1
Funcionamento do SIGRE Sistema de Informação e gestão do recenseamento Eleitoral
Na sequência da Deliberação Nº 488/2009 da CNPD e do relatório da DGAI sobre o
funcionamento do SIGRE, de 8 de Julho de 2008, pretende-se agora dar pleno
esclarecimento sobre as medidas já executadas em cumprimentos das recomendações
da CNPD.
I
Problemas inteiramente resolvidos Quanto à qualidade dos dados:
“Existem na BDRE registos incompletos e inexactos, i.e., sem menção de todos
os dados de identificação referidos no n.º 1 do artigo 12. ° da LRE. Com nome e
outros dados incompletos, sem data de nascimento, filiação, etc., foram
identificados 33.833 registos. Destes, sem qualquer outro dado, contendo
unicamente o nome, foram detectados 12.092 registos.” Verificou-se, ainda,
existirem cerca 9.600 situações de nomes iguais. No entanto, com o nome
“Maria Martins” existem 614 registos, que correspondem, apenas, a uma
“situação”.
Foram adoptadas as seguintes medidas e acções:
Detecção e eliminação do registo de eleitores duplamente inscritos
identificados por BI;
Detecção e eliminação do registo de eleitores duplamente inscritos
identificados pela comparação de chaves como o Nome, Data nascimento,
Filiação e Naturalidade;
Expurgo de informação sem qualidade de dados através da validação e
comparação dos dados apurados os através de comparação de chaves como
Nome, Data Nascimento, Filiação e Naturalidade.
2
Será criada uma lista de todos os eleitores eliminados, sendo disponibilizados
às Comissões Recenseadoras para informação geral das entidades envolvidas.
Saliente-se que a situação expressamente referida relativa a “Maria Martins”
correspondia não à repetição n vezes do mesmo registo da mesma cidadão, mas a
registos diversos de cidadãs diversas identificadas na sua quase totalidade por BI, data
de nascimento, filiação, etc., diferentes. Alguns desses registos estavam inclusive
inactivos por óbito comunicado nos termos legais.
Foram eliminados da BDRE por múltiplas identificações o BI igual:
Eliminações de triplas – 6 registos o Eliminação automática de duplas – 2.029 registos o Nome, data nascimento, filiação e naturalidade iguais – 25 registos
Passaram ao estado de “Inactivos” por insuficiência de informação de identificação: Sem BI e só com nome na identificação – 13.236 registos Sem BI e só com nome e naturalidade – 1.164 registos
REGISTOS NA BDRE MAIORES DE 18 ANOS EM ESTADO "INACTIVO"
“Verificam-se na BDRE registos de cidadãos com idade igual ou superior a 18
anos de idade sem que o sistema lhes reconheça capacidade eleitoral (cfr.
artigo 43. ° da Constituição e n.º 2 do artigo 35.º da LRE).”
A informação prestada correspondia a “dados não consolidados - processos pendentes
em análise”à data da inspecção. Assim como é referido, “existe processo automático
diário no SIGRE que promove os registos de cidadãos do estado de “Provisório” a
“Efectivo” ao fazerem 18 anos”. Mas também existe processo diário que promove
“Inactivos” a “Efectivos” registos de cidadãos nacionais com 18 ou mais anos
residentes em território nacional. Os processos pendentes (especialmente de cidadãos
que adquiriram a nacionalidade portuguesa) após resolução de mensagem em
“Pendente” são processados pelo referido processo que ocorre diariamente durante a
noite e sempre que são gerados cadernos eleitorais.
3
REGISTOS NA BDRE DE MENORES DE 17 ANOS COMO "INACTIVOS"
“Existem na BDRE registos de cidadãos com menos de 17 anos de idade, em
desrespeito do disposto no n.º 1 do artigo 35. ° da LRE. Parece resultar que,
sempre que há um registo de nascimento, a BDRE recebe os dados provenientes
do sistema de informação civil integrando-os, embora como “inactivos”, sem
respeito pela finalidade do tratamento”
Foram eliminados pela DGAI todos os registos relativos a cidadãos com menos de 17
anos e respectivo histórico, incluindo a informação sobre todos os processos de
pedido, renovação de cartão ou alteração de morada já fechados e existentes no SIGRE
para eleitores com menos de 17 anos.
Através de procedimento a ajustar no plano tecnológico garantir-se-á que “todos os
cidadãos nacionais, residentes no território nacional, maiores de 17 anos, são oficiosa
e automaticamente inscritos” (artigo 3º, nº 1 da Lei nº 47/2008) na BDRE. E apenas
esses.
Foram adoptados os procedimentos técnicos intercalares necessários para que esta
alteração não gere perturbação da plataforma de serviços comuns do Cartão de
Cidadão.
Será planeado e executado um serviço Web que deverá ser desenvolvido pelo ITIJ/MJ
sobre a informação da BDIC e no SIGRE, que terá como funcionalidade a comunicação
diária de todos os eleitores que perfazem 17 anos. Aquando da recepção dessa
mensagem, o SIGRE irá promover o eleitor automaticamente como Provisório.
Em suma: Foram eliminados da base de dados todos os registos pendentes com menos
de 17 anos oriundos do Cartão do cidadão e do ITIJ/MJ na tabela de pendentes:
294.115 registos.
Foram eliminados da base de dados todos os registos de menores de 17 anos -
1.550.453 registos.
Foram já implementados pelo SIGRE os mecanismos que eliminam a informação de
identificação das mensagens de Cartão do cidadão dos menores de 17 anos e, após
4
completado o ciclo de garantia de integridade das mensagens da Framework de
serviços comuns, de eliminação integral das respectivas mensagens.
EXISTÊNCIA NA BASE DE DADOS DE PRODUÇÃO DA TABELA "BDRE_TEMP"
“Foi verificado que existe, na base de dados “produção”, uma tabela designada
por “BDRE_temp”. Esta tabela corresponde à anterior base de dados, criada em
1998, que foi objecto de migração para o SIGRE. Ali constam todos os registos
da BDRE até à entrada em funcionamento do novo sistema SIGRE. O
fundamento invocado para a sua manutenção foi a “memória” e a necessidade
“para comparar dados”.
Foi feita a eliminação da “BDRE-temp”. A BDRE histórica foi arquivada nas instalações
da DGAI, para efeitos históricos e para, se necessário, apuramento de situações cuja
migração possa suscitar problemas ora não previsíveis.
COLOCAÇÃO DO SIGRE NO CENTRO DE DADOS DO SEF
“É necessário esclarecer qual é a base legal para que a plataforma tecnológica
do SIGRE esteja fisicamente alocada e suportada tecnicamente pelo SEF, tendo
em conta as competências desta entidade e a natureza particular do
tratamento aqui em análise.”
Em despacho exarado no dia 8 de Julho de 2009, o Secretário de Estado Adjunto e da
Administração Interna determinou:
“Até ao desenvolvimento de um centro de dados comum a todas as forças e serviços
do MAI, solução que permitirá novas formas de cooperação, deve o Centro de dados
do SEF, que oferece todas as condições para cabal cumprimento do artigo 18º da Lei
5
do Recenseamento Eleitoral, continuar a suportar tecnicamente o SIGRE, sem prejuízo
das competências próprias da DGAI, como responsável pela base de dados.”
O Centro de Dados do SEF oferece todas as condições para cabal cumprimento do
artigo 18.º da Lei do Recenseamento Eleitoral que obriga que a BDRE e o SIGRE,
cumpram requisitos de segurança adequados que impeçam a consulta, modificação,
destruição ou aditamento dos dados por pessoa não autorizada a fazê-lo e permitam
detectar o acesso indevido à informação, incluindo quando exista comunicação de
dados.
PODERES DE ADMINISTRAÇÃO DA BASE DE DADOS ATRIBUIDOS A UM ELEMENTO DA DGAI, A UM FUNCIONÁRIO DO QUADRO DO SEF, OUTSOURCER DO SEF E ELEMENTOS DA CRITICAL SOFTWARE A Base de Dados do SIGRE é acedida pelas seguintes entidades: DGAI, Critical Software,
SEF, Comissões de Recenseamento e Consulados.
Cada entidade tem perfis de acesso associados às suas competências e
responsabilidades.
Todos os acessos de inserção, alteração e eliminação são registados e auditáveis,
através do “registo de logs” e “auditing” do Sistema Oracle e do próprio sistema
aplicacional SIGRE.
Está a ser implementado igualmente o registo de acessos e ocorrências de “select” e
“view” às tabelas e dados da Base de Dados SIGRE, com os mecanismos de Auditing do
ORACLE.
Esta implementação ocasionará um crescimento de Storage alocado ao SIGRE para
recolha e guarda de todos os registos assim como um aumento muito significativo de
utilização de CPU dos servidores de Base de Dados.
Os registos de histórico de todos os acessos serão guardados periodicamente em
ficheiro, sob a gestão e guarda do SEF.
6
EXISTÊNCIA DE LIGAÇÃO REMOTA DA CRITICAL SOFTWARE PARA O SEF E DA DGAI PARA O SEF
É também necessário que se pondere a opção de permitir acessos remotos ao
SIGRE. Os acessos remotos comportam sempre um risco acrescido, cuja
verificação deverá ser acompanhada de medidas de segurança reforçadas e
susceptíveis de controlo contínuo
Os acessos externos, quer pela DGAI quer pela Critical Software, como entidade
responsável pela manutenção correctiva e evolutiva do sistema aplicacional do SIGRE,
legalmente contratada para o efeito pela DGAI, são efectuados com a utilização de
“vpn secure client checkpoint”.
Este software de firewall e encriptação é instalado, configurado e gerido pelo SEF nos
equipamentos clientes e sempre com um período temporal definido.
Os algoritmos de encriptação utilizados são 3DES e SHA1.
Sendo um software cliente do firewall principal (Checkpoint) do SEF, todos os acessos
são auditáveis, registados e monitorizados em tempo real pelo Firewall Central do SEF
e seus Administradores de Sistemas.
Considerando a qualidade e segurança desta ferramenta, a mesma é igualmente
utilizada pelos técnicos Administradores de Sistemas, de Segurança e de Bases de
Dados do SEF para acesso remoto em situações de stand by e manutenção, com
adequadas garantias de segurança na comunicação.
CRIAÇÃO DE “LOGGING” A TODOS OS TIPOS DE ACESSO ÀS BASE DE DADOS (INCLUINDO "READ")
“É absolutamente necessária a activação da funcionalidade de controlo de
acessos e a adopção de mecanismos que permitam auditar, interna e
externamente, a utilização do sistema.”
Todos os acessos de inserção, alteração e eliminação são registados e auditáveis,
através do “registo de logs” e “auditing” do Sistema Oracle e do próprio sistema
aplicacional SIGRE.
7
Está a ser implementado igualmente o registo de acessos e ocorrências também nos
casos de consulta, ou seja de “select” e “view” às tabelas e dados da Base de Dados
SIGRE, com os mecanismos de Auditing do ORACLE.
BASE DE DADOS DE DESENVOLVIMENTO E TESTE
“O facto de existirem bases de dados de “desenvolvimento e teste” que
utilizam dados reais é mais um ponto crítico relativo à segurança dos dados
pessoais”
Não serão mais utilizados dados reais para testes. Os ficheiros residentes no ambiente
de testes foram significativamente reduzidos, só ficaram algumas comissões
recenseadoras e todos estes dados foram encriptados, ou seja não é já possível
identificação dos registos. Basicamente foi executado um algoritmo de encriptação
sobre os dados, permitindo na mesma a sua utilização para fins de teste e impedindo a
identificação real de qualquer cidadão.
ÓBITOS: IMPOSSIBILIDADE DE MAPEAMENTO COM REGISTOS DA BD
“Os óbitos são comunicados pelo Instituto das Tecnologias de Informação na Justiça
(ITIJ) mensalmente e por envio de ficheiro. Este processo é feito de forma automática,
ficando no estado pendente no caso de não se conseguir localizar o registo. Cerca de
10% das comunicações ficam pendentes nesta categoria. Sempre que tal acontece, o
cidadão falecido permanece no sistema como activo e, em caso de realização de acto
eleitoral, figura no respectivo caderno eleitoral. Daqui decorre uma desactualização da
base de dados e dos cadernos eleitorais, não admissível”
Foram eliminados da base de dados todos os registos de óbitos sem informação no RE
– 103.097 registos.
8
ÓBITOS NO ESTRANGEIRO: IMPOSSIBILIDADE TOTAL DE REGISTOS NA BD
“Um outro aspecto relevante é o facto de ter sido declarada a incapacidade do
sistema controlar os óbitos ocorridos no estrangeiro, perpetuando
indevidamente os registos como “efectivos”.
Será comunicada ao ITIJ/MJ a total disponibilidade de o SIGRE aceitar essa informação,
passando a processá-la (tal como já faz com os residentes em território nacional). A
DGAI e o ITIJ/MJ irão promover acções necessárias para que a comunicação seja mais
célere e tenha por base procedimentos que assegurem a actualização da informação.
ELEITOR ACTIVO COM MAIS DE 136 ANOS
“Tendo sido detectado um “eleitor activo” nascido em 1873 suscita-se a dúvida
sobre a circunstância de estarem ou não a ser promovidas as confirmações
devidas, como determina o disposto no n.º 6 do artigo 50.º da LRE. A CNPD
permite-se ter dúvidas da existência de um cidadão com 136 anos de idade.”
Foram adoptadas as diligências para eliminar o referido registo e explicada a sua
existência na altura da inspecção.
O SIGRE encontra-se dotado de uma tarefa automática parametrizável onde é
permitida a especificação de uma idade (e.g. 120), obtendo todos os eleitores com
mais do que 120 anos e colocando-os automaticamente com classificação de óbito.
Essa funcionalidade já foi accionada tendo sido eliminados registos inverosímeis.
Assim, foram eliminados todos os registos com idade superior a 111 anos.
DATAS DE NASCIMENTO IMPOSSIVEIS
“Existem na BDRE registos com indicação de datas de nascimento impossíveis
mas que o sistema aceita, como resulta da formulação relativa ao ano de 0018”
9
Está em elaboração a listagem desses registos, para que se proceda à sua correcção
manual usando o SIGRE.
As datas em causa não foram produzidas pelo SIGRE, mas resultam de erros que
decorrem dos dados registados pelas comissões recenseadoras, que carecem de
confirmação para que não persistam nem informações erradas, nem sejam efectuadas
eliminações infundadas por erro na recolha de dados.
COMUNICAÇÃO DO CC PROMOVE INSCRIÇÃO DE ELEITOR
“A decisão de criar novos registos, com base nas comunicações do Cartão de
Cidadão, relativamente a eleitores para os quais o sistema não conseguiu
localizar o cidadão na base de dados, atribuindo automaticamente um novo
número de eleitor, deve ser obrigatoriamente revista na medida em que
permite a criação de inscrições múltiplas;”
Tal como referido o SIGRE já tem implementado mecanismos que impedem esta
situação, enviando esses casos para análise de pendente.
II
Questões suscitadas pela CNPD ou entidades terceiras e para as quais o MAI oferece resposta fundamentada
Colocação do SIGRE no data center do SEF Tendo sido questionada esta opção, foi solicitado parecer técnico ao SEF (que se
anexa), no qual se conclui:
1. Não é realizável e poria em causa a realização dos actos eleitorais já marcados,
qualquer tentativa de migração da aplicação SIGRE para outro Centro de
processamento de dados (CPD) antes da conclusão do período eleitoral em
curso.
10
2. A migração em causa pode ter lugar – com custos, procedimentos e prazos a
apurar – após os actos eleitorais de Setembro e Outubro de 2009, com devida
antevisão, preparação e procedimentalização da resolução de todos os
problemas técnicos, implicando um adequado projecto de gestão da mudança.
III
Questões cuja resolução implicam uma mudança na arquitectura do sistema Enuncia-se de seguida duas questões que foram colocadas pela CNPD, ou resultam
indirectamente das suas recomendações, e cuja plena resolução implica uma alteração
profunda da arquitectura do sistema e, como tal, carecem de tempo de análise e
estudo e eventual procedimento de contratualização.
Nestes termos, considera-se que não é exequível que tal seja feito neste momento,
tendo em conta o ciclo eleitoral que se avizinha (eleições legislativas a 27 de Setembro
e eleições autárquicas a 11 de Outubro), e que aconselha que não sejam tentadas
alterações estruturais no SIGRE, sob pena de se comprometer a sua estabilidade e
performance nestes próximos meses.
Encerrado este ciclo, devem estas questões ser objecto de um aprofundado estudo e
nessa sequência, proposta a sua resolução.
1. Arquivo histórico de óbitos e outras situações na tabela ELEITOR
A lógica da informação contida na tabela ELEITOR está centrada no princípio de
que, para cada identificação de cidadão inscrito no recenseamento eleitoral
existe apenas um registo e, que essa informação se mantém desde o estado
inicial “Provisório” até ao estado final de “Óbito” ou “Cancelado” por perca de
capacidade. O estado desse registo pode ser “Provisório” se corresponder a
cidadão com capacidade eleitoral mas apenas ao completar os 18 anos,
“Efectivo” se maior de 18 anos e inscrito oficiosamente ou tenha promovido
voluntariamente a sua inscrição, “Cancelado” se corresponder à identificação
11
de uma situação de múltipla identificação (Ex: Inscrição no recenseamento
eleitoral como estrangeiro que, por ter adquirido a nacionalidade portuguesa,
obteve uma inscrição como nacional), “Inactivo” correspondendo a informação
de cidadãos que podem promover a inscrição voluntária no recenseamento
eleitoral e, “Óbito” correspondendo a registo de cidadão com inscrição no
recenseamento eleitoral para o qual foi comunicada a ocorrência de óbito.
A contabilização do número de inscritos no recenseamento eleitoral e, a
geração dos cadernos eleitorais apenas é efectuada sobre registos no estado de
“Efectivo”.
As situações de “Cancelado” e “Óbito” permitem às comissões recenseadoras e
à DGAI poder ter informação e prestar esclarecimento sobre a saída dos
cadernos eleitorais das inscrições em causa e, poder corrigir eventuais erros
ocorridos (Ex: comunicação e processamento incorrecto de óbito). A não
inclusão desta informação na tabela ELEITOR, a ser considerada essencial pela
CNPD, implicará uma reestruturação da arquitectura da Base de Dados e do
SIGRE.
As situações de “Inactivo” que correspondem ao universo potencial de cidadãos
que podem promover a inscrição voluntária no recenseamento eleitoral
(cidadãos nacionais residentes no estrangeiro e cidadãos estrangeiros
residentes em Portugal para cujas nacionalidades é reconhecida a possibilidade
de adquirirem capacidade eleitoral através da inscrição voluntária no
recenseamento eleitoral) serão eliminadas quando forem implementados pelo
ITIJ/MJ na BDIC e pelo SEF no SII os webservices que permitam ser invocados
pelo SIGRE quando algum destes cidadãos se apresentar na respectiva
comissão recenseadora para promover a sua inscrição no recenseamento
eleitoral. Para tal já foram iniciados os procedimentos junto das respectivas
entidades para a definição, desenvolvimento e adaptação dos respectivos
sistemas de informação para a implementação destes novos serviços.
12
1. Transformação em aplicação autónoma Webservice para transferência
automática dos menores de 16 anos no momento em que completam 17 anos
Já foram iniciados os contactos para a implementação destes novos serviços e,
de alteração das comunicações da FSC para o SIGRE conforme extracto de acta
de reunião com o ITIJ/MJ realizada em 15 de Julho de 2009 que se transcreve:
“Definição do fluxo de informação e universo de dados a fornecer relativo à
identificação civil
a. Relativamente à periodicidade do fornecimento da informação, foi definido
que o fornecimento de dados teria uma base diária para o fornecimento de
dados da BDIC e não mensal como acontecia até ao momento. Relativamente
ao fornecimento de dados através da FSC do Cartão do Cidadão continuará nos
moldes em que tem ocorrido. Os ficheiros diários serão sempre referentes ao
dia anterior.
b. Relativamente ao modelo de comunicação determinou-se que o fornecimento
de ficheiros diários com base na BDIC passaria a ser enviados por webservices
e não por ficheiros ftp como até ao momento. O fornecimento de dados do CC
continuará nos moldes actuais.
c. Relativamente ao universo dos dados a fornecer serão considerados os
seguintes ficheiros diários, gerados a partir da BDIC, de forma a abranger todas
as actualizações existentes e novas informações de cidadãos que completem
os 17 anos:
i. Cidadãos com BI que completem 17 anos nesse dia;
ii. Cidadãos com CC que completem 17 anos nesse dia;
iii. Alterações de BIs que ocorram no dia para cidadãos, que nesse dia,
sejam> = 17 anos;
iv. Perdas de nacionalidade e duplicados para cidadãos portadores de BI
ou CC e que, nesse dia, sejam> = 17 anos.
13
d. Relativamente ao universo de informações a fornecer através da plataforma
da FSC continuarão a ser enviadas os dados actualmente enviados porém
apenas relativamente a cidadãos que nesse dia sejam> = 17 anos. Para garantir
o envio de todas as informações, nomeadamente as alterações de morada,
será necessário realizar a federação, dos cidadãos que renovaram ou pediram
CC antes de completarem 17 anos, no dia em que completam os 17 anos.
Portanto este universo de cidadãos não terá a sua mensagem de federação no
momento dos restantes organismos mas no dia em que completam os 17
anos.”
Lisboa, 20 de Julho de 2009
Rita Faden
A Directora geral
Em Anexo: Informação/parecer do SEF sobre a instalação do SIGRE no data center do SEF.