram os bancos de dados a que tiveram acesso os usuários responsáveis pelo disparo ilegal das mensagens; se houve extração de informações dos arquivos da Algar ou Celepar, e, em caso positivo, quais foram os dados extraídos, e, finalmente, se é possível determinar que a violação de dados colocou em risco os bancos de informações detidos pela Algar por força dos contratos celebrados com outros órgão públicos.
A ação também pede que seja determinado judicialmente às empresas comunicarem o incidente de segurança à Autoridade Nacional de Proteção de Dados, bem como a cada um dos titulares dos dados, com o devido dimensionamento da exposição de que foram vítimas.
Com informações do MPF