você está aqui: Home → Colunistas → Legaltech
Por José Antonio Milagre
Data de Publicação: 05 de Agosto de 2010
Mais uma vez o Enem, mantido pelo Ministério da Educação é destaque pela péssima gestão de terceiros no que tange í segurança da informação (O primeiro absurdo ocorreu em 2009, com o vazamento dos dados das provas). Dados de estudantes inscritos entre 2007 e 2009 estariam disponíveis para consulta na Rede Mundial de Computadores em 03/04/2010, com informações como RG, CPF, data de nascimento, nome da mãe, perfil sócio-econômico e notas. Especulava-se que a autoria do vazamento seria proveniente de uma das instituições que teria acesso legitimo ao conteúdo através de senha. Os descobridores? Alunos de primeiro e segundo grau de um colégio de São Paulo. Hackerismo? Nenhum, mero acesso aos links indicados no site governamental.
Segundo o INEP (Instituto Nacional de Estudos e Pesquisas Educacionais), tal instituição suspeita teria disponibilizado o "link" com a lista, que foi suspenso imediatamente quando constatado o delito. Tratava-se tais dados de informações confidenciais e restritas a um grupo, as instituições, que faziam uso destes dados nos processos seletivos. Porém, como pode prosperar a tese de que uma empresa poderia ter "vazado" com os dados, sendo que o INEP almeja iniciar uma pericia digital nos arquivos para rastrear a autoria do vazamento?
A história não está bem contada e tudo indica ser falha técnica do site. Ou como a empresa transgressora disponibilizaria o link da lista se a tal tela deveria preceder uma autenticação? Não é possível que imaginássemos uma página do Governo que não se baseasse em autenticações de sessões ou outros mecanismos robustos como criptografia. Mas foi exatamente o que ocorreu: programação insegura, eis que após acesso í página com os dados de inscrição do candidato, o link poderia ser copiado e aberto em outros computadores sem a necessidade da senha, o que é uma precariedade para qualquer técnico de informática ou programador de sistemas que fosse consultado.
E as senhas das instituições, será que tínhamos uma senha para todas? Um absurdo mas tudo indica que sim, pois caso as senhas fossem diferentes para cada instituição seria fácil analisar os logs de autenticação e descobrir qual a instituição negligente, o que não parece ser o caso, eis que até rastreamento de arquivos terá de ser feito na investigação forense digital para apurar a autoria do crime praticado.
Nesta esteira, identificamos inúmeras transgressões pelo MEC, dentre as quais, a que atenta contra as diretrizes do exame, que prevê que os dados fornecidos pelos estudantes são sigilosos e que resultados só podem ser divulgados mediante autorização do candidato. A norma técnica ISO 27001, que trata da gestão da segurança da informação, é arranhada em diversos controles pelo MEC. Além disso, tal postura do MEC fere a Constituição Federal, que garante a todos os cidadãos, dentre os direitos e garantias fundamentais, a proteção a intimidade e vida privada, que sabemos se estendem ao direito de controlar quem pode acessar seus dados e informações.
Considerando que no Brasil invasão ainda não é crime, pessoas que eventualmente divulgaram tais listas poderão responder pelo delito de divulgação de segredo, art. 153 do Código Penal, ou seja, divulgar sem justa causa, informações sigilosas ou reservadas, assim definidas em lei, contidas ou não nos sistemas de informações ou banco de dados da Administração Pública, cuja pena vai de detenção de um a quatro anos e multa. Logicamente que os alunos descobridores não podem e nem devem ser punidos, eis tinham uma mais que justa causa para divulgarem a falha, qual seja, a segurança de 12 milhões de estudantes expostos.
Já caso seja apurado que o vazamento teve a participação de servidores públicos, estes responderão pelo delito de violação de sigilo funcional, previsto no art. 325 do Código Penal, pela conduta de permitirem ou facilitarem mediante atribuição, fornecimento e empréstimo de senha ou qualquer outra forma, o acesso de pessoas não autorizadas a sistemas de informações ou banco de dados da Administração Pública. A pena varia de seis meses a dois anos de detenção.
De qualquer modo, todos os inscritos que tiveram seus dados sensíveis expostos na Internet, independentemente do tempo ou de qualquer utilização indevida por criminosos ou fraudadores, tem o direito de requerer a indenização ao MEC pelo ato da exposição, que violou inúmeras diretrizes e legislações no Brasil. Ademais, os próprios contratos do INEP e MEC prevêem a indenização em caso de vazamento de dados de modo que ambas as instituições deverão se entender sobre as reparações aos alunos, nos termos do artigo 934 do Código Civil.
Com efeito, segundo o Código Civil brasileiro, aquele que, por ação ou omissão voluntária, negligência ou imprudência, violar direito e causar dano a outrem, ainda que exclusivamente moral, comete ato ilícito e tem o dever de indenizar pelos danos causados.
Ademais os alunos poderão provar a negligência praticada pelo MEC com os dados da imprensa, bem como com a propaganda intensiva e ostensiva de segurança feita por representantes do MEC e INEP, inclusive após o incidente, o que reforça ainda mais que tais órgãos asseguravam o que na prática estão longe de ter: segurança da informação. Informações sobre o histórico negativo do MEC em relação í segurança da informação, como o episódio de 2009 do vazamento da provas, também devem ser utilizadas pelos estudantes nos pedidos í Justiça.
O Estado cada vez mais nos solicita informações sensíveis para seus atos, porém deve aprender a custodiá-las adequadamente, impedindo que o vazamento gere danos aos cidadãos, como o nitidamente causado no caso ENEM. Tal indenização que os alunos tem direito na Justiça deve ser o suficiente para compensar os danos causados, mas principalmente, ter efeito difuso, inibidor e educacional, impedindo que instituições como o MEC e INEP sejam mais que negligentes na custódia de dados de cidadãos, mas que principalmente, nunca mais desprezem ou minimizem os danos decorrentes dos vazamentos de informações, danos estes que todos nós bem conhecemos e que são potencializados na Internet.
José Antonio Milagre possui MBA em Gestão de Tecnologia da Informação pela Universidade Anhanguera. É Analista de Segurança e Programador PHP e C, Perito Computacional em São Paulo e Ribeirão Preto, Advogado Especializado em Direito da Tecnologia da Informação pelo IPEC-SP, graduado pela ITE-Bauru, Pós-Graduado em Direito Penal e Processual Penal pela Faculdade Fênix-SP, com defesa de tese e área de concentração Crimes Eletrônicos, Valor Probatório e o Papel da Computer Forensics, Extensão em Processo Eletrônico pela Universidade Católica de Petrópolis-RJ, Treinamento Oficial Microsoft MCP, Certificação Mobile-Forensics UCLAN-USA/2005, Professor Universitário nos cursos de TI e Direito da Anhanguera Educacional e de Direito e Perícia Eletrônica na Legal Tech em Ribeirão Preto-SP , Professor da Pós-Graduação em Direito Eletrônico pela UNIGRAN, Dourados/MS (Perícia Computacional), Professor da Pós-Graduação em Segurança da Informação do Senac-Sorocaba, Professor da Pós-Graduação em Computação Forense da Universidade Presbiteriana Mackenzie. Vice-Presidente da Associação Brasileira de Forense Computacional e Presidente da Comissão de Propriedade Intelectual e Segurança da Informação da OAB/SP 21 a . Subsecção, membro do Comitê de Comércio Eletrônico da FECOMERCIO-SP, membro do GU LegislaNet e TI Verde da SUCESU-SP e palestrante convidado SUCESU-ES. Professor Convidado LegalTech, UENP-Jacarezinho, UNESP, FACOL, ITE, FGP, nas áreas de Segurança da Informação, Direito Digital e Repressão a crimes eletrônicos. Co-Autor do Livro "Internet: O Encontro de dois mundos, pela Editora Brasport, ISBN 9788574523705, 2008.