Determina a adopção de medidas complementares tendentes a melhorar o funcionamento do Sistema de Informação e Gestão do Recenseamento Eleitoral.

Despacho 18197/2009

Determina a adopção de medidas complementares tendentes a melhorar o funcionamento do Sistema de Informação e Gestão do Recenseamento Eleitoral 1 - No dia 28 de Julho, foi comunicado ao MAI pela CNPD o relatório intercalar de fiscalização ao Sistema de Informação e Gestão do Recenseamento Eleitoral resultante de acção de fiscalização realizada no dia 21 de Julho, por mim solicitada, em nome do Governo, com pedido de prioridade e urgência, atenta a natureza das questões suscitadas pela deliberação 488/2009, da CNPD e a proximidade de dois actos

eleitorais.

Com vista a criar as condições mais adequadas à realização da acção de fiscalização em causa, determinei que fosse remetido à CNPD, o que ocorreu em 10 de Julho, um documento técnico enunciando cada uma das medidas cuja adopção foi programada para cumprimento das orientações correctivas que anunciei à Comissão de Assuntos Constitucionais, Direitos, Liberdades e Garantias nas reuniões de trabalho que com a mesma realizei e para cabal execução das recomendações da CNPD.

Em 20 de Julho, a DGAI enviou ainda à Comissão um documento complementar contendo a enumeração precisa das operações já executadas até essa data.

2 - O Relatório intercalar de fiscalização remetido ao MAI pela CNPD reflecte com rigor os resultados do trabalho correctivo levado a cabo pela DGAI, o qual determinou a cessação das situações que, pela sua relevância, tinham levado a CNPD a comunicar a sua deliberação 488/2009 ao Presidente da República, à Assembleia da República e ao Governo, enumerando diversos tipos de preocupações em relação ao

normal funcionamento do SIGRE.

O cumprimento, agora verificado pela segunda acção inspectiva, das recomendações e injunções da CNPD contribuiu assim para, de forma expedita e precisa, conformar o SIGRE com os mais elevados padrões de protecção de dados pessoais, justificando, de forma inequívoca, a confiança das instituições e dos cidadãos no novo sistema de recenseamento eleitoral, cuja credencial legislativa colheu aprovação unânime do

Parlamento.

Quero, por isso, louvar publicamente a equipa da DGAI e os elementos do meu Gabinete, do SEF e da Critical Software, que, de forma articulada, programaram e executaram, no mais curto prazo e pela forma tecnicamente mais adequada, as

correcções em causa.

3 - O relatório intercalar de fiscalização, pela sua própria natureza, não encerra o processo de acompanhamento do SIGRE pela CNPD, que deve ser, na máxima medida, facilitado e preparado pela DGAI, usando o mesmo modelo de relacionamento institucional agora adoptado, com resultados positivos.

O relatório intercalar de fiscalização retoma um pequeno número de questões cuja resolução técnica está prevista, mas não deve ou não pode fazer-se sob o signo da urgência. Tais questões não relevam para a verdade do recenseamento, nem para os próximos actos eleitorais, por se traduzirem essencialmente em aperfeiçoamentos de mecanismos de interacção com entidades parceiras (v. nas relações entre a plataforma de serviços comuns do cartão de cidadão e o SIGRE). A DGAI já desencadeou o processo de resolução dessas questões, devendo informar a CNPD regularmente sobre os resultados alcançados. O relatório delimita, porém, com mais precisão, questões que

importa de imediato solucionar.

4 - Assim, determino a adopção das medidas complementares seguidamente

enumeradas:

4.1 - Quanto à qualidade dos dados:

a) Inscrições múltiplas

Constituindo uma das finalidades mais relevantes do SIGRE garantir o recenseamento automático de eleitores, a persistência no Sistema de registos manifestamente incompletos cria o risco de que cidadãos e cidadãs inscritos por força de actualizações automáticas provenientes do cartão de cidadão e da Base de Dados de Identificação

Civil fiquem com dupla inscrição.

Na sua deliberação 488/2009, a CNPD determinou que fossem «promovidos os mecanismos para suprir essas falhas, designadamente através de regulação específica adequada para a solução dessas situações, de modo a garantir o princípio legalmente prescrito da inscrição única e a exigência legal de recolha completa dos dados previstos no artigo 12.º da Lei do Recenseamento Eleitoral (LRE)».

O cumprimento dessa orientação em relação ao futuro não suscita qualquer dificuldade.

Quanto às situações herdadas do passado remoto (em que os cadernos eleitorais não se encontravam informatizados), a DGAI tomou medidas drásticas para proceder à

eliminação de inscrições múltiplas.

Todavia, cerca de 100 registos, pelo facto de não terem data de inscrição na BDRE, não foram eliminados, devendo ser objecto de análise casuística, designadamente por contacto com as respectivas Comissões Recenseadoras.

O relatório comprova que foi concluída com êxito a operação de eliminação de inscrições múltiplas, resultado cuja importância me apraz assinalar.

b) Registos incompletos

Apesar das diligências efectuadas pela DGAI subsistem no SIGRE 31 773 registos incompletos, também eles resultantes da herança do ciclo inicial do recenseamento em

suporte tradicional.

Destes registos, 14 400 passaram ao estado de «inactivos» por insuficiência de informação de identificação, na medida em que só deles constava um nome ou um

nome e naturalidade.

Os restantes registos têm dados suficientes para identificar o seu titular, pelo que a sua eliminação, impedindo-os de votar, violaria a Constituição e a lei. Determino, pois, a sua manutenção como eleitores efectivos na BDRE.

Deve a DGAI elaborar lista completa dos eleitores na situação descrita e comunicá-la às comissões recenseadoras, para que efectuem as diligências necessárias ao apuramento e inserção no SIGRE de todos os elementos identificativos legalmente

previstos.

c) Óbitos

A DGAI tem desenvolvido diligências tendentes a assegurar a regular eliminação de óbitos, sendo o quadro actual muito distinto do que tornou necessário, nos anos 90, proceder a mega-operações de expurgo de inscrições de eleitores falecidos.

Não se logrou, contudo, até à data, evitar que 10 % das comunicações de óbitos oriundas do Ministério da Justiça tenham de ficar na categoria de pendentes por impossibilidade de fazer correspondência com o respectivo registo na BDRE. Como assinala o relatório intercalar, «muitas comunicações de óbitos por parte do ITIJ não contém os dados completos, o que impossibilita fazer a necessária correspondência

com os registos da BDRE».

Nesses casos, o cidadão falecido tem sido mantido no sistema como «activo» e figurando em caderno eleitoral, pelo facto de a sua eliminação sem precisão poder levar a privar de voto cidadãos vivos e com capacidade eleitoral. Essa situação, hoje residual, pode gerar uma pequena percentagem de «abstenção técnica», mas evita a verificação de situações de privação do exercício de direitos políticos, que seria o

maior dos males.

As medidas já tomadas de eliminação de registos incompletos na BDRE contribuirão para a resolução do problema, mas importa que os serviços competentes do Ministério da Justiça passem a comunicar ao MAI dados completos referentes a cada óbito.

Sendo certo que a lei confere ao SIGRE a missão de tratar e gerir os dados do recenseamento eleitoral, mas não há qualquer suporte legal para responsabilizar o Sistema e a entidade que o administra pela impossibilidade de identificação da situação de eleitores, quando tal decorra, como é o caso, de factores manifestamente exógenos.

Para tal efeito, determino que a DGAI celebre protocolo adequado com o ITIJ especificando as medidas a adoptar, em prazo certo e curto, para que a comunicação dos dados seja mais célere e tenha por base procedimentos que assegurem a actualização e qualidade da informação transmitida. Tal protocolo deve igualmente enquadrar a comunicação de informação relativa a óbitos no estrangeiro e definir a forma de identificar devidamente os 107 000 registos de óbitos pendentes, por falta de

elementos de identificação.

d) Eleitores de idade igual ou superior a 105 anos A DGAI retirou o registo detectado pela CNPD respeitante a um eleitor «efectivo» com 136 anos, e inventariou os registos de cidadãos com idade superior a 111 anos com vista a retirá-los da categoria de «efectivos».

Os mesmos foram detectados pela DGAI usando a técnica de apuramento automático que a parametrização do sistema faculta, estando a ser promovido junto das comissões recenseadoras a verificação e confirmação individualizada destes casos, como previsto

no artigo 50.º da LRE.

A DGAI não deve criar qualquer mecanismo de eliminação automática de registo aos 111 anos, solução que o relatório intercalar refere não ter habilitação legal. A questão deve atempadamente ser submetida ao legislador.

e) Datas de nascimento impossíveis

Tendo a CNPD detectado existirem na BDRE datas de nascimento impossíveis aceites pelo sistema (v. um registo com a indicação de «0018»), a DGAI procedeu à elaboração de uma listagem desses registos, com vista a sua correcção manual.

Importa, todavia, não esquecer que os erros em causa decorrem da importação de dados, hoje residuais, registados, ao longo de decénios, pelas comissões recenseadoras. Esses dados eram anteriormente «invisíveis», dado figurarem de forma dispersa na solução tecnológica usada (composta pelos milhares de bases de dados locais típicas do REGIFREG), originando a quase impossibilidade de auditar um sistema com tal grau de dispersão e fragmentação, razão que porventura contribuiu para que nunca tivesse sido submetido a qualquer acção de fiscalização da CNPD.

O relatório intercalar refere que o caso identificado de «0018» se encontrava em estado «pendente» por não ter ultrapassado a filtragem efectuada pelos automatismos da aplicação, estando a ser tratado manualmente.

Determino que, na eventualidade da ocorrência de acto eleitoral, como ora sucede, os registos desse tipo não passem de «pendentes» a «efectivos».

A opção final a tomar sobre o pequeno número de casos que, ao fim de decénios de diligências, continuam indeslindáveis deve ser oportunamente submetida ao legislador.

4.2 - Adequação e pertinência dos dados:

a) Maiores de 18 anos não activos

À data da sua primeira acção inspectiva, a CNPD detectou na BDRE cidadãos de idade igual ou superior a 18 anos ainda com a classificação de «provisório» e determinou que o sistema fosse corrigido, de modo a assegurar a promoção automática do eleitor de «provisório» a «efectivo».

O SIGRE assegura um processo automático diário, que ocorre durante a noite, para promover os registos do estado de «provisório» a «efectivo» ou do estado de «inactivo» a «efectivo». A segunda acção de fiscalização determinada pela CNPD aferiu a eficácia desse automatismo de actualização diária.

Verificou, porém, a existência de um registo de um cidadão já com 18 anos completos, no estado de «provisório», sem a sinalização de «pendente».

Determino que a DGAI apure se há qualquer lacuna nos mecanismos em vigor quanto à promoção dos registos de «provisório» a «efectivo», por forma a inserir, em tempo útil, nos cadernos eleitorais todos os maiores de 18 anos com capacidade eleitoral.

b) Menores de 17 anos

O relatório intercalar apurou que, consoante determinei por despacho, todos os registos relativos a cidadãos menores de 17 anos, foram eliminados entre os dias 15 e

16 de Julho 1 844 568 registos.

Procedeu-se, também, à alteração dos mecanismos do SIGRE por forma a assegurar a eliminação de toda e qualquer informação proveniente da Plataforma de Serviços Comuns do Cartão de Cidadão sobre menores de 17 anos. Opção similar foi adoptada quanto à informação proveniente da BDIC, cujo envio cessou.

Não se tratando, embora, de questão com impacte nos actos eleitorais a ter lugar no ano em curso, determinei já que comece a ser planeado - em articulação com a Secretaria de Estado da Modernização Administrativa, a AMA e o Ministério da Justiça - um serviço via web que garanta a inscrição automática e oficiosa de todos os cidadãos de idade igual ou superior a 17 anos, nos termos legalmente previstos.

Foram já adoptados pela DGAI os procedimentos técnicos intercalares necessários para que esta alteração não gere perturbação da Plataforma de Serviços Comuns do Cartão de Cidadão, pelo que podem dar-se por inteiramente removidos os factores que levaram a CNPD a manifestar preocupações quanto a uma situação de «excesso

de dados» no SIGRE.

c) Primeira BDRE

Na sua primeira acção fiscalizadora a CNPD apurou que existia na base de dados de «produção» uma tabela designada por «BDRE_TEMP», correspondente à primeira BDRE, criada em 1998, cujos registos foram migrados para o SIGRE, devendo por isso ser eliminada, à luz do princípio da (des)necessidade.

A fiscalização agora efectuada permitiu apurar que a tabela «BDRE_TEMP» foi eliminada da componente de produção do SIGRE.

A primeira BDRE está hoje num servidor localizado em instalações da DGAI. Embora o relatório intercalar assinale que, como determinei, não foi criado qualquer «db-link» entre a primeira BDRE e o SIGRE, considera também que «a manutenção da antiga BDRE, e uma eventual ligação com o SIGRE, contraria(ria) o determinado pela CNPD». Assinala ainda que os argumentos aduzidos pela DGAI (conservação da primeira BDRE «para efeitos históricos e para, se necessário, apuramento de situações cuja migração possa suscitar problemas ora não previsíveis») «são os mesmos que não justificaram, no entendimento da Comissão, a sua conservação».

Uma vez que os elementos históricos que a primeira BDRE comporta foram oportunamente migrados para o SIGRE, onde serão, sem objecções, conservados, determino que a primeira BDRE seja eliminada, na presença de representante da

CNPD, lavrando-se auto da ocorrência.

4.3 - Segurança dos dados:

a) Perfis de utilizadores, incluindo os de administração (DBA) Com vista a eliminar quaisquer dúvidas sobre o restrito elenco de entidades com poderes de administração do SIGRE, determinei que fossem «redefinidas as regras para utilizadores específicos para cada uma destas entidades com privilégios concretos

e específicos».

Obviamente não suscita qualquer problema, nem foi alguma vez objecto de reparo da CNPD, o facto de as Comissões de Recenseamento (mais de 4260) e as Representações Consulares disporem de perfis de utilizadores para acesso exclusivo a SIGREWEB, com três tipos de uso possíveis: como «administrador», «gestor» e «utilizador». Sem tais perfis, essas entidades ficariam impossibilitadas de realizar operações legalmente previstas, incluindo a impressão de cadernos eleitorais.

Na sua segunda acção de fiscalização, a CNPD pôde verificar em concreto a identidade e permissões dos utilizadores com poderes de administração do SIGRE, que descreve pormenorizadamente no seu relatório intercalar, bem como a existência de registos (logs) de auditoria à conta DBA, factor essencial para o controlo dos acessos

ao Sistema.

Com efeito, determinei que todos os acessos de inserção, alteração e eliminação sejam registados e auditáveis, através do «registo de logs» e «auditing» do Sistema Oracle e do próprio sistema aplicacional SIGRE. Já foi implementado, igualmente, o registo de acessos e ocorrências de «select» e «view» às tabelas e dados da Base de Dados SIGRE, com os mecanismos de Auditing do ORACLE.

Os registos de histórico de todos os acessos serão guardados periodicamente em

ficheiro, sob a gestão e guarda do SEF.

Tendo os peritos da CNPD podido testemunhar que o DBA da Critical Software, utilizando a conta «SIGRE_OBJ» estava conectado, remotamente, no decurso da própria acção de fiscalização, cumprindo missão de que fora encarregado (no caso concreto, executando alterações nas tabelas da BDRE), assinalaram, com razão, que tal tipo de operação só pode ter lugar com conhecimento prévio e autorização dos

DBA do SEF.

Através da análise dos registos (logs) de auditoria à conta DBA, a CNPD verificou que este tipo de acesso por parte da Critical Software já tinha ocorrido anteriormente, no quadro das responsabilidades contratuais que lhe cabem e sob responsabilidade da directora-geral da Administração Interna. Determino, pois, que os peritos do SEF passem a efectuar, com a regularidade ditada pelas leges artis, a monitorização dos logs, com vista a garantir o cumprimento das regras de acesso remoto fixadas pela DGAI e a detectar quaisquer situações anómalas.

Os acessos externos, quer pelos próprios peritos da DGAI, quer pelos da Critical Software, enquanto entidade contratualmente responsável pela manutenção correctiva e evolutiva do sistema aplicacional do SIGRE só podem ser efectuados de forma segura, de acordo com regras estritas que se destacam como boas práticas na Administração Pública portuguesa: a) utilização de «vpn secure client checkpoint»; b) instalação, configuração e gestão de software de firewall e encriptação nos equipamentos clientes, sempre com um período temporal definido; c) uso dos algoritmos de encriptação 3DES

e SHA1.

Sendo unicamente usado software cliente do firewall principal (Checkpoint) do SEF, todos os acessos são auditáveis, registados e monitorizados em tempo real pelo Firewall central do serviço e seus administradores de sistemas. Considerando a qualidade e segurança desta ferramenta, a mesma é igualmente utilizada pelos técnicos administradores de sistemas, de segurança e de bases de dados do SEF para acesso remoto em situações de stand by e manutenção, com adequadas garantias de segurança

na comunicação.

Determino que estas regras se mantenham e sejam cumpridas estritamente, devendo ademais ser objecto de autorização da directora-geral da Administração Interna todos

os acessos remotos ao SIGRE.

b) Registo de acessos (consultas)

Recordando que a CNPD tinha determinado que fosse activada a funcionalidade de registo de acessos ao sistema, por forma a permitir auditá-lo, o relatório intercalar assinala que «já está em funcionamento o registo de todas as actividades do SIGRE e da BDRE» e que «a gestão e arquivo deste registo são da responsabilidade do SEF, bem como a salvaguarda dos dados (backups)».

Por forma a completar o sistema de controlo, determino que a DGAI defina politica adequada de análise aos logs de monitorização, incluindo aos dos DBA e implemente os mecanismos de auditoria periódica necessários para assegurar o rigoroso cumprimento dos mais elevados padrões de segurança.

c) Ambiente de desenvolvimento e teste

O relatório intercalar relembra que a CNPD deliberou mandar apagar imediatamente os dados reais de eleitores utilizados numa base de dados de desenvolvimento e teste, «na medida em que constituíam uma cópia da BDRE».

Embora a CNPD tenha sido informada de que «os ficheiros residentes no ambiente de testes foram encriptados, permitindo na mesma a sua utilização para fins de teste e impedindo a identificação real de qualquer cidadãos, os peritos intervenientes na acção de fiscalização realizada no dia 21 de Julho verificaram que a base de dados utilizada para testes (denominada «SIGRE_MIG6») tem a tabela «ELEITOR» com apenas 323 389 registos, anonimizados usando um algoritmo de anonimização, desenvolvido pela

própria Critical Software.

Opinam os peritos que, sendo a Critical Software a proprietária do algoritmo, «a CNPD não pôde verificar, no momento, se os dados se mantêm identificáveis, caso o algoritmo seja reversível, o que permitiria reconstruir os dados dos eleitores».

Não havendo qualquer interesse em reconstituir, por reversão, dados reais de eleitores que podem ser acedidos de forma inteiramente legal pela DGAI e usados para os fins que o legislador fixou, entendo que a base de dados de testes deve ser totalmente imune a quaisquer dúvidas como as formuladas pelos intervenientes na acção inspectiva, pelo que determino que sejam criados 323 389 registos de eleitores e eleitoras, inteiramente fictícios, de várias faixas etárias e áreas geográficas, procedimento que dispensará, por definição, a utilização de qualquer algoritmo de

anonimização.

Por outro lado, refere o relatório intercalar que os peritos encontraram uma base de dados «clonada» e incluída no ambiente de desenvolvimento e testes, denominada «SIGRE MIG», contendo 13 918 052 registos reais na tabela de «ELEITOR». A BD em causa foi a que a DGAI utilizou, por razões de segurança e protecção da BDRE operacional (como aconselham as boas práticas), para dar cumprimento - aliás com êxito - à obrigação legal de formação das comissões recenseadoras, em 2008-2009.

Tendo cessado a necessidade de tais acções de formação em ambiente de simulação, determinei que tal BD seja eliminada, o que já ocorreu.

5 - Com a adopção pela DGAI do conjunto de medidas que os seus relatórios enumeram e das que ora determinei ficaram acolhidas as recomendações técnicas constantes dos relatórios da CNPD, assegurando-se um elevado nível de protecção de

dados no SIGRE, de acordo com a lei.

O SIGRE cumpre, pois, parâmetros de segurança nunca antes alcançados no domínio do recenseamento eleitoral, dando expressão prática às regras previstas no artigo 18.º

da Lei 47/2008, de 27 de Agosto.

O grau de protecção agora atingido só se tornou possível por o novo sistema ter permitido, pela primeira vez, centralizar e auditar o processo e os dados do recenseamento eleitoral, de forma clara e transparente, com a participação de todas entidades, incluindo as comissões recenseadoras.

O SIGRE, ao permitir o recenseamento eleitoral automático, facultou, por essa via, a melhoria da qualidade da democracia, propiciando poderosas ferramentas de garantia da fidedignidade e da qualidade da informação eleitoral.

As medidas agora implementadas para aperfeiçoar o SIGRE permitem, assim, que os dois próximos actos eleitorais decorram em condições de plena confiança no

recenseamento eleitoral.

A Administração Eleitoral - como tem sido seu timbre em todos os actos eleitorais desde o 25 de Abril -, que sempre retrataram a vontade popular exercida de forma democrática, deverá continuar a colaborar com o Ministério da Justiça e com todas as demais entidades envolvidas nos próximos actos eleitorais (tribunais, autarquias locais, consulados, partidos, coligações ou grupos de cidadãos concorrentes, entre outros) com vista a garantir todo o apoio técnico e instrumental que se revele necessário ao pleno e livre exercício do direito de voto pelos portugueses.

29 de Julho de 2009. - O Secretário de Estado Adjunto e da Administração Interna, José Manuel dos Santos de Magalhães.

202139342

Este documento liga ao seguinte documento (apenas ligações para documentos da Serie I do DR):

• 2008-08-27 - Lei 47/2008 - Assembleia da República

  Procede à quarta alteração à Lei n.º 13/99, de 22 de Março (estabelece o novo regime jurídico do recenseamento eleitoral), e consagra medidas de simplificação e modernização que asseguram a actualização permanente do recenseamento. Republica a citada lei.