O projeto de lei para vender a Celepar (Companhia de Tecnologia da Informação e Comunicação do Paraná) poderá repassar para a iniciativa privada dados de empresas paranaenses e de saúde dos cidadãos, além de informações sensíveis na área da segurança pública, colocando em risco policiais e testemunhas.
Na avaliação de funcionários da empresa, informações como essas podem ser usadas para ações de extorsão, chantagem, ameaça, espionagem empresarial, fraude e roubo de documentos, fraude de certificados e benefícios sociais, discriminação, perseguição e propaganda direcionada, entre outras.
O projeto foi enviado pelo governo de Ratinho Júnior à Assembleia Legislativa do Paraná (Alep) no último dia 4 e tramita em regime de urgência. Já foi aprovado na Comissão de Constituição e Justiça (CCJ) da Alep e a expectativa do governo é que a proposta seja aprovada ainda nesta semana.
Leia mais: Comitê de funcionários lança abaixo-assinado contra a privatização da Celepar
O texto autoriza o governo a transferir o controle acionário da companhia e determina apenas que a base de dados fique no Paraná por dez anos. Apesar de a Lei Geral de Proteção de Dados (LGPD), de 2016, proibir que a iniciativa privada faça a gestão de dados da área da segurança pública, o projeto não determina quais informações continuariam sob a guarda do Estado.
A segurança e o bom uso das informações ficariam sob responsabilidade do Conselho Estadual de Governança Digital e Segurança da Informação, formado por 21 membros do governo ou nomeados pelo governador. O órgão seria criado no âmbito da Casa Civil do governo. Só com o pagamento dos membros do Conselho, a Casa Civil prevê gastar R$ 5,7 milhões até o fim de 2026 (R$ 1,2 milhão neste ano).
Em um estudo sobre a privatização, a Casa Civil recomendou “dotar uma estrutura de governo (existente ou nova) das competências necessárias para controlar a prestação de serviços de TI e o acesso aos dados de atividades que não seriam transferidas para o setor privado”, mas não especificou quais informações continuariam sob controle do governo.
O governo ainda não fixou o valor da companhia. Em setembro, a Celepar contratou a consultoria Ernst & Young por R$ 2,6 milhões, sem licitação, para a realização de um estudo sobre a situação financeira, contábil, tributária, previdenciária e trabalhista da empresa. O objetivo seria posicionar a companhia no mercado e apresentá-la para possíveis compradores. A pedido da oposição a Ratinho Júnior na Alep, a partir das 18 horas desta segunda-feira (11) será realizada uma audiência pública sobre a privatização, na Assembleia.
Sob condição de anonimato, funcionários da Celepar encaminharam para o Plural uma lista dos sistemas controlados pela companhia e dos riscos causados por possíveis vazamentos ou venda desses dados. Veja por área:
Secretaria de Segurança Pública (Sesp)
Dados gerenciados pela Celepar:
- Cadastro de empresas de vigilância
- Consulta de licitações do GMS
- Disque denúncia 181
- Divulgação de entrada de cadáveres e identificação
- Cadáveres identificados e não reclamados por familiares
- Boletim de acidentes
- Autenticidade de atestado antecedentes criminais, negativa de protestos, atestado de cadastro positivo e negativo, atestado de profissão, alvará
- Vistoria de estabelecimentos para verificação de aplicação de normas de prevenção e combate a incêndios e desastres
- Centro de Apoio e Planejamento Estatístico (Cape) - mapeamento criminal do estado do Paraná
- Boletins de ocorrência
- Centro de Comando e Controle Regional (CICCR)
- Solicitações de visitas a presos, solicitações de visitas íntimas a presos, visita virtual a presos, transferência de presos
- Solicitações de atendimentos a migrantes, refugiados e apátridas
- Proteção de crianças e adolescentes ameaçados de morte
- Laudo digital
- Investigação de crimes cibernéticos
- Disque idosos para denúncias
- Botão do pânico (violência contra a mulher)
- Acesso aos serviços de SAMU, SIATE e Bombeiros
- Corregedoria das Polícias
Dados sensíveis:
- Digital
- Foto
- Certidões de nascimento e casamento
- CPF
- Passaporte
- Carteira de Trabalho
- PIS/Pasep
- Tipo sanguíneo
- Carteira Nacional de Habilitação
- Doadores de órgãos
- Pessoas desaparecidas
- Boletins de ocorrência
- Dados de testemunhas
Riscos:
- Risco à integridade e à segurança: a exposição de dados pode colocar testemunhas, informantes e agentes de segurança em perigo, uma vez que informações sobre suas atividades e identidades podem ser usadas para ameaçá-los ou forçá-los a cooperação.
- Chantagem e extorsão: informações pessoais, endereços e descrições de ocorrências podem ser usados para chantagear vítimas ou familiares. Dados detalhados de investigações e processos podem ser manipulados para pressionar os envolvidos ou obter informações comprometedoras.
- Discriminação e estigmatização: dados de histórico criminal ou laudos de exames do IML podem, se acessados de maneira indevida, afetar a reputação de pessoas acusadas, mas não condenadas. Isso pode resultar em discriminação no emprego e no ambiente social.
- Fraudes e uso indevido de certificados: os sistemas de certificação dos bombeiros e o licenciamento para funcionamento de empresas podem ser alvo de adulterações, permitindo que estabelecimentos sem licenciamento adequado operem ilegalmente. Esses dados também podem ser usados para fraudes envolvendo seguros ou manipulação de dados empresariais.
- Dados sigilosos da Corregedoria: risco à vida dos policiais envolvidos nos processos. Denunciantes e denunciados podem ter seus dados vazados.
Secretaria de Estado da Fazenda (Sefa)
Dados gerenciados pela Celepar:
- Nota Paraná
- Menor Preço
- Novo SIAF
- Receita PR
- Portal dos Municípios
Dados sensíveis:
- Dados fiscais de empresas
- Dados dos contribuintes
- Dados sobre impostos, alíquotas e tabelas de lançamento de IPVA
- Débitos tributários
- Base Cidadão Paraná: dados de todos os CPFs
- Gestão de banco de dados (Sisbacen, base de dados do Banco Central)
Riscos:
- Chantagem e Extorsão: informações sobre rendimentos, consumo e perfil fiscal de cidadãos e empresas podem ser usados para pressionar ou chantagear indivíduos ou organizações. Um perfil detalhado de gastos e arrecadações permite que criminosos identifiquem vulnerabilidades financeiras e abordem alvos de forma personalizada, explorando medos e inseguranças.
- Manipulação de mercado e competição desleal: dados de atividades financeiras de empresas podem ser explorados por concorrentes, gerando espionagem empresarial ou facilitando a manipulação de preços. Informações fiscais de empresas permitem que concorrentes planejem estratégias de mercado para prejudicar a organização-alvo, levando a desvantagens competitivas.
- Roubo de identidade e fraudes: o uso indevido de CPFs e dados de consumo pode facilitar fraudes de identidade e a abertura de contas bancárias ou linhas de crédito de maneira fraudulenta, afetando a estabilidade financeira das vítimas e potencialmente as colocando em situação de endividamento sem seu conhecimento.
- Discriminação e invasão de privacidade: dados financeiros e de consumo podem ser usados para discriminar indivíduos com base em seu poder aquisitivo, hábitos de consumo ou perfil fiscal. Em situações de concessão de crédito ou oportunidades de trabalho, o histórico de consumo pode afetar decisões de contratação ou concessão de crédito.
- Direcionamento de vendas: com acesso a informações do CPF na nota, é possível cruzar informações e direcionar propagandas para os consumidores.
- Espionagem de empresas: é possível acessar os dados de dividas e balanços patrimoniais. As seguintes informações poderiam ser acessadas para benefícios privados: índices de endividamento e solvência; saúde financeira por setor e tamanho; análise de risco regional; previsão de falência e recuperações judiciais; capacidade de investimento e crescimento.
Secretaria de Estado da Saúde (Sesa)
Dados gerenciados pela Celepar:
- Registros médicos
- Histórico de doenças
- Chamadas de emergência
- Dados sobre doação de sangue, doadores e agendamentos
- SAMU e SIATE
- Altas de internação
- Laudos de exames laboratoriais de análises clínicas
- Autorização ou revogação de acesso a prontuário de paciente
- Solicitação de atendimento nas clínicas de fisioterapia das universidades estaduais
- Agendamento de atendimento nas clínicas psicológicas das universidades estaduais
- Agendamento de atendimento pelo Sistema de Assistência à Saúde (SAS)
- Consulta de estabelecimentos de saúde
- Consulta de posição na fila do SUS
- Consulta, retirada e solicitação de medicamentos da Farmácia do Paraná
- Dados sobre campanhas de vacinação
- Dados sobre imunização no estado
- Dados sobre saúde do viajante
- GSUS – Sistema de Gestão Hospital e Ambulatorial do SUS
- CEAF - Componente Especializado da Assistência Farmacêutica
- SISMEDEX PR - Agendamento de consultas
- Sidora - Sistema de Gestão de Notificações de Cadastros de Pessoas com Doença Raras
- APPCOVID19 - Telemedicina Paraná - Monitoramento de pessoas que entram no estado
- CIPTEA – Sistema para solicitação da carteira de autista. Mais de 12 mil carteiras foram emitidas pelo governo. Com ela, cidadãos com espectro autista passam a ter prioridade no atendimento em serviços públicos e privados.
Riscos:
- Discriminação e Estigmatização: informações sobre condições médicas podem ser usadas por seguradoras ou empregadores para discriminar indivíduos com base em seu histórico de saúde. Pessoas com condições crônicas ou doenças preexistentes poderiam enfrentar dificuldades na contratação de planos de saúde ou no mercado de trabalho.
- Extorsão e Chantagem: históricos médicos, que mostram tratamentos psiquiátricos ou doenças graves, podem ser explorados para chantagem.
- Marketing predatório e invasão de privacidade: empresas de medicamentos e dispositivos médicos podem usar dados de consumo farmacêutico para direcionar publicidade agressiva, explorando vulnerabilidades.
- Fraudes de prontuários, consultas, laudos e exames.
- Riscos para a segurança nacional e pública: dados epidemiológicos e padrões de atendimento podem ser usados para mapear vulnerabilidades em regiões específicas, o que pode ser explorado para causar ou prever surtos de doenças e comprometer a saúde pública.
Secretaria de Estado da Educação (Seed)
Dados gerenciados pela Celepar:
- Matrículas por geoprocessamento
- Distribuição de vagas estaduais por geoprocessamento, conforme proximidade escola e residência aluno
- Moodle Seed: dados de professores e alunos do Paraná para ensino em um ambiente de ensino a distância (EAD)
- Registro de Classe Digital: possui informações dos alunos de escolas estaduais e municipais do estado
- Processo Seletivo Simplificado (PSS): informações sobre núcleos regionais, professores, alunos e funcionários administrativos
- Merenda escolar: dados sobre compra, entrega, distribuição e qualidade da alimentação servidas nas escolas do Paraná
- Sistema de Gerenciamento de Conteúdo da Seed
Riscos para alunos:
- Estigmatização e bullying: informações relacionadas a excesso de peso, condições de saúde, alergias ou intolerância e necessidades alimentares podem ser alvo de zombarias, comentários ofensivos, discriminação e práticas invasivas
- Marketing predatório: empresas podem explorar dados sobre peso, altura e preferências alimentares para direcionar publicidade inadequada e invasiva, como produtos dietéticos ou tratamentos de saúde
Riscos para profissionais e para o sistema:
- Discriminação e estigmatização: informações sobre afastamentos, especialmente se relacionadas a problemas de saúde mental ou física, podem ser usadas para discriminar funcionários em processos de avaliação de desempenho ou para justificar a não renovação de contratos
Violações de privacidade e exposição de problemas de saúde: os dados de afastamentos podem revelar informações sensíveis sobre a saúde dos profissionais, violando seu direito à privacidade
- Prejuízos na carreira e perda de oportunidades de emprego: o histórico de afastamentos pode ser utilizado para selecionar profissionais, gerando exclusões com base em condições médicas ou afastamentos anteriores
- Venda de cursos para professores interessados no PSS
- Venda de cursos gerais e especializados para usuários do MOODLE
- Venda direcionada de alimentos para escolas, informações sobre demanda de produtos alimentícios
Secretaria de Estado da Administração e da Previdência (Seap)
Dados gerenciados pela Celepar:
- Dados da Paranaprevidência: responsável pela gestão, investimentos e capitalização dos recursos do Fundo Previdenciário e pelo pagamento das aposentadorias e pensões dos servidores públicos estaduais.
- Aplicativo SOU PARANÁ – Lançado no em outubro para facilitar o acesso de servidores a serviços e dados
Riscos:
- Fraude e roubo de identidade: informações pessoais e financeiras de servidores públicos, como dados de folha de pagamento e aposentadoria, podem ser usadas em fraudes de cartão de crédito ou na abertura de contas bancárias. Também seria possível acessar benefícios governamentais de forma ilegal.
- Acesso indevido a benefícios e desvios financeiros: com acesso a dados de folha de pagamento e contratos, há risco de manipulação dos sistemas para receber ou desviar pagamentos e benefícios, alterando valores de folha de pagamento, beneficiando terceiros ou criando “servidores fantasmas” em sistemas públicos.
- Chantagem e pressão sobre servidores: dados sobre salários, benefícios, condições contratuais e históricos de afastamento podem ser explorados para chantagear ou pressionar servidores públicos. Informações sobre aposentadoria e benefícios acumulados podem ser usadas como forma de coerção, especialmente se há históricos de afastamentos por motivos de saúde ou questões familiares.
- Espionagem corporativa e competição desleal: empresas que buscam contratos públicos podem explorar informações administrativas para obter vantagem competitiva desleal em processos licitatórios, utilizando dados contratuais previamente acordados para formular propostas mais agressivas.
Departamento de Trânsito do Paraná (Detran)
Dados gerenciados pela Celepar:
- Consulta a solicitações feitas ao Detran
- Alteração de endereço pessoal ou do veículo
- Emissão da 2ª via da Carteira Nacional de Habilitação (CNH) e do Certificado de Registro e Licenciamento de Veículo (CRLV)
- Consulta da pontuação na CNH
- Acesso a informações sobre IPVA, CNH, exames, primeira habilitação, pagamentos, taxas, reciclagem, documentação de veículos, vistoria, emplacamento e recursos de multas.
Riscos:
- Discriminação por histórico de multas: seguradoras e empregadores podem usar o histórico de multas para discriminar motoristas.
- Fraudes e roubo de identidade: dados pessoais e informações detalhadas sobre veículos, como placas e registros de propriedade, podem ser utilizados para fraudes de identidade. Criminosos podem forjar documentos para vender veículos roubados ou criar contas fraudulentas usando dados reais de outras pessoas.
- Ameaças à privacidade e vigilância: empresas de publicidade e monitoramento podem usar dados de localização obtidos a partir de infrações de trânsito para mapear os padrões de deslocamento de motoristas. Isso pode violar a privacidade individual ao rastrear hábitos sem consentimento explícito.
Administração do Portos de Paranaguá e Antonina (APPA)
Sistemas gerenciados pela Celepar:
- Carga Online
- Conferência e escoamento de cargas
- Gestão de datacenter da APPA
- Fiscalização de contratos
- Gestão do ambiente de TI, em infra de redes, sistemas e parque de máquinas
- APPAWEB: gerencia desde entrada na faixa, atracação de navios e carga/descarga
- SCOA: gestão de logística de granéis
- SENIOR (Acesso e segurança), GUARDIAN (automação de balanças e guaritas): as empresas são terceirizadas, mas os dados estão na base da Celepar
Riscos:
- Dados de transporte de cargas para os portos: cargas podem ser interceptadas no trecho até o porto. Estão na base da Celepar todos os dados relativos a entrada de cargas, a carga e descarga, ao agendamento das cargas e à logística das mesmas, além de acessos de segurança, guaritas e automação de balanças.
Insegurança: a insegurança causada pela gestão de dados sensíveis feita por uma empresa privada pode afastar empresas de outros estados.
- Impacto nas exportações e importações: a União Europeia pode restringir importações de empresas brasileiras que não garantem a privacidade dos dados financeiros, especialmente se houver vazamentos ou usos indevidos. Investidores podem optar por evitar empresas e estados que permitam que dados financeiros sensíveis sejam acessados por empresas privadas de forma irrestrita.
