Rosângela Lotfi, especial para o Congresso em Foco
O secretário de Cultura e Economia Criativa do Estado de São Paulo, Sérgio Sá Leitão, determinou a abertura de sindicância para apurar o vazamento de dados pessoais na página do órgão, revelado pelo Congresso em Foco. Em nota (veja a íntegra abaixo), a secretaria admitiu a falha no sistema, que expôs informações particulares de 28 mil inscritos para concorrer a apoio financeiro do Programa de Incentivo à Cultura do Estado de São Paulo (ProAC). Além das propostas apresentadas desde 2015, podiam ser baixados no site do ProAC fotocópias de documentos como carteira de identidade e CPF, comprovante de endereço e telefone.
A pasta atribuiu o “erro técnico” à gestão anterior e informou que bloqueou o acesso aos dados e adotou medidas para resguardar a privacidade dos participantes do programa assim que foi alertada sobre o problema por este site. A secretaria foi questionada sobre a falha em 21 de outubro. Mas até a tarde de ontem (24) era possível acessar os documentos que ilustraram a reportagem. À noite, quando foi divulgada a nota, o acesso à página estava fechado. Segundo a assessoria, a empresa responsável pelo sistema foi notificada e abriu procedimento para identificar o problema.
Leia também
Veja a íntegra da nota da Secretaria de Cultura e Economia Criativa:
“A Secretaria de Cultura e Economia Criativa lamenta que um erro técnico cometido pela gestão anterior tenha exposto dados pessoais de proponentes inscritos em edições anteriores a 2019 do ProAC. Tão logo informada do fato, a Secretaria bloqueou imediatamente o acesso aos dados e adotou uma série de medidas para resguardar a privacidade dos participantes do programa. Não houve exposição de dados pessoais referentes ao ProAC 2019. A Pasta notificou a empresa responsável pelo sistema e, por determinação do secretário, abriu procedimento preliminar para identificação de eventuais falhas no sistema. Além disso, abriu sindicância para apurar a responsabilidade pelo episódio.”
A falha
PublicidadeO ProAC é considerado um dos melhores mecanismos de incentivo à cultura no Brasil, implementa políticas públicas para ampliar o acesso aos bens culturais e promove o acesso a produções de pequeno porte. Residentes no estado de São Paulo há pelo menos dois anos que comprovem atuação na área cultural no mínimo pelo mesmo período podem se inscrever no site do programa para concorrer a verbas da Secretaria de Cultura, no ProAC Editais ou no ProAC ICMS, para captar fundos junto a empresas por meio de incentivo fiscal.
Os proponentes devem enviar os documentos e os projetos ao sistema, que salva os arquivos com um número identificador. Reside aí a falha. Cada candidato tem dois identificadores, nesse caso, uma ordem sequencial e previsível, que permite que o link de download seja reconhecido e os arquivos baixados da plataforma. Ou seja, mudando a sequência, é possível acessar os dados dos quase 30 mil inscritos. Embora tenha descoberto a falha no ProAC, o Congresso em Foco decidiu não publicar o link para evitar a exposição das informações privadas. Ao todo, são mais de 56 mil links ativos. Neles estão documentos pessoais e as íntegras das propostas.
O erro de programação na página do ProAC expõe uma falha do Estado no dever de zelar pelas informações sob sua custódia e deixa milhares de pessoas vulneráveis à ação de criminosos. Esses dados pessoais são protegidos atualmente pela Constituição e pela Lei de Acesso à Informação (LAI).
“A exposição desses dados por erros de programação, de protocolos inseguros, de armazenagem e de acesso causa dano à privacidade e cria vulnerabilidades para outros danos como o roubo de identidade usados em fraudes financeiras”, afirma o advogado Danilo Doneda, professor de Direito Civil no Instituto Brasiliense de Direito Público (IDP) e um dos responsáveis pelo texto da Lei Geral de Proteção de Dados (LGPD), que reforça o veto à divulgação de informações pessoais na internet.
> Governo de SP vaza dados privados de mais de 28 mil pessoas