Recebeu auxílio emergencial e foi bem na Fuvest? O seu CPF foi exposto

Falta de coordenação entre política de proteção de dados da Fuvest e do governo federal prejudicou pelo menos 3.639 pessoas
POR DANIEL FERREIRA • 26/07/2021

Os 3.639 estudantes brasileiros que receberam o auxílio emergencial e passaram para a segunda fase da Fuvest — o vestibular da USP — tiveram seu CPF exposto em fevereiro de 2021, segundo levantamento do Pindograma. O número do CPF é um dado pessoal e, segundo especialistas, sua exposição pela Fuvest é contrária aos princípios da Lei Geral de Proteção de Dados (LGPD).

A exposição se deu da seguinte forma: a lista de convocados à segunda fase do vestibular inclui os primeiros seis dígitos do CPF do candidato. Já o governo federal divulga os dígitos intermediários do CPF de quem recebe programas sociais. A partir do nome da pessoa e dos dígitos do CPF em comum entre as duas listas, é possível obter o CPF completo das pessoas que receberam o auxílio emergencial e foram convocadas para a segunda fase da Fuvest.

A Fuvest negou que tenha havido “exposição de dados pessoais dos candidatos” de sua parte, mas admitiu que “com o cruzamento de todos os dados presentes em bancos de dados, inclusive públicos, é possível encontrar informação de qualquer pessoa, inclusive o CPF de qualquer titular de dados”.

Para Rafael Zanatta, advogado e diretor da Associação Data Privacy Brasil, essa prática da Fuvest “não é exatamente um ilícito, ou um incidente de segurança, de acordo com a LGPD. Mas revela um compromisso muito frouxo com o princípio de segurança previsto no texto [da lei]. Você reidentifica os indivíduos muito facilmente”.

Desde 2011, o governo federal divulga os dígitos intermediários do CPF de servidores públicos, beneficiários de programas sociais e fornecedores de compras públicas. Trata-se de uma medida que permite à sociedade civil e à imprensa monitorar o gasto público. Esses dados permitiram, por exemplo, que fossem denunciados os servidores públicos que solicitaram o auxílio emergencial mesmo sem ter direito ao benefício.

A Fuvest, por outro lado, só começou a divulgar o CPF parcial dos candidatos ao vestibular em 2018, para facilitar a identificação em caso de estudantes com o mesmo nome. No entanto, a universidade parece ter ignorado a forma com que o governo federal já divulgava esse dado, permitindo a exposição do documento de quem constava nas bases de dados federais.

Entre 2018 e 2020, alguns CPFs já haviam sido expostos. No entanto, eram poucos os recipientes do Bolsa Família ou servidores públicos que também prestavam o vestibular da USP. Com o auxílio emergencial, o número de brasileiros com CPFs parciais divulgados pelo governo federal aumentou drasticamente — e com isso, o número de vestibulandos com o CPF exposto cresceu também.

Na prática, o impacto dessa exposição de CPFs é pequeno. Segundo Zanatta, a gravidade deste caso é muito menor do que seria um incidente de segurança que expusesse dados médicos das pessoas. Além disso, o megavazamento de dados de 223 milhões de brasileiros, ocorrido no início de 2021, provavelmente já inclui os CPFs desses 3.639 estudantes. Assim como o resto dos brasileiros, esses estudantes já estão expostos a golpes e fraudes que usam o número do CPF, independentemente da exposição causada pela Fuvest.

Ainda assim, Zanatta afirma que “os candidatos [ao vestibular] poderiam, uma vez incomodados com a possibilidade de serem identificados, podem expor sua oposição diretamente à Fuvest, como poderiam mobilizar a Autoridade Nacional de Proteção de Dados (ANPD) para que desse uma advertência”.

Para ele, “a Fuvest, levando a sério o compromisso de segurança dos dados, poderia substituir o CPF por outro identificador”. Alternativamente, “poderia ter um portal em que você tem a possibilidade de verificar, nome a nome, quem foi aprovado, em vez de ter uma lista”.

Para evitar que casos como esse voltem a acontecer, Zanatta sugere que a ANPD formule um guia nacional de anonimização de dados pessoais que conduza as práticas de entidades como a Fuvest. Segundo ele, “outros países já têm guias de anonimização. Moçambique tem um guia que é ótimo”.

Alternativamente, as universidades brasileiras poderiam tomar a iniciativa de formular regras setoriais de tratamento de dados. Essas regras, uma vez submetidas à ANPD, passariam a ser fiscalizadas pela Autoridade.

Este não é o primeiro caso em que as práticas de proteção de dados da Fuvest são questionadas. Para Zanatta, “o uso de reconhecimento facial na Fuvest é algo bastante controverso. Eles não explicam qual é a empresa que tem acesso aos dados, e não tem o consentimento específico [do candidato]. A gente já fez uma reunião com o conselho da Fuvest e demos essa dica pra eles sobre algumas melhorias, mas tem muito a ser feito. A Fundação não está na sua melhor conduta com relação à LGPD”.

A despeito dos fatos narrados pela reportagem, a assessoria de imprensa da Fuvest afirmou que “Não houve exposição de dados pessoais dos candidatos, visto que os CPFs encontram-se anonimizados e a lista dos nomes é pública, considerando tratar-se de um vestibular para ingresso em uma universidade pública, que está amparado, principalmente, pelos princípios da impessoalidade, publicidade e transparência. Não houve nenhum incidente de segurança com os dados dos candidatos, pois, se de fato houvesse, a FUVEST teria notificado a ANPD e os candidatos (titulares dos dados), o que não ocorreu, tendo em vista a inexistência de qualquer incidente com o CPF, ressaltando que a ANPD (Autoridade Nacional de Proteção de Dados) é o órgão competente para questionar incidentes de segurança envolvendo dados pessoais ou dados pessoais sensíveis. A FUVEST não tem nenhum vínculo com a CGU, porém, sempre se preocupou com a segurança dos dados fornecidos pelos candidatos, tanto que apenas são divulgados alguns dígitos dos CPFs, que não permitem a identificação e a adoção de tal medida auxilia os candidatos, visto que nunca se recordavam do número da inscrição”.

Ao final, contudo, a assessoria admitiu que “com o cruzamento de todos os dados presentes em bancos de dados, inclusive públicos, é possível encontrar informação de qualquer pessoa, inclusive o CPF de qualquer titular de dados”.

A assessoria de comunicação da Controladoria-Geral da União não respondeu à reportagem.

Créditos da imagem: Governo do Estado de São Paulo.

[Gostou do nosso conteúdo? Siga-nos no Twitter, no Facebook e no Instagram.]

foto do autor

Daniel Ferreira é editor do Pindograma.

leia também

Quatro lições que tiramos do desempenho das pesquisas em 2022

por Daniel Ferreira

O Fim do Fim da História: uma entrevista com Alex Hochuli

por Pedro Siemsen

O que o jeito de falar diz sobre os candidatos a presidente

por Nicolas Figueiredo

Recebeu auxílio emergencial e foi bem na Fuvest? O seu CPF foi exposto

Falta de coordenação entre política de proteção de dados da Fuvest e do governo federal prejudicou pelo menos 3.639 pessoas

POR DANIEL FERREIRA

26/07/2021

Os 3.639 estudantes brasileiros que receberam o auxílio emergencial e passaram para a segunda fase da Fuvest — o vestibular da USP — tiveram seu CPF exposto em fevereiro de 2021, segundo levantamento do Pindograma. O número do CPF é um dado pessoal e, segundo especialistas, sua exposição pela Fuvest é contrária aos princípios da Lei Geral de Proteção de Dados (LGPD).

A exposição se deu da seguinte forma: a lista de convocados à segunda fase do vestibular inclui os primeiros seis dígitos do CPF do candidato. Já o governo federal divulga os dígitos intermediários do CPF de quem recebe programas sociais. A partir do nome da pessoa e dos dígitos do CPF em comum entre as duas listas, é possível obter o CPF completo das pessoas que receberam o auxílio emergencial e foram convocadas para a segunda fase da Fuvest.

A Fuvest negou que tenha havido “exposição de dados pessoais dos candidatos” de sua parte, mas admitiu que “com o cruzamento de todos os dados presentes em bancos de dados, inclusive públicos, é possível encontrar informação de qualquer pessoa, inclusive o CPF de qualquer titular de dados”.

Para Rafael Zanatta, advogado e diretor da Associação Data Privacy Brasil, essa prática da Fuvest “não é exatamente um ilícito, ou um incidente de segurança, de acordo com a LGPD. Mas revela um compromisso muito frouxo com o princípio de segurança previsto no texto [da lei]. Você reidentifica os indivíduos muito facilmente”.

Desde 2011, o governo federal divulga os dígitos intermediários do CPF de servidores públicos, beneficiários de programas sociais e fornecedores de compras públicas. Trata-se de uma medida que permite à sociedade civil e à imprensa monitorar o gasto público. Esses dados permitiram, por exemplo, que fossem denunciados os servidores públicos que solicitaram o auxílio emergencial mesmo sem ter direito ao benefício.

A Fuvest, por outro lado, só começou a divulgar o CPF parcial dos candidatos ao vestibular em 2018, para facilitar a identificação em caso de estudantes com o mesmo nome. No entanto, a universidade parece ter ignorado a forma com que o governo federal já divulgava esse dado, permitindo a exposição do documento de quem constava nas bases de dados federais.

Entre 2018 e 2020, alguns CPFs já haviam sido expostos. No entanto, eram poucos os recipientes do Bolsa Família ou servidores públicos que também prestavam o vestibular da USP. Com o auxílio emergencial, o número de brasileiros com CPFs parciais divulgados pelo governo federal aumentou drasticamente — e com isso, o número de vestibulandos com o CPF exposto cresceu também.

Na prática, o impacto dessa exposição de CPFs é pequeno. Segundo Zanatta, a gravidade deste caso é muito menor do que seria um incidente de segurança que expusesse dados médicos das pessoas. Além disso, o megavazamento de dados de 223 milhões de brasileiros, ocorrido no início de 2021, provavelmente já inclui os CPFs desses 3.639 estudantes. Assim como o resto dos brasileiros, esses estudantes já estão expostos a golpes e fraudes que usam o número do CPF, independentemente da exposição causada pela Fuvest.

Ainda assim, Zanatta afirma que “os candidatos [ao vestibular] poderiam, uma vez incomodados com a possibilidade de serem identificados, podem expor sua oposição diretamente à Fuvest, como poderiam mobilizar a Autoridade Nacional de Proteção de Dados (ANPD) para que desse uma advertência”.

Para ele, “a Fuvest, levando a sério o compromisso de segurança dos dados, poderia substituir o CPF por outro identificador”. Alternativamente, “poderia ter um portal em que você tem a possibilidade de verificar, nome a nome, quem foi aprovado, em vez de ter uma lista”.

Para evitar que casos como esse voltem a acontecer, Zanatta sugere que a ANPD formule um guia nacional de anonimização de dados pessoais que conduza as práticas de entidades como a Fuvest. Segundo ele, “outros países já têm guias de anonimização. Moçambique tem um guia que é ótimo”.

Alternativamente, as universidades brasileiras poderiam tomar a iniciativa de formular regras setoriais de tratamento de dados. Essas regras, uma vez submetidas à ANPD, passariam a ser fiscalizadas pela Autoridade.

Este não é o primeiro caso em que as práticas de proteção de dados da Fuvest são questionadas. Para Zanatta, “o uso de reconhecimento facial na Fuvest é algo bastante controverso. Eles não explicam qual é a empresa que tem acesso aos dados, e não tem o consentimento específico [do candidato]. A gente já fez uma reunião com o conselho da Fuvest e demos essa dica pra eles sobre algumas melhorias, mas tem muito a ser feito. A Fundação não está na sua melhor conduta com relação à LGPD”.

A despeito dos fatos narrados pela reportagem, a assessoria de imprensa da Fuvest afirmou que “Não houve exposição de dados pessoais dos candidatos, visto que os CPFs encontram-se anonimizados e a lista dos nomes é pública, considerando tratar-se de um vestibular para ingresso em uma universidade pública, que está amparado, principalmente, pelos princípios da impessoalidade, publicidade e transparência. Não houve nenhum incidente de segurança com os dados dos candidatos, pois, se de fato houvesse, a FUVEST teria notificado a ANPD e os candidatos (titulares dos dados), o que não ocorreu, tendo em vista a inexistência de qualquer incidente com o CPF, ressaltando que a ANPD (Autoridade Nacional de Proteção de Dados) é o órgão competente para questionar incidentes de segurança envolvendo dados pessoais ou dados pessoais sensíveis. A FUVEST não tem nenhum vínculo com a CGU, porém, sempre se preocupou com a segurança dos dados fornecidos pelos candidatos, tanto que apenas são divulgados alguns dígitos dos CPFs, que não permitem a identificação e a adoção de tal medida auxilia os candidatos, visto que nunca se recordavam do número da inscrição”.

Ao final, contudo, a assessoria admitiu que “com o cruzamento de todos os dados presentes em bancos de dados, inclusive públicos, é possível encontrar informação de qualquer pessoa, inclusive o CPF de qualquer titular de dados”.

A assessoria de comunicação da Controladoria-Geral da União não respondeu à reportagem.

Créditos da imagem: Governo do Estado de São Paulo.

[Gostou do nosso conteúdo? Siga-nos no Twitter, no Facebook e no Instagram.]

foto do autor

Daniel Ferreira

é editor do Pindograma.

leia também

Quatro lições que tiramos do desempenho das pesquisas em 2022

por Daniel Ferreira

O Fim do Fim da História: uma entrevista com Alex Hochuli

por Pedro Siemsen

O que o jeito de falar diz sobre os candidatos a presidente

por Nicolas Figueiredo

newsletter

Para receber notificações de novas matérias,

digite seu email:

(e aperte enter!)