Por: Irina Lopes
De um ponto de vista técnico-informático, ao ler a notícia, e estando os fins evidentes, a minha questão foi: como foram obtidas estas informações?
Os prints divulgados e suas datas
1. 17/12/2023: pesquisa da informação, Figura 1 e Figura 2;
2. 18/12/2023: divulgação dos prints, véspera do jantar beneficente da Fundação dret.u;
3. 19/12/2023: pesquisa de informações mais detalhada, Figura 3.
A Figura 1 é uma foto de um monitor de uma pessoa, devidamente credenciada para aceder a uma aplicação do estado, possivelmente o SIGOF – Sistema Integrado de Gestão Orçamental e Financeira, gerido pelo Ministério das Finanças. Observando bem o search do browser, conclui-se que se trata de uma busca deliberada de informação, por debo, de Debora. Resta saber se de moto próprio ou por incumbência de outro e com que objetivo.
A Figura 2 é também um print de ecrã que assumo ser da mesma pessoa, por ter as mesmas aplicações no taskbar.
A hora do print é 21:23, com 1 minuto de diferença do anterior. Estamos, pois, face a um funcionário muito dedicado e zeloso, a trabalhar numa noite de domingo de dezembro, o mês de todos os jantares.
A Figura 3 é um relatório completo da pesquisa feita. Admito tratar-se da foto de um papel impresso, devido às linhas que parecem ter sido sublinhadas à caneta, não sendo possível dizer se feita pela mesma pessoa.
Notas de análise técnico teórico
Fazendo um breve enquadramento técnico-teórico da questão, temos:
Nota 1
As leis são criadas para regular as situações existentes, sendo que, no limite, elas não são necessárias numa sociedade onde prevalece a civilidade e os valores são respeitados pelos cidadãos.
Ora, com os sistemas de informação, a massificação das redes sociais, a internet das coisas, surgiu a questão: como garantir que as informações privadas das pessoas não sejam obtidas de forma inadequada e utilizadas sem a devida autorização do seu proprietário?
Este direito está garantido na Constituição da República de Cabo Verde, no número 2 do Artigo 40.º: Todo o cidadão tem direito ao bom nome, à honra e reputação, à imagem e à reserva da intimidade da sua vida pessoal e familiar.
E também pelos números 3 e 4 do Artigo 44º (Utilização de meios informáticos e protecção de dados pessoais):
3. A lei regula a protecção de dados pessoais constantes dos registos informáticos, as condições de acesso aos bancos de dados, de constituição e de utilização por autoridades públicas e entidades privadas de tais bancos ou de suportes informáticos dos mesmos.
4. Não é permitido o acesso a arquivos, ficheiros, registos informáticos ou bases de dados para conhecimento de dados pessoais relativos a terceiros, nem a transferência de dados pessoais de um para outro ficheiro informático pertencente a distintos serviços ou instituições, salvo nos casos estabelecidos na lei ou por decisão judicial.
A proteção de dados pessoais e a sua regulação mediante legislação nacional e internacional (acordos), dado a natureza global da internet, são temas novos. Cabo Verde regulou esta matéria por meio da Lei nº 121/IX/2021, regime jurídico geral de proteção de dados pessoais das pessoas singulares.
Esta matéria é gerida pela Comissão Nacional de Proteção de Dados (CNPD), a autoridade nacional à qual incumbe controlar e fiscalizar o cumprimento das disposições legais e regulamentares em matéria de proteção de dados pessoais (Lei nº 120/IX/2021, que regula a composição, a competência, a organização e o funcionamento da CNPD, e o estatuto dos seus membros).
Nota 2
Na aba do browser do primeiro print está escrito e-gov (governação eletrónica), a: … condução das múltiplas actividades de governação do Estado de uma forma renovada e fortemente suportada pelas novas TI … que visam contribuir para a reforma, transformação e modernização do Estado (Sá Soares, 2009, p. 49).
Atualmente, no país, a implementação dos sistemas e-gov está a cargo do NOSi EPE, com a parceria de empresas privadas, principalmente estrangeiras (o que daria um outro artigo).
O e-gov, mais do que uma vantagem é uma necessidade incontornável, com ganhos incontestáveis e um longo caminho pela frente. Num país como o nosso, com os custos da insularidade, a grande burocratização dos processos administrativos e a falta de eficiência e eficácia na prestação dos serviços públicos, as soluções e-gov têm sido fundamentais para quebrar as barreiras da insularidade e responder ao cidadão de forma mais rápida e eficiente.
As soluções e-gov, como a maioria dos sistemas de informação, fazem a gestão de acesso, garantindo que só pessoas devidamente autorizadas e na posse de credenciais, podem aceder a elas (fazer login). O uso também é controlado: pode-se entrar no sistema e não aceder a todas as funcionalidades/informações existentes.
Nota 3: Violação de Dados Pessoais da cidadã Debora Carvalho
No caso, não foi um problema do sistema, mas sim humano: quem acedeu à informação divulgada foi uma pessoa autorizada a aceder a essa informação para a utilizar na execução do seu trabalho, mas que fez um uso indevido dela, violando a ética e a probidade profissionais, o respeito pela lei e pelos valores envolvidos. Imagine-se esta atitude tornar-se escola! Agora, foram os dados da Primeira-dama, mas nada garante que amanhã não serão os de outro cidadão, por um motivo banal, como não ter dado bom dia ao funcionário.
Por se tratar de dados confiados àquele de quem se espera ser o maior guardião deles, o Estado, esta violação suscita questões que merecem atenção como, a capacitação ética dos agentes públicos; a política de atribuição de acesso aos sistemas e-gov e o controlo da sua utilização; e as regras que regulam e punem a má utilização dos sistemas.
Tenho a certeza de que a CNPD, no âmbito das suas atribuições, não autorizaria a utilização dos dados de Débora Carvalho nesse contexto. Face a essa fuga, qual deve ser o papel da CNPD? Como cidadã, sem muita vontade de ver os seus registos escolares divulgados – não vá aquela falta disciplinar que eu tive há poucos anos me prejudicar –, espero que esteja a averiguar o acontecido e que tenha processos de auditoria aos sistemas que trabalham com dados de pessoas para que este tipo de ação não se torne normal.
Não se pode consentir que algo afete a credibilidade do e-gov no país. Temos de ter sistemas eletrónicos confiáveis, o que passa por agentes públicos éticos e probos. É obrigação do Estado manter esta confiança. Para tanto, precisa-se de saber como foi possível isso ter acontecido e ter garantias de que não se será a próxima vítima.
Esta obrigação é garantida pelo número 1 do Artigo 16º da Constituição que diz:
O Estado e as demais entidades públicas são civilmente responsáveis por acções ou omissões dos seus agentes praticadas no exercício de funções públicas ou por causa delas, e que, por qualquer forma, violem os direitos, liberdades e garantias com prejuízo para o titular destes ou de terceiros.
Esta fuga e má utilização de dados teve lugar num Estado em que, por um lado, o cidadão não tem acesso livre aos seus dados, como garantido pelo Artigo 45º (Habeas data) da Constituição, e por outro, diferentemente de uma governação Open Data, não se promove a disponibilização dos dados de governação e estatísticas diversas, de forma pública, o que teria, entre outras, as vantagens de permitir: a transparência da governação e a avaliação da sua qualidade; a prospeção do negócio pelas empresas privadas; e a investigação científica.
Resumindo e concluindo as condições para que não aconteça a violação do direito à privacidade de qualquer cidadão existem, garantido também a sua segurança física e a não discriminação. Por tudo isso, é necessário que se garanta o cumprimento das leis vinculadas às ferramentas tecnológicas existentes e se puna os infratores.