Month: May 2010

SPC começa a cadastrar brasileiros inadimplentes no Japão

O SPC – Serviço de Proteção ao Crédito – iniciou o cadastramento de brasileiros que moram no Japão ou que, voltando de lá, regressaram com dívidas não pagas. [via BBC Brasil]

Segundo informações divulgadas na imprensa, esta inscrição é realizada diretamente no cadastro brasileiro de maus pagadores.

Apresentado, como é hábito, como uma solução tão simples como prática a proteção do crédito, é necessário verificar se o sistema não é capaz de prejudicar cidadãos sem dívidas que tenham eventual problema com o sistema ou então de punir de forma desproporcional o devedor.

As transferências internacionais de dados pessoais, que o sistema acaba realizando, não encontram maiores óbices na legislação japonesa tanto como na brasileira, apesar de ser uma prática sujeita a rigorosa normatização em outros países, o que talvez impeça que tal modelo seja adotado de forma mais ampla.

Tratando-se de um sistema que realize o tratamento de dados pessoais no Japão, o sistema há de operar conforme as normas japonesas de proteção de dados. Além disso, as normas referentes aos bancos de dados de proteção ao crédito presentes no Código de Defesa do Consumidor, por sua vez, são plenamente aplicáveis e isso leva à constatação de que, caso um cidadão residente no Brasil seja eventualmente cadastrado neste sistema, deverá ter exatamente as mesmas prerrogativas e direitos em relação ao acesso e retificação do cadastro que teria caso a negativação tivesse como origem um crédito contraído no Brasil.

O sistema, cuja divulgação, repetimos, deu-se apenas através de matéria circulada pela imprensa, levanta algumas outras dúvidas como: de que forma o SPC é capaz de saber se determinada dívida contraída no Japão o foi por um cidadão brasileiro? Isto leva a crer que a empresa tem acesso a dados que incluem a nacionalidade do devedor, cujo acesso certamente há de ser regulado pela normas locais de proteção de dados. Este é um ponto fundamental para a concepção do funcionamento do sistema e com claras implicações legais, sobre o qual o SPC faria muito bem em se pronunciar.

É interessante notar que a informatização dos serviços financeiros não fez, até hoje, avançar de forma concreta nem tornou especialmente relevante algum grande serviço internacional ou transnacional de proteção ao crédito ao consumo. Talvez porque as peculiaridades de cada país sejam muito fortes e a transferência de informações, por si só, não seja de grande valor no contexto de outra economia. E também porque esta transferência implica em atender a uma série de requisitos legais de proteção de dados, que podem variar muito de um país para o outro. Por fim, a própria eficácia da medida leva a dúvidas quanto à sua eficácia sob o ponto de vista econômico, sugerindo que, na verdade, trate-se de um mecanismo que na prática estaria dirigido mais à recuperação de dívidas do que à proteção do crédito futuro.

Mudanças no Google beneficiam privacidade online

201005181040.jpg

Uma boa notícia: os serviços oferecidos pela Google estão tendo algumas opções-padrão redefinidas, fazendo com que a leitura de emails e, em breve, a própria pesquisa no site seja processada através de criptografia.

Desde o início do ano, o serviço Gmail funciona com um protocolo criptografado como padrão, impedindo o acesso aos emails dos seus usuários por técnicas de captura do tráfego de informações em uma rede.

Recentemente, a empresa anunciou que fornecerá a criptografia em seu serviço de buscas (Google.com). É um pouco irônico, mas este anúncio foi feito incidentemente, em meio à admissão da empresa de que teria – inadvertidamente, segundo ela – armazenado dados de navegação de milhares de redes Wi-Fi sem o consentimento de seus proprietários.

Na prática, as mudanças na direção da encriptação de seus serviços torna os dados que trafegam entre a empresa e seus usuários opacos a terceiros, ao menos potencialmente. Isto aumenta a segurança dos serviços oferecidos – claro, sem diminuir o volume de informações pessoais tratadas pela própria Google.

Na prática, garante-se que os emails armazenados no Gmail e as buscas feitas pelo google.com não poderão ser conhecidas pelo man in the middle – um intermediário, como o provedor de acesso – ou terceiros que interceptem estas comunicações. O que não muda é que estas informações continuam a ser armazenadas pela Google, de quem vai depender de forma quase absoluta a integridade e a utilização a ser feita dos dados pessoais.

Este novo padrão também torna relativamente ineficazes as técnicas de monitoramento de navegação propostas por instrumentos como, por exemplo, o Web Discover, da Phorm (no Brasil lançado como o programa Navegador, conforme anunciado pela Oi e outros provedores), que buscam interceptar o tráfego de dados entre o usuário e o provedor de acesso. Este tráfego, caso seja criptografado entre a Google e o seu usuário final, tornar-se-ia opaco para fins de interceptação – o que faria que as páginas de busca no Google resultassem indecifráveis para estes instrumentos de monitoramento.

Esta adoção de mecanismos de segurança pela Google se dá, muito a propósito, após a divulgação dos ataques informáticos sofridos pela empresa que, alegadamente, tiveram sua origem na China e justificaram, entre outras coisas, a mudança no perfil da atuação da Google no mercado chinês.

Proteção de Dados Pessoais está na pauta do Mercosul

Um dos temas principais da próxima reunião do Sub-Grupo de Trabalho 13 (SGT13) do Mercosul será uma proposta de Acordo em matéria de proteção de dados pessoais, que poderá ser assinada pelos países-membros do bloco comercial.

O SGT13 trata dos assuntos referentes ao comércio eletrônico no Mercosul. Em sua atividade recente, o SGT13 aprovou Acordo em matéria de assinatura digital, que foi fundamental na adoção de políticas públicas e legislação a este respeito nos países-membros do bloco que não as tinham.

A assinatura do Acordo representaria o compromisso do bloco em estabelecer um alto nível de proteção aos dados pessoais dos cidadãos de seus países-membros, garantindo o seu direito à privacidade e proteção de dados e também facilitando transações comerciais com os países e blocos regionais que estabelecem barreiras para a transferência de dados para o exterior quando não há normas fortes a este respeito.

Para o Brasil, em particular, a assinatura do Acordo seria fundamental para colocar de forma definitiva na pauta de discussões interna uma lei geral sobre proteção de dados pessoais – que é parte essencial da internalização dos termos do Acordo à legislação interna de cada país.

A  23ª reunião do SGT13 realizar-se-á em Buenos Aires, nos dias 27 e 28 de maio de 2010.

“Body scanners” já estão nos aeroportos brasileiros

Não demorou muito. O Departamento de Estado norte-americano doou 4 aparelhos conhecidos como body scanners, capazes de “ver” através das roupas de uma pessoa, para pretensamente aumentar a segurança nos procedimentos de embarque em aeroportos.

Os 4 aparelhos, segundo matéria de [O Estado de S. Paulo], serão instalados nos aeroportos internacionais do Rio de Janeiro, São Paulo, Recife e Manaus.

Os aparelhos serão operados pela Polícia Federal.

A referida reportagem, ao levantar questionamentos sobre a invasão de privacidade dos passageiros pelo uso de tais aparelhos, obteve da Polícia Federal o esclarecimento de que:

(…) a imagem – gerada a partir da radiação emitida pelo equipamento, como uma radiografia – só tem capacidade de mostrar ossos, órgãos, objetos estranhos e o contorno do corpo dos indivíduos.

Devemos imaginar, portanto, que a Polícia Federal tem uma concepção bastante restrita do que seja a nossa privacidade, já que, para ela, “ossos”, “órgãos”, e o “contorno do corpo dos indivíduos” não seriam aspectos desta nossa privacidade.

No entanto, a declaração que mais chama  – tristemente – a atenção é a do superintendente da Polícia Federal no Rio de Janeiro, Ângelo Goia, para quem:

“Nunca há excesso quando se fala de segurança.”

Mesmo conhecendo e respeitando o trabalho da Polícia Federal, uma declaração do gênero deve despertar a atenção de todos os brasileiros e colocar-nos em alerta contra o componente fortemente policialesco e autoritário que se revela.

O mesmo Ângelo Goia prossegue em sua elegia das novas máquinas:

“Esta técnica seria menos invasiva que outras que já estão em vigor, mais constrangedoras”

É um direito nosso saber no que consistem exatamente tais técnicas, que seriam mais invasivas e constrangedoras do que despir virtualmente um indivíduo e possibilitar que a sua imagem seja utilizada para fins incertos – já que o armazenamento das imagens foi assunto no qual não se tocou.

À parte o fato de que a própria eficácia de tais aparelhos é, no mínimo, contestável, algumas perguntas básicas que são essenciais para determinar o nível de privacidade os passageiros podem esperar caso forem submetidos à revista pelo scanner, devem ser respondidas. Elas são:

  1. Os funcionários que terão acesso às imagens do corpo dos passageiros serão os mesmos que eventualmente o interpelarão pessoalmente?
  2. As imagens obtidas desta forma serão armazenadas na memória da máquina, de forma a que possa ser retirada, associada ao passageiro e utilizada para outros propósitos?

A segunda pergunta é particularmente relevante pois, nos Estados Unidos, uma entidade de defesa da privacidade, a EPIC, recentemente obteve acesso a documentos governamentais que atestam que o governo norte-americano possui armazenadas ao menos 2000 imagens obtidas de body scanners – isto após o próprio governo ter afirmado publicamente que estes aparelhos não eram capazes, tecnicamente, de armazenar imagens.

Os body scanners norte-americanos foram encomendados com capacidade de armazenamento em um HD interno, com saída USB e Ethernet, possibilitando, portanto, não somente o armazenamento como a eventual obtenção de imagens por funcionários ou terceiros não autorizados a tal. Os aparelhos que chegaram ao Brasil, provavelmente, compartilham das mesmas especificações.

201005062222.jpg

Leia mais aqui, aqui e aqui.

Links externos: [A nova ordem mundial]

Publicado o Decreto que regulamenta o RIC – Registro de Identidade Civil – sem menções à privacidade ou proteção de dados

O Decreto presidencial nº 7.166, publicado hoje (06/05), regulamenta o Registro de Identidade Civil (RIC), que será o novo documento de identidade dos brasileiros.

O decreto cria o Sistema Nacional de Registro de Identificação Civil, baseado no Ministério da Justiça, o Cadastro Nacional de Registro de Identificação Civil, e o Comitê Gestor, composto por diversos ministérios, pela Secretaria de Direitos Humanos, Casa Civil e ITI [ver press release / matéria do Convergência Digital].

O decreto não toca diretamente, em nenhum momento, no tema da proteção dos dados dos cidadãos brasileiros.

Os dados biométricos do cidadão, dados pessoais extremamente sensíveis que serão incluídos no chip de que é dotado o documento do RIC, não são sequer referidos no Decreto. Continua-se no escuro, portanto, quanto a quais dados biométricos serão coletados, quais as medidas de segurança para sua proteção e quais as garantias das quais o cidadão poderá se valer contra fraudes, abusos e discriminações baseados em tais dados.

Não são previstos meios específicos para o cidadão ter acesso aos seus dados armazenados pelo sistema e eventualmente corrigi-los.

A questão fundamental do nível de acesso dos usuários às informações armazenadas pelo sistema terá sua definição a cargo do Comitê Gestor, sem que o decreto tenha fixado princípios ou parâmetros gerais.

Nota-se, em uma primeira análise, que o decreto preocupou-se apenas com os aspectos operacionais do sistema, seguindo uma lógica meramente tecnocrática que, até o momento, tem sido dominante nas discussões em torno da adoção do RIC no Brasil.

Em vista dos efeitos potenciais do sistema para a privacidade dos cidadãos, aguaradam-se que considerações específicas sobre este tema fundamental estejam claramente presentes no trabalho dos gestores do sistema.

O texto do Decreto 7.166 encontra-se aqui ou diretamente no Diário Oficial [1] [2].

A cartada final da Phorm no Brasil – parceria com empresa do grupo Oi retirada da pauta do CADE

A empresa Phorm, após anunciar em 26/04 que trabalharia no mercado de targeted marketing juntamente com alguns dos maiores provedores de Internet brasileiros – Oi, Terra, UOL, Estadão e IG -, agora aparenta ter dificuldades em ter aprovada pelo CADE uma parceria com a TNL, empresa do grupo Oi. Na sessão de 05/05, o órgão retirou da pauta a avaliação desta parceria [ver ata da sessão].

Curiosamente, o requerimento ao CADE para aprovação desta parceria mencionava uma espécie de “curto-circuito”: que seus concorrentes potenciais seriam algumas das mesmas empresas com quem a Phorm anunciou, no documento de 26/04, que já havia firmado relações comerciais:

(…) Phorm has been working with Brazil’s leading Internet Service Providers (“ISPs”), publishers and advertisers for some time, and today is pleased to announce the first phase of a country-wide roll-out in conjunction with Estadão, iG, Oi, Terra and UOL. The Company expects to announce further ISP and content partners in due course.

A Phorm, conforme já comentado em posts anteriores, procura introduzir no Brasil seu software de monitoramento de navegação na Internet denominado Navegador, que armazena a a atividade de um usuário na Internet sem que lhe tenha sido dada autorização prévia (como apontou recentemente o jornalista Elio Gaspari).

É possível que a Phorm esteja jogando no Brasil algumas de suas últimas esperanças de conquistar uma fatia representativa no mercado de publicidade na Internet – e, eventualmente, de continuar existindo. Seus produtos não foram contratados por nenhum provedor de peso nos EUA e no Reino Unido, em grande parte pelo elevado risco que apresentavam à privacidade e pela péssima reputação que construiu nestes mercados. Agora, a empresa tenta se estabelecer no Brasil e na Coréia do Sul.

As ações da Phorm negociadas na LSE registram sensível e constante queda nos últimos meses, em particular após a empresa ter anunciado as suas novas operações no Brasil, conforme quadro abaixo. No próximo dia 25 de maio a empresa deverá anunciar seus resultados financeiros referentes ao ano fiscal de 2009.

201005060123.jpg

[Yahoo! Finance]

[ATUALIZAÇÃO 06/05] Coincidentemente, a mesma sessão de julgamento do CADE teve como destaque uma Averiguação Preliminar envolvendo a Telemar Norte Leste S/A (nome pelo qual a OI era conhecida até 2006).

A averiguação do CADE tem por motivo uma prática que soa familiar ao próprio modelo de negócios da Phorm. De acordo com o boletim do CADE:

A investigação, aberta pela SDE e pela ANATEL, é embasada no suposto monitoramento, pela Telemar, das chamadas telefônicas de seus clientes para o serviço 0800 da Vésper. A Telemar avaliava o interesse do cliente e de seu nível de renda, para depois ofertar produtos diferenciados. As ações teriam como objetivo impedir a migração de clientes para a Vésper.  

A investigação teve início após denúncia do jornal Folha de S. Paulo em 2005 [acesso pago]. veja matéria completa em [Convergência Digital]