O Serviço Federal de Processamento de Dados (Serpro) se define como a maior empresa pública de soluções digitais da América Latina e é um desses órgãos que dificilmente viram notícia. Na semana passada, no entanto, isso mudou quando o Ministério Público do Distrito Federal divulgou uma investigação sobre a venda de dados pessoais de brasileiros feita pelo Serpro para entes públicos e privados.

A fagulha que incitou os promotores do DF foi o Consulta Pública, site que concentra informações de brasileiros. Como os dados estavam atualizados com precisão, surgiu a suspeita de que pudesse existir uma fonte oficial. Ao se debruçar sobre a Serpro entre fevereiro e maio, o Ministério Público encontrou diversos contratos de cessão de CPF e CNPJ, por exemplo, para outros órgãos Controladoria-Geral da União e Conselho Nacional de Justiça.

Publicidade

Não precisavam ter ido tão longe. No ano passado, o Serpro divulgou o lançamento de uma série de APIs, ferramentas que permitem a integração entre sistemas, para facilitar o acesso de interessados a informações disponíveis em bancos de dados públicos do governo - entre elas, CPF e dados pessoais de mais de 229 milhões de brasileiros.

O Serpro indica que desde instituições financeiras a empresas de bens de consumo “e muitos outros!” podem contratar as APIs. No caso da ferramenta específica para consulta de pessoas físicas, que disponibiliza informações da Receita Federal, a empresa diz que os contratantes vão melhorar processos e análise de crédito e gestão de carteiras, além de prospectar novos clientes e fechar novos negócios, entre outras benesses comerciais. Por R$ 662,40 mensais, tem-se acesso a 999 consultas.

“A questão é que o debate sobre proteção de dados pessoais rompe com a lógica binária da privacidade, de público e privado”, diz Bruno Bioni, advogado e membro da rede latino-americana de estudos sobre vigilância, tecnologia e sociedade (Lavits) e professor do Data Privacy Br. “O argumento de que uma informação é pública e, entre aspas, desprotegida, não condiz quando falamos de dados pessoais.”

Bioni lembra de uma discussão semelhante quando o TSE firmou um convênio para repassar informações à Serasa em 2013. Como os bancos de dados mantidos por entidades públicas são atualizados e bastante amplos, são valiosos do ponto de vista comercial. “As pessoas precisam declarar o imposto de renda para a Receita Federal, mas isso tem uma finalidade. Se você for usar os dados para outras finalidades, como promete a API, teria que coletar outra autorização”, explica ele.

Publicidade

Para o advogado, o caso reforça a necessidade de simetria na regulamentação de uso de dados pessoais pelo setor público e privado nos Projetos de Lei sobre o tema que tramitam no Congresso. Uma das maiores críticas aos PLs tem sido a respeito de uma flexibilidade em relação a como o governo poderá utilizar as informações coletadas.

“Como a lógica do consentimento não funciona muito para o setor público, afinal alguém que recebe o Bolsa Família não tem a opção de negar seus dados, temos que deixar claro direitos e deveres do estado que ajudem a equalizar essa relação desequilibrada”, afirma Bruno.

Como o Serpro é ligado ao governo federal, o MP do Distrito Federal repassou a investigação para o Ministério Público Federal e afirmou que não comentaria mais o tema. No MPF, até esta terça-feira, dia 5, o caso ainda não havia sido distribuído para um procurador responsável.

O Serpro, por sua vez, publicou uma nota em que nega irregularidades e diz nunca ter repassado quaisquer informações ao Consulta Pública. Por e-mail, a empresa disse também que qualquer interessado em contratar uma das APIs precisa de autorização do órgão responsável (Receita Federal, no caso do CPF e outros dados pessoais). Por fim, afirmou que desde a fundação - em 1964 - “presta serviços de disponibilização de acesso a dados, sempre por determinação do órgão detentor do dado.”

É aquela história: velhos hábitos demoram a morrer.