Tag: Auditoria

Publicado em por Deixe um comentário

O SISTEMA DE MONITORAMENTO EM TEMPO REAL E OS DESAFIOS PARA A PRIVACIDADE NO BRASIL

O Córtex é uma ferramenta de inteligência sofisticada, mantida pelo Ministério da Justiça e Segurança Pública (MJSP), que permite o monitoramento de pessoas e veículos em tempo real em várias regiões do Brasil. Esse sistema abrange municípios e rodovias, possibilitando que consultas sejam realizadas sem a necessidade de justificativas ou motivações registradas, o que significa que os indivíduos podem ser monitorados sem autorização judicial ou vínculo a investigações formais.

Informações obtidas por meio da Lei de Acesso à Informação revelam que mais de 55 mil usuários, tanto civis quanto militares, possuem acesso ao sistema, distribuídos por aproximadamente 180 órgãos públicos. O próprio MJSP reconheceu que, para acessar as funcionalidades do Córtex, não é necessário justificar a escolha dos “alvos” monitorados. Segundo a pasta, a ausência de motivação é justificada pelo foco do sistema em atividades de segurança pública. No entanto, caso surjam suspeitas de uso indevido, cabe à auditoria atuar para investigar essas situações.

Apesar dessa supervisão ser prevista, a eficácia do controle sobre o uso do Córtex tem sido questionada. De acordo com dados do MJSP, apenas 62 relatórios de auditoria foram produzidos desde o início da operação do sistema até o presente, em um cenário que já identificou cerca de 360 mil alvos entre 2019 e 2022. Essa baixa frequência de auditorias contrasta com a amplitude do monitoramento realizado, que inclui acesso a informações sensíveis de diversas bases de dados, como registros de salários e informações de saúde.

A abrangência do sistema também se estende a câmeras de vigilância em vias públicas, com cerca de 35,9 mil dispositivos espalhados por todo o país, integrados ao recurso conhecido como “cerco eletrônico”. Essa funcionalidade permite que veículos sejam rastreados em tempo real a partir da leitura de placas, monitorando seus deslocamentos em diferentes regiões.

A falta de um controle mais rigoroso e independente sobre o uso do Córtex levanta preocupações quanto à possibilidade de vigilância arbitrária, incluindo casos de monitoramento de familiares ou cônjuges de agentes que possuem acesso ao sistema. Embora o MJSP tenha discutido medidas para alertar sobre possíveis abusos, como a vigilância de veículos de familiares, não há garantias de que tais práticas sejam evitadas.

O uso indiscriminado do sistema foi tema de investigações, que revelaram casos de consultas em massa, sugerindo o uso de tecnologias automatizadas para acessar os dados de forma intensiva. Há ainda suspeitas de que indivíduos sem ligação com órgãos de segurança pública possam ter tido acesso ao Córtex, um cenário que já foi objeto de outras reportagens e análises.

O sistema foi implementado originalmente durante o governo anterior, mas continua a ser expandido na administração atual, integrando-se a uma iniciativa maior de inteligência voltada ao combate ao crime organizado, denominada Orcrim. Com isso, o Córtex passa a ser apenas um componente de uma plataforma mais ampla, que busca centralizar o controle e a análise de informações para fins de segurança pública.

As parcerias firmadas entre o MJSP e prefeituras, bem como outros órgãos estaduais, por meio de Acordos de Cooperação Técnica (ACTs), ampliam ainda mais o alcance do sistema. Em troca de acesso ao Córtex, esses órgãos compartilham suas próprias bases de dados, como informações de bilhetagem de transporte público, que incluem dados como CPF e nomes de passageiros, além de localização e horários de embarque.

Essa rede de monitoramento sem precedentes levanta questões sobre a privacidade dos cidadãos e a necessidade de maior transparência e controle sobre seu uso, especialmente em um cenário onde os dados pessoais se tornam cada vez mais sensíveis. O equilíbrio entre a segurança pública e os direitos individuais torna-se um ponto crucial nesse contexto, exigindo uma reflexão sobre os limites da vigilância no Brasil.

Publicado em por Deixe um comentário

TCU APONTA VIOLAÇÃO DE DADOS E FALHAS DE CONTROLE DE ACESSO

O Tribunal de Contas da União (TCU) identificou várias deficiências na Plataforma de Governança Territorial, desenvolvida pelo Instituto Nacional de Colonização e Reforma Agrária (Incra). A plataforma, projetada para centralizar e simplificar a gestão dos sistemas do órgão, apresentou falhas críticas, sobretudo na segurança de dados e conformidade com a Lei Geral de Proteção de Dados (LGPD).

A auditoria operacional realizada pelo TCU revelou que o sistema possui um baixo nível de maturidade nos mecanismos de controle de acesso, expondo dados sensíveis e violando os princípios da LGPD. Além disso, os procedimentos burocráticos não estão totalmente alinhados com as diretrizes de desburocratização da Lei 14.129/2021, resultando em atrasos nas análises.

Um dos serviços digitais avaliados, o “Ingresso de Famílias no Programa Nacional de Reforma Agrária (PNRA)”, ainda depende de processos manuais de seleção, contrariando os princípios de eficiência, eficácia e economicidade que se espera de uma plataforma digital. A auditoria também revelou a ausência de estratégias para disseminar o uso da plataforma entre os beneficiários, limitando seu alcance.

A falta de uma política de controle de acesso coordenada pelo Incra coloca os dados sensíveis em risco de acessos não autorizados, comprometendo a integridade das informações. Isso viola o artigo 46 da LGPD e permite que pessoas não autorizadas insiram dados incorretos ou incompletos.

Para remediar as falhas, o TCU recomendou ao Incra que formalize e implemente uma política eficaz de controle de acesso, integrando todos os seus sistemas ao login único do governo federal (gov.br). O órgão também deve adotar medidas para obter documentos oficiais necessários à prestação dos serviços digitais e garantir que os sistemas sejam seguros, confiáveis e aderentes às diretrizes de proteção de dados e desburocratização.

Publicado em por Deixe um comentário

DIREITOS E REGULAMENTAÇÃO NA ERA DA INTELIGÊNCIA ARTIFICIAL: UMA ANÁLISE DO PL 2.338/2023

Um dos temas que frequentemente suscita dúvidas e, por vezes, preocupações, é a contratação pela internet. Isso se deve à complexidade inerente aos negócios digitais, seus riscos e aos elementos ocultos por trás das transações eletrônicas. No entanto, é inegável que esses negócios fazem parte do nosso cotidiano e se tornaram inevitáveis. Contratos de consumo e contratos em geral alimentam uma infinidade de transações diárias, envolvendo compras e vendas, aluguéis, contratação de serviços e até mesmo novas maneiras de celebrar contratos tradicionais por meio eletrônico, com assinaturas digitais. Isso é facilitado pela recente Lei dos Cartórios (Lei 14.382/2022), conhecida como Lei do Sistema Eletrônico de Registros Públicos (SERP).

Nesse cenário, é importante notar que muitas dessas negociações não são assinadas por pessoas físicas em ambos os lados, mas sim por robôs com conhecimento e informações sobre a vida e dados da outra parte contratante. Diante disso, surgiu o Projeto de Lei 2.338/2023, com o objetivo de estabelecer normas gerais nacionais para o desenvolvimento, implementação e uso responsável de sistemas de Inteligência Artificial (IA) no Brasil. O propósito principal é proteger os direitos fundamentais e garantir a implementação de sistemas seguros e confiáveis em benefício das pessoas, da democracia e do desenvolvimento científico e tecnológico.

Este projeto de lei é notável em termos de qualidade e técnica, pois foi iniciado pelo Ato n.º 4/2022 do Presidente do Senado Federal, que nomeou uma Comissão de Juristas para elaborar uma minuta de substitutivo para outros projetos de lei relacionados à regulamentação da IA.

Neste texto, focaremos nos artigos 7º e 8º do projeto, que fazem parte da Seção II intitulada “Dos direitos associados à informação e compreensão das decisões tomadas por sistemas de Inteligência Artificial.” Esses artigos visam abordar a necessidade de fornecer informações claras e adequadas aos contratantes antes de celebrar contratos ou usar sistemas de IA. Estas informações devem incluir:

  1. O caráter automatizado das interações e decisões que afetam as pessoas.
  2. Uma descrição geral do sistema, tipos de decisões que ele pode tomar e suas consequências.
  3. A identificação dos operadores do sistema de IA e as medidas de governança adotadas no seu desenvolvimento e uso.
  4. O papel do sistema de IA e das pessoas envolvidas nas decisões.
  5. As categorias de dados pessoais utilizados pelo sistema de IA.
  6. Medidas de segurança, não discriminação e confiabilidade, incluindo precisão e cobertura.
  7. Outras informações especificadas em regulamentos.

Além disso, o projeto enfatiza a importância de fornecer informações de forma acessível ao público, usando ícones ou símbolos facilmente reconhecíveis, especialmente quando se trata do caráter automatizado das interações.

O projeto também destaca a necessidade de informar claramente as pessoas expostas a sistemas de reconhecimento de emoções ou categorização biométrica, com ênfase na compreensão desses sistemas, especialmente para pessoas vulneráveis, como crianças, adolescentes, idosos e pessoas com deficiência.

Essas disposições visam concretizar os princípios do projeto, incluindo transparência, explicabilidade, inteligibilidade e auditabilidade. O direito à compreensão dos sistemas de IA se alinha com o direito de acesso estabelecido na Lei Geral de Proteção de Dados (LGPD), permitindo que as pessoas obtenham informações relevantes sobre o tratamento de seus dados pessoais.

A questão da explicabilidade é desafiadora, uma vez que a complexidade dos algoritmos de IA torna difícil para indivíduos leigos compreender completamente seu funcionamento. No entanto, a exigência é mais sobre tornar a informação transparente, inteligível e auditável, possibilitando que as pessoas compreendam o impacto das decisões tomadas por sistemas de IA.

Uma solução interessante pode ser a implementação de práticas de auditoria e regras para tornar os sistemas de IA mais transparentes. Não significa necessariamente entender todos os detalhes dos algoritmos, mas sim garantir que as informações sejam acessíveis a todos, não apenas àqueles com conhecimento técnico em IA.

Em última análise, a regulamentação da IA é essencial para proteger os direitos fundamentais das pessoas. A regulamentação é dinamicamente ajustada de acordo com os riscos potenciais associados à tecnologia. Medidas de governança, categorização de riscos e avaliação de impacto algorítmico são essenciais para garantir a conformidade com as disposições do projeto.

Além disso, à medida que a Comissão de Juristas trabalha na revisão do Código Civil, é apropriado considerar a inclusão de princípios relacionados à IA, como a explicabilidade, para fortalecer a confiabilidade e a transparência dos contratos eletrônicos que envolvem sistemas de IA. A proteção dos direitos associados à informação e compreensão das decisões tomadas pela IA é fundamental e deve ser incorporada nas regulamentações e práticas de negócios.