O Ministério da Educação reconheceu hoje (04/08) o vazamento de dados pessoais de cerca de 12 milhões de pessoas que prestaram o exame do ENEM entre 2007 e 2009. Entre tais dados estão o nome, CPF, RG, nº de inscrição, nome da mãe e notas de cada inscrito.

O vazamento, ao que parece, durava meses e foi denunciado ao Ministério da Educação pelo jornal O Estado de S. Paulo.

O vazamento de dados consiste, basicamente, na disponibilização acidental de informação protegida ou qualificada em um ambiente inseguro. Quando estes dados são dados pessoais, a possibilidade de que o vazamento acarrete danos diretos à pessoa, seja à sua privacidade, segurança ou mesmo liberdade, é bastante concreta.

O tema não absolutamente novo em outros países. Uma organização como a Privacy Rights Clearinghouse mantém um banco de dados com informações sobre todos os vazamentos de dados documentados nos Estados Unidos entre 2005 e hoje, chegando ao assombroso total de 494,692,655 registros vazados – mais de um para cada cidadão norte-americano! E os nove casos mais clamorosos de vazamento de dados de 2009 podem ser consultados aqui.

A utilização massiva de dados pessoais é uma atividade de risco, risco esse que se apresenta de forma contundente com um problema como o que houve com o banco de dados do ENEM. A proliferação de sistemas informatizados que se utilizam de dados pessoais, por vezes gigantescos – como, no caso do Brasil, do RIC (Registro Único de Identidade Civil) ou do projeto SINIAV para monitoramento da frota automotiva, entre outros, faz com que aumente este risco potencial para o cidadão e sugere a necessidade urgente da incorporação de modelos modernos e eficazes de segurança da informação.

A segurança da informação, porém, não basta para abordar de forma eficaz o problema. De fato, é necessário incentivar uma verdadeira cultura de proteção de dados pessoais, que implique em uma utilização ponderada e respeitosa da informação pessoal, com as devidas salvaguardas e somente quando ela for realmente indispensável. No caso da administração de bancos de dados pessoais, por exemplo, torna-se necessário no mínimo estipular regras claras sobre a quem é franqueado o acesso a tais dados, estabelecendo também responsabilidades sobre os administradores pelos eventuais problemas ocorridos. Neste sentido aponta a nota publicada por Marcel Leonardi em O Estado de S. Paulo de hoje, argumentando pela adoção de uma cultura da “privacidade como padrão”:

O vazamento de dados pessoais de milhões de estudantes que fizeram o Enem demonstra a urgência de normas adequadas para a proteção desse tipo de informação no Brasil e a necessidade de uma mudança da cultura nacional a respeito da privacidade. São cada vez mais comuns casos de vazamento de informações sigilosas no Brasil e no exterior.

No estado atual da tecnologia, é inadmissível que dados pessoais circulem sem estarem devidamente criptografados. Não há razão que justifique a falta de cuidados básicos no tratamento e armazenamento dessas informações, pois a tecnologia para isso está ao alcance de todos, sem custo, na internet.

O principal problema não é o custo nem a inadequação do sistema jurídico brasileiro. Falta-nos uma cultura da “privacidade como padrão”, ou seja, entender a privacidade como um modelo de conduta, como regra inerente a qualquer atividade, e não como incômoda exceção. Por isso, a revelação de vazamento de dados deve ser incentivada e não combatida. Ela permite que as vítimas possam adotar rapidamente providências para mitigar os danos, e os ônus da revelação levarão empresas e governos a investir mais e melhor na proteção de dados sensíveis ou até mesmo a evitar sua coleta desnecessária.

Esperamos que o vindouro anteprojeto de lei sobre proteção de dados pessoais possa atender em parte a esses anseios e despertar, entre nós, a cultura de privacidade, tão necessária em uma era de onipresença e onisciência tecnológica.

De fato, o problema do vazamento de dados é uma das discussões principais na renovação das atuais leis de proteção de dados em diversos países. Muitos estados norte-americanos possuem legislação a respeito e o assunto é prioritário na revisão das diretivas européias que tratam de proteção de dados que se realizará a partir deste ano. Espera-se que, a partir do triste alerta dado pelo problema com o banco de dados do ENEM, a questão seja tratada como prioritária também pelo legislador brasileiro e que seja mais um fator a evidenciar a necessidade de uma normativa genérica sobre a proteção de dados pessoais.

Desta vez a novidade é uma promoção do detergente OMO, da Unilever. 50 caixas deste detergente terão um dispositivo GPS incorporado de forma a não serem perceptíveis ao consumidor no momento da compra, dispositivos estes que serão ativados no momento em que a caixa do detergente sai da loja e permitirão que uma equipe da Unilever siga o consumidor até a sua casa – sem que ele saiba que está sendo seguido e sem ter concordado som esta possibilidade.

De acordo com matéria na publicação Advertising Age:

Fifty Omo boxes implanted with GPS devices have been scattered around Brazil, and Mr. Figueiredo (presidente da agência responsável pela promoção)has teams in 35 Brazilian cities ready to leap into action when a box is activated. The nearest team can reach the shopper’s home “within hours or days,” and if they’re really close by, “they may get to your house as soon as you do,” he said.

O site Mundo do Marketing também reporta que:

Trinta e cinco pontos de monitoramento espalhados pelo Brasil acompanharão o trajeto de 50 embalagens com um dispositivo de GPS dentro, sem alterar o peso ou causar a percepção de que há algum objeto, além do sabão em pó, ao balançar o produto.

O fato do consumidor que for monitorado receber brindes certamente diluirá eventuais reclamações. Mas não é este o ponto principal desta promoção: o que chama a atenção e merece destaque é o fato de que a mera proposta de uma promoção deste tipo deixa clara a banalização com que uma questão sensível relacionada à privacidade e à própria segurança pública, que é a geo-localização, é tratada no Brasil.

Cabe aos órgãos reguladores ponderar o cabimento de uma promoção publicitária capaz de desvendar a terceiros não autorizados dados precisos sobre a localização de uma pessoa. E cabe aos consumidores que não se sentirem confortáveis com uma promoção deste gênero deixar de comprar o detergente OMO como única forma, por enquanto, de exercer o direito cristalino de não ser seguido.

Mais informações.

Durante o evento, especialistas do Brasil e do exterior discutirão temas relativos a políticas públicas para a proteção de dados pessoais e privacidade. Os temas previstos para os painéis são: A experiência internacional da proteção de dados pessoais; Perspectivas para a proteção de dados pessoais no Brasil; Proteção de dados pessoais nas relações de consumo; e A proteção de dados como ferramenta de desenvolvimento econômico e social.

Um dos principais objetivos do seminário é discutir a necessidade de um marco legal para a proteção de dados pessoais no Brasil. Inúmeros países já possuem regras nesse sentido e o Brasil ainda não possui lei que regule o tema.

O evento acontece no hotel Windsor Miramar, localizado na Avenida Atlântica, n. 3668, Copacabana, no Rio de Janeiro. Serão disponibilizadas 100 vagas para integrantes do Sistema Nacional de Defesa do Consumidor, sociedade civil, academia e demais órgãos públicos.

As inscrições são gratuitas e o número de vagas é limitado.

A ficha de inscrições está disponível para download e, após preenchida, deve ser enviada para o email protecaodedados@mj.gov.br.

Consulte o programa do Seminário.

Programação

11.08 – Quarta-feira

9h00 às 10h00 – Abertura

10h00 às 12h00 – PAINEL 1: A experiência internacional da proteção de dados

pessoais

Presidente de mesa: Felipe de Paula (Secretário de Assuntos Legislativos –MJ)

Juan Antonio Traviesso (Diretor da Dirección Nacional de Protección de Datos Personales – Argentina) - A proteção de dados no Argentina e América Latina

Luís Lingnau da Silveira (Presidente da Comissão Nacional de Protecção de Dados – Portugal) - As autoridades de proteção de dados no contexto europeu

Felipe Rotondo (Conselheiro da Unidade Reguladora e de Controle de Dados Pessoais – Uruguai) - As autoridades de proteção de dados no contexto latino-americano

12h00 às 14h00 – Intervalo para almoço

14h00 às 17h00 – PAINEL 2: Perspectivas para a proteção de dados pessoais no Brasil

Presidente de mesa: Beto Vasconcellos (Casa Civil)

Laura Schertel Mendes (DPDC/SDE/MJ) - A proteção de dados no contexto brasileiro

Carlos Affonso de Souza (FGV-Rio) - A privacidade no Marco Civil da Internet

Daniel Bucar (PGM-Rio de Janeiro) - A proteção de dados na Administração Pública

Demi Getschko (CGI-Br) - Proteção de Dados e Segurança na Internet-BR

12.08 – Quinta-feira

9:00 às 10:00 – Conferência

   Seth Schoen (Electronic Frontier Fondation, EUA): Data protection and new technologies

10h00 às 12h00 – PAINEL 3: Proteção de dados pessoais nas relações de consumo

Presidente de mesa: - Héctor Valverde (Brasilcon)

Ricardo Morishita (DPDC/SDE/MJ)

Newton De Lucca (USP) - A tutela da privacidade do consumidor no comércio eletrônico

Anderson Schreiber (UERJ) - Responsabilidade civil por violação à privacidade

Leonardo Bessa (Brasilcon) - Práticas abusivas nos cadastros e bancos de dados de consumidores

11h30 às 12h00 – Debates

12h00 às 14h00 – Intervalo para almoço

14h00 às 17h00 – PAINEL 4: A proteção de dados como ferramenta de desenvolvimento econômico e social

Presidente de Mesa: Rogério Vianna (MCT)

Danilo Doneda (MCT/UNESCO) - Privacidade: de custo a recurso

Renato Martini (ITI) - Proteção de dados pessoais na Infra-estrutura brasileira de chaves públicas

Marcel Leonardi (FGV São Paulo) - A tutela da privacidade pela Sociedade Civil organizada

Gerson Rolin (Projeto Mercosul Digital / Camara e-net) - A proteção de dados e a confiança do consumidor no comércio eletrônico

Ivo Corrêa - (Google Inc.) - A proteção de dados nos serviços da Internet

17:00 – Conferência de encerramento – Colin Bennett (University of Victoria, Canada): Políticas Públicas para a proteção de dados pessoais: uma visão global

Estes dados impulsionaram como em nenhum outro país a indústria de chips subcutâneos de geo-localização. Empresas como Solusat lançaram soluções que utilizavam tecnologia desenvolvida pela empresa VeriChip , integrando um sistema GPS com emissores de rádiofrequência em um chip com o formato aproximado de um grão de arroz que é instalado sob a pele.

Tal implante foi relativamente comum entre políticos mexicanos mas não evitou que o ex-presidente do Senado, Diego Fernandez de Cervello, fosse sequestrado no último dia 14 de maio.

O chip foi retirado, ao que parece, com uma tesoura, achada pelas forças de ordem mexicanas junto ao chip, em uma estrada a 40km do rancho onde o político estava no momento do sequestro.

Diego não foi encontrado até o momento e a segurança proporcionada por este tipo de dispositivo de vigilância, cuja utilização enfrenta forte oposição por conta de riscos à privacidade de seus utilizadores (que, muitas vezes, são obrigados a utilizá-los, como no caso de funcionários de empresas), deve levar em conta a óbvia constatação de que alvos potenciais de sequestros correrão o risco adicional da retirada do chip sem cuidado e às pressas, a caminho do cativeiro.

O México passa, assim, a possuir uma lei geral sobre proteção de dados pessoais, a se somar à sua lei de acesso à informação pública. A lei segue os parâmetros do modelo europeu de proteção de dados e, neste sentido, assemelha-as às legislações da Argentina e Uruguai a respeito. A aprovação tem o efeito de isolar ainda mais o marco jurídico brasileiro de proteção de dados pessoais, que ainda não dispõe de uma lei geral.

A falta de transparência na operação deste serviço conflita com o regime que o Código de Defesa do Consumidor estabelece para os bancos de dados de proteção ao crédito e é um dos problemas que tornam tal prática abusiva.

O sistema Crediscore é oferecido pelo site da CDL de Porto Alegre sem que sejam fornecidas maiores informações sobre seu funcionamento. Recentemente, algumas sentenças de primeiro grau na Comarca de Porto Alegre lançaram luz sobre a abusividade desta prática, que é completamente opaca aos olhos do consumidor e não atende aos requisitos de transparência e livre acesso estabelecidos pelo Código de Defesa do Consumidor.

De fato, o sistema opera sem que o consumidor tenha conhecimento de sua existência, negando-lhe a possibilidade de decidir autonomamente se deseja ou não fazer parte deste banco da dados (que, como são compostos de dados positivos, requer este consentimento); de ter acesso aos seus próprios dados e, ainda, de exercer o direito de retificá-los caso não correspondam à realidade. Isto além de outros direitos derivados dos deveres da boa-fé, como o de fornecer ao consumidor informações suficientes para que preste ou não o seu consentimento informado sem sofrer pressões, ou que lhe seja fornecido uma noção do mecanismo de avaliação e atribuição de pontos para seu credit score.

Há ainda outro porém. No Brasil, os sistemas de análise de crédito baseados em credit scoring não prosperaram até hoje – provavelmente pelo sistema que verifica o estado de inadimplência ou não do consumidor ser aquele tradicionalmente utilizado. A utilização que se observa do crediscore equivale propriamente à sobreposição dos dois sistemas – o da negativação e o do credit score – restringindo potencialmente as hipóteses de concessão de crédito e também aumentando as hipóteses de danos ao consumidor derivados do mau funcionamento de um dos sistemas. Vale lembrar que a experiência e os reguladores evitam a sobreposição de tais sistemas em outros países.

As recentes decisões que tratam do sistema Crediscore tocam, acertadamente, em pontos essenciais para a consolidação do entendimento segundo o qual o Código de Defesa do Consumidor proporciona uma proteção integral aos dados pessoais nas relações de consumo, e não apenas um conjunto de garantias restrito à patologia do inadimplemento. Entre estes pontos, destacamos:

1. Desmonta-se o “mito da negativação”, ao se ressaltar que o CDC se aplica a todas as hipóteses em que informações pessoais do consumidor são tratadas – e não somente às hipóteses nas quais a informação tratada é negativa.

2. Reconhece-se que o dano sofrido pelo consumidor pela negativa de crédito não é do tipo que necessita de prova, por se consubtanciar no próprio ato de denegação do crédito. Não se trata de inversão do ônus da prova, porém do dano que se consuma com o próprio ato danoso – o dano in se ipsa – como costuma ocorrer com a violação da privacidade e de dados pessoais.

Nos casos em questão, verifica-se a ausência de transparência do sistema Crediscore por este funcionar na “surdina”, sem que o consumidor saiba que seus dados estão sendo tratados – e, evidentemente, sem que este tratamento tenha sido autorizado, como no caso do Processo nº: 001/1.09.0317669-0, da 3ª Vara Cível do Foro Central de Porto Alegre, que trata de situação em que o consumidor :

“jamais recebeu qualquer comunicação acerca da abertura e divulgação das informações constantes no denominado cadastro Crediscore, que é criado e administrado pelo CDL – Porto Alegre”

O próprio contrato que rege a utilização do sistema Crediscore dá mostras claras de que a falta de transparência é intrínseca ao sistema e proposital. No Processo 001/1.09.0233781-9, também da 3ª Vara Cível do Foro Central de Porto Alegre, a cláusula 6ª do contrato realizado entre o fornecedor do sistema Crediscore e seu utilizador é trazida à luz e discutidos seus três comandos:

a) `Por tratar-se de um serviço em fase de teste, a contratante não poderá, em hipótese alguma, fornecer, seja qual for a forma, ao próprio consumidor ou a terceiros as informações obtidas através de consulta ao SPC Crediscore`.

b) `Também é totalmente vedado à contratante informar, seja qual for a forma e a quem quer que seja, a existência, o resultado da consulta e a utilização do SPC Crediscore, bem como a celebração do presente instrumento`

c ) `Os documentos e formulários relativos ao SPC ´Crediscore´ e as suas cópias que a contratante tiver acesso em razão deste instrumento não poderão ser entregues a terceiros ou ao próprio consumidor consultado`.

A decisão considera discriminatória a prática, levando-se em conta que a pesquisa era realizada à revelia dos candidatos.

Destaque-se que a condenação por danos morais (cujo montante será destinado ao FAT) independe da comprovação de prejuízo efetivo aos pretendentes a emprego:

“Tem-se que não existe necessidade de aferição dos prejuízos ou mesmo de sua comprovação para fins de configurar o dano moral. Esse decorre na mera invasão de privacidade, na qualidade de empregadoras do autor, ao investigar a vida íntima do trabalhador sem a sua autorização”

Danos à privacidade costumam compartilhar desta característica – uma dificuldade extrema em comprovar qualquer dano concreto. Eis a razão das ofensas à privacidade e aos dados pessoais consistirem, para fins de responsabilidade civil, em modalidades de dano in se ipsa, i.e., danos que se caracterizam pelo simples fato do ato considerado danoso ter se configurado.

A aprovação da parceria da empresa do grupo Oi com a Phorm está sob análise pelo CADE, tendo sido recentemente retirada de sua pauta de julgamentos.

A atividade da Phorm, conforma já ressaltamos diversas vezes, provocou o alarme dos reguladores e consumidores em diversos países onde a empresa procurou atuar, justamente por representarem grande risco para a privacidade e a proteção de dados dos consumidores. Após ter as portas de mercados como o norte-americano e britânico fechadas por este motivo, a Phorm busca agora a inserção no mercado brasileiro, provavelmente por este não possuir uma tradição forte de proteção de dados. Assim, provedores como Oi, UOL, Terra e iG foram mencionados como parceiros que utilizariam os principais produtos da Phorm, o software “Navegador” e o OIX (Open Internet Exchange).

A abertura do mencionado processo administrativo e o retardo na aprovação da parceria pelo CADE dão a entender que a iniciativa pode estar, curiosamente, provocando um efeito não pretendido: alertar o regulador e o legislador brasileiro para a lacuna existente em nosso ordenamento jurídico sobre proteção de dados e para a necessidade de proteger as informações pessoais do cidadão brasileiro de forma ao menos similar aos cidadãos de tantos outros países que dispõem de garantias e ferramentas adequadas.

[atualização] De acordo com reportagem no jornal O Globo, a diretora-substituta do DPDC, Juliana Pereira, ressaltou a necessidade das empresas envolvidas mostrarem os detalhes do serviço que pretendem implementar no Brasil e de responderem aos questionamentos feitos pelo próprio DPDC em abril e que, ate hoje, permanecem sem resposta.

Mais sobre a Phorm aqui  

Publicado originalmente em O Globo de 15/06/2010

Fornecer dados pessoais constitui-se em rotina sempre mais comum para o brasileiro. Na internet, em compras a crédito, programas de fidelização e em tantas outras ocasiões, as solicitações de informações pessoais são corriqueiras e cada vez mais minuciosas.

Em termos práticos, perde-se o controle sobre as informações pessoais logo após fornecê-las. Pouco (ou nada) se sabe sobre sua utilização; se serão repassadas para terceiros ou para quais fins serão empregadas. Até mesmo o acesso às próprias informações – indispensável para conferir se a informação armazenada ao menos é correta – mostra-se claudicante, pela pouca praticidade da ação de habeas data.

Essa espécie de “assimetria informacional”, pela qual o cidadão perde o controle sobre suas informações, favorece os que realizam o tratamento de informações pessoais. Estes – governos e entidades privadas – tornam-se assim capazes de rotular cada pessoa a determinados padrões de comportamento e a previsões de hábitos de consumo. A autonomia é debilitada, favorecendo-se as discriminações, principalmente pelo tratamento de seus dados sensíveis (associados a características psicofísicas).

A sujeição do indivíduo aos desígnios da tecnologia não é intransponível. Instrumentos jurídicos que procuram assegurar à pessoa o controle de seus dados existem há um bom tempo em diversos países e compõem as denominadas leis de proteção de dados pessoais. Modelos legislativos garantem o processamento de dados segundo certos princípios, com finalidade determinada e com o direito de acesso efetivo e oposição pelo interessado. Mais ainda, o tratamento de dados pessoais costuma ser supervisionado por uma agência com poderes para regular e inspecionar a utilização dessas informações.

No Brasil, o tema é tratado pela ação de habeas data, cuja estrutura não é condizente com a dimensão atual do problema da informação pessoal, e pelo Código de Defesa do Consumidor, limitadamente às relações de consumo e ao fornecimento de crédito.

Há indicativos, porém, de mudança. Na América Latina, alguns países, como Argentina e Uruguai, já possuem normas específicas e modernas a respeito. Além disso, no Brasil, encontra-se em fase final de estudos pelo Executivo federal um anteprojeto de lei sobre proteção de dados pessoais.

Uma lei abrangente e contemporânea é o elo que falta para a tutela do cidadão e para a deflagração de várias outras iniciativas, legislativas ou não, que importam no tratamento de dados pessoais – tais como o novo Registro de Identidade Civil (RIC), o monitoramento de automóveis, a identificação por meios biométricos nas mais variadas ocasiões e outras mais. O anteprojeto em discussão insere-se em uma atualíssima agenda de renovação normativa que procura redefinir o estatuto jurídico da informação no Brasil. Basta lembrar os projetos de lei referentes ao Marco Civil da Internet, ao Acesso à Informação Pública e à reforma da Lei de Direitos Autorais.

Neste panorama, a tutela dos dados pessoais assume a função de traduzir, na atualidade, a nova face da liberdade – a liberdade informática, na feliz expressão de Vittorio Frosini. Afinal, a privacidade, nos dias atuais, não é mais o direito a não ser importunado, revelando-se, de maneira mais ampla e dinâmica, no poder de controle dos dados pessoais.

As relações existenciais, afetivas, comerciais e profissionais cada vez mais se desenvolvem por meios informatizados – para os quais é imprescindível o fornecimento de informações pessoais. Por isso, franquear ao cidadão brasileiro instrumentos de efetivo controle sobre o uso e a integridade de suas informações torna-se mecanismo de garantia da liberdade, tendo em conta o papel predominante da informação para as escolhas individuais. Para tanto, afigura-se indispensável uma lei geral de proteção de dados pessoais, a nova face da privacidade.

GUSTAVO TEPEDINO é professor da Faculdade de Direito da Uerj. DANILO DONEDA é consultor da Unesco/MCT.

Consulte aqui a íntegra do projeto.

Enquanto isso, as violações à privacidade realizadas pelo software Navegador continuam a ser assunto na imprensa brasileira. Desta vez, a revista Época aponta, em reportagem de 4 de junho, lembra que:

Além das questões comerciais, o maior estigma em torno dos programas de rastreamento da Phorm é a ameaça à privacidade. O Brasil está recebendo um programa espião rejeitado em outros países. O histórico da Phorm é sombrio. Ela foi fundada em 2002, com o nome de 121Media. Especializou-se na criação de programas para publicidade on-line. Seu primeiro produto foi classificado como um spyware, nome técnico dos programas espiões que se instalam na máquina do usuário sem consentimento e enviam informações a terceiros. No início da década passada, esses programas eram tão populares quanto difíceis de apagar. A Phorm recebeu notificações de órgãos de segurança de países como Estados Unidos, Canadá e Inglaterra pedindo que interrompesse as vendas por ferir a segurança e a privacidade do internauta.

Entre as novidades, a matéria deixa claro que parceiros brasileiros parecem já estar pulando do seu barco – ao menos uma das empresas que a própria Phorm apontou publicamente como sua parceira já nega qualquer relacionamento, como afirma a assessoria do Grupo Estado:

“a parceria nunca existiu e o nome da empresa foi usado à revelia”

Por outro lado, UOL e Terra confirmaram a parceria e esta informação deve colocar em alerta os seus usuários preocupados com a privacidade de sua utilização da Internet.

Mais sobre a Phorm [aqui]

O projeto tem perfil similar à perspectiva europeia, procurando caracterizar um direito fundamental à proteção de dados pessoais, estabelecendo direitos para os cidadãos e deveres para os responsáveis pelos bancos de dados pessoais. Além disso, é criada uma autoridade administrativa de controle.

Além da garantia fundamental à proteção de dados, o projeto leva em conta o fluxo comercial que será viabilizado com a possibilidade das empresas peruanas de call-center – que hoje empregam 75.000 pessoas – terem acesso mais amplo ao mercado europeu.

Segundo informações divulgadas na imprensa, esta inscrição é realizada diretamente no cadastro brasileiro de maus pagadores.

Apresentado, como é hábito, como uma solução tão simples como prática a proteção do crédito, é necessário verificar se o sistema não é capaz de prejudicar cidadãos sem dívidas que tenham eventual problema com o sistema ou então de punir de forma desproporcional o devedor.

As transferências internacionais de dados pessoais, que o sistema acaba realizando, não encontram maiores óbices na legislação japonesa tanto como na brasileira, apesar de ser uma prática sujeita a rigorosa normatização em outros países, o que talvez impeça que tal modelo seja adotado de forma mais ampla.

Tratando-se de um sistema que realize o tratamento de dados pessoais no Japão, o sistema há de operar conforme as normas japonesas de proteção de dados. Além disso, as normas referentes aos bancos de dados de proteção ao crédito presentes no Código de Defesa do Consumidor, por sua vez, são plenamente aplicáveis e isso leva à constatação de que, caso um cidadão residente no Brasil seja eventualmente cadastrado neste sistema, deverá ter exatamente as mesmas prerrogativas e direitos em relação ao acesso e retificação do cadastro que teria caso a negativação tivesse como origem um crédito contraído no Brasil.

O sistema, cuja divulgação, repetimos, deu-se apenas através de matéria circulada pela imprensa, levanta algumas outras dúvidas como: de que forma o SPC é capaz de saber se determinada dívida contraída no Japão o foi por um cidadão brasileiro? Isto leva a crer que a empresa tem acesso a dados que incluem a nacionalidade do devedor, cujo acesso certamente há de ser regulado pela normas locais de proteção de dados. Este é um ponto fundamental para a concepção do funcionamento do sistema e com claras implicações legais, sobre o qual o SPC faria muito bem em se pronunciar.

É interessante notar que a informatização dos serviços financeiros não fez, até hoje, avançar de forma concreta nem tornou especialmente relevante algum grande serviço internacional ou transnacional de proteção ao crédito ao consumo. Talvez porque as peculiaridades de cada país sejam muito fortes e a transferência de informações, por si só, não seja de grande valor no contexto de outra economia. E também porque esta transferência implica em atender a uma série de requisitos legais de proteção de dados, que podem variar muito de um país para o outro. Por fim, a própria eficácia da medida leva a dúvidas quanto à sua eficácia sob o ponto de vista econômico, sugerindo que, na verdade, trate-se de um mecanismo que na prática estaria dirigido mais à recuperação de dívidas do que à proteção do crédito futuro.

Uma boa notícia: os serviços oferecidos pela Google estão tendo algumas opções-padrão redefinidas, fazendo com que a leitura de emails e, em breve, a própria pesquisa no site seja processada através de criptografia.

Desde o início do ano, o serviço Gmail funciona com um protocolo criptografado como padrão, impedindo o acesso aos emails dos seus usuários por técnicas de captura do tráfego de informações em uma rede.

Recentemente, a empresa anunciou que fornecerá a criptografia em seu serviço de buscas (Google.com). É um pouco irônico, mas este anúncio foi feito incidentemente, em meio à admissão da empresa de que teria – inadvertidamente, segundo ela – armazenado dados de navegação de milhares de redes Wi-Fi sem o consentimento de seus proprietários.

Na prática, as mudanças na direção da encriptação de seus serviços torna os dados que trafegam entre a empresa e seus usuários opacos a terceiros, ao menos potencialmente. Isto aumenta a segurança dos serviços oferecidos – claro, sem diminuir o volume de informações pessoais tratadas pela própria Google.

Na prática, garante-se que os emails armazenados no Gmail e as buscas feitas pelo google.com não poderão ser conhecidas pelo man in the middle - um intermediário, como o provedor de acesso – ou terceiros que interceptem estas comunicações. O que não muda é que estas informações continuam a ser armazenadas pela Google, de quem vai depender de forma quase absoluta a integridade e a utilização a ser feita dos dados pessoais.

Este novo padrão também torna relativamente ineficazes as técnicas de monitoramento de navegação propostas por instrumentos como, por exemplo, o Web Discover, da Phorm (no Brasil lançado como o programa Navegador, conforme anunciado pela Oi e outros provedores), que buscam interceptar o tráfego de dados entre o usuário e o provedor de acesso. Este tráfego, caso seja criptografado entre a Google e o seu usuário final, tornar-se-ia opaco para fins de interceptação – o que faria que as páginas de busca no Google resultassem indecifráveis para estes instrumentos de monitoramento.

Esta adoção de mecanismos de segurança pela Google se dá, muito a propósito, após a divulgação dos ataques informáticos sofridos pela empresa que, alegadamente, tiveram sua origem na China e justificaram, entre outras coisas, a mudança no perfil da atuação da Google no mercado chinês.

O SGT13 trata dos assuntos referentes ao comércio eletrônico no Mercosul. Em sua atividade recente, o SGT13 aprovou Acordo em matéria de assinatura digital, que foi fundamental na adoção de políticas públicas e legislação a este respeito nos países-membros do bloco que não as tinham.

A assinatura do Acordo representaria o compromisso do bloco em estabelecer um alto nível de proteção aos dados pessoais dos cidadãos de seus países-membros, garantindo o seu direito à privacidade e proteção de dados e também facilitando transações comerciais com os países e blocos regionais que estabelecem barreiras para a transferência de dados para o exterior quando não há normas fortes a este respeito.

Para o Brasil, em particular, a assinatura do Acordo seria fundamental para colocar de forma definitiva na pauta de discussões interna uma lei geral sobre proteção de dados pessoais – que é parte essencial da internalização dos termos do Acordo à legislação interna de cada país.

A  23ª reunião do SGT13 realizar-se-á em Buenos Aires, nos dias 27 e 28 de maio de 2010.