O que sabemos sobre a Harpia Tech?

Nesta semana, ganhou enorme repercussão uma decisão do Tribunal de Contas da União que revogou uma decisão cautelar que impedia a contratação de uma empresa para solução de inteligência em fontes abertas, mídias sociais, deep e dark web. A contratação havia sido feita pelo Ministério da Justiça e Segurança Pública, após pregão eletrônico que viabilizou a contratação da empresa Harpia Tech.

O processo no Tribunal de Contas da União teve início em razão de um trabalho crucial de ativismo conduzido pela Conectas Direitos Humanos, Instituto Igarapé, Instituto Sou Da Paz e Transparência Internacional. Foi por causa do peticionamento dessas organizações que teve início o Processo n. 014.760/2021-5, que foi decidido pelo Ministro Bruno Dantas.

Em razão de um conjunto de preocupações com direitos fundamentais, proteção de dados pessoais e devido processo, o TCU determinou a suspensão da licitação e a suspensão da contratação da Harpia Tech por meio dos acórdãos 2.768/2021 e 81/2022.

As denunciantes demonstraram ao TCU que “havia irregularidades graves na licitação, entre elas a própria ilegalidade da contratação de um sistema capaz de monitorar e perfilar cidadãos sem qualquer justificativa prévia, a ausência de mecanismos de controle e fiscalização e a própria modalidade de licitação adotada, absolutamente inadequada para o tipo de serviço pretendido”.

Como argumentado pelas ONGs, apesar de ser uma tecnologia distinta da Pegasus – software que permite a invasão de dispositivos celulares e computadores, transformando-os em “zumbis” e mecanismos de vigilância total -, a Harpia Tech é um software problemático. O problema está tanto no que ele faz como no modo como ele pode ser usado.

Com relação ao modo como pode ser usado, um elemento central de debate é a posição ocupada pela SEOPI, a Secretaria de Operações Integradas da Secretaria Nacional de Segurança Pública do Ministério da Justiça e Segurança Pública. 

O órgão funciona como um “braço de inteligência do Ministério da Justiça” e foi instituído pelo Decreto nº 9.662/2019, no início do governo Jair Bolsonaro. À Diretoria de Inteligência, de forma específica, são atribuídas funções relacionadas à produção de serviços de inteligência no âmbito da segurança pública, tais como “planejar, coordenar, integrar, orientar e supervisionar (…) as atividades de inteligência de segurança pública em âmbito nacional”, “promover, com os órgãos componentes do Sistema Brasileiro de Inteligência, o intercâmbio de dados e conhecimentos, necessários à tomada de decisões administrativas e operacionais por parte da Secretaria de Operações Integradas” e “elaborar estudos e pesquisas para o aprimoramento das atividades de inteligência de segurança pública e de enfrentamento ao crime organizado”.

Mesmo sendo muito jovem (são três anos de existência formal), a SEOPI é conhecida por casos notórios de conduta inconstitucional. Em 24 de julho de 2020, foi revelado que a Secretaria colocou em prática uma ação sigilosa que monitorou 579 servidores públicos federais que seriam, supostamente, antifascistas e opositores do governo Jair Messias Bolsonaro, incluindo professores e policiais. Também foi revelado que o monitoramento foi realizado especificamente pela SEOPI e, em seguida, o material teria sido compartilhado com outros órgãos políticos e de segurança brasileiros. Pressionado pela Câmara dos Deputados e Ministério Público Federal, o então Ministro da Justiça André Mendonça – atualmente Ministro do Supremo Tribunal Federal – reconheceu a existência do relatório e demitiu o então diretor de inteligência da SEOPI, coronel Gilson Mendes, a quem foi atribuída a responsabilidade pela elaboração do documento. Em sequência, o Supremo Tribunal Federal, em sede da ADPF 722, determinou a suspensão dos atos administrativos que geriram a feitura de tais relatórios e o compartilhamento de informações pessoais de cidadãos identificados como pertencentes ao movimento antifascistas.

A SEOPI também é responsável pelo Córtex, projeto que tem sido questionado junto ao Ministério Público Federal por entidades civis brasileiras. O Córtex pode ser visto como a junção de outros sistemas já utilizados por órgãos da segurança pública. Um deles é o “Alerta Brasil”, programa de monitoramento de veículos nas rodovias federais que utiliza câmeras com leitor de placas, utilizado pela Polícia Federal (PF). A plataforma, que por meio de portaria teve o seu uso regulamentado em setembro de 2021, é capaz de unificar informações públicas de mais de 160 bases de dados com a capacidade de definir alvos para cercamento eletrônico e monitoramento persistente. Em petição, as ONGs argumentam que faltam procedimentos adequados de devido processo e as garantias asseguradas pelo direito fundamental autônomo de proteção de dados pessoais.

Todo este cenário gera uma suspeita fundada por parte da sociedade civil organizada, diante da rápida expansão das atividades da SEOPI. Mas o que sabemos sobre o edital de licitação da Harpia Tech?

As informações abaixo são parte de um dossiê que organizamos coletivamente no projeto “Defendendo o Brasil do Tecnoautoritarismo”, com a participação de muitos pesquisadores (ver a lista aqui).

O processo de contratação da Harpia Tech

Em 19 de maio de 2021, o Ministério da Justiça e Segurança Pública lançou o Edital de Licitação n. 03/2021, da modalidade pregão eletrônico, com objetivo de atender as necessidades operacionais da Diretoria de Inteligência da Secretaria de Operações Integradas. Conforme descrito no subitem 1.1. do Edital, o objeto do certame envolvia: “(…) a escolha da proposta mais vantajosa para a aquisição de Solução de Inteligência em Fontes Abertas, Mídias Sociais, Deep e Dark Web compreendendo o fornecimento, instalação e configuração, bem como o suporte técnico, em atendimento às necessidades operacionais da  Diretoria de Inteligência da Secretaria de Operações Integradas (DINT/SEOPI)”.

A motivação para a contratação foi apresentada pelo item 3 e seguintes subitens do Termo de Referência que acompanha o Edital, e aponta que a proposta foi baseada no DOD (SEI 11176453) que supostamente indicaria a necessidade de aquisição do serviço.

Em dezembro de 2020, no Planejamento Anual de Contratações, a DINT/SEOPI/MJSP havia incluído em suas despesas planejadas para 2021, na categoria “21BQ – Implementação de Políticas de Segurança Pública, Prevenção, e Enfrentamento à Criminalidade”, o custeio de R$ 2.240.000,00 para o objeto “Cessão temporário de direitos sobre programas de computador locação de software”. A planilha especificava que seriam necessárias 40 licenças para “Solução de Inteligência em Fontes Abertas, Mídias Socias, Deep e Dark Web”. A despesa desejada foi prevista para novembro de 2021 (ver linha 446 desta planilha disponível online).

O Edital do Pregão, fazendo referência ao Planejamento Anual da Unidade 200331 (“UASG 2003031”), foi publicado com as seguintes informações: “Objeto: Aquisição de Solução de Inteligência em Fontes abertas, Mídias Sociais, Deep e Dark Web, compreendendo o fornecimento, instalação e configuração, bem como o suporte técnico, em atendimento às necessidades operacionais da Diretoria de Inteligência da Secretaria de Operações Integradas (DINT/SEOPI). Número de itens: 1”.

Da abertura da sessão pública, resultou vencedora a empresa Harpia Tecnologia Eireli (Harpia Tech), que ofereceu o menor lance pelo produto, no valor total de R$ 5.415.750,00 (cinco milhões, quatrocentos e quinze mil, setecentos e cinquenta reais).

Conforme disposto no Edital do Pregão, o objetivo principal do certame é a contratação de Solução de Inteligência em Fontes abertas, Mídias Sociais, Deep e Dark Web, o que compreende o “fornecimento, instalação e configuração, bem como o suporte técnico, em atendimento às necessidades operacionais da Diretoria de Inteligência da Secretaria de Operações Integradas (DINT/SEOPI)”.

No processo licitatório, a Harpia Tech apresentou um Detalhamento da Solução. Segundo a apresentação da própria empresa, o programa oferecido pela empresa monitora 5.722 fontes, espalhadas por 112 países. A Harpia Tech explica, ainda, que “por fonte, entenda-se: rede social, canal em grupo de mensageria, fórum na dark web, etc.”. É dizer, a Solução de Inteligência funciona a partir do monitoramento constante de tais fontes e abrange “fontes que refletem os seguintes fenômenos”:

• Hacktivismo
• Crime Cibernético (cyber enabled / cyber dependent)
• Publicações acadêmicas
• Exploits, scripts, ferramentas de ataque
• Hackostentação (ataques digitais sem finalidade ativista ou criminosa)
• Cyberespionagem
• Dados abertos publicados por empresas de segurança, grupos de comunicação e instituições de pesquisa (nossos destaques)

A partir, então, dessa constante e ampla coleta de informações dispersas, o documento explicita que a Solução de Inteligência é capaz de detectar, analisar e produzir relatórios que detalham vínculos entre pessoas, quais as mídias utilizadas por um indivíduo e, entre outros, sua filiação a determinados grupos.

Vale também mencionar que, de acordo com o Detalhamento da Solução, “todas as coletas são georreferenciadas” e há possibilidade de busca ativa de compilados de informações por parte daqueles que operam o software a partir de parâmetros como o CPF.

Em resumo, o que se nota é que a Solução de Inteligência objeto do Pregão constitui-se enquanto ferramenta cujo funcionamento serve ao monitoramento constante de pessoas, sobretudo em relação a suas atividades online. Tal monitoramento, cumpre ressaltar, não se restringe à atenção por atividades criminosas, mas, como visto, se estende, de forma preocupante, a atividades que traduzem um livre exercício de direitos civis e políticos, como hackativismo e pesquisa acadêmica.

Dessa forma, pode-se dizer que a Solução cuja compra pretende a SEOPI entrega uma capacidade ampla de vigilância e, consequentemente, pode interferir diretamente no exercício de direitos fundamentais e facilitar atividades desviantes da ordem democrática e constitucional, como a reunião de dados que podem permitir inferências sensíveis e a produção de dossiês sobre qualquer cidadão, independentemente de suspeita fundada e ordem judicial.