CPF, o cadastro de pessoa física: um banco de dados para a todos governar
#blogpost #liberdade de expressão #privacidade #proteção de dados #vigilânciaPor yaso | Identidade e Internet*
O cadastro de pessoa física, emitido unicamente pela Receita Federal do Brasil, é a identidade que rege as finanças do Brasileiro, portanto, indispensável
Toda movimentação financeira, de qualquer pessoa do Brasil, em instituições financeiras, é registrada em algum tipo de banco de dados. Embora ainda existam locais onde movimentações financeiras independem de bancos e passam longe de ambientes digitais, existe um esforço em bancarizar o brasileiro, trazê-lo pra dentro do sistema financeiro “oficial”, com o argumento de que a inclusão do cidadão no sistema integrado ao Banco Central do Brasil pode melhorar o acesso à cidadania em forma de empréstimos — o famoso crédito na praça. Outros benefícios secundários, como uma simples comprovação de endereço para a inscrição em uma vaga de emprego, pode vir junto com a entrada no sistema financeiro por meio de abertura de conta em Banco.
A abertura de conta em um banco é a forma mais utilizada para acessar o sistema financeiro no Brasil. Isso mostra a importância e o impacto do cadastro de pessoas físicas, que não é necessariamente um identificador, mas que associa um número único a cada cidadão em condições de efetuar operações com dinheiro, fornecendo credenciais, informações acerca da situação financeira do indivíduo, geralmente públicas ou disponíveis para consulta.
O CADASTRO DE PESSOAS FÍSICAS
Para realizar qualquer tipo de operação em instituições financeiras o brasileiro é obrigado a realizar um cadastro junto à Receita Federal do Brasil. O CPF não tem foto impressa e apesar da regra dizer que só vale se estiver acompanhado de comprovante de identificação, ainda é utilizado sem estar acompanhado de documento com foto. Segundo a norma da própria receita, o número é único e se for comprometido deve ser cancelado. O número também é cancelado no caso da pessoa morrer, ou por algum tipo de determinação administrativa. O importante é observar que é um número só, por pessoa. Uma curiosidade sobre como o cpf migrou, de uma ferramenta de controle financeiro, para o controle individual “personalizado”, é o fato de que antes a mulher tinha seu cpf cancelado ao casar-se. Hoje, em contraste, em alguns estados bebês ganham CPF no registro, logo após o nascimento.
O CPF é emitido com base em um algoritmo bastante conhecido, o “módulo 11”, que também é utilizado por outras entidades para gerar dígitos verificadores. Isso enfraquece o sistema de emissão do cpf e hoje há inúmeros sites na Internet e incontáveis programas que servem ao propósito de gerar números de CPF válidos, que podem ser utilizados na prática de fraudes.
O CPF é uma identificação numerada que não suporta biometria, criado para ser identificador numérico único para transações financeiras por pessoa natural para fins fiscais. Por esse motivo, o número de CPF costuma ser divulgado em diversas instâncias, ainda que ele não seja uma informação pública. O cadastro de pessoa física é o número que representa, na Receita Federal, a entidade pagadora ou recebedora participante em transações financeiras.
O CPF é, por causa de sua natureza ligada ao fim financeiro, o número utilizado para o recebimento de auxílios do Governo em programas assistenciais e ele tem integrações diversas, podendo constar em mais de 6 tipos de cadastros do governo diferentes (como por exemplo a carteira de motorista, como falaremos mais à frente na sequência de artigos).
A partir de 2012 passou a ser possível obter um número de cpf pela Internet. Para se obter um número de CPF válido, basta preencher um cadastro no site da Receita Federal com seu nome, nome da sua mãe, título de eleitor, data e local de nascimento, endereço e telefones (fixo e celular). O cpf pode ser impresso facilmente, mas se o cidadão não sabe ou perdeu o número, só é possível descobrir qual é se ele for pessoalmente até algum posto de atendimento da receita.
O fato do Cadastro de Pessoas Físicas ser a porta de entrada para as movimentações financeiras de qualquer indivíduo no país agrega muito valor à base de dados. Em casos específicos, a Receita Pode receber por serviços comprados por entidades conveniadas. Utilizado pela Experian, multinacional presente em mais de 37 países, para criar o cadastro negativo, o famoso “Serasa”, o CPF também pode ser utilizado, segundo o Banco Central, para criar cadastros positivos. A natureza mais ou menos pública do CPF permite que o mesmo Banco Central dê permissão regulamentada para que qualquer entidade possa criar cadastros que listam aspectos financeiros de cidadãos, que são disciplinados pela Lei 12.4141/2012 (Lei do Cadastro Positivo), conforme o trecho do site do Banco Central:
“Qualquer pessoa jurídica que atender aos requisitos estabelecidos no art. 1º do Decreto nº 7.829, de 2012, poderá constituir e gerir um banco de dados com informações de adimplemento, para formação do histórico de crédito das pessoas naturais ou jurídicas.”
Entretanto, o Banco Central mantém o “cadastro geral de correntistas e clientes de instituições financeiras, bem como de seus procuradores” — cujo relatório pode ser consultado pessoalmente ou requisitado via correio. Já o Registrato, por exemplo, também do Banco Central, é um sistema que “permite aos cidadãos terem acesso pela internet, de forma rápida e segura, a relatórios contendo informações sobre seus relacionamentos com as instituições financeiras e sobre suas operações de crédito”. O Registrato, que não tem transparência com relação às suas especificações técnicas, permite acesso se o cidadão tiver Internet Banking ou Certificado Digital — caso contrário só se dirigindo a um posto de atendimento.
Voltando ao CCS, o Cadastro Geral de Correntistas e Clientes de instituições financeiras, também conhecido como HAL, é regulado por diversos tipos de normas e manuais. Um deles cita a criação da figura do “Máster” — ou Gerente Setorial de Segurança da Informação — que é responsável por permitir o acesso aos sistemas do Banco Central do Brasil por meio de uma aplicação WEB.
AMEAÇAS À PRIVACIDADE, À LIBERDADE DE EXPRESSÃO E AO LIVRE PENSAMENTO
Para entender as ameaças que o número de CPF representa, armazenado em base centralizada e associando informações de cunho financeiro a outras informações de natureza pessoal, é importante entender que existe um grupo de pessoas que têm acesso a essas informações de forma irrestrita. A figura do Máster, por exemplo, como mencionado a seguir, pode estabelecer permissões de acesso e conferir senhas à pessoas sem que necessariamente a sociedade tenha que saber. Não há nenhum tipo de penalização prevista em uma Lei de proteção aos dados pessoais — visto que o Brasil não tem lei que proteja dados pessoais — para o vazamento ou mau uso dessas informações ou dados. Também não há transparência nos processos. Se alguém tem acesso aos dados de um cidadão, ele próprio raramente terá o mesmo privilégio, não podendo sequer contestar em caso de erro.
O fato dessas bases de dados estarem sendo criadas e duplicadas sem nenhum tipo de fiscalização por empresas que não precisam especificar a natureza dos seus negócios acabam determinando que o consumidor fique à mercê da avaliação de algoritmos obscuros, que armazenam bases de dados que nem o próprio cidadão sabe se são fiéis à realidade ou se não utilizam informações que não deveriam ser levadas em consideração.
Se por um lado sistemas como o Harpia, que busca rastrear e aprender com dados, inclusive de movimentações até de 5.000 reais por semestre por cpf, (de acordo com a Instrução Normativa RFB nº 811/2008), ajudam no combate à sonegação de impostos, a falta do uso de padrões e normas claras quanto às responsabilidades dos envolvidos, bem como a falta de transparência nos processos de consulta e alteração dessas bases de dados é algo preocupante. Essa opacidade no lidar com dados de movimentações financeiras anda de braços dados com a dificuldade em corrigir o sistema, auditar falhas, entre outras atividades salutares quando se trata de sistemas digitais.
Outro fator que pesa é a completa ineficiência dessas entidades na qualidade do acesso aos seus próprios sistemas. Com pouco esforço o usuário pode se deparar com websites com certificado vencido, que não usam https ou oferecem o mínimo de padrões para a acessibilidade dos mesmos em qualquer tipo de browser.
Muitos apresentam defeitos primários, que colocam em risco não só o acesso pelo consumidor, mas também abrem brechas para invasões, modificações não solicitadas, downloads não permitidos, entre outras atividades que sequer estão listadas como crime. (Se o próprio site permite download por falhas internas em técnicas simples, seria crime baixar os dados?)
A entrada da Internet em processos de governo acabou por colocar na moda conceitos como Governo como Plataforma ou Governo Digital. O básico desses conceitos está extremamente ligado à competência digital das próprias instituições governamentais. Quando essa competência inexiste, o que acontece é a multiplicação de pontos de fraqueza devido à natureza conectada da rede. Ainda, no caso do cadastro de pessoa física, a exposição de dados de movimentação financeira abre a porta para a segregação social advinda de técnicas como o profiling, por exemplo, porque deixa à mostra características que juntas servem para agrupar pessoas em conjuntos que podem ou não ter restrições de crédito, por exemplo, ou até para ter acesso a serviços muito diferentes entre si.
SOLUÇÕES POSSÍVEIS
Os ledgers distribuídos surgem como alternativa para registros centralizados, e poderiam servir como alternativa no caso do CPF. Não é à toa que o Blockchain ficou famoso, e a idéia de utilização da tecnologia não deveria ser descartada sem a devida pesquisa. Outra ideia seria pensar em implementações de registros seguros que mantenham um nível aceitável de anonimato dos usuários na Web — de preferência sem publicizar números que identificam movimentação financeira em nível granular na Web que possam colocar usuários à disposição de databrokers ou empresas de análises de crédito. Princípios para a identificação e acesso aos dados precisam ser estabelecidos e obedecidos, reforçados por técnicas de identificação de funcionários públicos envolvidos na gestão de bases de cidadãos. Ainda, no caso de sistemas de controle que utilizam software proprietário, é interessante tornar públicos os motivos da escolha, requisitos técnicos e ainda abrir o software para entidades de auditoria, para evitar que sistemas que apresentem falhas sistêmicas prejudiquem pessoas rotineiramente.
A identidade financeira de uma pessoa, quando em rede, pode identificar muito mais do que a quantidade de transações financeiras que essa pessoa realizou. Pensando nas transações financeiras como “pistas”, na montagem de personalidades, é possível estabelecer perfis muito precisos de pessoas e seus hábitos e gostos. Perguntas antes difíceis de responder, como de que tipo de comida alguém gosta, que tipo de filmes e música consome ou até com quem alguém tem costume de sair podem ser facilmente respondidas e utilizadas não apenas para tentar vender produtos online, mas para negar ou oferecer crédito ou até rastrear e punir hábitos em ditaduras, como é o caso na China com seu Citizen Score, que desperta o meme mais intenso dos fãs de Netflix: “Isso é tão Black Mirror!”.
Este post pertence à uma série artigos sobre métodos de identificação e privacidade no Brasil. Este é um trabalho da CodingRights + Privacy Latam, em um projeto da Privacy International