Habeasdata.org.br

O problema do roubo de identidade já é velho conhecido no Brasil, onde muitas vezes é referido como “clonagem”. Agora, começamos a ser expostos a um problema que está na raiz do roubo de identidade, que é o vazamento de dados – ou Data Brench, como é conhecido em muitos países.

O Ministério da Educação reconheceu hoje (04/08) o vazamento de dados pessoais de cerca de 12 milhões de pessoas que prestaram o exame do ENEM entre 2007 e 2009. Entre tais dados estão o nome, CPF, RG, nº de inscrição, nome da mãe e notas de cada inscrito.

O vazamento, ao que parece, durava meses e foi denunciado ao Ministério da Educação pelo jornal O Estado de S. Paulo.

O vazamento de dados consiste, basicamente, na disponibilização acidental de informação protegida ou qualificada em um ambiente inseguro. Quando estes dados são dados pessoais, a possibilidade de que o vazamento acarrete danos diretos à pessoa, seja à sua privacidade, segurança ou mesmo liberdade, é bastante concreta.

O tema não absolutamente novo em outros países. Uma organização como a Privacy Rights Clearinghouse mantém um banco de dados com informações sobre todos os vazamentos de dados documentados nos Estados Unidos entre 2005 e hoje, chegando ao assombroso total de 494,692,655 registros vazados – mais de um para cada cidadão norte-americano! E os nove casos mais clamorosos de vazamento de dados de 2009 podem ser consultados aqui.

A utilização massiva de dados pessoais é uma atividade de risco, risco esse que se apresenta de forma contundente com um problema como o que houve com o banco de dados do ENEM. A proliferação de sistemas informatizados que se utilizam de dados pessoais, por vezes gigantescos – como, no caso do Brasil, do RIC (Registro Único de Identidade Civil) ou do projeto SINIAV para monitoramento da frota automotiva, entre outros, faz com que aumente este risco potencial para o cidadão e sugere a necessidade urgente da incorporação de modelos modernos e eficazes de segurança da informação.

A segurança da informação, porém, não basta para abordar de forma eficaz o problema. De fato, é necessário incentivar uma verdadeira cultura de proteção de dados pessoais, que implique em uma utilização ponderada e respeitosa da informação pessoal, com as devidas salvaguardas e somente quando ela for realmente indispensável. No caso da administração de bancos de dados pessoais, por exemplo, torna-se necessário no mínimo estipular regras claras sobre a quem é franqueado o acesso a tais dados, estabelecendo também responsabilidades sobre os administradores pelos eventuais problemas ocorridos. Neste sentido aponta a nota publicada por Marcel Leonardi em O Estado de S. Paulo de hoje, argumentando pela adoção de uma cultura da “privacidade como padrão”:

O vazamento de dados pessoais de milhões de estudantes que fizeram o Enem demonstra a urgência de normas adequadas para a proteção desse tipo de informação no Brasil e a necessidade de uma mudança da cultura nacional a respeito da privacidade. São cada vez mais comuns casos de vazamento de informações sigilosas no Brasil e no exterior.

No estado atual da tecnologia, é inadmissível que dados pessoais circulem sem estarem devidamente criptografados. Não há razão que justifique a falta de cuidados básicos no tratamento e armazenamento dessas informações, pois a tecnologia para isso está ao alcance de todos, sem custo, na internet.

O principal problema não é o custo nem a inadequação do sistema jurídico brasileiro. Falta-nos uma cultura da “privacidade como padrão”, ou seja, entender a privacidade como um modelo de conduta, como regra inerente a qualquer atividade, e não como incômoda exceção. Por isso, a revelação de vazamento de dados deve ser incentivada e não combatida. Ela permite que as vítimas possam adotar rapidamente providências para mitigar os danos, e os ônus da revelação levarão empresas e governos a investir mais e melhor na proteção de dados sensíveis ou até mesmo a evitar sua coleta desnecessária.

Esperamos que o vindouro anteprojeto de lei sobre proteção de dados pessoais possa atender em parte a esses anseios e despertar, entre nós, a cultura de privacidade, tão necessária em uma era de onipresença e onisciência tecnológica.

De fato, o problema do vazamento de dados é uma das discussões principais na renovação das atuais leis de proteção de dados em diversos países. Muitos estados norte-americanos possuem legislação a respeito e o assunto é prioritário na revisão das diretivas européias que tratam de proteção de dados que se realizará a partir deste ano. Espera-se que, a partir do triste alerta dado pelo problema com o banco de dados do ENEM, a questão seja tratada como prioritária também pelo legislador brasileiro e que seja mais um fator a evidenciar a necessidade de uma normativa genérica sobre a proteção de dados pessoais.

Parece existir no Brasil um terreno fértil para o ensaio de práticas de marketing que violam princípios fundamentais de privacidade e que, certamente, não seriam bem recebidas em muitos outros países.

Desta vez a novidade é uma promoção do detergente OMO, da Unilever. 50 caixas deste detergente terão um dispositivo GPS incorporado de forma a não serem perceptíveis ao consumidor no momento da compra, dispositivos estes que serão ativados no momento em que a caixa do detergente sai da loja e permitirão que uma equipe da Unilever siga o consumidor até a sua casa – sem que ele saiba que está sendo seguido e sem ter concordado som esta possibilidade.

De acordo com matéria na publicação Advertising Age:

Fifty Omo boxes implanted with GPS devices have been scattered around Brazil, and Mr. Figueiredo (presidente da agência responsável pela promoção)has teams in 35 Brazilian cities ready to leap into action when a box is activated. The nearest team can reach the shopper’s home “within hours or days,” and if they’re really close by, “they may get to your house as soon as you do,” he said.

O site Mundo do Marketing também reporta que:

Trinta e cinco pontos de monitoramento espalhados pelo Brasil acompanharão o trajeto de 50 embalagens com um dispositivo de GPS dentro, sem alterar o peso ou causar a percepção de que há algum objeto, além do sabão em pó, ao balançar o produto.

O fato do consumidor que for monitorado receber brindes certamente diluirá eventuais reclamações. Mas não é este o ponto principal desta promoção: o que chama a atenção e merece destaque é o fato de que a mera proposta de uma promoção deste tipo deixa clara a banalização com que uma questão sensível relacionada à privacidade e à própria segurança pública, que é a geo-localização, é tratada no Brasil.

Cabe aos órgãos reguladores ponderar o cabimento de uma promoção publicitária capaz de desvendar a terceiros não autorizados dados precisos sobre a localização de uma pessoa. E cabe aos consumidores que não se sentirem confortáveis com uma promoção deste gênero deixar de comprar o detergente OMO como única forma, por enquanto, de exercer o direito cristalino de não ser seguido.

Mais informações.

Brasília, 22/07/2010 (MJ) – Será realizado nos dias 11 e 12 de agosto, no Rio de Janeiro, o seminário internacional “Desafios e Perspectivas para a Proteção de Dados Pessoais no Brasil”. O evento é uma iniciativa conjunta entre o Departamento de Proteção e Defesa do Consumidor (DPDC), órgão ligado ao Ministério da Justiça, e a Faculdade de Direito da Universidade do Estado do Rio de Janeiro (UERJ), com o apoio dos Ministérios da Ciência e Tecnologia e do Desenvolvimento, Indústria e Comércio Exterior e da Agência Brasileira de Desenvolvimento Industrial (ABDI).

Durante o evento, especialistas do Brasil e do exterior discutirão temas relativos a políticas públicas para a proteção de dados pessoais e privacidade. Os temas previstos para os painéis são: A experiência internacional da proteção de dados pessoais; Perspectivas para a proteção de dados pessoais no Brasil; Proteção de dados pessoais nas relações de consumo; e A proteção de dados como ferramenta de desenvolvimento econômico e social.

Um dos principais objetivos do seminário é discutir a necessidade de um marco legal para a proteção de dados pessoais no Brasil. Inúmeros países já possuem regras nesse sentido e o Brasil ainda não possui lei que regule o tema.

O evento acontece no hotel Windsor Miramar, localizado na Avenida Atlântica, n. 3668, Copacabana, no Rio de Janeiro. Serão disponibilizadas 100 vagas para integrantes do Sistema Nacional de Defesa do Consumidor, sociedade civil, academia e demais órgãos públicos.

As inscrições são gratuitas e o número de vagas é limitado.

A ficha de inscrições está disponível para download e, após preenchida, deve ser enviada para o email protecaodedados@mj.gov.br.

Consulte o programa do Seminário.

Programação

11.08 – Quarta-feira

9h00 às 10h00 – Abertura

10h00 às 12h00 – PAINEL 1: A experiência internacional da proteção de dados

pessoais

Presidente de mesa: Felipe de Paula (Secretário de Assuntos Legislativos –MJ)

Juan Antonio Traviesso (Diretor da Dirección Nacional de Protección de Datos Personales – Argentina) - A proteção de dados no Argentina e América Latina

Luís Lingnau da Silveira (Presidente da Comissão Nacional de Protecção de Dados – Portugal) - As autoridades de proteção de dados no contexto europeu

Felipe Rotondo (Conselheiro da Unidade Reguladora e de Controle de Dados Pessoais – Uruguai) - As autoridades de proteção de dados no contexto latino-americano

12h00 às 14h00 – Intervalo para almoço

14h00 às 17h00 – PAINEL 2: Perspectivas para a proteção de dados pessoais no Brasil

Presidente de mesa: Beto Vasconcellos (Casa Civil)

Laura Schertel Mendes (DPDC/SDE/MJ) - A proteção de dados no contexto brasileiro

Carlos Affonso de Souza (FGV-Rio) - A privacidade no Marco Civil da Internet

Daniel Bucar (PGM-Rio de Janeiro) - A proteção de dados na Administração Pública

Demi Getschko (CGI-Br) - Proteção de Dados e Segurança na Internet-BR

12.08 – Quinta-feira

9:00 às 10:00 – Conferência

   Seth Schoen (Electronic Frontier Fondation, EUA): Data protection and new technologies

10h00 às 12h00 – PAINEL 3: Proteção de dados pessoais nas relações de consumo

Presidente de mesa: - Héctor Valverde (Brasilcon)

Ricardo Morishita (DPDC/SDE/MJ)

Newton De Lucca (USP) - A tutela da privacidade do consumidor no comércio eletrônico

Anderson Schreiber (UERJ) - Responsabilidade civil por violação à privacidade

Leonardo Bessa (Brasilcon) - Práticas abusivas nos cadastros e bancos de dados de consumidores

11h30 às 12h00 – Debates

12h00 às 14h00 – Intervalo para almoço

14h00 às 17h00 – PAINEL 4: A proteção de dados como ferramenta de desenvolvimento econômico e social

Presidente de Mesa: Rogério Vianna (MCT)

Danilo Doneda (MCT/UNESCO) - Privacidade: de custo a recurso

Renato Martini (ITI) - Proteção de dados pessoais na Infra-estrutura brasileira de chaves públicas

Marcel Leonardi (FGV São Paulo) - A tutela da privacidade pela Sociedade Civil organizada

Gerson Rolin (Projeto Mercosul Digital / Camara e-net) - A proteção de dados e a confiança do consumidor no comércio eletrônico

Ivo Corrêa - (Google Inc.) - A proteção de dados nos serviços da Internet

17:00 – Conferência de encerramento – Colin Bennett (University of Victoria, Canada): Políticas Públicas para a proteção de dados pessoais: uma visão global

O sequestro chegou a ser uma atividade bastante lucrativa no México. Em 2000, 3.200 pessoas foram sequestradas, rendendo às quadrilhas especializadas cerca de 900 milhões de dólares.

Estes dados impulsionaram como em nenhum outro país a indústria de chips subcutâneos de geo-localização. Empresas como Solusat lançaram soluções que utilizavam tecnologia desenvolvida pela empresa VeriChip , integrando um sistema GPS com emissores de rádiofrequência em um chip com o formato aproximado de um grão de arroz que é instalado sob a pele.

Tal implante foi relativamente comum entre políticos mexicanos mas não evitou que o ex-presidente do Senado, Diego Fernandez de Cervello, fosse sequestrado no último dia 14 de maio.

O chip foi retirado, ao que parece, com uma tesoura, achada pelas forças de ordem mexicanas junto ao chip, em uma estrada a 40km do rancho onde o político estava no momento do sequestro.

Diego não foi encontrado até o momento e a segurança proporcionada por este tipo de dispositivo de vigilância, cuja utilização enfrenta forte oposição por conta de riscos à privacidade de seus utilizadores (que, muitas vezes, são obrigados a utilizá-los, como no caso de funcionários de empresas), deve levar em conta a óbvia constatação de que alvos potenciais de sequestros correrão o risco adicional da retirada do chip sem cuidado e às pressas, a caminho do cativeiro.

O México passou a dispor de uma lei sobre proteção de dados pessoais com a entrada em vigor, em 6 de julho de 2010 (hoje!), da sua Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

O México passa, assim, a possuir uma lei geral sobre proteção de dados pessoais, a se somar à sua lei de acesso à informação pública. A lei segue os parâmetros do modelo europeu de proteção de dados e, neste sentido, assemelha-as às legislações da Argentina e Uruguai a respeito. A aprovação tem o efeito de isolar ainda mais o marco jurídico brasileiro de proteção de dados pessoais, que ainda não dispõe de uma lei geral.

A Câmara de Dirigentes Lojistas de Porto Alegre (CDL) foi a primeira no Brasil a criar um sistema de proteção ao crédito (SPC), ainda em 1955. Hoje, volta a ser alvo de atenções por disponibilizar aos seus associados o sistema Crediscore, que é um sistema de análise de risco na concessão de crédito que realiza o chamado credit scoring – ou seja, atribui uma pontuação ao consumidor que deseja realizar uma transação a prazo que será levada em conta pelo fornecedor para decidir entre realizar ou não a transação.

A falta de transparência na operação deste serviço conflita com o regime que o Código de Defesa do Consumidor estabelece para os bancos de dados de proteção ao crédito e é um dos problemas que tornam tal prática abusiva.

O sistema Crediscore é oferecido pelo site da CDL de Porto Alegre sem que sejam fornecidas maiores informações sobre seu funcionamento. Recentemente, algumas sentenças de primeiro grau na Comarca de Porto Alegre lançaram luz sobre a abusividade desta prática, que é completamente opaca aos olhos do consumidor e não atende aos requisitos de transparência e livre acesso estabelecidos pelo Código de Defesa do Consumidor.

De fato, o sistema opera sem que o consumidor tenha conhecimento de sua existência, negando-lhe a possibilidade de decidir autonomamente se deseja ou não fazer parte deste banco da dados (que, como são compostos de dados positivos, requer este consentimento); de ter acesso aos seus próprios dados e, ainda, de exercer o direito de retificá-los caso não correspondam à realidade. Isto além de outros direitos derivados dos deveres da boa-fé, como o de fornecer ao consumidor informações suficientes para que preste ou não o seu consentimento informado sem sofrer pressões, ou que lhe seja fornecido uma noção do mecanismo de avaliação e atribuição de pontos para seu credit score.

Há ainda outro porém. No Brasil, os sistemas de análise de crédito baseados em credit scoring não prosperaram até hoje – provavelmente pelo sistema que verifica o estado de inadimplência ou não do consumidor ser aquele tradicionalmente utilizado. A utilização que se observa do crediscore equivale propriamente à sobreposição dos dois sistemas – o da negativação e o do credit score – restringindo potencialmente as hipóteses de concessão de crédito e também aumentando as hipóteses de danos ao consumidor derivados do mau funcionamento de um dos sistemas. Vale lembrar que a experiência e os reguladores evitam a sobreposição de tais sistemas em outros países.

As recentes decisões que tratam do sistema Crediscore tocam, acertadamente, em pontos essenciais para a consolidação do entendimento segundo o qual o Código de Defesa do Consumidor proporciona uma proteção integral aos dados pessoais nas relações de consumo, e não apenas um conjunto de garantias restrito à patologia do inadimplemento. Entre estes pontos, destacamos:

1. Desmonta-se o “mito da negativação”, ao se ressaltar que o CDC se aplica a todas as hipóteses em que informações pessoais do consumidor são tratadas – e não somente às hipóteses nas quais a informação tratada é negativa.

2. Reconhece-se que o dano sofrido pelo consumidor pela negativa de crédito não é do tipo que necessita de prova, por se consubtanciar no próprio ato de denegação do crédito. Não se trata de inversão do ônus da prova, porém do dano que se consuma com o próprio ato danoso – o dano in se ipsa – como costuma ocorrer com a violação da privacidade e de dados pessoais.

Nos casos em questão, verifica-se a ausência de transparência do sistema Crediscore por este funcionar na “surdina”, sem que o consumidor saiba que seus dados estão sendo tratados – e, evidentemente, sem que este tratamento tenha sido autorizado, como no caso do Processo nº: 001/1.09.0317669-0, da 3ª Vara Cível do Foro Central de Porto Alegre, que trata de situação em que o consumidor :

“jamais recebeu qualquer comunicação acerca da abertura e divulgação das informações constantes no denominado cadastro Crediscore, que é criado e administrado pelo CDL – Porto Alegre”

O próprio contrato que rege a utilização do sistema Crediscore dá mostras claras de que a falta de transparência é intrínseca ao sistema e proposital. No Processo 001/1.09.0233781-9, também da 3ª Vara Cível do Foro Central de Porto Alegre, a cláusula 6ª do contrato realizado entre o fornecedor do sistema Crediscore e seu utilizador é trazida à luz e discutidos seus três comandos:

a) `Por tratar-se de um serviço em fase de teste, a contratante não poderá, em hipótese alguma, fornecer, seja qual for a forma, ao próprio consumidor ou a terceiros as informações obtidas através de consulta ao SPC Crediscore`.

b) `Também é totalmente vedado à contratante informar, seja qual for a forma e a quem quer que seja, a existência, o resultado da consulta e a utilização do SPC Crediscore, bem como a celebração do presente instrumento`

c ) `Os documentos e formulários relativos ao SPC ´Crediscore´ e as suas cópias que a contratante tiver acesso em razão deste instrumento não poderão ser entregues a terceiros ou ao próprio consumidor consultado`.

Uma empresa que realizava a triagem de pretendentes a empregos com o auxílio de um banco de dados com informações pessoais, contendo antecedentes criminais, trabalhistas e creditícios, foi condenada pela 5ª turma do TST em R$ 200.000,00 a título de danos morais.

A decisão considera discriminatória a prática, levando-se em conta que a pesquisa era realizada à revelia dos candidatos.

Destaque-se que a condenação por danos morais (cujo montante será destinado ao FAT) independe da comprovação de prejuízo efetivo aos pretendentes a emprego:

“Tem-se que não existe necessidade de aferição dos prejuízos ou mesmo de sua comprovação para fins de configurar o dano moral. Esse decorre na mera invasão de privacidade, na qualidade de empregadoras do autor, ao investigar a vida íntima do trabalhador sem a sua autorização”

Danos à privacidade costumam compartilhar desta característica – uma dificuldade extrema em comprovar qualquer dano concreto. Eis a razão das ofensas à privacidade e aos dados pessoais consistirem, para fins de responsabilidade civil, em modalidades de dano in se ipsa, i.e., danos que se caracterizam pelo simples fato do ato considerado danoso ter se configurado.