Lei peruana de proteção de dados pode ser aprovada ainda este ano

O Conselho de Ministros peruano aprovou um projeto de lei sobre proteção de dados no dia 1º de junho. O projeto será agora apreciado pelo Congresso.

O projeto tem perfil similar à perspectiva europeia, procurando caracterizar um direito fundamental à proteção de dados pessoais, estabelecendo direitos para os cidadãos e deveres para os responsáveis pelos bancos de dados pessoais. Além disso, é criada uma autoridade administrativa de controle.

Além da garantia fundamental à proteção de dados, o projeto leva em conta o fluxo comercial que será viabilizado com a possibilidade das empresas peruanas de call-center – que hoje empregam 75.000 pessoas – terem acesso mais amplo ao mercado europeu.

SPC começa a cadastrar brasileiros inadimplentes no Japão

O SPC – Serviço de Proteção ao Crédito – iniciou o cadastramento de brasileiros que moram no Japão ou que, voltando de lá, regressaram com dívidas não pagas. [via BBC Brasil]

Segundo informações divulgadas na imprensa, esta inscrição é realizada diretamente no cadastro brasileiro de maus pagadores.

Apresentado, como é hábito, como uma solução tão simples como prática a proteção do crédito, é necessário verificar se o sistema não é capaz de prejudicar cidadãos sem dívidas que tenham eventual problema com o sistema ou então de punir de forma desproporcional o devedor.

As transferências internacionais de dados pessoais, que o sistema acaba realizando, não encontram maiores óbices na legislação japonesa tanto como na brasileira, apesar de ser uma prática sujeita a rigorosa normatização em outros países, o que talvez impeça que tal modelo seja adotado de forma mais ampla.

Tratando-se de um sistema que realize o tratamento de dados pessoais no Japão, o sistema há de operar conforme as normas japonesas de proteção de dados. Além disso, as normas referentes aos bancos de dados de proteção ao crédito presentes no Código de Defesa do Consumidor, por sua vez, são plenamente aplicáveis e isso leva à constatação de que, caso um cidadão residente no Brasil seja eventualmente cadastrado neste sistema, deverá ter exatamente as mesmas prerrogativas e direitos em relação ao acesso e retificação do cadastro que teria caso a negativação tivesse como origem um crédito contraído no Brasil.

O sistema, cuja divulgação, repetimos, deu-se apenas através de matéria circulada pela imprensa, levanta algumas outras dúvidas como: de que forma o SPC é capaz de saber se determinada dívida contraída no Japão o foi por um cidadão brasileiro? Isto leva a crer que a empresa tem acesso a dados que incluem a nacionalidade do devedor, cujo acesso certamente há de ser regulado pela normas locais de proteção de dados. Este é um ponto fundamental para a concepção do funcionamento do sistema e com claras implicações legais, sobre o qual o SPC faria muito bem em se pronunciar.

É interessante notar que a informatização dos serviços financeiros não fez, até hoje, avançar de forma concreta nem tornou especialmente relevante algum grande serviço internacional ou transnacional de proteção ao crédito ao consumo. Talvez porque as peculiaridades de cada país sejam muito fortes e a transferência de informações, por si só, não seja de grande valor no contexto de outra economia. E também porque esta transferência implica em atender a uma série de requisitos legais de proteção de dados, que podem variar muito de um país para o outro. Por fim, a própria eficácia da medida leva a dúvidas quanto à sua eficácia sob o ponto de vista econômico, sugerindo que, na verdade, trate-se de um mecanismo que na prática estaria dirigido mais à recuperação de dívidas do que à proteção do crédito futuro.

Mudanças no Google beneficiam privacidade online

201005181040.jpg

Uma boa notícia: os serviços oferecidos pela Google estão tendo algumas opções-padrão redefinidas, fazendo com que a leitura de emails e, em breve, a própria pesquisa no site seja processada através de criptografia.

Desde o início do ano, o serviço Gmail funciona com um protocolo criptografado como padrão, impedindo o acesso aos emails dos seus usuários por técnicas de captura do tráfego de informações em uma rede.

Recentemente, a empresa anunciou que fornecerá a criptografia em seu serviço de buscas (Google.com). É um pouco irônico, mas este anúncio foi feito incidentemente, em meio à admissão da empresa de que teria – inadvertidamente, segundo ela – armazenado dados de navegação de milhares de redes Wi-Fi sem o consentimento de seus proprietários.

Na prática, as mudanças na direção da encriptação de seus serviços torna os dados que trafegam entre a empresa e seus usuários opacos a terceiros, ao menos potencialmente. Isto aumenta a segurança dos serviços oferecidos – claro, sem diminuir o volume de informações pessoais tratadas pela própria Google.

Na prática, garante-se que os emails armazenados no Gmail e as buscas feitas pelo google.com não poderão ser conhecidas pelo man in the middle – um intermediário, como o provedor de acesso – ou terceiros que interceptem estas comunicações. O que não muda é que estas informações continuam a ser armazenadas pela Google, de quem vai depender de forma quase absoluta a integridade e a utilização a ser feita dos dados pessoais.

Este novo padrão também torna relativamente ineficazes as técnicas de monitoramento de navegação propostas por instrumentos como, por exemplo, o Web Discover, da Phorm (no Brasil lançado como o programa Navegador, conforme anunciado pela Oi e outros provedores), que buscam interceptar o tráfego de dados entre o usuário e o provedor de acesso. Este tráfego, caso seja criptografado entre a Google e o seu usuário final, tornar-se-ia opaco para fins de interceptação – o que faria que as páginas de busca no Google resultassem indecifráveis para estes instrumentos de monitoramento.

Esta adoção de mecanismos de segurança pela Google se dá, muito a propósito, após a divulgação dos ataques informáticos sofridos pela empresa que, alegadamente, tiveram sua origem na China e justificaram, entre outras coisas, a mudança no perfil da atuação da Google no mercado chinês.

Proteção de Dados Pessoais está na pauta do Mercosul

Um dos temas principais da próxima reunião do Sub-Grupo de Trabalho 13 (SGT13) do Mercosul será uma proposta de Acordo em matéria de proteção de dados pessoais, que poderá ser assinada pelos países-membros do bloco comercial.

O SGT13 trata dos assuntos referentes ao comércio eletrônico no Mercosul. Em sua atividade recente, o SGT13 aprovou Acordo em matéria de assinatura digital, que foi fundamental na adoção de políticas públicas e legislação a este respeito nos países-membros do bloco que não as tinham.

A assinatura do Acordo representaria o compromisso do bloco em estabelecer um alto nível de proteção aos dados pessoais dos cidadãos de seus países-membros, garantindo o seu direito à privacidade e proteção de dados e também facilitando transações comerciais com os países e blocos regionais que estabelecem barreiras para a transferência de dados para o exterior quando não há normas fortes a este respeito.

Para o Brasil, em particular, a assinatura do Acordo seria fundamental para colocar de forma definitiva na pauta de discussões interna uma lei geral sobre proteção de dados pessoais – que é parte essencial da internalização dos termos do Acordo à legislação interna de cada país.

A  23ª reunião do SGT13 realizar-se-á em Buenos Aires, nos dias 27 e 28 de maio de 2010.

“Body scanners” já estão nos aeroportos brasileiros

Não demorou muito. O Departamento de Estado norte-americano doou 4 aparelhos conhecidos como body scanners, capazes de “ver” através das roupas de uma pessoa, para pretensamente aumentar a segurança nos procedimentos de embarque em aeroportos.

Os 4 aparelhos, segundo matéria de [O Estado de S. Paulo], serão instalados nos aeroportos internacionais do Rio de Janeiro, São Paulo, Recife e Manaus.

Os aparelhos serão operados pela Polícia Federal.

A referida reportagem, ao levantar questionamentos sobre a invasão de privacidade dos passageiros pelo uso de tais aparelhos, obteve da Polícia Federal o esclarecimento de que:

(…) a imagem – gerada a partir da radiação emitida pelo equipamento, como uma radiografia – só tem capacidade de mostrar ossos, órgãos, objetos estranhos e o contorno do corpo dos indivíduos.

Devemos imaginar, portanto, que a Polícia Federal tem uma concepção bastante restrita do que seja a nossa privacidade, já que, para ela, “ossos”, “órgãos”, e o “contorno do corpo dos indivíduos” não seriam aspectos desta nossa privacidade.

No entanto, a declaração que mais chama  – tristemente – a atenção é a do superintendente da Polícia Federal no Rio de Janeiro, Ângelo Goia, para quem:

“Nunca há excesso quando se fala de segurança.”

Mesmo conhecendo e respeitando o trabalho da Polícia Federal, uma declaração do gênero deve despertar a atenção de todos os brasileiros e colocar-nos em alerta contra o componente fortemente policialesco e autoritário que se revela.

O mesmo Ângelo Goia prossegue em sua elegia das novas máquinas:

“Esta técnica seria menos invasiva que outras que já estão em vigor, mais constrangedoras”

É um direito nosso saber no que consistem exatamente tais técnicas, que seriam mais invasivas e constrangedoras do que despir virtualmente um indivíduo e possibilitar que a sua imagem seja utilizada para fins incertos – já que o armazenamento das imagens foi assunto no qual não se tocou.

À parte o fato de que a própria eficácia de tais aparelhos é, no mínimo, contestável, algumas perguntas básicas que são essenciais para determinar o nível de privacidade os passageiros podem esperar caso forem submetidos à revista pelo scanner, devem ser respondidas. Elas são:

  1. Os funcionários que terão acesso às imagens do corpo dos passageiros serão os mesmos que eventualmente o interpelarão pessoalmente?
  2. As imagens obtidas desta forma serão armazenadas na memória da máquina, de forma a que possa ser retirada, associada ao passageiro e utilizada para outros propósitos?

A segunda pergunta é particularmente relevante pois, nos Estados Unidos, uma entidade de defesa da privacidade, a EPIC, recentemente obteve acesso a documentos governamentais que atestam que o governo norte-americano possui armazenadas ao menos 2000 imagens obtidas de body scanners – isto após o próprio governo ter afirmado publicamente que estes aparelhos não eram capazes, tecnicamente, de armazenar imagens.

Os body scanners norte-americanos foram encomendados com capacidade de armazenamento em um HD interno, com saída USB e Ethernet, possibilitando, portanto, não somente o armazenamento como a eventual obtenção de imagens por funcionários ou terceiros não autorizados a tal. Os aparelhos que chegaram ao Brasil, provavelmente, compartilham das mesmas especificações.

201005062222.jpg

Leia mais aqui, aqui e aqui.

Links externos: [A nova ordem mundial]

Publicado o Decreto que regulamenta o RIC – Registro de Identidade Civil – sem menções à privacidade ou proteção de dados

O Decreto presidencial nº 7.166, publicado hoje (06/05), regulamenta o Registro de Identidade Civil (RIC), que será o novo documento de identidade dos brasileiros.

O decreto cria o Sistema Nacional de Registro de Identificação Civil, baseado no Ministério da Justiça, o Cadastro Nacional de Registro de Identificação Civil, e o Comitê Gestor, composto por diversos ministérios, pela Secretaria de Direitos Humanos, Casa Civil e ITI [ver press release / matéria do Convergência Digital].

O decreto não toca diretamente, em nenhum momento, no tema da proteção dos dados dos cidadãos brasileiros.

Os dados biométricos do cidadão, dados pessoais extremamente sensíveis que serão incluídos no chip de que é dotado o documento do RIC, não são sequer referidos no Decreto. Continua-se no escuro, portanto, quanto a quais dados biométricos serão coletados, quais as medidas de segurança para sua proteção e quais as garantias das quais o cidadão poderá se valer contra fraudes, abusos e discriminações baseados em tais dados.

Não são previstos meios específicos para o cidadão ter acesso aos seus dados armazenados pelo sistema e eventualmente corrigi-los.

A questão fundamental do nível de acesso dos usuários às informações armazenadas pelo sistema terá sua definição a cargo do Comitê Gestor, sem que o decreto tenha fixado princípios ou parâmetros gerais.

Nota-se, em uma primeira análise, que o decreto preocupou-se apenas com os aspectos operacionais do sistema, seguindo uma lógica meramente tecnocrática que, até o momento, tem sido dominante nas discussões em torno da adoção do RIC no Brasil.

Em vista dos efeitos potenciais do sistema para a privacidade dos cidadãos, aguaradam-se que considerações específicas sobre este tema fundamental estejam claramente presentes no trabalho dos gestores do sistema.

O texto do Decreto 7.166 encontra-se aqui ou diretamente no Diário Oficial [1] [2].

A cartada final da Phorm no Brasil – parceria com empresa do grupo Oi retirada da pauta do CADE

A empresa Phorm, após anunciar em 26/04 que trabalharia no mercado de targeted marketing juntamente com alguns dos maiores provedores de Internet brasileiros – Oi, Terra, UOL, Estadão e IG -, agora aparenta ter dificuldades em ter aprovada pelo CADE uma parceria com a TNL, empresa do grupo Oi. Na sessão de 05/05, o órgão retirou da pauta a avaliação desta parceria [ver ata da sessão].

Curiosamente, o requerimento ao CADE para aprovação desta parceria mencionava uma espécie de “curto-circuito”: que seus concorrentes potenciais seriam algumas das mesmas empresas com quem a Phorm anunciou, no documento de 26/04, que já havia firmado relações comerciais:

(…) Phorm has been working with Brazil’s leading Internet Service Providers (“ISPs”), publishers and advertisers for some time, and today is pleased to announce the first phase of a country-wide roll-out in conjunction with Estadão, iG, Oi, Terra and UOL. The Company expects to announce further ISP and content partners in due course.

A Phorm, conforme já comentado em posts anteriores, procura introduzir no Brasil seu software de monitoramento de navegação na Internet denominado Navegador, que armazena a a atividade de um usuário na Internet sem que lhe tenha sido dada autorização prévia (como apontou recentemente o jornalista Elio Gaspari).

É possível que a Phorm esteja jogando no Brasil algumas de suas últimas esperanças de conquistar uma fatia representativa no mercado de publicidade na Internet – e, eventualmente, de continuar existindo. Seus produtos não foram contratados por nenhum provedor de peso nos EUA e no Reino Unido, em grande parte pelo elevado risco que apresentavam à privacidade e pela péssima reputação que construiu nestes mercados. Agora, a empresa tenta se estabelecer no Brasil e na Coréia do Sul.

As ações da Phorm negociadas na LSE registram sensível e constante queda nos últimos meses, em particular após a empresa ter anunciado as suas novas operações no Brasil, conforme quadro abaixo. No próximo dia 25 de maio a empresa deverá anunciar seus resultados financeiros referentes ao ano fiscal de 2009.

201005060123.jpg

[Yahoo! Finance]

[ATUALIZAÇÃO 06/05] Coincidentemente, a mesma sessão de julgamento do CADE teve como destaque uma Averiguação Preliminar envolvendo a Telemar Norte Leste S/A (nome pelo qual a OI era conhecida até 2006).

A averiguação do CADE tem por motivo uma prática que soa familiar ao próprio modelo de negócios da Phorm. De acordo com o boletim do CADE:

A investigação, aberta pela SDE e pela ANATEL, é embasada no suposto monitoramento, pela Telemar, das chamadas telefônicas de seus clientes para o serviço 0800 da Vésper. A Telemar avaliava o interesse do cliente e de seu nível de renda, para depois ofertar produtos diferenciados. As ações teriam como objetivo impedir a migração de clientes para a Vésper.  

A investigação teve início após denúncia do jornal Folha de S. Paulo em 2005 [acesso pago]. veja matéria completa em [Convergência Digital]

Mensagens publicitárias por telefone celular passam a depender de prévia autorização do cliente

A partir de 1º de maio de 2010, as operadoras de telefonia celular no Brasil somente poderão enviar mensagens publicitárias se tiverem a autorização prévia dos seus clientes.

Esta medida foi comunicada às operadoras de telefonia móvel no Brasil pela ANATEL, em resposta a solicitação do Ministério Público Federal de São Paulo, que fundamentou-a no direito à privacidade dos usuários deste serviço.

O sistema de autorização funcionará como um opt-in para os novos contratos celebrados a partir do 1º de maio. Os antigos clientes que desejarem bloquear o recebimento destas mensagens deverão entrar em contato direto com a sua respectiva operadora – o que representa, sem dúvida um obstáculo concreto a que muitos usuários exerçam de fato este direito, ao se criar um sistema misto de opt-in para os novos clientes e opt-out para os demais.

A nova postura da ANATEL, que não foi divulgada oficialmente senão em comunicação sobre o teor de uma circular enviada às operadoras, também não fixa sanções para a operadora que desrespeitar a orientação. [IDEC][IDG Now!]

México: Lei de proteção de dados depende apenas de sanção presidencial

O Senado mexicano aprovou ontem (29/04) por unanimidade o projeto de lei sobre proteção de dados pessoais (Ley Federal de Protección de Datos Personales en posesión de los particulares) que, há duas semana, havia sido aprovado pela Câmara mexicana.

O projeto depende apenas da sanção presidencial para se tornar lei. Caso isto aconteça, o IFAI (Instituto Federal de Acceso a la Información Pública) passará a se denominar Instituto Federal de Acceso a la Información y Protección de Datos, passando a ter jurisdição sobre a proteção de dados pessoais de indivíduos e entes privados.

O tratamento de dados pessoais no Projeto de Lei sobre Acesso à informação pública.

Foi aprovado pela Câmara dos Deputados em 15/03 o projeto de lei sobre acesso à informação pública, que agora será apreciado pelo Senado Federal.

Este projeto, em se tornando lei, proporcionará regras claras sobre o acesso a documentos públicos ao estabelecer, entre outras disposições, as hipóteses em que documentos poderão ser considerados sigilosos em um regime estrito, com a indicação de um período máximo de sigilo de 25 anos, renováveis somente por uma vez.

O projeto não cria um organismo específico para zelar pela aplicação uniforme da lei, conforme observado (e criticado) por entidades especializadas. Órgãos deste gênero são razoavelmente comuns em diversos países (vide, como exemplo, o IFAI, no México).

Um ponto de destaque do Projeto de Lei é a sua preocupação específica com a proteção de dados pessoais. Em seu art. 31, são estabelecidas regras específicas:

Art. 31. O tratamento das informações pessoais deve ser feito de forma transparente e com respeito à intimidade, vida privada, honra e imagem das pessoas, bem como às liberdades e garantias individuais.

§1o As informações pessoais, a que se refere este artigo, relativas à intimidade, vida privada, honra e imagem:

I – terão seu acesso restrito, independentemente de classificação de sigilo e pelo prazo máximo de cem anos a contar da sua data de produção, a agentes públicos legalmente autorizados e à pessoa a que elas se referirem; e

II – poderão ter autorizada sua divulgação ou acesso por terceiros diante de previsão legal ou consentimento expresso da pessoa a que elas se referirem. trata este artigo será responsabilizado por seu uso indevido.

§2o Aquele que obtiver acesso às informações de que trata este artigo será responsabilizado por seu uso indevido.

§3o O consentimento referido no inciso II do §1o não será exigido quando as informações forem necessárias:

I – à prevenção e diagnóstico médico, quando a pessoa estiver física ou legalmente incapaz, e para utilização única e exclusivamente para o tratamento médico;

II – à realização de estatísticas e pesquisas científicas de evidente interesse público ou geral, previstos em lei, sendo vedada a identificação da pessoa a que as informações se referirem;

III – ao cumprimento de ordem judicial;

IV – à defesa de direitos humanos; ou

IV – à proteção do interesse público e geral preponderante.

§4o A restrição de acesso à informação relativa à vida privada, honra e imagem de pessoa não poderá ser invocada com o intuito de prejudicar processo de apuração de irregularidades em que o titular das informações estiver envolvido, bem como ações voltadas para a recuperação de fatos históricos de maior relevância.

§5o Regulamento disporá sobre os procedimentos para tratamento de informação pessoal.

A ausência de regulamentação específica sobre proteção de dados pessoais no Brasil faz com que, em um número crescente de circunstâncias, diplomas normativos tenham que estabelecer suas próprias referências e instrumentos de proteção aos dados pessoais, sem a possibilidade de recorrer a um estatuto geral sobre o tema e sempre correndo-se o risco de estabelecer um patamar de proteção fraco ou em contradição com outras disposições similares.

No caso deste Projeto de Lei, a presença de informações pessoais é um motivo de restrição à faculdade de acesso ao documento público. Esta regra reconhece uma primazia da tutela da informação pessoal em relação ao mandamento da transparência, que somente não será observada quando a divulgação da informação for legitimada pelo consentimento expresso do titular dos dados ou em uma das hipóteses em numerus clausus nas quais este consentimento é dispensável.

Ao incorporar a regra do consentimento expresso,o Projeto de Lei deu um largo passo ao encontro de uma efetiva tutela da informação pessoal e da efetiva liberdade e privacidade dos cidadãos.

O Projeto, talvez conscientemente, não adentrou em maiores detalhes as diversas circunstâncias em que o mero consentimento do titular dos dados pode não ser suficiente para tutelar direitos pessoais e de terceiros (caso de dados sensíveis), nem em outras situações de consentimento tácito ou não-específico em que a divulgação de dados pessoais é realizada de forma sistemática (pense-se em várias formas de divulgação de informações jurisdicionais ou na divulgação de salários e gastos com funcionários públicos, por exemplo).

É, provavelmente, pela complexidade do tema, que escapa à alçada de um diploma normativo somente sobre o acesso à informação, que o parágrafo 5º do referido artigo acaba por aludir a que “Regulamento disporá sobre os procedimentos para tratamento de informação pessoal”. E aí está presente um defeito relativamente grave do Projeto de Lei: reconhecer o tratamento das informações pessoais e a proteção de dados como um apêndice que possa ser tratado pela via regulamentar.

A proteção de dados, reconhecida em diversos ordenamentos como um direito fundamental, é peça fundamental para a liberdade contemporânea e para a manutenção do equilíbrio de poderes entre o indivíduo e os detentores de suas informações pessoais. Assim, demanda uma série de instrumentos de tutela cuja correta disposição não pode estar circunscrita às limitações de um ato normativo de caráter meramente regulamentar.

Espera-se que, na discussão futura deste Projeto de Lei, venha à tona o fato de que o acesso à informação deve vir acompanhado de instrumentos adequados para a tutela da informação pessoal, dois temas que somente em conjunto abordam de forma integral o problema da informação e as liberdades fundamentais a ela ligadas.