Problemas técnicos e de segurança marcam início de consulta pública sobre vacinação infantil
Formulário utilizado pela Saúde não respeitava Lei Geral de Proteção de Dados, dizem especialistas consultados CNN
A abertura da consulta pública para balizar a inclusão de crianças de 5 a 11 anos na campanha de vacinação da Covid-19 foi inaugurada na quinta-feira (23) com uma série de problemas.
Inicialmente, o site do Ministério da Saúde esteve fora do ar e foi disponibilizado um formulário que, segundo especialistas ouvidos pela CNN, não respeitava práticas básicas de privacidade e segurança exigidas pela Lei Geral de Proteção de Dados (LGPD).
Na tarde desta sexta-feira (24), a consulta migrou para uma nova plataforma, mas que se mantém instável até o momento da publicação.
O Ministério da Saúde avisa que está em manutenção e que está trabalhando em uma solução, como mostra a imagem abaixo.
O formulário inicial, escolhido pelo governo para fazer a consulta pública, era uma página simples utilizando uma plataforma da Microsoft para formulários.
Ele ainda segue no ar, apesar de não estar mais sendo apresentado nas páginas governamentais. De acordo com a pasta, as respostas obtidas por esse primeiro formulário ainda serão utilizadas.
A CNN entrou em contato com o Ministério da Saúde para saber por que foi escolhida a plataforma da Microsoft e quando se espera que a consulta seja normalizada.
Até o fechamento desta reportagem, não obteve respostas.
Formulário inicial apresenta problemas de privacidade e segurança
A página pede dados pessoais como CPF, nome completo, telefone e e-mail, mas não há nenhum aviso sobre privacidade ou tratamento de proteção dos dados, exceto um aviso da própria Microsoft se isentando.
“O proprietário deste formulário não forneceu uma política de privacidade sobre como usará seus dados de resposta. Não forneça informações pessoais ou confidenciais”, diz o aviso da empresa.
“É extremamente frágil”, diz Arthur Igreja, especialista em tecnologia e segurança digital, sobre a forma como a consulta pública foi disponibilizada.
“O formulário parece algo que foi colocado às pressas. Você não tem termos [de privacidade], não tem detalhamento mais aprofundado, é tudo extremamente superficial”, comenta.
A ausência de transparência sobre como os dados serão tratados e protegidos pode ferir a LGPD, como avalia Rafael Zanatta, advogado e diretor da Data Privacy Brasil.
“Claramente o formulário foi publicado sem uma análise de adequação com a LGPD – o que é um desleixo grave para os cidadãos”.
“As atividades de tratamento de dados pessoais pelo poder público, neste formulário, estão ocorrendo de forma ilícita considerando a vigência da LGPD”, diz Zanatta.
“A Política de Privacidade da Microsoft não é equivalente ao Aviso de Privacidade exigido pela lei, que determina que o Poder Público identifique quem é o controlador, por que e por quem os dados serão usados, se haverá técnicas de anonimização e quais as medidas técnicas e organizacionais para mitigar potenciais riscos”, explica.
“Em geral é preciso colocar um prazo de tratamento. Quando esses dados vão ser excluídos ou se vão ser usados só para fins estatísticos e, portanto, anonimizados”, diz Fernanda Campagnucci, diretora executiva da Open Knowledge Brasil, e especialista em transparência de dados.
De acordo com ela, o excesso de informações solicitadas, ainda fere o princípio da razoabilidade e da proporcionalidade.
“Se o objetivo é conhecer a opinião das pessoas a respeito de um tema, você não precisaria da data de nascimento ou do telefone, por exemplo”, diz.
Possíveis fraudes
O formulário também é passível de fraudes – tanto manuais quanto automatizadas. Isso porque não há nenhum mecanismo para validar os dados inseridos, como nome, CPF e telefone.
Em testes feitos pela CNN, a ferramenta aceitou dados aleatórios.
“Você pode, além de usar um gerador de CPF, preencher o formulário com alguma automação. Não há sequer um captcha [ferramenta que verifica se quem está preenchendo é humano]. O mínimo necessário seria alguma chave de cadastro único por cidadão. Da forma que está, alguém pode votar por mim”, explica Igreja.
“É fácil amplificar as vozes de uma forma artificial. Não existe um mecanismo de validação e nem transparência sobre os resultados. Dificilmente esses dados vão ter credibilidade para afirmar qualquer coisa”, diz Campagnucci.
De acordo com Zanatta, caso os dados deste primeiro formulário sejam mantidos no resultado final, serão necessárias “auditorias internas para verificação de violação da qualidade dos dados, garantindo-se ‘clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento’, nos termos do artigo 6, V, da LGPD”.
Segundo ele, se forem identificados uso massivo de robôs ou dados incorretos, é questionável a utilidade da consulta.
Novo formulário reduz problemas, mas está fora do ar
Por volta das 14h50 desta sexta-feira (24), o Ministério da Saúde emitiu nota afirmando que migraria a consulta para a plataforma Gov.Br.
De acordo com a Saúde, a mudança aconteceu “devido ao grande interesse da população na consulta pública”.
A pasta passou a utilizar a plataforma Participa + Brasil, desenvolvida justamente para consultas públicas.
Nela, muitos dos problemas anteriores são resolvidos.
“Certamente atenua o problema da possibilidade de fraude e ‘impulsionamento’ artificial de votos, pois o mecanismo é integrado aos registros do próprio governo e bases como a da Receita Federal”, diz Campagnucci.
Zanatta lembra que a plataforma Participa + Brasil já tem sido utilizada para uma série de consultas públicas, como as da Autoridade Nacional de Proteção de Dados Pessoais e que “ela possui uma estrutura adequada para receber contribuições sobre assuntos regulatórios e de políticas públicas.
Restam, no entanto, alguns problemas.
A plataforma tem apresentado instabilidade. Desde a mudança, a reportagem da CNN tentou inúmeras vezes votar na consulta pública e, na maioria das vezes, o formulário sequer abria. Quando abria, os resultados não eram computados, sempre exibindo a mensagem de manutenção.
A Saúde disse, também, que os resultados coletados ao longo do primeiro dia no formulário da Microsoft serão computados normalmente: “As participações já registradas no sistema serão avaliadas e também serão objeto de análise pela área técnica”, diz a pasta.
