Governo de SP confirma que expôs dados pessoais de 28 mil habitantes

A Secretaria Estadual de Cultura de São Paulo confirmou que um “erro técnico” expôs dados de 28 mil pessoas, incluindo imagens de RG, CPF e comprovante de endereço. A falha estava no sistema do ProAC (Programa de Incentivo à Cultura) e afetava informações enviadas entre 2015 e 2018. O órgão abriu uma sindicância para apurar o que aconteceu.

• Detran-RN confirma falha que expôs dados de 70 milhões de brasileiros
• O que fazer se alguma senha sua vazou na internet

Segundo o Congresso em Foco, o sistema do ProAC expôs dados de aproximadamente 28 mil pessoas que buscaram apoio financeiro da Secretaria de Cultura. Para se inscrever no programa, os candidatos precisam comprovar que moram no estado de SP e atuam na área cultural há pelo menos dois anos.

Este sistema, que ainda não adotou o protocolo HTTPS, serve para receber os comprovantes de endereço e imagens do RG e CPF. Os arquivos são salvos com números sequenciais para identificá-los: ou seja, tendo a URL certa, basta alterar esse número para acessar os documentos de todos os candidatos, sem necessidade de fazer login.

“Cada candidato tem dois identificadores, nesse caso, uma ordem sequencial e previsível, que permite que o link de download seja reconhecido e os arquivos baixados da plataforma”, explica o Congresso em Foco. “Ou seja, mudando a sequência, é possível acessar os dados dos quase 30 mil inscritos.”

Um dos documentos expostos pela falha no sistema do ProAC

Secretaria de Cultura “lamenta erro técnico”

A Secretaria de Cultura foi procurada várias vezes desde segunda-feira (21), mas só respondeu na noite de quinta-feira; nesse meio tempo, o sistema do ProAC continuou online expondo os dados dos candidatos.

Em comunicado, a secretaria “lamenta que um erro técnico cometido pela gestão anterior tenha exposto dados pessoais de proponentes inscritos em edições anteriores a 2019 do ProAC”.

A empresa responsável pelo sistema foi notificada e, por determinação do secretário Sérgio Sá Leitão, foi aberta uma sindicância “para apurar a responsabilidade pelo episódio”, além de um procedimento preliminar para “identificação de eventuais falhas no sistema”.

Sistema do ProAC não utiliza HTTPS e é identificado como “não seguro” pelo Google Chrome

A LGPD (Lei Geral de Proteção de Dados) só entra em vigor em 2020. Ela estabelece que, se dados pessoais forem expostos ou vazados por um órgão público, caberá à ANPD (Autoridade Nacional de Proteção de Dados) tomar as “medidas cabíveis”. A entidade será vinculada à Presidência da República.

“Tenho receio que, com a LGPD em vigor, pouca coisa mude”, diz o advogado Danilo Doneda, professor de Direito Civil no Instituto Brasiliense de Direito Público (IDP), ao Congresso em Foco. “A lei já nasceu enfraquecida e nada garante que o órgão regulador dentro da estrutura da Presidência exerça as funções de controle e penalização dessas ‘falhas'”.

Com informações: Congresso em Foco, Folha de S. Paulo.