Dados pessoais de cerca de 28 mil candidatos que buscaram o apoio financeiro do Programa de Incentivo à Cultura do Estado de São Paulo (o Proac), da Secretaria da Cultura e Economia Criativa, estão abertos na internet, expondo fotocópias de documentos como carteira de identidade e CPF, comprovante de endereço e telefone, além das propostas apresentadas desde 2015.
O Proac é considerado um dos melhores mecanismos de incentivo à cultura no Brasil, implementa políticas públicas para ampliar o acesso aos bens culturais e promove o acesso a produções de pequeno porte. Residentes no estado de São Paulo há pelo menos dois anos que comprovem atuação na área cultural no mínimo pelo mesmo período podem se inscrever no site do programa para concorrer a verbas da Secretaria de Cultura, para captar fundos junto a empresas contribuintes de ICMS por meio de incentivo fiscal.
Os proponentes devem enviar os documentos e os projetos ao sistema, que salva os arquivos com um número identificador. Reside aí a falha. Cada candidato tem dois identificadores, nesse caso, uma ordem sequencial e previsível, que permite que o link de download seja reconhecido e os arquivos baixados da plataforma. Ou seja, mudando a sequência, é possível acessar os dados dos quase 30 mil inscritos.
Embora tenha descoberto a falha no ProAC, o Congresso em Foco decidiu não publicar o link para evitar a exposição das informações privadas. Ao todo, são mais de 56 mil links ativos. Neles estão documentos pessoais e as íntegras das propostas. A Secretaria estadual de Cultura ainda não se manifestou sobre o caso.
Falha do Estado
O erro de programação na página do Proac expõe uma falha do Estado no dever de zelar pelas informações sob sua custódia e deixa milhares de pessoas vulneráveis à ação de criminosos. Esses dados pessoais são protegidos atualmente pela Constituição e pela LAI, a Lei de Acesso à Informação.
“A exposição desses dados por erros de programação, de protocolos inseguros, de armazenagem e de acesso causa dano à privacidade e cria vulnerabilidades para outros danos como o roubo de identidade usados em fraudes financeiras”, afirma o advogado Danilo Doneda, professor de Direito Civil no IDP (Instituto Brasiliense de Direito Público) e um dos responsáveis pelo texto da Lei Geral de Proteção de Dados (a LGPD), que reforça o veto à divulgação de informações pessoais na internet.
