artigos

RG, nosso Registro geral: distribuído e desorganizado

#blogpost #liberdade de expressão #privacidade #proteção de dados #vigilância

Por yaso | Identidade e Internet*

Conhecido como “carteira de identidade”, a solução não segue padrões no território nacional, mas é, via de regra, pré-requisito para exercer a cidadania

Assegurar a identidade de alguém é um problema que vem quebrando as cabeças de muitos acadêmicos em busca de uma solução que diminua fraudes a um custo que governos e empresas não sofram para pagar. Não é à toa que verificação de identidade é o cálice dourado dos profissionais mais conservadores da área de segurança em qualquer tipo de sistema.

Com a Internet, governos começaram a ser cobrados por eficiência na gestão do atendimento e prestação de serviços ao cidadão, já que tal tecnologia promete uma desburocratização dos trâmites. Expressões como E-gov e Governo Digital logo foram associadas à utilização da Internet como plataforma para governos abertos, ágeis e transparentes que poderiam surgir. Com essas aspirações, veio também a questão da identificação “oficial” conectada em rede.

Para que o cidadão passe a ser um usuário dos serviços do Governo, sendo atendido em terminais digitais, como um computador que esteja online, argumenta-se que é necessário fornecer ao cidadão — pelo menos, um login e uma senha. Esse requisito tem crescido com o aumento da demanda por mecanismos para detecção de fraudes, principalmente aquelas relacionadas à duplicidade em registros, entre outras.

Outra motivação para os que defendem que a identificação oficial, fornecida pelo Governo, seja transposta para a rede é a hipótese de que cidadão pode melhorar de vida, ao ter por exemplo acesso facilitado a programas sociais e serviços de saúde, empreendedorismo e justiça. A conexão entre identificação e Internet é crucial em tempos digitais e precisa ser levada em conta quando falamos de nome, dados biométricos e credenciais coletadas e guardadas por qualquer serviço. Identificações fornecidas por governos tendem a ser obrigatórias, o que significa que mesmo que um cidadão não queira interagir na Internet, em serviços comerciais como redes sociais ou market places, vai ter que interagir com o governo utilizando recursos de sistemas conectados à Internet. Assim, quando se pensa em identificação do cidadão, é uma consequência pensar em autenticação de usuários, tomando o governo como plataforma.

Para entender melhor como pode se dar essa relação, esta série de posts vai analisar os principais métodos de identificação utilizados no Brasil, apontando oportunidades e ameaças à privacidade e à liberdade de expressão no cenário da identificação e governos na era da Internet.

O REGISTRO GERAL

No Brasil, o registro geral, fisicamente comprovável pela carteira de identidade, é oferecido por Secretarias de Segurança Pública. No Rio de Janeiro o Detran também pode emitir o RG. Hoje em dia é normal o brasileiro possuir mais de um RG, já que é possível tirar um em cada Estado, pois os serviços nos Estados são autônomos. O documento que se exige para fazer o RG é a certidão de nascimento (que vai ser tratado depois nessa série de posts). Os estados não têm integração entre seus bancos de dados de identificação civil, portanto há a possibilidade de duplicidade de registros para uma mesma pessoa. Do mesmo modo, não há uma regra única para geração do número identificador. O registro geral substitui a necessidade de exibição e produção de documentos específicos em diversas circunstâncias (como, por exemplo, a certidão de nascimento). Essa multiplicidade faz do registro geral um documento não padronizado. Esse é o principal fator de fraudes.

Existem esforços para compartilhamento, entre órgãos e empresas privadas, das digitais coletadas no ato do Registro Geral (entre outros dados), mas são iniciativas isoladas que não compreendem o território nacional e tendem a criar bancos de dados centralizados. O compartilhamento dos arquivos onde estão guardados estes dados biométricos, bem como data centers que possivelmente existam, não foi discutido publicamente de modo amplo, o que é antidemocrático.

Solucões para integrar a numeracão, por exemplo, sem a necessidade de criar múltiplos bancos de dados, não aparecem como opção. Além disso, como trata-se de dados biométricos, pessoais e intransferíveis, a responsabilidade sobre os mesmos deve ficar bem clara, assim como a própria manutenção e natureza do contrato de fornecedores que cuidam desse tipo de informação.

Hoje, não há nenhum tipo de requisito técnico, nem para armazenamento nem para distribuição ou integração do registro geral. A e-ping, uma norma do Ministério do Planejamento que compila padrões de fontes internacionais e traduz para o português, não é amplamente adotada. Como os RGs podem ser emitidos em vários Estados, ainda existem casos onde as pessoas utilizam-se de numerações diferentes, consequência de identidades de Estados diferentes, para praticar fraudes. Para determinados sistemas, por exemplo, é difícil conferir se a pessoa tem alguma pendência em outro Estado. Entretanto, a apresentação de números de identidade diferentes, advindas de registros em Estados diferentes já não é mais um facilitador de alta influência na ocorrência de fraudes. Existem vários outros números que podem ajudar na identificação da fraude, e técnicas que se utilizam de outros métodos para detectar alguma anomalia.

DATA CENTER CENTRALIZADO, GESTÃO POR “AUTORIDADE CENTRAL”

Existe uma proposta, circulando em projeto de Lei, que torna o TSE o responsável por implementar o Registro Civil Nacional. O objetivo é reunir em uma base só os dados pessoais do cidadão, fornecendo um cartão para autenticação. De acordo com um dos pareceres do projeto de Lei Nº1.775, a nova identidade traria:

“(…) segurança do documento, utilizando processos modernos e inseridos em um chip presente no cartão.”

A solução de colocar tudo sobre um cidadão em um mesmo banco de dados parece fácil, mas é um atalho que vai gerar concentração de informação em poucas mãos, sob entidades que têm óbvio interesse e sem participação da sociedade civil. Além disso, há problemas de cunho técnico, por exemplo a escala da solução ou a sustentabilidade a longo prazo, que também precisam de uma solução mais moderna.

E um equívoco achar que a digitalização de um cadastro desse tamanho trará descongestionamento e eficiência na gestão. Um banco de dados centralizado pode inaugurar a era da burocracia digital ineficiente: longas esperas, não na fila, mas em frente ao computador, na espera da resolução de problemas derivados de sistemas, bem como longos períodos de blackout devido ao volume de dados a serem processados (problema recorrente no bolsa-família, que atende menos de 1/3 da população brasileira). Digitalizar pode ser apenas uma desculpa para gastar dinheiro com contratos de somas vultosas e arregimentar um grupo de interesses em torno de um banco de dados valioso — visto que o projeto prevê um “comitê gestor” da base centralizada.

AMEAÇAS À PRIVACIDADE, À LIBERDADE DE EXPRESSÃO E AO LIVRE PENSAMENTO

As tentativas de criar bancos de dados com informações que cobrem várias perspectivas das vidas das pessoas são advindas de soluções que se desenham como fáceis, mais baratas — a curto prazo, e ágeis do que soluções mais bem pensadas. O Estado brasileiro, que vigia seus cidadãos e expõe seus dados e privacidade de modo regulamentado entre entidades e Ministérios, ainda não tem uma lei que proteja os dados pessoais. “Identidade”, em si, é algo que não tem definição em ambiente digital, em se tratando de leis brasileiras. Além disso, com o aumento do aparato de vigilância do Estado e a tendência ao punitivismo que vigora no país, não é necessário falar que a identificação do cidadão em bases centralizadas onde se armazenem várias informações sobre pessoas no mesmo lugar é uma vulnerabilidade e representa risco à autonomia do cidadão. É um problema do tamanho do Brasil, que precisa de uma discussão compatível.

Entretanto, há uma vantagem na descentralização da distribuição do Registro Geral: pode ser um indício de que uma arquitetura descentralizada seja viável. Uma solução onde haja transparência entre as trocas de dados e consultas, bem como sobre as responsabilidades acerca de cada registro, com validacão em rede, pode ser mais interessante.

Podemos projetar que em um período muito curto teremos saltos na questão da identificação de cidadãos. Há países discutindo ledgers descentralizados, uso de tokens e tecnologias que concentrem o poder sobre os dados na mão do cidadão. Porque o Brasil é um país grande, com uma diversidade do tamanho da própria complexidade, seria interessante a pesquisa na direção de novos caminhos. O tão desejado “governo como plataforma” exige a inovação como base do pensamento no desenho do atendimento ao cidadão. Arquiteturas baseadas em pesquisas recentes, que visem sobretudo assegurar o bem estar do usuário — ou cidadão, são a última chance do Brasil recuperar seu atraso em termos de políticas digitais.

Este post pertence à uma série artigos sobre métodos de identificação e privacidade no Brasil. Este é um trabalho da CodingRights + Privacy Latam, em um projeto da Privacy International