Biometria e a ICP-Brasil

http://www.pedro.jmrezende.com.br/sd.php > autenticacao : biometria

Biometria e a ICP-Brasil

Prof. Pedro Antonio Dourado de Rezende
Departamento de Ciência da Computação
Universidade de Brasília
junho de 2016

Em 19 de abril de 2016, o Instituto Nacional de Tecnologia da Informação (ITI) sediou reunião com as Autoridades Certificadoras da Infraestrutura de Chaves Públicas – ICP-Brasil. Na pauta, o principal tema foi o início da coleta biométrica durante o processo de emissão de certificados digitais, marcado para o próximo dia 19 de maio. Em entrevista para a Assessoria de Comunicação Social, o diretor de Infraestrutura de Chaves Públicas do ITI, Maurício Coelho, falou sobre o assunto e lembrou que o mesmo será debatido no IV Seminário Nacional de Certificação Digital.

O IV Seminário Nacional de Certificação Digital apresentará os usos e benefícios da certificação digital no padrão da Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil. O evento ocorrerá nos dias 15 e 16 de junho, em São Paulo, paralelamente a 21ª Cards Payment & Identification, maior feira de tecnologia para o setor de cartões, meios eletrônicos de pagamento, identificação e certificação digital da América Latina.

O ITI já havia publicado uma resolução criando um modelo para captação de dados biométricos dos cidadãos que forem gerar os certificados por meio da cadeia ICP-Brasil. O modelo define que os dados biométricos deverão ficar descentralizados nas chamadas "PSBios", que poderão inclusive serem empresas privadas. Além disso, os dados biométricos de uma PSBio poderão ser salvos em "caches" das outras PSBios, possibilitando que todas tenham os dados biométricos de todo mundo. Se houve uma "consulta" pública, não sabemos se foi restrita ao comitê e depois de pronto chamaram as Certificadoras credenciadas para a reunião de 19 de maio.

Parece que também ali não haverá espaço para debater os riscos, e como os riscos serão tratados. Sobre uma situação anterior semelhante, uma espécie de "balão de ensaio" -- no processo eleitoral brasileiro --, publiquei minha avaliação pessoal e organizei um seminário na UnB sobre o tema, onde pudemos debater esses riscos.

Há um projeto de lei que deve regulamentar o uso de biometria no Brasil tramitando na Câmara, o PL 12/2015. Esse projeto tramitava numa velocidade espantosa (para os padrões do nosso Congresso), quando fiquei sabendo que um requerimento havia sido aprovado para realização de audiência pública em sua comissão de mérito (talvez tereminativa), a CCTI. Aproveitando que moro em Brasília, fiz então um périplo pela Câmara dos Deputados, entre deputados da tal comissão (CCTI) com os quais pude fazer contato, oferecendo-me para ser ouvido na tal audiência pública, com credenciais de autor e organizador da análise citada no meu email anterior (respondendo às perguntas abaixo).

Depois, saiu aprovada uma lista de convidados para tal audiência sem o meu nome. Mas eis que mas nunca se ouviu falar dessa audiência, ou de qualquer outra tramitação do referido PL, pelo menos segundo o registro da tramitação desse Projeto de Lei. Com as notícias em comento, parece-me então que o ITI optou por seguir o (mau) exemplo da entidade envolvida no antes citado balão-de-ensaio, tocando seus projetos com base em norma infralegal. O que é ruim para o regime democrático, pois dá margem e latitude à politização do judiciário em matéria sensível, referente ao controle de Tecnologias de Informação para exercício do poder. (Como por exemplo no próprio caso balão-de-ensaio, exposto no "Movimento de Obediência Civil".

Para quem imagina que o modelo do TSE é diferente porque os dados do cadastro eleitoral ficariam centralizados, nas mãos do poder público (o TSE, no caso), Lamento desapontá-los, e pedir que leiam os artigos ou assistisse aos vídeos linkados acima. Os dados biométricos do TSE ficam centralizados apenas "no papel": Alguém conhece o contrato de terceirização para a gestão desses dados do cadastro eleitoral? Ou as cláusulas "de gaveta" desse contrato? Na prática esses dados foram ou estão sendo compartilhados com entidades tais como o Serasa e entes do poder público como a Polícia Federal, que por sua vez tem acordos de cooperação com entidades de poder publico estrangeiras imiscuidas com outras entidades privadas (inclusive para tercerização de gestão de dados do mesmo tipo, como a Martin Lockheed, maior fabricante de armamentos do planeta).

No caso do modelo proposto pelo ITI, parece que a diferença com o outro modelo é apenas cosmética, compreensível pela natureza dos entes públicos intermediadores "de fachada".

Autor
Pedro Antonio Dourado de Rezende é professor concursado no Departamento de Ciência da Computação da Universidade de Brasília. Advanced to Candidacy a PhD pela Universidade da California em Berkeley. Membro do Conselho do Instituto Brasileiro de Política e Direito de Informática, ex-membro do Conselho da Fundação Software Livre América Latina, e do Comitê Gestor da Infraestrutura de Chaves Públicas Brasileira (ICP-BR), entre junho de 2003 e fevereiro de 2006, como representante da Sociedade Civil. http://www.pedro.jmrezende.com.br/sd.php
Direitos do Autor
Pedro A D Rezende, 2016: este artigo é publicado no portal do autor sob a licença disponível em http://creativecommons.org/licenses/by-nc/2.5/br