No Diário Oficial da União da última segunda-feira (30), o Ministério da Justiça e Segurança Pública (MJSP) anunciou novas regras para o uso de tecnologias de informação usadas para vigilância e monitoramento por órgãos de segurança pública no país. Na prática, a medida busca responder a críticas da sociedade quanto a um possível descontrole pelo poder público no uso das chamadas ‘ferramentas espiãs’, como o software israelense First Mile e o sistema brasileiro Córtex — já denunciados em reportagens da Agência Pública.
A nova diretriz deverá ser cumprida pelas forças de segurança federais, como a Polícia Federal, além de órgãos de segurança estaduais, distritais e municipais em iniciativas que contam com verbas do Fundo Nacional de Segurança Pública e do Fundo Penitenciário Nacional. O MJSP afirma que as novas regras são um “marco” no tema.
Visando “impedir acessos não autorizados” e “destruição, perda, alteração, difusão ou vazamentos de dados”, a nova diretriz deverá ser aplicada no uso de ferramentas espiãs e de integração de dados, incluindo soluções que utilizam inteligência artificial; câmeras corporais por agentes de segurança; sistemas de gerenciamento de inquéritos; além de tecnologias destinadas à segurança pública que tenham sido adquiridas ou compradas com verbas do governo federal.
As normas foram anunciadas meses após a Pública revelar uma série de falhas graves no controle de uma poderosa ferramenta desenvolvida e gerenciada pelo próprio MJSP, o sistema Córtex. A ferramenta permite que mais de 55 mil militares, policiais, guardas civis e até mesmo servidores de fora do Sistema Único de Segurança Pública (SUSP) vigiem e sigam “alvos móveis” (carros e pessoas) por ruas, avenidas, rodovias e até em ônibus de transporte público em todo o país.
O Córtex fornece ainda a seus mais de 55 mil usuários dados sigilosos de milhões de cidadãos, como números de RG e CPF, informações da Receita Federal e até cadastros de alunos da rede pública, sem exigir justificativas ou autorização judicial para o monitoramento dos “alvos”.
Não à toa, a nova diretriz determina que o acesso a dados sigilosos por meio de ferramentas espiãs como o Córtex ocorrerá “somente quando houver decisão judicial”, proibindo o uso destas tecnologias sem que haja um “procedimento investigativo ou judicial” em andamento.
Dados sigilosos só poderão ser acessados por meio de ferramentas espiãs, quando informados os números do inquérito e do processo relacionados; a data da decisão judicial que permitiu a obtenção dos dados; descrição e alcance da medida autorizada pela Justiça; período para a obtenção de dados; definição da ferramenta a ser usada, e de que modo; além da produção de relatório com os “resultados obtidos” após a captação dos dados sigilosos.
Por outro lado, a portaria do MJSP ainda deixa espaço para órgãos de segurança estaduais, distritais e municipais burlarem as regras. A nova diretriz se aplica a estes órgãos apenas quando houver emprego de recursos do governo federal na aquisição de ferramentas espiãs. Caso estados e municípios adquiram tecnologias sem usarem verbas federais, eles não ficam obrigados a seguirem as novas normas definidas pelo MJSP.
O uso de ferramentas espiãs tem proliferado na segurança de estados e municípios, com críticas quanto à sua eficácia e à vulnerabilidade de dados de cidadãos, a exemplo do sistema Vigia Mais MT, do governo Mauro Mendes (União) em Mato Grosso.
O Supremo Tribunal Federal julga, há mais de um ano, um caso em que a Procuradoria-Geral da República acusa o Congresso Nacional de “omissão” e “inércia” na regulação do uso de ferramentas espiãs pelos agentes de segurança pública e inteligência do país.
Tribunais de contas de estados e municípios omitiram compras de ferramentas do tipo ao STF no âmbito deste mesmo processo. Mesmo assim, o caso relatado pelo ministro Cristiano Zanin ainda não tem um veredito até o momento.
Problemas em sistemas do próprio MJ explicam a nova diretriz
As novas regras afetam diretamente o uso dos sistemas Córtex e Sinesp, geridos pelo MJSP e disponibilizados a órgãos de segurança de todo o país. Em reportagem de janeiro passado, a Pública revelou que o próprio ministério identificou “compartilhamento com organizações criminosas” de credenciais de acesso aos dois sistemas, além de “consultas irregulares” até mesmo contra cônjuges dos usuários do Córtex e do Sinesp.
As descobertas estavam contidas em documentos obtidos via Lei de Acesso à Informação, mas o MJSP negou estas mesmas informações quando questionado.
Os casos de acessos indevidos no Córtex e no Sinesp foram um dos elementos que motivaram o MJSP a elaborar novas regras quanto ao tema. Ainda em 2024, usuários de diferentes perfis tinham acesso à íntegra dos dados reunidos no Córtex, permitindo a infiltração de contas robotizadas para a extração destas informações sigilosas.
De acordo com a nova diretriz, os “órgãos gestores” de ferramentas como o Córtex e o Sinesp deverão fazer “a revisão periódica de perfis”, definindo “papéis, privilégios e direitos de acesso às funcionalidades e às informações” – justamente para prevenir um ‘libera-geral’ de dados sigilosos aos usuários dos sistemas.
Especialistas reconhecem avanços, mas cobram “normas mais robustas”
Especialistas em direito digital e tecnologias de vigilância disseram à reportagem que a portaria do Ministério da Justiça representa um avanço e contém definições importantes, mas que ainda faltam “normas mais robustas”, especialmente para organizar a fiscalização e cumprimento da nova diretriz.
Para Pedro Saliba, advogado e coordenador de Assimetrias e Poder na ONG Data Privacy, especializada em direitos digitais, as novas regras do MJSP são “bem vindas”, mas falta uma definição mais precisa sobre quem fiscalizará o uso das ferramentas espiãs. Segundo a portaria do ministério, a fiscalização caberá aos “órgãos gestores” das ferramentas espiãs, mas não há mais detalhes ou definições mais precisas sobre como isso deverá ocorrer.
Pedro Saliba, advogado e coordenador da ONG Data Privacy, alerta para a falta de fiscalização e transparência no uso das ferramentas espiãs
“Os parâmetros são importantes, mas a fiscalização e transparência são mais importantes ainda. Não temos visto o MJSP ou ANPD [Agência Nacional de Proteção de Dados] se movimentando para trazer normas mais robustas sobre o tema”, afirmou Saliba.
Por outro lado, o coordenador na Data Privacy elogiou a inclusão de normas específicas quanto ao tratamento de dados biométricos e quanto ao uso de IA [Inteligência Artificial] em ferramentas espiãs de modo geral. “A portaria pode ser um começo, mas realmente ainda precisa de muito para avançar”, reforçou.
Já para o doutorando em Direito Informacional na universidade de Hamburgo (ALE) André Ramiro, a nova diretriz do MJSP tem um “impacto interno e administrativo tímido, mas importante”.
O pesquisador destaca que a portaria define “diretrizes para os registros dos usuários de tecnologias da informação”, como câmeras de reconhecimento facial e tecnologias de monitoramento, e acerta quando determina a “vedação do uso de IA [Inteligência Artificial] à distância em tempo real e em espaço público” – algo “válido para impedir o uso arbitrário e com fins políticos”, ainda de acordo com André Ramiro.
André Ramiro, pesquisador da Rede Lavits e doutorando em Direito Informacional na Universidade de Hamburgo, vê avanços na nova diretriz do MJ, mas aponta fragilidades como a ausência de limites para armazenamento de dados
Por outro lado, o pesquisador, membro da Rede Latino Americana de Estudos sobre Vigilância, Tecnologia e Sociedade (Lavits), identifica diversas “fragilidades”.
Entre os pontos fracos da diretriz do MJSP, Ramiro aponta “a falta de tempo máximo de armazenamento de dados sigilos coletados, que permanece a critério do agente investigativo”, e ressalta que não há “nenhuma menção à notificação do alvo em um determinado tempo máximo no caso de uma tecnologia de monitoramento”.
“Justamente por ser uma portaria, poderia ser muito mais técnica e detalhada – tanto em termos tecnológicos, quanto de direitos fundamentais”, disse o pesquisador.
