Vigilância turbinada

O Ministério da Justiça e Segurança Pública licenciou o uso do Clearview, um controverso software de reconhecimento facial, para servir na expansão do Projeto Excel, um também controverso sistema de vigilância focado na extração de dados de celulares.

É a combinação inédita de dois sistemas duramente criticados por violar a privacidade das pessoas – um oferecimento do governo Bolsonaro que Lula decidiu continuar.

O Excel foi criado em 2020 pela Seopi, a Secretaria de Operações Integradas do Ministério da Justiça – a mesma responsável por outros projetos de vigilância e pelo dossiê antifascista, um escândalo na gestão de Sergio Moro. O licenciamento do Clearview pelo MJ teve início em setembro de 2022, no fim do governo Bolsonaro, mas foi concluído em 2023, já na gestão Lula, segundo documentos ao qual o Intercept Brasil teve acesso.

O Clearview é um sistema de reconhecimento facial que usa uma base de fotos raspada em toda a internet, incluindo imagens coletadas em redes sociais sem autorização. Sua chegada para turbinar o Excel se deu mesmo depois que o controverso projeto entrou na mira do Ministério Público Federal.

Após uma reportagem do Intercept de março de 2022 revelar que o MJ estava emprestando suas ferramentas de extração às polícias estaduais em troca dos dados extraídos, ONGs provocaram o MPF, que em dezembro daquele ano ajuizou uma ação civil pública contra o Projeto Excel.

Na ação, o MPF pedia que o governo brasileiro suspendesse imediatamente o armazenamento e compartilhamento de dados de investigações policiais obtidos por meio do Projeto Excel e que destruísse as bases de dados em seu poder. O pedido foi considerado improcedente em primeira instância, o que gerou um recurso do MPF, que aguarda julgamento desde 2023.

Mas enquanto o MPF agia para frear o Projeto Excel, o MJ atuava na contramão: turbinando o sistema de vigilância com a contratação do Clearview, que tinha muito interesse em operar no Brasil, conforme nós mostramos em 2023.

Em um termo de referência de maio de 2023, a Diopi, a Diretoria de Operações Integradas e de Inteligência da Secretaria Nacional de Segurança Pública, ao qual a Seopi é subordinada, descreveu que a solução a ser contratada deveria “possibilitar pesquisas por imagens em mídias sociais com retorno de perfis que tenham faces semelhantes ao referencial inserido”. O valor estimado para a contratação foi de R$ 2,5 milhões para uso em oito máquinas da solução por um período de três anos.

“A solução deverá atender às demandas relacionadas à expansão do Projeto Excel, integrante do PACCO [programa de combate ao crime organizado], visando apoiar às agências de inteligência de segurança pública que aderiram formalmente o projeto, bem como os cinco centros integrados de inteligência e segurança pública (Rede CIISP) no enfrentamento às organizações criminosas”, diz o documento. Até o início de 2022, 26 estados já haviam aderido ao projeto.

No documento, a Diopi se descreve como “protagonista” de um movimento para proporcionar “melhor aparelhamento tecnológico das instituições que atuam direta ou indiretamente no combate à corrupção e à criminalidade”. As principais ferramentas utilizadas no Projeto Excel são os softwares da empresa israelense Cellebrite, notória por desenvolver programas forenses e de espionagem utilizados em 150 países.

‘O modelo de negócios da Clearview por si só já é contra a LGPD’.

A Cellebrite fornece diversas soluções – há softwares que permitem extração de dados de computadores, celulares e armazenados na nuvem, e também ferramentas que permitem o cruzamento e integração desses dados.

Mas, com a evolução tecnológica, veio a demanda por uma ferramenta que complementasse as soluções que o MJ já usava no Excel, combinando as informações extraídas dos celulares e programas de reconhecimento facial. “Ao recuperar dados de um dispositivo móvel, por vezes torna-se necessário o enriquecimento da informação a partir de imagens. Com as imagens, são identificados os perfis em mídias sociais de alvos integrantes de organizações criminosas”, diz o MJ no termo de referência.

Foi aí que entrou a Clearview, um sistema de reconhecimento facial amparado em uma base de dados com fotos coletadas em toda a internet. O que torna a tecnologia singular é que ela se baseia na varredura e raspagem de imagens de tudo quanto é lugar –  sites de notícias, fotos de eventos como shows e manifestações, e redes sociais públicas. Tudo sem autorização dos fotografados, é claro. Quando um rosto é detectado, ele é capturado e alimenta um banco de dados que hoje já conta com mais de 20 bilhões de imagens de pessoas, segundo a empresa.

O Clearview já foi proibido em vários países europeus. Tendo como base a GDPR, a Lei Geral de Proteção de Dados europeia, órgãos reguladores avaliam que seria preciso consentimento dos usuários para processar fotos, que são consideradas dados pessoais sensíveis. Até a Meta, Youtube, Twitter e Linkedin já exigiram que a empresa parasse de raspar imagens de seus usuários.

No Brasil, que tem uma lei de proteção de dados similar à da Europa, é Clearview é visto como potencialmente ilegal por especialistas. “O modelo de negócios [da Clearview] por si só já é contra a LGPD”, disse ao Intercept Pedro Saliba, coordenador de assimetrias e poder da Data Privacy Brasil. O fato de a empresa ter treinado inicialmente a IA e o sistema de reconhecimento facial utilizando o rosto de pessoas sem nenhum consentimento delas, para ele, “anula qualquer tipo de conformidade com a LGPD”.

Além disso, embora a Clearview diga que possui um banco de dados com bilhões de fotos, isso não é suficiente para atestar sua capacidade no mercado acima das concorrentes, explicou o professor de Ciências da Computação da Universidade de Brasília, Flávio Vidal. Segundo ele, o software da Clearview não está nas melhores posições do ranking do Institute of Standards and Technology (NIST), índice que avalia tecnologias de reconhecimento facial.

“A minha pergunta é: por que eles contrataram a Clearview e não foram atrás de outras empresas que estão no top 1 do NIST e que, teoricamente, respeitam a Lei Geral de Proteção de Dados (LGPD)?”, questiona Vidal. O professor lembra que a Clearview só começou a participar do teste do NIST porque foi questionada publicamente, depois do vazamento de dados em 2020.

Concorrência de um concorrente só

A contratação foi selada em outubro de 2023, quando o Ministério da Justiça e Segurança Pública realizou um pregão para contratar uma solução de reconhecimento de padrões em bases abertas. Só uma empresa apresentou proposta: a Inspect Inteligência e Tecnologia LTDA, com sede em Belo Horizonte. A Inspect tem como sócia a Hex360, uma empresa de tecnologia que já recebeu mais de R$ 35 milhões em recursos do governo federal.

Na proposta, à qual o Intercept teve acesso, a Inspect oferecia oito licenças para o software Clearview Basic por um período de 36 meses, além de garantia e assistência técnica, por um valor de R$ 2 milhões. Uma nota fiscal anexada a um processo de compra da ferramenta por parte do Senado (leia abaixo) foi emitida em fevereiro de 2024, com o valor integral.

Segundo Bianca Berti, analista sênior de transparência e integridade na Transparência Brasil, não é ilegal que o pregão seja concluído com apenas um interessado, mas é importante se atentar para as razões para que isso ocorra. Segundo ela, caso o edital e o termo de referência demonstrem indícios de que o objeto que se deseja contratar seja uma tecnologia proprietária específica, fornecida por apenas uma empresa, não existem condições necessárias para garantia da ampla concorrência.