Os dados da área da segurança pública vêm travando o processo de privatização da Celepar (Companhia de Tecnologia da Informação e Comunicação do Paraná), próxima estatal que o governador Ratinho Júnior (PSD) pretende repassar para a iniciativa privada depois da lucrativa Copel Telecom e da gigante Copel. As inconsistências na lei que autorizou a desestatização foram apontadas pelo Ministério Público do Paraná (MP-PR) em dezembro, o que gerou uma corrida interna a fim de preparar a empresa para a venda.
A ordem de Ratinho Júnior é para concluir a privatização até dezembro. Com o plano de disputar a presidência em 2026, ele poderia se apresentar ao mercado como primeiro governante a vender uma companhia de tecnologia da informação – o governo de Jair Bolsonaro (PL) chegou a incluir o Serpro no Programa Nacional de Desestatização, em 2020, mas esbarrou na complexidade da operação e em entraves legais.
O caso chegou ao MP-PR e em fevereiro a promotora Cláudia Cristina Rodrigues Martins Maddalozzo, da Promotoria de Proteção ao Patrimônio Público, encaminhou uma representação à Autoridade Nacional de Proteção de Dados (ANPD). Para ela, existe o risco de a lei estadual que autorizou a venda da Celepar estar em desconformidade com a Lei Geral de Proteção de Dados (LGPD), que veda o repasse de informações da segurança pública para a iniciativa privada. Ela ainda pediu uma esclarecimentos à Celepar.
A assessoria do Tribunal de Contas do Estado (TCE) confirmou ao Plural a existência de um processo sobre a privatização da Celepar, que tramita em sigilo na Corte. Integrantes da Inspetoria de Patrimônio Público do Tribunal estiveram na companhia para obter mais informações sobre o processo de desestatização.
Isolamento até outubro
A conclusão no governo de Ratinho Júnior é que não será possível privatizar a Celepar sem que os dados da segurança sejam transferidos para a administração estadual. A companhia criou um grupo interno para isolar as informações da área até outubro, para que somente funcionários da Secretaria de Estado da Segurança Pública (Sesp) tenham acesso.
O material de uma apresentação interna da companhia, datado do dia 9 de abril, trata da criação do grupo e estabelece um cronograma para o “isolamento de informações da segurança pública” e posterior repasse para a Sesp. “Isso se alinha à legislação vigente, que determina que os dados só podem ser tratados por entes públicos conforme a Lei Geral de Proteção de Dados, vedando o tratamento por empresas privadas”, diz o material em PowerPoint, ao qual o Plural teve acesso. “Desta forma os dados armazenados e suportados pela Celepar serão segmentados para que apenas o time da Sesp tenha acesso”.
José Marcos Lopes
O projeto é dividido em duas fases. Até outubro, a equipe deverá concluir o isolamento dos dados da segurança pública, com transferência de conhecimento para a Sesp. A segunda etapa será uma “uma segmentação física que será planejada”, diz a apresentação.
Até julho, a Sesp deverá criar equipes técnicas para atuar em banco de dados, tratamento de dados, centro de atendimento 24x7, segurança da informação e auditoria e gestão das aplicações, entre outras funções.
Riscos
No item “Levantamento preliminar de riscos”, o material apresentado aos funcionários da Celepar cita 12 riscos existentes na primeira etapa. Entre eles estão “Vazamento de dados sensíveis e não conformidade com regulamentação no novo ambiente, “A separação lógica proposta na Etapa 1 do projeto não ser suficiente para atender a LGPD” e ”Documentação insuficiente para a transferência de conhecimento”.
Estes seriam riscos da primeira etapa, mas a segunda fase também pode ter problemas – de armazenamento e gestão dos dados pela Sesp. Em resposta a questionamentos do MP-PR, em março, o presidente da Celepar, André Gustavo Souza Garbosa, descreveu a estrutura da companhia para armazenar os dados da segurança pública.
“O Data Center Corporativo, certificado como Tier III pelo Uptime Institute, opera em ambiente de alta segurança, com controle de acesso biométrico, redundância de sistemas e monitoramento ininterrupto por equipe própria, garantindo disponibilidade e resposta imediata a incidentes. A infraestrutura é protegida por múltiplas camadas de defesa, incluindo firewalls corporativos com recursos de bloqueio geográfico, anti-DDoS e proteção contra intrusões (IPS), além de segmentação estratégica de rede para isolamento de ambientes críticos”, afirmou Garbosa ao MP-PR. Segundo ele, atualmente a Celepar opera 65 sistemas vinculados à Sesp.
José Marcos Lopes
A dúvida é saber qual estrutura terá a Sesp para armazenar os dados. O Plural entrou em contato com a assessoria da Secretaria na semana passada para saber quais ações estão sendo tomadas. A reportagem também questionou se a Sesp possui quadro de servires públicos aptos a assumir os serviços e se considera fazer contratações. A Secretaria também foi questionada se existe algum projeto para instalação de um D|ata Center certificado common Tier 3, considero mais seguro.
A Sesp respondeu apenas que a privatização “não traz nenhum risco” e que estudará em conjunto com a Celepar os próximos passos. Segue a nota da Secretaria:
A desestatização da Celepar não traz nenhum risco ao gerenciamento de dados. Até o momento o Ministério Público apenas solicitou esclarecimentos e todos foram respondidos pela Celepar. Os estudos de desestatização estão tramitando normalmente. A Secretaria da Segurança Pública e a Celepar vão estudar em conjunto as próximas etapas do controle de dados da área.
Contratos sem licitação
A Celepar firmou ao menos dois contratos sem licitação para encaminhar a privatização da companhia. Os contratos foram enviados ao MP-PR após solicitação da promotora Cláudia Cristina Rodrigues Martins Maddalozzo.
Um deles foi assinado com a consultoria Ernst & Young, no valor de R$ 8.776.412,53. A empresa ficou responsável pela coordenação do projeto; assessoria de imprensa; coordenação jurídica; diligência operacional; relatório de modelagem; revisões de modelagem e coordenação de audiência pública.
O cronograma estabelece a conclusão do relatório de modelagem em setembro, a publicação do edital de privatização em novembro e a realização do leilão da Celepar na B3, em São Paulo, em dezembro.
O outro contrato com inexigibilidade de licitação foi firmado com o escritório de advocacia Stocche, Forbes, Pássaro e Campos, de Nova Lima (MG), no valor de R$ 1.097.250,00. O escritório foi contratado para prestar "Assessoria jurídica especializada para o processo de desestatização". Caberá ao escritório "Manutenção de entendimentos com a Bolsa de Valores, visando auxiliá-la na elaboração dos manuais de procedimentos para as sociedades corretoras e investidores que participarem do procedimento competitivo relativo à Operação".
Dados sensíveis
Matéria publicada pelo Plural em novembro do ano passado mostrou os dados que são administrados por área pela Celepar. Confira os dados relativos à área da segurança pública:
- Digital
- Foto
- Certidões de nascimento e casamento
- CPF
- Passaporte
- Carteira de Trabalho
- PIS/Pasep
- Tipo sanguíneo
- Carteira Nacional de Habilitação
- Doadores de órgãos
- Pessoas desaparecidas
- Boletins de ocorrência
- Dados de testemunhas
- Cadastro de empresas de vigilância
- Consulta de licitações do GMS
- Disque denúncia 181
- Divulgação de entrada de cadáveres e identificação
- Cadáveres identificados e não reclamados por familiares
- Boletim de acidentes
- Autenticidade de atestado antecedentes criminais, negativa de protestos, atestado de cadastro positivo e negativo, atestado de profissão, alvará
- Vistoria de estabelecimentos para verificação de aplicação de normas de prevenção e combate a incêndios e desastres
- Centro de Apoio e Planejamento Estatístico (Cape) - mapeamento criminal do estado do Paraná
- Boletins de ocorrência
- Centro de Comando e Controle Regional (CICCR)
- Solicitações de visitas a presos, solicitações de visitas íntimas a presos, visita virtual a presos, transferência de presos
- Solicitações de atendimentos a migrantes, refugiados e apátridas
- Proteção de crianças e adolescentes ameaçados de morte
- Laudo digital
- Investigação de crimes cibernéticos
- Disque idosos para denúncias
- Botão do pânico (violência contra a mulher)
- Acesso aos serviços de SAMU, SIATE e Bombeiros
- Corregedoria das Polícias
Riscos:
- Risco à integridade e à segurança: a exposição de dados pode colocar testemunhas, informantes e agentes de segurança em perigo, uma vez que informações sobre suas atividades e identidades podem ser usadas para ameaçá-los ou forçá-los a cooperação.
- Chantagem e extorsão: informações pessoais, endereços e descrições de ocorrências podem ser usados para chantagear vítimas ou familiares. Dados detalhados de investigações e processos podem ser manipulados para pressionar os envolvidos ou obter informações comprometedoras.
- Discriminação e estigmatização: dados de histórico criminal ou laudos de exames do IML podem, se acessados de maneira indevida, afetar a reputação de pessoas acusadas, mas não condenadas. Isso pode resultar em discriminação no emprego e no ambiente social.
- Fraudes e uso indevido de certificados: os sistemas de certificação dos bombeiros e o licenciamento para funcionamento de empresas podem ser alvo de adulterações, permitindo que estabelecimentos sem licenciamento adequado operem ilegalmente. Esses dados também podem ser usados para fraudes envolvendo seguros ou manipulação de dados empresariais.
- Dados sigilosos da Corregedoria: risco à vida dos policiais envolvidos nos processos. Denunciantes e denunciados podem ter seus dados vazados.
