Habeasdata.org.br

Um processo administrativo contra a TNL PCS S.A. (Grupo Oi) foi instaurado pelo Departamento de Proteção e Defesa do Consumidor do Ministério da Justiça (DPDC/SDE/MJ) por suspeita de violação aos direitos do consumidor, em particular a sua privacidade e intimidade, em razão dos riscos aos consumidores brasileiros a partir da implantação da tecnologia da empresa britânica Phorm na rede da Oi. A instauração do processo constitui iniciativa inédita e pode ampliar os debates no Brasil sobre a legalidade e constitucionalidade da interceptação realizada pela Phorm, podendo alertar inclusive outras autoridades públicas para esses riscos.

A aprovação da parceria da empresa do grupo Oi com a Phorm está sob análise pelo CADE, tendo sido recentemente retirada de sua pauta de julgamentos.

A atividade da Phorm, conforma já ressaltamos diversas vezes, provocou o alarme dos reguladores e consumidores em diversos países onde a empresa procurou atuar, justamente por representarem grande risco para a privacidade e a proteção de dados dos consumidores. Após ter as portas de mercados como o norte-americano e britânico fechadas por este motivo, a Phorm busca agora a inserção no mercado brasileiro, provavelmente por este não possuir uma tradição forte de proteção de dados. Assim, provedores como Oi, UOL, Terra e iG foram mencionados como parceiros que utilizariam os principais produtos da Phorm, o software “Navegador” e o OIX (Open Internet Exchange).

A abertura do mencionado processo administrativo e o retardo na aprovação da parceria pelo CADE dão a entender que a iniciativa pode estar, curiosamente, provocando um efeito não pretendido: alertar o regulador e o legislador brasileiro para a lacuna existente em nosso ordenamento jurídico sobre proteção de dados e para a necessidade de proteger as informações pessoais do cidadão brasileiro de forma ao menos similar aos cidadãos de tantos outros países que dispõem de garantias e ferramentas adequadas.

[atualização] De acordo com reportagem no jornal O Globo, a diretora-substituta do DPDC, Juliana Pereira, ressaltou a necessidade das empresas envolvidas mostrarem os detalhes do serviço que pretendem implementar no Brasil e de responderem aos questionamentos feitos pelo próprio DPDC em abril e que, ate hoje, permanecem sem resposta.

Mais sobre a Phorm aqui  

GUSTAVO TEPEDINO e DANILO DONEDA

Publicado originalmente em O Globo de 15/06/2010

Fornecer dados pessoais constitui-se em rotina sempre mais comum para o brasileiro. Na internet, em compras a crédito, programas de fidelização e em tantas outras ocasiões, as solicitações de informações pessoais são corriqueiras e cada vez mais minuciosas.

Em termos práticos, perde-se o controle sobre as informações pessoais logo após fornecê-las. Pouco (ou nada) se sabe sobre sua utilização; se serão repassadas para terceiros ou para quais fins serão empregadas. Até mesmo o acesso às próprias informações – indispensável para conferir se a informação armazenada ao menos é correta – mostra-se claudicante, pela pouca praticidade da ação de habeas data.

Essa espécie de “assimetria informacional”, pela qual o cidadão perde o controle sobre suas informações, favorece os que realizam o tratamento de informações pessoais. Estes – governos e entidades privadas – tornam-se assim capazes de rotular cada pessoa a determinados padrões de comportamento e a previsões de hábitos de consumo. A autonomia é debilitada, favorecendo-se as discriminações, principalmente pelo tratamento de seus dados sensíveis (associados a características psicofísicas).

A sujeição do indivíduo aos desígnios da tecnologia não é intransponível. Instrumentos jurídicos que procuram assegurar à pessoa o controle de seus dados existem há um bom tempo em diversos países e compõem as denominadas leis de proteção de dados pessoais. Modelos legislativos garantem o processamento de dados segundo certos princípios, com finalidade determinada e com o direito de acesso efetivo e oposição pelo interessado. Mais ainda, o tratamento de dados pessoais costuma ser supervisionado por uma agência com poderes para regular e inspecionar a utilização dessas informações.

No Brasil, o tema é tratado pela ação de habeas data, cuja estrutura não é condizente com a dimensão atual do problema da informação pessoal, e pelo Código de Defesa do Consumidor, limitadamente às relações de consumo e ao fornecimento de crédito.

Há indicativos, porém, de mudança. Na América Latina, alguns países, como Argentina e Uruguai, já possuem normas específicas e modernas a respeito. Além disso, no Brasil, encontra-se em fase final de estudos pelo Executivo federal um anteprojeto de lei sobre proteção de dados pessoais.

Uma lei abrangente e contemporânea é o elo que falta para a tutela do cidadão e para a deflagração de várias outras iniciativas, legislativas ou não, que importam no tratamento de dados pessoais – tais como o novo Registro de Identidade Civil (RIC), o monitoramento de automóveis, a identificação por meios biométricos nas mais variadas ocasiões e outras mais. O anteprojeto em discussão insere-se em uma atualíssima agenda de renovação normativa que procura redefinir o estatuto jurídico da informação no Brasil. Basta lembrar os projetos de lei referentes ao Marco Civil da Internet, ao Acesso à Informação Pública e à reforma da Lei de Direitos Autorais.

Neste panorama, a tutela dos dados pessoais assume a função de traduzir, na atualidade, a nova face da liberdade – a liberdade informática, na feliz expressão de Vittorio Frosini. Afinal, a privacidade, nos dias atuais, não é mais o direito a não ser importunado, revelando-se, de maneira mais ampla e dinâmica, no poder de controle dos dados pessoais.

As relações existenciais, afetivas, comerciais e profissionais cada vez mais se desenvolvem por meios informatizados – para os quais é imprescindível o fornecimento de informações pessoais. Por isso, franquear ao cidadão brasileiro instrumentos de efetivo controle sobre o uso e a integridade de suas informações torna-se mecanismo de garantia da liberdade, tendo em conta o papel predominante da informação para as escolhas individuais. Para tanto, afigura-se indispensável uma lei geral de proteção de dados pessoais, a nova face da privacidade.

GUSTAVO TEPEDINO é professor da Faculdade de Direito da Uerj. DANILO DONEDA é consultor da Unesco/MCT.

O projeto de lei sobre proteção de dados pessoais, recentemente aprovado pelo Conselho de Ministros peruano, foi enviado em 9.06 ao Congresso da República para avaliação e eventual aprovação.

Consulte aqui a íntegra do projeto.

A Phorm, empresa que explora o Navegador , um software de monitoramento de navegação na Internet, continua aguardando pronunciamento do CADE sobre a sua parceria com uma empresa do grupo Oi.

Enquanto isso, as violações à privacidade realizadas pelo software Navegador continuam a ser assunto na imprensa brasileira. Desta vez, a revista Época aponta, em reportagem de 4 de junho, lembra que:

Além das questões comerciais, o maior estigma em torno dos programas de rastreamento da Phorm é a ameaça à privacidade. O Brasil está recebendo um programa espião rejeitado em outros países. O histórico da Phorm é sombrio. Ela foi fundada em 2002, com o nome de 121Media. Especializou-se na criação de programas para publicidade on-line. Seu primeiro produto foi classificado como um spyware, nome técnico dos programas espiões que se instalam na máquina do usuário sem consentimento e enviam informações a terceiros. No início da década passada, esses programas eram tão populares quanto difíceis de apagar. A Phorm recebeu notificações de órgãos de segurança de países como Estados Unidos, Canadá e Inglaterra pedindo que interrompesse as vendas por ferir a segurança e a privacidade do internauta.

Entre as novidades, a matéria deixa claro que parceiros brasileiros parecem já estar pulando do seu barco – ao menos uma das empresas que a própria Phorm apontou publicamente como sua parceira já nega qualquer relacionamento, como afirma a assessoria do Grupo Estado:

“a parceria nunca existiu e o nome da empresa foi usado à revelia”

Por outro lado, UOL e Terra confirmaram a parceria e esta informação deve colocar em alerta os seus usuários preocupados com a privacidade de sua utilização da Internet.

Mais sobre a Phorm [aqui]

O Conselho de Ministros peruano aprovou um projeto de lei sobre proteção de dados no dia 1º de junho. O projeto será agora apreciado pelo Congresso.

O projeto tem perfil similar à perspectiva europeia, procurando caracterizar um direito fundamental à proteção de dados pessoais, estabelecendo direitos para os cidadãos e deveres para os responsáveis pelos bancos de dados pessoais. Além disso, é criada uma autoridade administrativa de controle.

Além da garantia fundamental à proteção de dados, o projeto leva em conta o fluxo comercial que será viabilizado com a possibilidade das empresas peruanas de call-center – que hoje empregam 75.000 pessoas – terem acesso mais amplo ao mercado europeu.

O SPC – Serviço de Proteção ao Crédito – iniciou o cadastramento de brasileiros que moram no Japão ou que, voltando de lá, regressaram com dívidas não pagas. [via BBC Brasil]

Segundo informações divulgadas na imprensa, esta inscrição é realizada diretamente no cadastro brasileiro de maus pagadores.

Apresentado, como é hábito, como uma solução tão simples como prática a proteção do crédito, é necessário verificar se o sistema não é capaz de prejudicar cidadãos sem dívidas que tenham eventual problema com o sistema ou então de punir de forma desproporcional o devedor.

As transferências internacionais de dados pessoais, que o sistema acaba realizando, não encontram maiores óbices na legislação japonesa tanto como na brasileira, apesar de ser uma prática sujeita a rigorosa normatização em outros países, o que talvez impeça que tal modelo seja adotado de forma mais ampla.

Tratando-se de um sistema que realize o tratamento de dados pessoais no Japão, o sistema há de operar conforme as normas japonesas de proteção de dados. Além disso, as normas referentes aos bancos de dados de proteção ao crédito presentes no Código de Defesa do Consumidor, por sua vez, são plenamente aplicáveis e isso leva à constatação de que, caso um cidadão residente no Brasil seja eventualmente cadastrado neste sistema, deverá ter exatamente as mesmas prerrogativas e direitos em relação ao acesso e retificação do cadastro que teria caso a negativação tivesse como origem um crédito contraído no Brasil.

O sistema, cuja divulgação, repetimos, deu-se apenas através de matéria circulada pela imprensa, levanta algumas outras dúvidas como: de que forma o SPC é capaz de saber se determinada dívida contraída no Japão o foi por um cidadão brasileiro? Isto leva a crer que a empresa tem acesso a dados que incluem a nacionalidade do devedor, cujo acesso certamente há de ser regulado pela normas locais de proteção de dados. Este é um ponto fundamental para a concepção do funcionamento do sistema e com claras implicações legais, sobre o qual o SPC faria muito bem em se pronunciar.

É interessante notar que a informatização dos serviços financeiros não fez, até hoje, avançar de forma concreta nem tornou especialmente relevante algum grande serviço internacional ou transnacional de proteção ao crédito ao consumo. Talvez porque as peculiaridades de cada país sejam muito fortes e a transferência de informações, por si só, não seja de grande valor no contexto de outra economia. E também porque esta transferência implica em atender a uma série de requisitos legais de proteção de dados, que podem variar muito de um país para o outro. Por fim, a própria eficácia da medida leva a dúvidas quanto à sua eficácia sob o ponto de vista econômico, sugerindo que, na verdade, trate-se de um mecanismo que na prática estaria dirigido mais à recuperação de dívidas do que à proteção do crédito futuro.

Uma boa notícia: os serviços oferecidos pela Google estão tendo algumas opções-padrão redefinidas, fazendo com que a leitura de emails e, em breve, a própria pesquisa no site seja processada através de criptografia.

Desde o início do ano, o serviço Gmail funciona com um protocolo criptografado como padrão, impedindo o acesso aos emails dos seus usuários por técnicas de captura do tráfego de informações em uma rede.

Recentemente, a empresa anunciou que fornecerá a criptografia em seu serviço de buscas (Google.com). É um pouco irônico, mas este anúncio foi feito incidentemente, em meio à admissão da empresa de que teria – inadvertidamente, segundo ela – armazenado dados de navegação de milhares de redes Wi-Fi sem o consentimento de seus proprietários.

Na prática, as mudanças na direção da encriptação de seus serviços torna os dados que trafegam entre a empresa e seus usuários opacos a terceiros, ao menos potencialmente. Isto aumenta a segurança dos serviços oferecidos – claro, sem diminuir o volume de informações pessoais tratadas pela própria Google.

Na prática, garante-se que os emails armazenados no Gmail e as buscas feitas pelo google.com não poderão ser conhecidas pelo man in the middle - um intermediário, como o provedor de acesso – ou terceiros que interceptem estas comunicações. O que não muda é que estas informações continuam a ser armazenadas pela Google, de quem vai depender de forma quase absoluta a integridade e a utilização a ser feita dos dados pessoais.

Este novo padrão também torna relativamente ineficazes as técnicas de monitoramento de navegação propostas por instrumentos como, por exemplo, o Web Discover, da Phorm (no Brasil lançado como o programa Navegador, conforme anunciado pela Oi e outros provedores), que buscam interceptar o tráfego de dados entre o usuário e o provedor de acesso. Este tráfego, caso seja criptografado entre a Google e o seu usuário final, tornar-se-ia opaco para fins de interceptação – o que faria que as páginas de busca no Google resultassem indecifráveis para estes instrumentos de monitoramento.

Esta adoção de mecanismos de segurança pela Google se dá, muito a propósito, após a divulgação dos ataques informáticos sofridos pela empresa que, alegadamente, tiveram sua origem na China e justificaram, entre outras coisas, a mudança no perfil da atuação da Google no mercado chinês.