Em meio à implantação da Lei Geral de Proteção de Dados (LGPD), informações pessoais como nome, telefone e o CPF de brigadistas do Corpo de Bombeiros Militar de Santa Catarina (CBMSC) estavam disponíveis na internet. Só de Brusque, 148 constavam na relação do site. Diferente de algum vazamento hacker, os dados podiam ser encontrados no site oficial do órgão e consultados com poucos cliques desde 2020.

O tema foi monitorado pela Rádio Cidade desde o primeiro semestre deste ano e abordado durante entrevista tanto com os responsáveis pela gestão de dados e plataforma, além de um especialista em proteção de dados. Ao buscar informações contidas no sistema até agosto passado, era possível ter acesso tanto aos cadastros ativos, quanto aos inativos mantidos pelo órgão. O total de brigadistas ativos no estado é de 3.620 mil pessoas.

O sistema, indicado como sendo a versão 2020, foi alterado no último mês, após reuniões internas do CBMSC. A partir da revisão, foram suprimidas partes das informações como explica o tenente-coronel André Pratts. Ele, que é ouvidor-geral e encarregado pelo tratamento de dados pessoais no CBMSC, concedeu entrevista para a Rádio Cidade no último dia 18. 

Para Pratts, a mudança é sinal de um “constante aprimoramento” do sistema e novas devem ser feitas no futuro. A revisão ocorreu após pedido de esclarecimento da ouvidoria para a diretoria de Vigilância Contra Incêndio, sobre a necessidade dos dados e a demanda por mudanças foi consenso entre os avaliadores.

“É uma construção, um processo cada vez maior e partiu dessa condição de melhoria constante do sistema. Então, a corporação tem esse interesse, apesar da legislação ainda deixar clara que ela ainda não está sob procedimento fiscalizatório quando atua na área da segurança pública, que é o caso, mas não havia a necessidade explícita do número completo”, afirma.

Para ele, os órgãos públicos estão se adaptando e o controle do uso de dados é uma demanda da comunidade. “É uma adaptação necessária, uma cobrança que a comunidade faz. Aborrece a pessoa receber uma ligação inesperada de alguém que teve acesso a um banco de dados, muitas vezes comercializado por empresas privadas sem autorização e a legislação veio para limitar o uso desses bancos de dados, compartilhados de forma generalizada. Os órgãos vão ter que se adaptar”, pontua.

Brusquenses na lista

A versão revisada do portal de brigadistas deixou de constar os dados de cadastros considerados inativos e os números de CPF passaram a ser fornecidos parcialmente, sem todos os números visíveis, como antes. Também é possível que, quem tenha os dados constando no sistema solicite a retirada no próprio site do CBMSC. Os pedidos serão analisados caso a caso. No estado já houve um pedido de remoção, em maio, ainda antes da vigência das questões punitivas da lei.

Até a revisão era possível ter acesso a dados de brigadistas tanto ativos, quanto inativos de todo o estado, inclusive 148 cadastros brusquenses desde 2007. Só de inativos, eram 56 pessoas com seus dados expostos na plataforma. Entre os ativos, há casos que só encerram em março de 2023.

Outros dados que constavam no sistema eram de cadastros antigos. Um deles, de um brigadista inativo de Florianópolis, indicava o vencimento em 1974, além de diversos do início da década de 2000.

Reformulação do sistema

Para o capitão Rafael Sanino, da Diretoria de Segurança Contra Incêndios do CBMSC, a atuação dos brigadistas é parte de um sistema preventivo no estado e a possibilidade de conferência de quem está habilitado a prestar este tipo de serviço é fundamental para a segurança dos usuários. Hoje, além de nome, CPF e telefone, constam dados como a cidade onde o brigadista reside, empresa onde trabalha.

Ele acredita que o banco de dados de brigadistas segue um serviço específico e defende a regulamentação própria feita para órgãos de segurança quanto à proteção de dados. “Esta lei não pode ser absoluta”, afirma. 

Segundo ele, outra mudança implantada foi a inclusão de um termo obrigatório para os brigadistas recém aprovados. Nele, os novos na função precisam concordar com o fornecimento e divulgação dos seus dados básicos, como nome e CPF parcial. Caso contrário, não será possível a inclusão no sistema.

De acordo com Sanino, uma reformulação geral do sistema está em andamento. Uma instrução normativa para atuação dos brigadistas também está sendo elaborada. Entre as mudanças, está a centralização do credenciamento de novos registros, além das avaliações. Documentações seguem sendo conferidas pelos quartéis próximos e passam a ser inseridas no banco de dados interno.

Os riscos

O advogado e especialista em LGPD Thiago Martinelli alerta para os ricos da exposição destas informações na rede. “Sempre é possível que alguém mal intencionado use este tipo de informação, como nome ou CPF para realizar algum tipo de golpe. Se você pode evitar que estas pessoas estejam expostas, o ideal é que se evite, para reduzir as chances delas serem vítimas ou terem seus dados usados para a cometer golpes contra outras pessoas”, observa ele.

Martinelli afirma que a lei permite que haja um questionamento sobre a exposição ou uso dos dados tanto por empresas privadas quanto órgãos públicos. De acordo com ele, é direito saber qual uso e quais estão sendo usados.

O tempo de exposição dos dados, afirma, devem ser compatíveis com a prestação de serviço. “Eu, empresa ou órgão público, tenho sempre que me perguntar se este tempo de exposição daquele dado é o necessário para cumprir a finalidade”, alerta o advogado.

Dados valiosos

Martinelli projeta que as informações mais comuns de serem vazadas são aquelas de identificação, como nomes e documentos pessoais, além de endereços, mas classifica elas como “de menor valor”. De acordo com o especialista, o foco de golpistas e hackers costuma ser os considerados dados sensíveis, tanto para o titular, para a empresa ou setor público. 

Martinelli exemplifica como dados sensíveis para os titulares aqueles itens relacionados à saúde e comportamento. Já para empresas e setor público, os que são essenciais para seu funcionamento.

Segundo ele, o armazenamento e a proteção de dados são os pontos mais críticos para os setores privado e público por conta do volume de ataques que tem estas estruturas como alvo. Além disso, ele destaca ser necessária a capacitação de pessoal para identificação de possíveis ataques. 

“Estes dados têm um valor muito grande. São ativos de valor muito grande. Se você consegue capturar um banco de dados de um Tribunal de Justiça, de um Tribunal de Contas, ou mesmo um setor fiscal de um estado, você paralisa esses setores, a atividade desses órgãos e pode cobrar resgates”, alerta.