Sob pressão, o governador de São Paulo, Márcio França, determinou hoje (14) a revogação da portaria da Imprensa Oficial que criava um sistema biométrico estadual que poderia ser comprado por empresas credenciadas. Rafael Zanatta, pesquisador em direitos digitais do Idec, celebra a decisão, “a revogação é uma vitória da sociedade civil e dos cidadãos paulistas”. 

O caso ganhou repercussão após o jornal Folha de S. Paulo [2] publicar uma matéria sobre a venda de dados sigilosos de 30 milhões pelo governo paulista. França negou ontem que o governo paulista vende informações sigilosas de identificação da população incluídas no cadastro do RG, como a digital, para empresas. Entretanto, em entrevista em Santos, não descartou a possibilidade de o sistema ser usado por particulares.

Zanatta afirma que o recuo reforça a ideia de que há fragilidades jurídicas no sistema, além de mostrar a incompetência da Imesp (Imprensa Oficial do Estado de São Paulo) para atuar como certificadora de dados biométricos.

O Idec argumentou em abril [3] que o órgão só poderia assumir tais funções se a Lei Estadual 11.445/2003 [4], que determina as funções da Imesp, fosse modificada. Na época, o governo respondeu essa questão [5] dizendo que para otimizar o uso dos recursos em favor do interesse público, modificou seu estatuto a fim de reconhecer a certificação digital com identificação biométrica para qualquer interessado.

“Entendemos que é ilegal, de acordo com a Constituição e o direito administrativo brasileiro, que a Imesp assuma funções de venda de serviços de autenticação de dados biométricos com base em simples mudança de seu estatuto”, pontua o Instituto em posicionamento [6]divulgado hoje.

Mesmo sem uma lei específica de dados pessoais [7], Zanatta afirma que a nova lei de proteção e defesa dos direitos do usuário dos serviços públicos da administração pública (Lei 13.460/2017 [8]) já garante a proteção das informações dos usuários.

Como o sistema funcionaria

O sistema biométrico paulista iria recolher dados biográficos, como nome da pessoa e de sua mãe, e a impressão digital. Hoje, somente órgãos policiais e a Justiça têm acesso a essas informações.

De acordo com o decreto, cidadãos que tiraram RG e CNH (Carteira Nacional de Habilitação) no estado poderiam ser identificados. Ou seja, cerca de 43 milhões de habitantes poderiam ser afetados. 

A portaria que regula o serviço possibilita que qualquer pessoa jurídica que cumpra uma série de exigências, como ter dispositivos homologados para a leitura biométrica, tivesse acesso a esses dados. 

Tanto a OAB (Ordem dos Advogados do Brasil) quanto o Idec viam falhas legais para a utilização dessas informações. Além disso, diziam que havia incertezas em relação à segurança dos sistemas utilizados, já que o decreto informa genericamente que a empresa contratante precisaria ter proteções contra vírus e invasões, mas não existiam maiores exigências sobre segurança da rede.

“O Idec entende que há base legal para exigir que dados de segurança pública (Polícia Civil) e de segurança do trânsito (Detran) sejam utilizados para suas finalidades legítimas, garantindo a devida proteção de dados pessoais dos usuários de serviços públicos e impedindo a sua comercialização, sem consentimento dos titulares, em serviços como o que foi elaborado pelo governo do Estado de São Paulo” finaliza o Instituto em seu posicionamento.

LEIA TAMBÉM

Sistema biométrico paulista pode deixar dados de usuários vulneráveis [3]

Vírus em roteadores de internet se espalha pelo mundo [9]

Após anos de pressão, Lei de Dados Pessoais é aprovada na Câmara [7]