A era do fichamento generalizado
Em nome do roubo de identidade (que vitima algumas centenas de pessoas por ano), o governo francês autorizou a criação de um mega-arquivo com os dados, especialmente biométricos, de todos os titulares de carteira de identidade ou passaporte. Despercebida no cenário de segurança atual, essa decisão lança pesadas ameaças sobre as liberdades individuais
Criada por simples decreto no dia 28 de outubro de 2016, em pleno estado de emergência, o banco de dados de títulos eletrônicos seguros (TES) é a concretização de um projeto muitas vezes rejeitado em nome das liberdades individuais: a informatização dos dados biométricos de toda a população.1 Esse mega-arquivo funde e aperfeiçoa dois repertórios administrativos existentes: o dos arquivos de pedidos de passaporte biométricos (29 milhões em janeiro de 2017) e o arquivo nacional de gerenciamento de carteiras de identidade (59 milhões emitidos desde 2004). Assim, nome, sobrenome, data e local de nascimento, sexo, filiação, cor dos olhos, altura, endereço, imagem digitalizada do rosto, impressões digitais e assinatura de cada indivíduo, todas essas informações vêm sendo centralizadas e armazenadas há duas décadas (quinze anos para os menores). “Essa exaustividade e a sensibilidade dos dados biométricos trazem um risco de uso indevido”, declarou Isabelle Falque-Pierrotin, presidenta da Comissão Nacional Informática e Liberdade (Cnil), em audiência no Senado em 17 de novembro de 2016.
A biometria serve a dois propósitos distintos: autenticação e identificação. A autenticação tem o objetivo de determinar se uma pessoa é quem diz ser. Para isso, comparam-se seus dados biométricos com aqueles previamente coletados de forma controlada durante o pedido do título. Se as informações não coincidirem, o indivíduo tem outra identidade, mas não se sabe qual. A identificação, por sua vez, tem o objetivo de encontrar a identidade associada a um traço biométrico coletado em uma cena de crime ou, por exemplo, em uma pessoa amnésica. Compara-se o referido traço ao conjunto dos dados biométricos contidos em um banco de dados de referência e, se aparecer uma correspondência, a identidade da pessoa é revelada. Há duas décadas, o risco de um arquivo administrativo criado para fins de autenticação ser usado como banco de dados policial para fins de identificação é o motivo da recusa da criação de um arquivo biométrico centralizado. Foi o que aconteceu, por exemplo, em 2012, quando o Conselho Constitucional censurou um projeto anterior de modernização do Arquivo Nacional de Gestão (FNG, na sigla em francês) das carteiras de identidade.2 Embora o arquivo TES não permita identificar uma pessoa por meio de suas impressões digitais, esse tipo de funcionalidade poderia ser desenvolvido sem dificuldade.
Papéis e números
A preeminência da abordagem securitária nos faz esquecer os perigos de uma identificação rígida e centralizada, descartando outras soluções que respeitam mais as autonomias individuais. Para entender o problema, é necessário voltar um pouco na história. Durante muito tempo, a identificação baseou-se na oralidade e nas relações interpessoais cara a cara. No caso Martin Guerre, uma vítima de roubo de identidade julgada em Toulouse em 1560, foram consultadas trezentas pessoas, das quais 280 declararam que o usurpador não era Martin Guerre. Com o aumento da mobilidade das populações e a afirmação do poder estatal, apareceram, no século XIX, as identidades de papel com o nome patronímico. No final do século XX, o uso da informática levou à diferenciação de dois principais métodos de identificação: a numeração e a biometria, que garante o reconhecimento de um indivíduo com base em certas características corporais (tamanho, cor dos olhos etc.).
Foi dentro das instituições fundadas na obediência, como a prisão e o exército, que se impôs a prática da identificação numerada. O exemplo paroxístico é o dos campos de concentração nazistas, onde o número tatuado no braço tinha o objetivo de promover uma despersonalização integral. Junto ao nome patronímico, os Estados usam a numeração de suas populações como forma de certificar a identidade. Na França, a criação de um número de identidade nacional remonta a 1940-1941. Ela atendeu a objetivos patrióticos e militares ocultos ao ocupante. Mais tarde utilizado pelo Estado de bem-estar e pela Seguridade Social, esse número logo se impôs como uma necessidade de gestão.
No início da década de 1970, a informatização do diretório de números do Instituto Nacional de Estatística e Estudos Econômicos (Insee) levantou uma polêmica: com base nesse número único disponível para todos os arquivos, seria possível interconectar diversos arquivos informatizados relativos a um indivíduo. Essa luta resultou na nomeação de uma comissão consultiva, bem como na votação, em 1978, de uma lei que deu origem à Cnil. Seu princípio: criar obrigações para quem arquivava os dados, além de direitos para as pessoas cujos dados eram arquivados.
Assim como a história da numeração, a da biometria tem como principais atores o Estado e a população. No último terço do século XIX, a identificação judicial serviu de laboratório para experimentar técnicas de reconhecimento: medidas corporais, coleta de impressões digitais. A criação, em 1912, de uma caderneta antropométrica para as populações nômades marcou uma data importante: ela atribuiu a famílias inteiras um documento de identificação até então reservado a prisioneiros e criminosos.3 As administrações coloniais também a impuseram às sociedades indígenas. Por meio de um cartão de identidade, a identificação administrativa se estendeu e logo passou a abranger as “pessoas de bem”. Primeiro os estrangeiros, em 1917, depois os habitantes do departamento do Sena, em 1921. Foi graças à derrota de 1940 que o governo de Vichy criou uma carteira de identidade obrigatória. Suprimida no fim da guerra, ela foi restabelecida em 1955, no início dos “eventos da Argélia”, mas permaneceu facultativa e significou apenas o desenvolvimento de arquivos de papel gerenciados em escala departamental. Em 1969, 75% da população tinha essa identidade.
O primeiro projeto de informatização da carteira de identidade data de 1980. Questionado no ano seguinte pelo novo governo socialista, ele retornou em 1986, com a proposta de um “cartão nacional seguro” centralizado e, principalmente, com a criação do Arquivo Nacional de Gestão, que pode ser consultado em tempo real pela polícia e pela gendarmaria em qualquer ponto do território. Rejeitada várias vezes, a informatização dos dados biométricos da população voltou à ordem do dia no contexto securitário pós-11 de Setembro de 2001. De um lado, os Estados Unidos passaram a exigir, para a entrada em seu território, um passaporte biométrico seguro legível por uma máquina. De outro, os sucessivos governos franceses multiplicaram as leis que convertem tecnologias de informação e comunicação em tecnologias de controle. O número de arquivos policiais aumentou de 35, em 2006, para 80, em 2015. E os propósitos mudaram. Assim, o mega-arquivo Sistema de Tratamento de Infracções Gravadas (Stic), criado para fins de investigações judiciais, foi sendo progressivamente utilizado para inquéritos administrativos de moralidade, em 2001; para a instrução de pedidos de nacionalidade francesa, em 2003; e para investigar pessoas candidatas a cargos públicos, em 2005. O mesmo ocorre com o Arquivo Nacional de Impressões Genéticas (Fnaeg), criado em 1998 para os criminosos sexuais reincidentes, estendido em 2003 para os autores das infrações mais banais e transformado em 2016 em um “arquivo genético das pessoas de bem”.4
O legislador esqueceu a história. Durante a Segunda Guerra Mundial, dezenas de milhares de pessoas só conseguiram escapar porque mudaram sua identidade utilizando documentos falsos.5 Seu destino teria sido selado se alguns governantes da década de 1930 tivessem adotado o quadro de pensamento dos dirigentes atuais. Em um relatório oficial publicado em 1975, um alto funcionário relatou um episódio cheio de lições: “Uma equipe de jovens turcos da qual eu participava desenvolveu, em 1938, um projeto extraordinário de cartão de identidade obrigatório dos franceses com mais de 16 ou 18 anos; na época, seria um inegável progresso, dados os meios limitados de que a polícia dispunha para lutar contra a criminalidade. No momento de apresentar o decreto para a assinatura do ministro, o secretário-geral do Ministério do Interior desistiu, declarando que, decididamente, ‘aquilo não cheirava bem’. Se Jean Berthoin tivesse ‘menos faro’ e se deixasse convencer por seus espertos colaboradores, o que teria sido da Resistência, dois anos depois, já que os alemães, assim que entraram em Paris, tiveram naturalmente a maior pressa em assumir o controle do arquivo central de identidade dos franceses?”.
Para sair dessa lógica, duas abordagens oferecidas por uma informática descentralizada que respeita as liberdades abrem perspectivas particularmente interessantes. A primeira, chamada “privacidade desde a concepção” (privacy by design), incorpora o respeito às informações pessoais e às autonomias individuais desde a fase de concepção dos sistemas informacionais. Estes retêm apenas os dados estritamente necessários para o tratamento planejado: por exemplo, as empresas de transporte público não têm nenhuma necessidade de manter as fotografias dos passageiros após imprimir seus cartões de passe. Eles também mantêm essas informações mais próximas das pessoas (e não em bancos de dados), ou, pelo menos, condicionam a possibilidade técnica de exploração remota dos dados a uma ação positiva (um acordo consciente e informado) necessária para desbloquear o acesso a esses dados.
A segunda abordagem, chamada “privacidade por padrão” (privacy by default), implica que um sistema informacional seja sempre inicialmente parametrizado para ser o menos intrusivo possível. Cabe então ao próprio usuário retirar algumas das proteções, de acordo com os serviços que deseja usar.
Essas duas abordagens, desenvolvidas na esfera norte-americana,6 são recomendadas por todas as autoridades europeias de proteção de dados. O futuro Regulamento Europeu sobre Proteção de Dados Pessoais obriga os responsáveis pelo tratamento de dados a usá-las, mesmo que isso contrarie os interesses dos governos e das empresas.
A fim de limitar a capacidade de regimes autoritários realizarem “perseguições em massa assistidas por computador”, os elementos de identificação de cada pessoa devem permanecer inacessíveis às autoridades de forma centralizada. O princípio da retenção dos dados biométricos pelos próprios usuários deve se tornar regra para evitar sua centralização em um banco de dados. Isso já foi feito para os passaportes biométricos, que incorporam os dados biométricos das pessoas em um chip inserido no documento, sendo esses dados “assinados” por meio de uma chave de criptografia que apenas o Estado possui. Mas essas informações também estão replicadas no banco de dados centralizado TES – é importante removê-los. Para que ninguém possa construir esses arquivos por meio de verificação cruzada, nenhum serviço público deve manter dados biométricos de autenticação, como as fotografias das pessoas, dentro de seus sistemas de informação.
Contornar o Estado
De modo mais geral, o surgimento de técnicas de criptografia robustas e fáceis de usar, como a criptografia digital de chave pública,7 deve fazer que se repense em profundidade a questão da identidade dos indivíduos e dos meios para garanti-la. O papel atual do Estado como autoridade de emissão dos títulos assenta em sua suposta capacidade de garantir a identidade dos requerentes. Mas é possível considerar outros sistemas mais descentralizados, nos quais os familiares de uma pessoa atestariam essa identidade “assinando” criptograficamente os documentos de seus conhecidos. Esse tipo de mecanismo já é utilizado por usuários de criptografia para “assinar” as chaves de seus conhecidos e, assim, aumentar seu nível de confiança para terceiros. Esse tipo de arquitetura significaria voltar aos fundamentos da identidade como conhecimento compartilhado pelos membros de uma comunidade. Ela poderia evitar o uso de informações biométricas, que é delicado porque não pode ser revogado. No entanto, teria como principal inconveniente dificultar a criação de documentos falsos, já que são necessárias várias pessoas para garantir o detentor do título de identidade e se expor junto com ele.
A irrupção das tecnologias digitais deve fazer que se reconsidere o equilíbrio entre liberdade e segurança. Como mostra a história, as barreiras legais revelam-se ainda mais frágeis quando o poder que proíbe uma ação pode ser substituído amanhã por outro que a autorize. Trata-se, portanto, de repensar em profundidade o conjunto dos processos administrativos concebidos em uma época na qual os meios digitais não existiam. As capacidades de processamento cada vez maiores e a coleta maciça de dados geram mais controle sobre as pessoas. Elas tornam necessária uma nova arquitetura dos sistemas de gestão da identidade e salvaguardas contra a perspectiva de convulsões históricas, como as que as sociedades modernas já conheceram.
*François Pellegreni e André Vitalis são, respectivamente, professor de Informática da Universidade de Bordeaux e professor emérito de Ciências da Informação e Comunicação da Universidade Bordeaux Montaigne, na França.