Vazamento Governamental 70 Milhões de CPFs e 213 Milhões de Consultas
Governo Prepara Substituição do Sistema Córtex Após Suspeita de Vazamento e Uso Indevido. Por Calza neto
O Ministério da Justiça e Segurança Pública (MJSP) decidiu substituir o sistema nacional de inteligência policial conhecido como Córtex, após a revelação de um possível uso massivo e irregular da plataforma, envolvendo 70 milhões de CPFs e mais de 213 milhões de consultas automatizadas. O caso, considerado um dos maiores incidentes de governança de dados do setor público, motivou abertura de inquérito na Polícia Federal e um redesenho completo da infraestrutura de acesso ao sistema.
As denúncias vieram à tona após reportagem da Folha de S.Paulo mostrar que credenciais vinculadas ao governo do Rio de Janeiro foram utilizadas para executar consultas em larga escala, indicando possível raspagem robótica de dados, um método de automação utilizado para capturar ou cruzar grandes volumes de informações pessoais.
O Córtex, criado em 2021, integra dados sobre pessoas, empresas e veículos, sendo usado por forças de segurança de todo o país. A plataforma ganhou notoriedade pela capacidade de cruzar bases públicas em segundos; agora, torna-se foco de preocupação por supostas falhas de controle, rastreabilidade e segurança.
Recadastramento Nacional e Suspensão Temporária
Diante do episódio, o Ministério da Justiça determinou a suspensão temporária dos acessos entre 18 e 28 de janeiro de 2026. Durante esse período, todos os órgãos conveniados deverão passar por um processo de recadastramento, com emissão de novas credenciais e adoção de regras mais rígidas de governança e auditoria.
Segundo o MJSP, a decisão busca garantir maior transparência, controle e rastreabilidade das operações, além de eliminar “brechas” que permitiram acessos indevidos anteriormente. A pasta afirma que o novo sistema, ainda sem nome oficial, deve entrar em operação no primeiro semestre de 2026, com camadas adicionais de verificação, trilhas de auditoria automatizadas e mecanismos de detecção de uso anômalo.
Disputa de Responsabilidade no Rio de Janeiro
A investigação interna aponta que o volume incomum de consultas estaria associado a credenciais fornecidas ao Estado do Rio de Janeiro. A administração fluminense, contudo, vive um impasse: enquanto a Polícia Militar do Rio alega que não é responsável pela conta que gerou os acessos, integrantes da Secretaria de Governo são apontados como possíveis operadores da credencial sob suspeita.
A Polícia Federal apura se houve crime na utilização indevida do sistema, incluindo inserção de dados falsos, violação de sigilo funcional e invasão de sistemas públicos. A natureza automatizada das consultas também levanta suspeita de utilização de softwares de automação, proibidos pelos termos de uso do Córtex.
Riscos à Privacidade e À Segurança de Dados
Especialistas em proteção de dados alertam para a gravidade do caso. Ao permitir milhões de acessos sem controle adequado, o sistema pode ter violado princípios essenciais da Lei Geral de Proteção de Dados (LGPD), como os de finalidade, necessidade e segurança.
A utilização indevida de CPFs em consultas que geram perfis, dossiês ou cruzamentos de dados sensíveis coloca em risco a privacidade dos cidadãos e abre margem para usos ilegítimos, inclusive fraudes, discriminação ou vigilância irregular.
Entidades da sociedade civil, como a Conectas, já haviam alertado sobre a necessidade de maior transparência no funcionamento de plataformas de inteligência governamental. A revelação recente reforça esses questionamentos.
Um Caso-Símbolo Sobre Governança Pública de Dados
O episódio coloca em evidência um debate crescente no país: como garantir que sistemas de segurança pública que utilizam dados em grande escala tenham governança, responsabilidade e controles robustos capazes de evitar abusos e vazamentos?
Mais do que um problema pontual de credenciais ou de um ente específico da federação, o caso expõe fragilidades estruturais no modo como o Estado brasileiro projeta, contrata, opera e fiscaliza sistemas baseados em grande volume de informações pessoais. O Córtex acaba se tornando um caso-símbolo de como a ausência de critérios claros de governança de dados pode transformar uma ferramenta legítima de investigação em um risco institucional para direitos fundamentais.
Segundo o MJSP, a substituição do Córtex será uma oportunidade de reconstruir o modelo com base em práticas modernas de segurança da informação, incluindo monitoramento contínuo, revisão de perfis de acesso, segmentação de responsabilidades e maior responsabilização dos operadores. A simples troca de plataforma, porém, não basta se não vier acompanhada de um redesenho de processos, critérios e instâncias de controle.
Enquanto isso, o Ministério segue cooperando com investigações internas e externas para apurar responsabilidades. A reativação plena das consultas depende agora do êxito do recadastramento e da implementação dos novos mecanismos de controle. Paralelamente, especialistas em proteção de dados e organizações da sociedade civil apontam que o episódio também oferece um conjunto de lições importantes para toda a administração pública.
Lições aprendidas para a Governança Pública de Dados
Do caso, emergem pelo menos cinco lições centrais:
1. Arquitetura importa tanto quanto tecnologia: Não basta ter logs de acesso e camadas de autenticação se a lógica de funcionamento do sistema permite consultas massivas, pouco justificadas ou automatizadas. A primeira lição é que sistemas de inteligência devem ser concebidos desde a origem com limites materiais claros: quem pode consultar, o quê, em que contexto e com qual base legal.
2. Princípios da LGPD precisam sair do papel: Finalidade, necessidade, minimização, transparência e segurança não podem ser tratados como jargões jurídicos. Eles devem se traduzir em regras técnicas concretas: filtragem por hipóteses legais de tratamento, trilhas de auditoria inteligíveis, bloqueio automático de comportamentos suspeitos e revisão periódica de perfis de acesso.
3. Responsabilização deve ser compartilhada e rastreável: Quando milhões de consultas são realizadas com a mesma credencial ou sem justificativa clara, a cadeia de responsabilidade se dilui. O episódio evidencia a necessidade de mecanismos que permitam identificar não apenas o órgão, mas o usuário, a função e a motivação institucional de cada acesso, com consequências objetivas para o uso indevido.
4. Transparência e controle externo são essenciais: A governança de sistemas sensíveis não pode ficar restrita aos próprios órgãos que os operam. Relatórios públicos, ainda que anonimizados e em nível agregado, podem permitir que órgãos de controle, academia, imprensa e sociedade civil acompanhem o volume, a natureza e a evolução do uso dessas ferramentas.
5. Capacitação e cultura institucional são tão relevantes quanto ferramentas: Sem treinamento contínuo e uma cultura clara de proteção de dados, mesmo o sistema mais sofisticado tende a ser operado com a lógica do “quanto mais informação, melhor”. A lição aqui é que políticas de segurança pública precisam incorporar, de forma transversal, programas de capacitação em ética, proteção de dados e uso responsável da informação.
Ao final, o caso Córtex aponta para um desafio que ultrapassa a fronteira da segurança pública: construir, no setor público brasileiro, uma cultura efetiva de governança de dados, em que a proteção da privacidade e dos direitos fundamentais não seja um obstáculo à atuação estatal, mas um pilar de legitimidade de qualquer política baseada em dados.
