artigos

Carteira de trabalho: uma encruzilhada

#blogpost #cibersegurança #privacidade #proteção de dados

Por yaso | Identidade e Internet*

A carteira de trabalho é o documento mais antigo para quem trabalha regularmente segundo as leis trabalhistas vigentes no Brasil, além de obrigatório. Ela esconde um entrelaçado de bancos de dados que acabam e começam na Web.

A carteira de trabalho, documento tão festejado quando se tem o primeiro emprego, também evidencia a relação do trabalhador com o quarto maior banco da América Latina (e 3º do Brasil por volume de ativos): a Caixa Econômica. Esse relacionamento do trabalhador brasileiro com a Caixa Econômica é compulsório desde 1943, com a aprovação da Consolidação das Leis do Trabalho (Decreto-Lei 5452/43) que estabeleciam as contribuições sociais à previdência e sindicais — recolhidas pela Caixa.

A carteira de trabalho representa uma visão há um tempo consagrada do relacionamento entre Estado, Empregador e Empregado, mas, assim como a Internet modificou a maneira das pessoas se relacionarem com notícias, ela também modifica relações de trabalho e a maneira com a qual estas são representadas. Atrelados à carteira de trabalho, uma série de números são criados como pré-requisitos para trocas de valores de seguro social e, como tal, registram o trabalhador nos bancos públicos, principalmente a Caixa Econômica Federal e o Banco do Brasil.

A salada de números que a carteira de trabalho representa é complexa e, por isso mesmo, é uma prova de que os sistemas não devem ser levados para a Web, mas re-pensados para o ecossistema digital de um modo holístico.

A SALADA DE NÚMEROS

Para entender a complexidade do sistema que engloba esse registro é importante compreender a relação entre os números que estão diretamente relacionados à ela e a razão de existirem inúmeras bases de dados.

  1. NIS ↣ Número de Identificação Social
  • Número que representa o recolhimento/recebimento do FGTS, Seguro-Desemprego, Abono Salarial e também no ato da aposentadoria.
  • Mantido pela Caixa Econômica

2. PIS ↣ Significa Programa de Integração Social. Quando alguém se torna empregado, o NIS passa a ser o PIS, são sistemas integrados.

  • Representa a relação do empregado do setor privado com a empresa.
  • É pago através da Caixa Econômica

O PIS e o NIS são cadastrados pela empresa. Não existe nenhum documento comprobatório específico destes números, que o empregado ele recebe quando tira a carteira de trabalho. Manter o cadastro atualizado, aliás, é responsabilidade do trabalhador.

3. PASEP ↣ Significa Programa de Formação do Patrimônio do Servidor Público

  • Foi criado em paralelo ao PIS, para representar a relação do funcionário público com os bancos e instituições responsáveis por garantir seus direitos trabalhistas
  • É pago através do Banco do Brasil

4. NIT ↣ Número de Identificação do Trabalhador

  • É a opção do trabalhador doméstico e autônomo para pagar sua cota no INSS para obter benefícios, como seguro desemprego e aposentadoria
  • A gestão é do INSS, o Instituto Nacional de Seguro Social

Entender esta salada é o primeiro passo para se pensar em possíveis cruzamentos entre estes dados e outros. Assim como já foi apresentado na série sobre o Identidade e Web, os dados que se linkam com o CPF, o RG e outros que constam de certidões de registro civil não estão protegidos em nenhuma instância. Na verdade, estão facilmente disponíveis para serem consultados na Web ou por requisição, pois são considerados documentos públicos.

CARTEIRA DE TRABALHO DIGITAL: A PROMESSA DE ACABAR COM AS “FRAUDES”

Prometendo acabar com fraudes, foi lançada em 2015 a Carteira de Trabalho Digital. Fiel à sua tradicional versão analógica, a carteira digital carregou vícios e erros da versão analógica, sendo que a maior diferença entre ambas, afora o formato, é um código de barras e a rapidez na emissão. Além disso, os sistemas trocam dados entre si, de modo a facilitar a checagem dos mesmos.

De novo, pouca coisa mudou em termos de ecossistema para a proteção do cidadão. No caso da carteira de trabalho a situação é mais grave ainda, porque envolve em boa parte uma parcela vulnerável da população, como, por exemplo quem recebe apenas um salário mínimo. E está tudo na Web. Como veremos a seguir, o sistema NÃO evita fraudes, mas, por ser digital, reforça uma falsa sensação de confiança no documento, fazendo com que a nova versão seja considerada mais verossímil do que a antiga.

EFICIÊNCIA? NÃO MUITO, SEU SÍLVIO

O sistema que os municípios devem utilizar para coletar os dados do cidadão e agendar a coleta dos seus dados biométricos foi desenvolvido por uma empresa privada, aparentemente dentro da filosofia do Software Livre, apesar de não constar no portal do Software Público. Sem questionar a qualidade dos serviços da empresa pela apresentação, que se dá por meio de um website incompleto, é válido questionar que tipo de relacionamento rege contratações desse tipo, e quais são as regras e requisitos para o desenvolvimento do Software.

A carteira de trabalho compreende vários dados do trabalhador, como foto, dados biométricos, assinatura e um código de barras, o que não dificulta a fraude — muito pelo contrário. O fato de possuir código de barras é apenas mais um elemento na falsificação de documentos como este. Uma busca por “Barcode Generator” retorna uma gama de possibilidades, entre softwares gratuitos e pagos, para a criação e cópia dos mesmos. Porque o código de barras é extremamente inseguro, se for utilizado como requisito para acesso ou para desambiguação, pode resultar em situações onde o acesso é concedido à pessoa errada, ou mesmo dois documentos, com fotos diferentes, podem coexistir. Além de tudo, o gasto do Governo Federal com o sistema da carteira de trabalho digital pode não ter sido um bom investimento, uma vez que o sistema apresenta problemas a ponto da apresentação presencial do cidadão ter voltado a ser obrigatória em 2016.

A biometria envolvida na nova carteira de trabalho também é um fator que acaba facilitando a reprodução e falsificação de documentos bastante convincentes. Um kit de captura de imagens e biometria pode ser adquirido por menos de cinco mil reais em sites de vendas na Internet. Qualquer um pode comprar um kit e gerar carteiras de trabalho em garagens. O que nos leva a demonstrar o quanto a integração irresponsável de dados oficiais com a Internet pode ser desastrosa.

QUANTAS PESSOAS VOCÊ CONSEGUE CRIAR?

Para fins de pesquisa, esta seção do artigo vai discorrer sobre a facilidade de cruzar dados pessoais de cidadãos e criar versões fraudulentas deste documento. O objetivo é chamar a atenção para uma situação que já existe e é corriqueira. Não custa lembrar que produzir documentos falsos ou se passar por outra pessoa é crime, previsto em lei, e tem pena com detenção e multa.

O fato é que qualquer um, de posse de equipamentos de fácil acesso, como um kit CTPS, uma boa impressora e um computador básico, pode gerar documentos com números de verdade, de pessoas que existem, cujos dados estão expostos na Web.

Imagem de Angelica Paez — http://angelicapaez.com/

A base para a construção de uma carteira de trabalho falsa pode ser, por exemplo, justamente o número do NIS. Pois, com o NIS em mãos, dada a digitalização despreocupada com a privacidade dos cidadãos, é fácil recuperar em sites de serviços públicos uma série de outros números que podem constar de documentos. Por exemplo, pelo site da Dataprev, onde, de posse do NIS alguém pode conseguir obter outros dados de qualquer cidadão, ou no site da Caixa, onde, de posse de: a) nome completo do filiado; b) data de nascimento e c) número do CPF, alguém pode conseguir o NIS, o PIS ou o PASEP do cidadão. E, vejam só, não precisa ser nenhum “hacker”, o sistema é tão frágil que quase qualquer um de má fé pode fraudá-lo. Ele piora justamente quando expõe dados na Web sem nenhum critério. Na dúvida, existe até tutorial na Internet sobre como “operar” o site.

de novo.

Mas claro, o sistema também está vulnerável para métodos mais sofisticados, como, por exemplo, se a idéia do criminoso for coletar senhas com ataques comuns, como Keylogging (quando a senha é obtida com um arquivo malicioso enviado ao usuário), ou snifando pacotes de wi-fi, por exemplo, a falta de certificados de site seguro pode ajudar nessa tarefa.

Aqui, por exemplo, no site da Caixa Econômica que permite ao cidadão consultar o seu saldo, ou realizar outras operações de posse da senha da Internet, o certificado não garante que o cidadão esteja protegido. Caso ainda seja preciso gerar uma senha da Internet, é preciso ir a este site da DataPrev já sabendo NIT (PIS/PASEP) e CPF, números que, como observado, estão disponíveis na Web.

Existem métodos de coleta de dados que pegam essas informações “em bulk”, ou seja, em pacotes. Esse tipo de coleta é realizada por empresas que atuam na venda de informações, prometendo gerenciamento de risco, entre outros serviços, a partir de cruzamentos desse tipo de dados com outras bases, como por exemplo perfis em redes sociais, ou até bancos de dados vendidos no mercado paralelo. Muito do que se faz em termos de profiling no Brasil se apóia em dados obtidos dessa maneira, e não há regulamentação ou tecnologia que previna esse tipo de atividade no Brasil.

Essas são só algumas hipóteses na qual dados publicados na Internet facilitam a criação de instrumentos para a fraude, quando o ecossistema não é considerado como um todo.

Ecossistema, ECOSSISTEMA!

Alguns documentos e dados não deveriam ser públicos. Infelizmente, o avanço nas políticas de transparência no Brasil não foi acompanhado por políticas de segurança e proteção de direitos humanos, como o direito à privacidade e à proteção do indivíduo pelo Estado. A integração com a Internet, inevitável, precisa da garantia da proteção ao cidadão em primeiro lugar. A aprovação da lei de Proteção de Dados é urgente e deveria ser pauta para se pensar o e-gov como um todo, com vistas a se pensar o mencionado ecossistema dos dados públicos de forma a garantir a necessária transparência e abertura conjugadas com respeito à privacidade do cidadão e a redução da possibilidade de fraudes e construção de identidades falsas.

O Brasil possui várias leis que regem a transparência de repasses de dinheiro público que não levaram em conta a premissa de proteger cidadãos mais vulneráveis, como é o caso da lei que criou o Programa Bolsa Família (Lei nº 10.836), que prevê que deve ser de acesso público a lista dos beneficiários, com os respectivos valores transferidos. Acesso público significa que estes repasses são publicados na Web: pela Caixa Econômica (atenção para o erro de certificado, problema comum a todos os sites de consulta em governo já pesquisados para esta série) ou via Portal da transparência. Mais um exemplo de exposição desnecessária de dados de cidadãos que podem estar mais vulneráveis dada a publicidade de tais informações.

Outras alternativas tecnológicas devem ser pensadas para a distribuição e interoperabilidade dos dados no Brasil. Parece chover no molhado, pois todos os textos desta série demonstram o descuido e a irresponsabilidade das políticas públicas de governo digital no que concerne aos direitos de liberdade de expressão e privacidade de cidadãos no Brasil. De quebra, acessibilidade e segurança também são sumariamente desprezados, apesar do valor que se gasta com manutenção de serviços e sites de governo.

O Estado, que faz vista grossa para policiais chafurdando em redes sociais com perfis falsos sem regulamentação clara ou autorização expressa dos seus superiores, não aprovou lei que proteja cidadãos vulneráveis de terem seus dados publicados sem critério na Web, ou sequer garante os certificados de segurança de seus sites. A Web se tornou o modo mais fácil para trocar dados entre algumas instituições e empresas, mas, sem o devido olhar sobre segurança e privacidade.

*Este post pertence à uma série artigos sobre métodos de identificação e privacidade no Brasil. Este é um trabalho da Coding Rights + Privacy Latam, em um projeto da Privacy International.