Sumário:
1. Antecedentes.
2. Solicitações de acesso à informação:
a) Tecnologias consultadas;
b) Solicitações apresentadas.
3. Principais achados:
a) Sobre os processos de aquisição (contratos);
b) Sobre a avaliação de impacto em direitos humanos;
c) Sobre a coleta e o processamento de dados;
d) Sobre o papel das empresas privadas.
4. Conclusões.

1. Antecedentes

Já há alguns anos, El Salvador vem tentando regulamentar o uso de novas tecnologias em certas áreas da vida econômica, social e cultural. 

Um exemplo desse esforço é a aprovação, em 2011, da Lei de Acesso à Informação Pública, que contém um capítulo dedicado à proteção dos dados pessoais de usuários obtidos pela Administração Pública por meio dos sistemas informáticos de gestão do acesso a serviços públicos. Nessa mesma linha, foi aprovada a Lei da Assinatura Eletrônica em 2015, a Lei do Comércio Eletrônico em 2019 e, em meio à pandemia, a Lei de Teletrabalho em 2020. 

Em 22 de abril de 2021, a Assembleia Legislativa (gestão Maio/2018 – Abril/2021) aprovou a Lei de Proteção de Dados Pessoais e a Lei de Criação da Autoridade Nacional Digital. Logo após, contudo, em 07/05/2021, ambas leis foram vetadas pelo presidente Nayib Armando Bukele, que justificou o seu ato com base nos seguintes argumentos: sua inconveniência, decorrente da suposta falta de harmonia entre a lei de proteção de dados e o marco jurídico atual, a falta da expertise técnica necessária para constituir a Autoridade Nacional Digital e, por fim, ausência de previsão orçamentária para implementar os insumos das referidas Leis. Da mesma maneira, Bukele declarou que seu veto à lei de criação da Autoridade Nacional Digital decorreu da constatação de sua inconstitucionalidade pois, de acordo com o presidente, a referida lei violaria os princípios do planejamento e do equilíbrio orçamentário, pois “sua implementação exige o cumprimento de certos aspectos técnicos e financeiros que carecem de fontes de financiamento”.  

De todo modo, nenhuma dessas leis e projetos de lei é capaz de regular adequada e suficientemente a aquisição, o uso e o controle dos softwares de dados biométricos, câmeras de segurança e outras ferramentas informáticas para a detecção de pessoas; nem tampouco, de forma explícita, a administração dos dados pessoais que o Estado pode obter por meio de tais insumos ou ferramentas. 

Há alguns anos, a Administração Pública salvadorenha vinha investindo na aquisição de recursos tecnológicos para melhorar a prestação dos serviços públicos em múltiplas áreas de funcionamento como, por exemplo, agilizar a coleta de dados na gestão de documentos pessoais, aprimorar o controle da jornada de trabalho de servidores públicos e, até mesmo, ampliar as possibilidades de identificação das pessoas. 

Atualmente, tem crescido o interesse em elevar esse investimento a fim de adquirir ou desenvolver maior número de recursos tecnológicos com capacidades de vigilância durante e após a pandemia, e não apenas no que se refere a assuntos sanitários. Houve, por exemplo, a aquisição de software de dados biomédicos ou reconhecimento facial. 

No transcurso da pandemia, as autoridades de segurança salvadorenhas prepararam-se para implementar um dos Memorandos assinados em conjunto com os Estados Unidos  em 2019 sobre assuntos migratórios, em específico, o que regula o compartilhamento de informação biométrica e de outros dados pessoais. Além disso, como estratégia de contenção do vírus e atendimento aos pacientes contagiados, as autoridades de saúde investiram em equipamentos tecnológicos com capacidade de reconhecimento facial para uso do Hospital El Salvador, construído exclusivamente para a COVID-19. Esse tipo de software de reconhecimento facial também teria sido utilizado na realização do exame acadêmico AVANZO, exigido para estudantes do último ano do ensino médio em nível nacional. Como as aulas continuaram ocorrendo por meio virtual, o Estado decidiu implementar um programa de entrega de computadores portáteis a estudantes do sistema público de educação; sendo que tais computadores contém um software de segurança que permite rastrear sua localização, mesmo com o aparelho desligado. 

Houve investimentos para a aquisição de câmeras de segurança, estando ainda prevista a aquisição de um maior número de câmeras, bem como de outras ferramentas para detectar a presença de pessoas. Na área da saúde, vários hospitais nacionais foram equipados com câmeras de segurança. Na área da segurança pública, foram utilizados drones para identificar e deter pessoas que tentavam entrar no território nacional por “pontos cegos” (lugares sem controle migratório ou alfandegário), durante o período de fechamento das fronteiras decorrente do isolamento social obrigatório. Em síntese, o Estado anunciou um grande investimento para a compra de tecnologias de vigilância para iniciar a Fase 3 do Plano de Controle Territorial, que é o atual plano de segurança pública. Essa tecnologia se soma a já existente, cujo uso está isento de regulamentação legislativa na atualidade e pode ensejar a promoção de dinâmicas autoritárias. 

Finalmente, esse contexto também gerou uma multiplicação na construção de bases de dados que contém informações pessoais. Essas bases de dados foram utilizadas para o atendimento à saúde na pandemia e para mitigação dos seus efeitos socioeconômicos. A fim de mitigar os efeitos do isolamento social obrigatório, o Estado destinou o valor de $300 a 1,5 milhões de famílias, selecionadas a partir do cruzamento de informação de múltiplas variáveis socioeconômicas. Da mesma maneira, dentro dos programas de vacinação e de telemedicina para atendimento a pacientes com suspeita de contágio ou contagiados, as autoridades criaram inúmeros bancos de dados pessoais, cuja proteção e uso adequado deveria ser prioritário. 

2. Solicitações de acesso à informação

a) Tecnologias consultadas 

Nas solicitações de acesso à informação apresentadas, foram requisitadas informações sobre 3 tipos de recursos tecnológicos com capacidades de vigilância e monitoramento da população: softwares e aplicativos de informática, equipamentos e infraestrutura de câmeras de vídeo para segurança e monitoramento e, por fim, bases de dados pessoais e estatísticas. 

b) Solicitações apresentadas

Por meio de solicitações efetuadas com base na Lei de Acesso à Informação Pública (LAIP), foram requisitadas informações a 12 (doze) instituições públicas sujeitas aos efeitos da referida lei, a fim de obter documentação que esclarecesse sua abrangência, desde o processo inicial de contratação das tecnologias até sua etapa final, relativa aos responsáveis pela guarda e manutenção das informações coletadas. Dessa forma, em 12/10/2021, foram solicitadas informações às seguintes instituições:

• Ministério da Justiça e Segurança Pública (MJSP)
• Ministério da Saúde (MINSAL)
• Ministério da Economia (MINEC)
• Ministério da Defesa Nacional (MDN)
• Ministério de Governo e Desenvolvimento Territorial (MINGOBDT)
• Ministério da Educação, Ciência e Tecnologia (MINEDUCYT)
• Polícia Nacional Civil (PNC)
• Presidência da República (CAPRES)
• Conselho Nacional de Ciência e Tecnologia (CONACYT)
• Instituto de Acesso à Informação Pública (IAIP)
• Tribunal de Contas da República (CCR)
• Procuradoria para a Defesa dos Direitos Humanos (PDDH)

As instituições públicas processaram as solicitações conforme estabelecido na Lei de Acesso à Informação Pública e na Lei de Processo Administrativo, com exceção do CONACYT, que não proferiu qualquer determinação, incluindo a referente à recepção da solicitação apresentada.

3. Principais achados 

a) Processos de aquisição (contratos)

De modo geral, os órgãos públicos consultados forneceram a informação solicitada sobre os processos de aquisição de equipamentos (câmeras de segurança, drones, equipamento de informática, leitores de digitais, relógios biométricos, GPS etc), sobre os serviços de manutenção desses equipamentos e sobre a aquisição de softwares e hardwares, com exceção do Ministério de Governo e Desenvolvimento Territorial que, em sua resposta, fez referência aos processos de aquisição dessas tecnologias mas não entregou a documentação correspondente, como fizeram outras quatro instituições (Ministérios da Justiça e Segurança Pública, Saúde, Economia e Defesa Nacional – MJSP, MINSAL, MINEC e MDN). Por sua vez, a Polícia Nacional Civil declarou que toda a informação referente à compra de drones e equipamentos de informática era de caráter reservado. 

Ao contrário do que ocorreu com os casos do Chile e da Colômbia, em El Salvador não foi possível obter informação sobre convênios ou contratos com órgãos públicos ou entidades privadas para desenvolvimento de tecnologias no contexto da pandemia, apesar de ser de conhecimento público a existência de plataformas utilizadas pelo Ministério da Saúde (MINSAL) para registro de informações por teleoperadores para viabilizar atendimentos por telemedicina, tais como consultas e acompanhamento de casos suspeitos e positivados para COVID-19, bem como para viabilizar o sistema de nexos epidemiológicos e o monitoramento de pessoas utilizado durante as primeiras etapas da pandemia, além do acompanhamento da vacinação da população. 

Assim, o Ministério da Saúde declarou tratar-se de informação de caráter reservado, com a estipulação de um prazo de sete anos para levantamento do sigilo. Em termos similares, a Polícia Nacional Civil informou que toda a informação solicitada sobre o acompanhamento da pandemia também têm caráter reservado, nos termos do Acordo PNC/DG/No.A-0773-05-2021, datado de 04/05/2021, que define como “reservada” a “documentação referente à contratação para a aquisição de equipamentos tecnológicos para plataforma integral da investigação criminal e científica do delito”. 

Por outro lado, o Tribunal de Contas da República (CCR) respondeu que toda a informação solicitada sobre a aquisição de equipamentos e tecnologias ainda não tinha sido submetida às auditorias correspondentes. 

b) Avaliação de impacto para os direitos humanos

Considerando que o tipo de tecnologias implementadas pelo governo de El Salvador enseja a possibilidade de interferência indevida na esfera pessoal dos administrados, além de riscos ao direito à privacidade, intimidade e dignidade pessoal em caso de processamento inadequado de dados pessoais, solicitou-se aos órgãos encarregados da implementação de mecanismos de vigilância (câmeras de segurança) informações sobre a existência de processos de análise e ponderação entre, por um lado, o impacto para o respeito e a proteção dos direitos humanos das pessoas que se submetem ao uso dessas tecnologias e, por outro lado, o benefício decorrente do alcance dos objetivos pretendidos. 

Em resposta a esse questionamento, duas instituições públicas consultadas (Ministério da Saúde e Polícia Nacional Civil) disseram tratar-se de informação reservada. Quatro outras (Ministério da Educação, Ciência e Tecnologia; Ministério da Economia; Ministério da Justiça e Segurança Pública e Ministério da Defesa Nacional), informaram inexistirem os dados solicitados, dado que não há previsão de realização desse tipo de avaliação durante o processo de aquisição nem na fase de funcionamento dos equipamentos e sistemas; de modo que tal informação não é produzida. Por sua vez, o Ministério de Governo e Desenvolvimento Territorial não se pronunciou nem fez referência à consulta realizada. 

No caso dos leitores de impressão digital, mecanismos de marcação digital, relógios biométricos etc., as justificativas de algumas das instituições consultadas, tais como o Ministério da Defesa Nacional e o Ministério da Economia) eram de natureza laboral, referente aos registros de entrada e saída de servidores públicos, destinados a verificar o cumprimento das normas laborais e disciplinares. 

No caso dos drones, duas das instituições consultadas (Ministério da Economia e Ministério da Defesa Nacional) alegaram razões de uso para a cobertura de atividades institucionais. O Ministério da Economia, por exemplo, indicou que o equipamento seria utilizado pela Direção de Hidrocarbonetos e Minas a fim de verificar os avanços nos sistemas de exploração em inspeções de minas não metálicas (pedreiras) em nível nacional, devido à dificuldade apresentada por esses terrenos em função da altura e situação climática do país. Em resposta à solicitação de cópia digital de documentos (regulamentos, protocolo, cartilha, política, manual ou documento com qualquer outra denominação) que contenham as regulamentações em vigor quanto à proteção de dados pessoais e à privacidade da informação obtida por meio de drones, o Ministério da Economia declarou a impossibilidade de conceder acesso a essa informação devido ao fato de que os dados obtidos por meio de drones encontram-se sujeitos ao disposto no Artigo 24 da Lei de Acesso à Informação Pública (LAIP), constituindo informação de caráter sigiloso. No mesmo sentido, ainda que com base no Art. 25 da LAIP, foi a resposta à solicitação de cópia de gravações, filmagens e fotografias obtidas por meio de drones no período estudado.

Além disso, o Art. 35 da LAIP estabelece que toda ente obrigado que possua registros ou sistemas de dados pessoais deve torná-los de conhecimento do IAIP, que deverá manter lista atualizada dos mesmos e seus respectivos protocolos de segurança. Ainda que seja óbvio e notório o fato de que o governo, por meio de diversos mecanismos de monitoramento e câmeras de segurança, efetivamente coleta dados pessoais dos cidadãos, a Resolução do IAIP indica que não se conta com nenhum registro ou sistema de dados; e que tampouco existe normativa relacionada à proteção de dados pessoais. 

c) Coleta e processamento de dados

Nas solicitações de informação apresentadas no âmbito do projeto, foram incluídos diversos itens relacionados às regulamentações em vigor no que se refere à proteção de dados pessoais e à privacidade da informação coletada por meio das tecnologias objeto desta análise, bem como do uso e encriptação dos dados e informações. Sobre isso, quatro instituições consultadas (Polícia Nacional Civil, Ministério da Justiça e Segurança Pública, Ministério da Educação, Ciência e Tecnologia e Ministério da Saúde) indicaram tratar-se de informação de caráter reservado. Outras instituições (Ministério de Governo e Desenvolvimento Territorial, Ministério da Defesa Nacional e Ministério da Economia) informaram não dispor de regulamentação sobre proteção de dados biométricos obtidos por leitores de impressão digital e relógios biométricos, já que o único objetivo, no caso do leitor de impressões digitais, é controlar a entrada e a saída de pessoal (Ministério da Economia). Também não informaram dispor de regulamentação sobre proteção de dados pessoais e privacidade da informação obtida por meio do uso de drones, informando ainda que as gravações, imagens e inclusive registros de voo são de caráter sigiloso (Ministério de Governo e Desenvolvimento Territorial). Exceção a essa postura, como indicado anteriormente, é o Ministério da Defesa Nacional. No que se refere ao uso de drones, somente uma instituição indicou a existência de regulamentação específica: o Ministério da Economia, que consignou a Lei de Processo Administrativo (LPA) e o Regulamento de Veículos Aéreos Não Tripulados da Autoridade de Aviação Civil de El Salvador. 

Todas as instituições informaram armazenar os dados coletados, já seja nas memórias internas dos equipamentos (marcadores biométricos, leitores de impressão digital etc) ou em servidores hospedados nas próprias instituições, sem poder oferecer maiores detalhes por se tratar de informação sigilosa (Polícia Nacional Civil, Ministério da Justiça e Segurança Pública, Ministério da Saúde, Ministério da Educação, Ciência e Tecnologia e Ministério de Governo e Desenvolvimento Territorial). 

d) Papel das empresas privadas

Nas solicitações de informação apresentadas, indagou-se sobre a localização dos servidores nos quais se encontram armazenados os dados coletados por meio das tecnologias objeto desta análise (relógios biométricos, câmeras de segurança, nexos epidemiológicos, mecanismos de monitoramento, drones, sistemas informatizados de câmeras de segurança etc) e se o serviço é oferecido pelas empresas encarregadas da manutenção dos servidores ou, alternativamente, se foi solicitada a indicação das unidades responsáveis pelo processamento dos dados pessoais. 

Nas respostas por parte das entidades, indicou-se que nenhuma instituição pública teria contratado empresas para manutenção de servidores ou processamento de dados, devido ao fato de que não foram adquiridos nem servidores, nem foram contratadas empresas que oferecem esse tipo de serviço nem tampouco sistemas para tratamento dos dados coletados. Pelo contrário, indicaram que em alguns casos a informação é armazenada e administrada pelas próprias instituições públicas, como o Ministério da Saúde, que informou que as imagens de drones, por exemplo, encontravam-se na Diretoria de Comunicações do referido Ministério. 

4. Conclusões

O governo de El Salvador investiu recursos financeiros na aquisição de tecnologias de vigilância na ausência de regulamentações para proteger a população de potenciais agressões a direitos fundamentais como intimidade, privacidade, reunião e liberdade de expressão, dentre outros. 

Tampouco se conhece o suficiente sobre as finalidades, o alcance e os limites do uso, bem como sobre políticas, planos de uso e protocolos de proteção de dados pessoais. Em alguns casos, a compra de tecnologias de vigilância se justifica para uso interno das instituições (seja para controle de pessoal ou proteção de suas instalações). Em outros casos, nos quais o uso das tecnologias teria um alcance maior, seja por questões de segurança pública ou de atendimento e acompanhamento da pandemia (como é o caso da Polícia Nacional Civil e do Ministério da Saúde), tampouco se conhecem seus limites, uma vez que tal informação foi classificada como reservada pelas respectivas entidades por um prazo de até sete anos. 

Após verificar os processos de compra fornecidos pelas entidades consultadas, pode-se inferir que a tecnologia (monitoramento de notebooks, GPS, câmeras de segurança, drones e leitores biométricos) funciona, em primeiro lugar, sem sistemas informáticos que garantam sua integridade e confidencialidade, sem um servidor capaz de garantir o adequado armazenamento da informação, sem claridade sobre as pessoas (físicas ou jurídicas) responsáveis pela guarda e processamento dos dados coletados; e sem que exista marco normativo para a regulamentação do processamento de dados pessoais.

Como mencionado ao início deste informe, no mês de maio de 2021 o presidente da República vetou os decretos legislativos que regulamentavam a Lei de Proteção de Dados Pessoais e a Lei de Criação da Autoridade Nacional Digital. Por outro lado, as respostas às solicitações de informação apresentadas revelaram a total ausência de normas internas sobre o uso das tecnologias de vigilância, colocando em evidência a discricionariedade e a disparidade de critérios para o processamento da informação. Por exemplo, enquanto a Polícia Nacional Civil respondeu que as informações solicitadas seriam de caráter reservado, o Ministério do Desenvolvimento Nacional forneceu a referida informação sobre as imagens captadas por drones. 

A nebulosidade que paira sobre a informação coletada e a ausência de regulamentação ensejam o fundado receio de que estejamos sendo vigiadas e vigiados sem o nosso conhecimento, bem como de que possa estar ocorrendo a retenção de informações pessoais sem a devida autorização. A esse respeito, cabe mencionar um aplicativo que surgiu após a entrega das solicitações de informação no âmbito desta investigação, denominado “Chivo Wallet”, que é uma carteira eletrônica criada pelo governo de El Salvador para a realização de pagamentos em dólares ou em bitcoins. Como é sabido, desde o mês de setembro de 2021, El Salvador adotou o bitcoin como moeda de uso legal e, por meio de uma empresa privada cujo único acionista é uma empresa estatal, o governo criou o referido aplicativo, com um altíssimo risco de acesso à informações confidenciais. Logo após, a organização Rede pelo Direito à Comunicação (ReDCo) denunciou, por meio de um comunicado público, que o aplicativo Chivo Wallet viola a privacidade das pessoas, uma vez que acessa informação confidencial da população que poderia colocar em risco os seus dados pessoais. Por essa razão, a ReDCo exigiu do governo o respeito à privacidade, aos dados pessoais e à segurança digital das pessoas que utilizam criptomoedas. 

Da mesma forma, durante os últimos quatro meses de 2021 ocorreram pelo menos três manifestações públicas de protesto contra o governo do presidente Nayib Armando Bukele, que reuniram diferentes reclamações sobre o estilo de governo e suas medidas políticas e econômicas, dentre outras. Os atos foram, entretanto, desacreditados por meio de mensagens governamentais contendo imagens captadas por drones, incluindo a conexão errônea de um jornalista com o incêndio de um quiosque que continha um caixa eletrônico para operações com bitcoins. Sobre esses fatos, a Associação de Jornalistas de El Salvador (APES) declarou que o presidente da República e usuários de redes sociais cometeram crime de difamação em prejuízo do jornalista e diretor da APES William Gómez, ao afirmar que teria instruído um dos envolvidos na destruição do caixa eletrônico Chivo Wallet durante os protestos de 15 de setembro. Muitos usuários de redes sociais também expuseram a imagem de Gómez marcando o perfil da Polícia Nacional Civil (PNC), associando seu nome ao suposto vandalismo. Além de acusar os membros da APES de arquitetar distúrbios e atos de vandalismo nas ruas, o governo utilizou como fundamento para tais acusações uma comparação de imagens errôneas entre William Gómez e um dos envolvidas no incêndio do caixa eletrônico.

Por fim, no dia 23 de novembro de 2021, vinte e três jornalistas de diferentes meios de comunicação receberam um alerta da empresa Apple sobre “possível espionagem” por parte do Estado salvadorenho. Entre as vítimas, estão jornalistas dos veículos El Faro, Gato Encerrado, Diario El Mundo, El Diario de Hoy, La Prensa Gráfica e jornalistas independentes, além de um diretor da APES que também figura nessa lista de vítimas. 

Os achados deste informe e os eventos relatados, que ocorreram após a apresentação das solicitações de informação, revelam a fragilidade e as violações aos direitos à privacidade, liberdade de expressão, reunião e igualdade, dentre outros derivados do uso das tecnologias de vigilância. Por tudo o que foi exposto, é indispensável que sua utilização observe os parâmetros internacionais de respeito aos direitos humanos e que qualquer afetação esteja previamente estabelecida em lei e cumpra com os princípios de objetividade e proporcionalidade.