Ata revela ‘consultas irregulares’ em sistemas de vigilância do Ministério da Justiça

A ata de uma reunião realizada em 5 de março de 2024 pelo Comitê de Governança de Dados e Sistemas de Informação (CGDI) do Ministério da Justiça e Segurança Pública (MJSP) revela que o ministério identificou “consultas irregulares” nos sistemas de vigilância Córtex e Sinesp, poderosas plataformas de dados sob o comando da Secretaria Nacional de Segurança Pública (Senasp).

Além disso, servidores da pasta relataram ter identificado “compartilhamento com organizações criminosas” de credenciais de acesso aos sistemas de vigilância do próprio MJSP, segundo documento obtido pela Agência Pública via Lei de Acesso à Informação (LAI).

O sistema Córtex permite que cerca de 55 mil usuários no país vigiem e sigam “alvos móveis”, tanto carros quanto pessoas, por ruas, avenidas e até em ônibus de transporte público. Não é necessário apresentar qualquer justificativa para o monitoramento. O sistema fica sob controle da área de inteligência do MJSP, a Diretoria de Operações Integradas e de Inteligência (Diopi), e nos setores congêneres de inúmeros órgãos espalhados pelo país, como as polícias Civil e Militar e as guardas municipais.

O acesso ao Córtex não é acompanhado pelo Ministério Público nem pelo Judiciário, pois ocorre fora de inquéritos policiais ou de processos judiciais. O MJSP já argumentou que a responsabilidade pelo uso do sistema cabe aos próprios órgãos que o utilizam. Já o Sistema Nacional de Segurança Pública (Sinesp) permite consultas “operacionais, investigativas e estratégicas” e inclui dados sobre armas, munições, material genético (como amostras de DNA), digitais e entorpecentes.

Após reportagens da Pública de outubro de 2024, a principal organização não governamental na área dos direitos digitais no Brasil, a Coalizão Direitos nas Redes (CDR), emitiu nota para condenar o uso do Córtex e sua atual gestão como “uma violação sistemática à proteção de dados pessoais”.

Segundo a coalizão, o sistema “promove a vigilância massiva”, “predatória” e “irrestrita” e “avança nos caminhos de potencializar a violência de Estado e repressão política no Brasil”, pois “cria possibilidades de perseguição a jornalistas, defensores de direitos humanos, militantes e ativistas de movimentos sociais, assim como agentes políticos em um país que vive cada vez mais violência dessa ordem”.

Comitê identificou uso irregular de credenciais, inclusive por organizações criminosas

Em setembro de 2023, o MJSP publicou uma portaria que criou um grupo de trabalho (GT) com o objetivo de “estabelecer os procedimentos a serem adotados em casos de consultas irregulares nos sistemas gerenciados pela Senasp”. O secretário responsável pela Senasp, por meio da qual operam o Córtex e o Sinesp, é o ex-procurador-geral de Justiça de São Paulo Mário Sarrubbo, nomeado pelo ministro Ricardo Lewandowski no primeiro trimestre do ano passado.

Na reunião do CGDI ocorrida em 5 março de 2024, o GT, coordenado pelo servidor do MJSP Armando Slompo, apresentou os primeiros resultados do levantamento. Um dos membros do GT, o servidor Flávio Soares, confirmou na reunião as irregularidades em acessos ao Córtex e ao Sinesp: “[…] Tendo em vista casos anteriores semelhantes que o GT vem identificando mais recentemente, em que de fato não foi só um comprometimento em razão de vazamento de credencial, mas sim o uso da credencial em consultas irregulares, inclusive através de compartilhamento com organizações criminosas”. Segundo Soares, em “uma situação anterior mais recente” o grupo “encaminhou [o caso] para a Polícia Federal”. 

De acordo com o coordenador do GT, as metas do grupo eram “definir e qualificar os incidentes, que seriam essas consultas irregulares [e] elaborar um fluxograma do processo de tratamento dos incidentes”. Na mesma reunião, Slompo explicou a necessidade de estabelecer um fluxo de procedimentos a partir da constatação de qualquer “consulta irregular” no Córtex e no Sinesp. 

Outro servidor do MJSP presente à reunião, Muller Borges, perguntou se, uma vez constatada uma consulta irregular, “em algum momento do fluxo a pessoa será comunicada sobre a violação de seus dados pessoais”.

Slompo argumentou então que “comunicar diretamente ao usuário pode vir a prejudicar as investigações”, enquanto Soares disse que “a intenção é comunicar às áreas de Inteligência ou mesmo às unidades superiores do MJSP para que seja avaliado se de fato vai haver a necessidade ou não de uma comunicação a esse usuário”.

Pela mesma justificativa, o GT “opta por encaminhar esses incidentes para as unidades superiores do ministério, para que seja verificado se vai encaminhar para a PF, se de fato foi uma questão apenas de vazamento de uma credencial e o usuário não estava envolvido [na irregularidade]”, afirmou o coordenador.

“Comunicar diretamente seria uma preocupação do grupo como um todo, porque pode ser que haja outras situações que o GT desconheça. O GT apenas identifica que há um incidente em algumas das ferramentas, basicamente Sinesp e Córtex. E a partir daí, pede para que sejam verificadas quais providências serão tomadas”, disse Slompo na reunião, e concluiu: “Julgar se é um crime ou não, não cabe à Senasp. Esse foi o entendimento do grupo”.

Ministério da Justiça admite consultas irregulares, mas nega uso pelo crime organizado

Procurado pela Pública, o Ministério da Justiça reconheceu que o GT identificou “alguns incidentes de consultas irregulares, incluindo o uso indevido de credenciais por servidores”, sem citar o número de casos. “Com relação ao Córtex, os mecanismos de segurança implementados permitiram identificar consultas irregulares por meio de uso robotizado, utilizando credenciais de servidores do sistema”, informou o MJSP.

Sobre o Sinesp, o ministério disse que “a maioria dos incidentes de perda de credenciais [ocorreu] por inobservância de procedimentos de segurança por parte do usuário” e que “as credenciais identificadas foram revogadas e os usuários notificados por meio do ponto focal”. “Além disso, as consultas que possuíam indícios de crimes foram encaminhadas para análise e investigação dos órgãos competentes, sendo que a investigação policial compete às polícias judiciárias da União e dos Estado.”

Quanto a ambos os sistemas, contudo, o MJSP negou que organizações criminosas tenham se beneficiado dos vazamentos. No caso do Sinesp, segundo a pasta, “não foram encontradas evidências de compartilhamento destas credenciais com organizações criminosas ou vazamento de suas bases de dados”. Já em relação ao Córtex, a pasta afirmou que “não há indicativo que os acessos foram compartilhados com organizações criminosas”.

“Vale ressaltar que o controle e monitoramento sempre foi realizado pela Secretaria, identificando consultas irregulares, bloqueando perfis de usuários, registrando situações sensíveis e comunicando órgãos e setores responsáveis para apuração”, disse o MJSP.

A reportagem pediu ao MJSP a íntegra do relatório de conclusão do GT, mas o ministério não compartilhou o material. A pasta elencou, entre os resultados do GT, a definição de “critérios para categorizar e definir incidentes decorrentes de consultas irregulares, incluindo casos de uso inadequado de credenciais”, a criação de “um fluxo detalhado para o tratamento de incidentes, com etapas definidas para detecção, análise, resposta e documentação” e de um “guia de Gestão de Incidentes de Segurança”, além da inserção de um “pacote de segurança” específico para o sistema Sinesp.

A Pública apurou que o ministério avalia fazer uma ampla reformulação no Córtex, mas os detalhes ainda não foram divulgados.

Pelo menos 1 milhão de consultas no governo Bolsonaro

O CGDI é formado por servidores representantes de 17 órgãos e setores sob o comando do MJSP, incluindo as polícias Federal (PF) e Rodoviária Federal (PRF), a Senasp e o Conselho Administrativo de Defesa Econômica (Cade), entre outros. Atualmente, o comitê possui 33 membros e se reúne mensalmente para discutir e aprovar a “celebração de atos para captação ou compartilhamento de bases de dados e demais ativos de informação” para o MJSP.

O material consultado pela Pública, porém, mostra que a atuação do CGDI é quase sempre protocolar, sem o aprofundamento do debate a respeito da legalidade e da necessidade do acesso às bases de dados oferecidas por outros órgãos, como prefeituras municipais – para ter acesso ao Córtex, o órgão precisa oferecer uma contrapartida. De modo geral, as propostas de acordos trazidas para discussão são brevemente apresentadas aos integrantes do comitê e, quase sempre sem objeções, acabam aprovadas por unanimidade.

Foi em uma reunião do CGDI que, em janeiro de 2023, no início do governo Lula 3, o então responsável por implantar e expandir o sistema Córtex na máquina federal, o major da Polícia Militar de São Paulo Eduardo Fernandes, participou da reunião mensal do comitê relatando dados provenientes do uso do sistema de vigilância durante o governo de Jair Bolsonaro (2019-2022).

O resultado do uso do Córtex, segundo Fernandes, era de “1 milhão de pesquisas, mais de 350 ACTs [Acordos de Cooperação Técnica] firmados, 17.190 pessoas presas através do cruzamento de dados, integração do Córtex com o Alerta Brasil, da PRF [Polícia Rodoviária Federal], que cobre 100% da malha do país inteiro”.

Meses depois, o major da PM migrou para a secretaria estadual de Segurança Pública do governo Tarcísio de Freitas (PL) em São Paulo, onde se tornou o responsável pela criação de uma espécie de sistema Córtex estadual – o Muralha Paulista.