Habeasdata.org.br

O problema do roubo de identidade já é velho conhecido no Brasil, onde muitas vezes é referido como “clonagem”. Agora, começamos a ser expostos a um problema que está na raiz do roubo de identidade, que é o vazamento de dados – ou Data Brench, como é conhecido em muitos países.

O Ministério da Educação reconheceu hoje (04/08) o vazamento de dados pessoais de cerca de 12 milhões de pessoas que prestaram o exame do ENEM entre 2007 e 2009. Entre tais dados estão o nome, CPF, RG, nº de inscrição, nome da mãe e notas de cada inscrito.

O vazamento, ao que parece, durava meses e foi denunciado ao Ministério da Educação pelo jornal O Estado de S. Paulo.

O vazamento de dados consiste, basicamente, na disponibilização acidental de informação protegida ou qualificada em um ambiente inseguro. Quando estes dados são dados pessoais, a possibilidade de que o vazamento acarrete danos diretos à pessoa, seja à sua privacidade, segurança ou mesmo liberdade, é bastante concreta.

O tema não absolutamente novo em outros países. Uma organização como a Privacy Rights Clearinghouse mantém um banco de dados com informações sobre todos os vazamentos de dados documentados nos Estados Unidos entre 2005 e hoje, chegando ao assombroso total de 494,692,655 registros vazados – mais de um para cada cidadão norte-americano! E os nove casos mais clamorosos de vazamento de dados de 2009 podem ser consultados aqui.

A utilização massiva de dados pessoais é uma atividade de risco, risco esse que se apresenta de forma contundente com um problema como o que houve com o banco de dados do ENEM. A proliferação de sistemas informatizados que se utilizam de dados pessoais, por vezes gigantescos – como, no caso do Brasil, do RIC (Registro Único de Identidade Civil) ou do projeto SINIAV para monitoramento da frota automotiva, entre outros, faz com que aumente este risco potencial para o cidadão e sugere a necessidade urgente da incorporação de modelos modernos e eficazes de segurança da informação.

A segurança da informação, porém, não basta para abordar de forma eficaz o problema. De fato, é necessário incentivar uma verdadeira cultura de proteção de dados pessoais, que implique em uma utilização ponderada e respeitosa da informação pessoal, com as devidas salvaguardas e somente quando ela for realmente indispensável. No caso da administração de bancos de dados pessoais, por exemplo, torna-se necessário no mínimo estipular regras claras sobre a quem é franqueado o acesso a tais dados, estabelecendo também responsabilidades sobre os administradores pelos eventuais problemas ocorridos. Neste sentido aponta a nota publicada por Marcel Leonardi em O Estado de S. Paulo de hoje, argumentando pela adoção de uma cultura da “privacidade como padrão”:

O vazamento de dados pessoais de milhões de estudantes que fizeram o Enem demonstra a urgência de normas adequadas para a proteção desse tipo de informação no Brasil e a necessidade de uma mudança da cultura nacional a respeito da privacidade. São cada vez mais comuns casos de vazamento de informações sigilosas no Brasil e no exterior.

No estado atual da tecnologia, é inadmissível que dados pessoais circulem sem estarem devidamente criptografados. Não há razão que justifique a falta de cuidados básicos no tratamento e armazenamento dessas informações, pois a tecnologia para isso está ao alcance de todos, sem custo, na internet.

O principal problema não é o custo nem a inadequação do sistema jurídico brasileiro. Falta-nos uma cultura da “privacidade como padrão”, ou seja, entender a privacidade como um modelo de conduta, como regra inerente a qualquer atividade, e não como incômoda exceção. Por isso, a revelação de vazamento de dados deve ser incentivada e não combatida. Ela permite que as vítimas possam adotar rapidamente providências para mitigar os danos, e os ônus da revelação levarão empresas e governos a investir mais e melhor na proteção de dados sensíveis ou até mesmo a evitar sua coleta desnecessária.

Esperamos que o vindouro anteprojeto de lei sobre proteção de dados pessoais possa atender em parte a esses anseios e despertar, entre nós, a cultura de privacidade, tão necessária em uma era de onipresença e onisciência tecnológica.

De fato, o problema do vazamento de dados é uma das discussões principais na renovação das atuais leis de proteção de dados em diversos países. Muitos estados norte-americanos possuem legislação a respeito e o assunto é prioritário na revisão das diretivas européias que tratam de proteção de dados que se realizará a partir deste ano. Espera-se que, a partir do triste alerta dado pelo problema com o banco de dados do ENEM, a questão seja tratada como prioritária também pelo legislador brasileiro e que seja mais um fator a evidenciar a necessidade de uma normativa genérica sobre a proteção de dados pessoais.

Brasília, 22/07/2010 (MJ) – Será realizado nos dias 11 e 12 de agosto, no Rio de Janeiro, o seminário internacional “Desafios e Perspectivas para a Proteção de Dados Pessoais no Brasil”. O evento é uma iniciativa conjunta entre o Departamento de Proteção e Defesa do Consumidor (DPDC), órgão ligado ao Ministério da Justiça, e a Faculdade de Direito da Universidade do Estado do Rio de Janeiro (UERJ), com o apoio dos Ministérios da Ciência e Tecnologia e do Desenvolvimento, Indústria e Comércio Exterior e da Agência Brasileira de Desenvolvimento Industrial (ABDI).

Durante o evento, especialistas do Brasil e do exterior discutirão temas relativos a políticas públicas para a proteção de dados pessoais e privacidade. Os temas previstos para os painéis são: A experiência internacional da proteção de dados pessoais; Perspectivas para a proteção de dados pessoais no Brasil; Proteção de dados pessoais nas relações de consumo; e A proteção de dados como ferramenta de desenvolvimento econômico e social.

Um dos principais objetivos do seminário é discutir a necessidade de um marco legal para a proteção de dados pessoais no Brasil. Inúmeros países já possuem regras nesse sentido e o Brasil ainda não possui lei que regule o tema.

O evento acontece no hotel Windsor Miramar, localizado na Avenida Atlântica, n. 3668, Copacabana, no Rio de Janeiro. Serão disponibilizadas 100 vagas para integrantes do Sistema Nacional de Defesa do Consumidor, sociedade civil, academia e demais órgãos públicos.

As inscrições são gratuitas e o número de vagas é limitado.

A ficha de inscrições está disponível para download e, após preenchida, deve ser enviada para o email protecaodedados@mj.gov.br.

Consulte o programa do Seminário.

Programação

11.08 – Quarta-feira

9h00 às 10h00 – Abertura

10h00 às 12h00 – PAINEL 1: A experiência internacional da proteção de dados

pessoais

Presidente de mesa: Felipe de Paula (Secretário de Assuntos Legislativos –MJ)

Juan Antonio Traviesso (Diretor da Dirección Nacional de Protección de Datos Personales – Argentina) - A proteção de dados no Argentina e América Latina

Luís Lingnau da Silveira (Presidente da Comissão Nacional de Protecção de Dados – Portugal) - As autoridades de proteção de dados no contexto europeu

Felipe Rotondo (Conselheiro da Unidade Reguladora e de Controle de Dados Pessoais – Uruguai) - As autoridades de proteção de dados no contexto latino-americano

12h00 às 14h00 – Intervalo para almoço

14h00 às 17h00 – PAINEL 2: Perspectivas para a proteção de dados pessoais no Brasil

Presidente de mesa: Beto Vasconcellos (Casa Civil)

Laura Schertel Mendes (DPDC/SDE/MJ) - A proteção de dados no contexto brasileiro

Carlos Affonso de Souza (FGV-Rio) - A privacidade no Marco Civil da Internet

Daniel Bucar (PGM-Rio de Janeiro) - A proteção de dados na Administração Pública

Demi Getschko (CGI-Br) - Proteção de Dados e Segurança na Internet-BR

12.08 – Quinta-feira

9:00 às 10:00 – Conferência

   Seth Schoen (Electronic Frontier Fondation, EUA): Data protection and new technologies

10h00 às 12h00 – PAINEL 3: Proteção de dados pessoais nas relações de consumo

Presidente de mesa: - Héctor Valverde (Brasilcon)

Ricardo Morishita (DPDC/SDE/MJ)

Newton De Lucca (USP) - A tutela da privacidade do consumidor no comércio eletrônico

Anderson Schreiber (UERJ) - Responsabilidade civil por violação à privacidade

Leonardo Bessa (Brasilcon) - Práticas abusivas nos cadastros e bancos de dados de consumidores

11h30 às 12h00 – Debates

12h00 às 14h00 – Intervalo para almoço

14h00 às 17h00 – PAINEL 4: A proteção de dados como ferramenta de desenvolvimento econômico e social

Presidente de Mesa: Rogério Vianna (MCT)

Danilo Doneda (MCT/UNESCO) - Privacidade: de custo a recurso

Renato Martini (ITI) - Proteção de dados pessoais na Infra-estrutura brasileira de chaves públicas

Marcel Leonardi (FGV São Paulo) - A tutela da privacidade pela Sociedade Civil organizada

Gerson Rolin (Projeto Mercosul Digital / Camara e-net) - A proteção de dados e a confiança do consumidor no comércio eletrônico

Ivo Corrêa - (Google Inc.) - A proteção de dados nos serviços da Internet

17:00 – Conferência de encerramento – Colin Bennett (University of Victoria, Canada): Políticas Públicas para a proteção de dados pessoais: uma visão global

Um processo administrativo contra a TNL PCS S.A. (Grupo Oi) foi instaurado pelo Departamento de Proteção e Defesa do Consumidor do Ministério da Justiça (DPDC/SDE/MJ) por suspeita de violação aos direitos do consumidor, em particular a sua privacidade e intimidade, em razão dos riscos aos consumidores brasileiros a partir da implantação da tecnologia da empresa britânica Phorm na rede da Oi. A instauração do processo constitui iniciativa inédita e pode ampliar os debates no Brasil sobre a legalidade e constitucionalidade da interceptação realizada pela Phorm, podendo alertar inclusive outras autoridades públicas para esses riscos.

A aprovação da parceria da empresa do grupo Oi com a Phorm está sob análise pelo CADE, tendo sido recentemente retirada de sua pauta de julgamentos.

A atividade da Phorm, conforma já ressaltamos diversas vezes, provocou o alarme dos reguladores e consumidores em diversos países onde a empresa procurou atuar, justamente por representarem grande risco para a privacidade e a proteção de dados dos consumidores. Após ter as portas de mercados como o norte-americano e britânico fechadas por este motivo, a Phorm busca agora a inserção no mercado brasileiro, provavelmente por este não possuir uma tradição forte de proteção de dados. Assim, provedores como Oi, UOL, Terra e iG foram mencionados como parceiros que utilizariam os principais produtos da Phorm, o software “Navegador” e o OIX (Open Internet Exchange).

A abertura do mencionado processo administrativo e o retardo na aprovação da parceria pelo CADE dão a entender que a iniciativa pode estar, curiosamente, provocando um efeito não pretendido: alertar o regulador e o legislador brasileiro para a lacuna existente em nosso ordenamento jurídico sobre proteção de dados e para a necessidade de proteger as informações pessoais do cidadão brasileiro de forma ao menos similar aos cidadãos de tantos outros países que dispõem de garantias e ferramentas adequadas.

[atualização] De acordo com reportagem no jornal O Globo, a diretora-substituta do DPDC, Juliana Pereira, ressaltou a necessidade das empresas envolvidas mostrarem os detalhes do serviço que pretendem implementar no Brasil e de responderem aos questionamentos feitos pelo próprio DPDC em abril e que, ate hoje, permanecem sem resposta.

Mais sobre a Phorm aqui  

A Phorm, empresa que explora o Navegador , um software de monitoramento de navegação na Internet, continua aguardando pronunciamento do CADE sobre a sua parceria com uma empresa do grupo Oi.

Enquanto isso, as violações à privacidade realizadas pelo software Navegador continuam a ser assunto na imprensa brasileira. Desta vez, a revista Época aponta, em reportagem de 4 de junho, lembra que:

Além das questões comerciais, o maior estigma em torno dos programas de rastreamento da Phorm é a ameaça à privacidade. O Brasil está recebendo um programa espião rejeitado em outros países. O histórico da Phorm é sombrio. Ela foi fundada em 2002, com o nome de 121Media. Especializou-se na criação de programas para publicidade on-line. Seu primeiro produto foi classificado como um spyware, nome técnico dos programas espiões que se instalam na máquina do usuário sem consentimento e enviam informações a terceiros. No início da década passada, esses programas eram tão populares quanto difíceis de apagar. A Phorm recebeu notificações de órgãos de segurança de países como Estados Unidos, Canadá e Inglaterra pedindo que interrompesse as vendas por ferir a segurança e a privacidade do internauta.

Entre as novidades, a matéria deixa claro que parceiros brasileiros parecem já estar pulando do seu barco – ao menos uma das empresas que a própria Phorm apontou publicamente como sua parceira já nega qualquer relacionamento, como afirma a assessoria do Grupo Estado:

“a parceria nunca existiu e o nome da empresa foi usado à revelia”

Por outro lado, UOL e Terra confirmaram a parceria e esta informação deve colocar em alerta os seus usuários preocupados com a privacidade de sua utilização da Internet.

Mais sobre a Phorm [aqui]

Um dos temas principais da próxima reunião do Sub-Grupo de Trabalho 13 (SGT13) do Mercosul será uma proposta de Acordo em matéria de proteção de dados pessoais, que poderá ser assinada pelos países-membros do bloco comercial.

O SGT13 trata dos assuntos referentes ao comércio eletrônico no Mercosul. Em sua atividade recente, o SGT13 aprovou Acordo em matéria de assinatura digital, que foi fundamental na adoção de políticas públicas e legislação a este respeito nos países-membros do bloco que não as tinham.

A assinatura do Acordo representaria o compromisso do bloco em estabelecer um alto nível de proteção aos dados pessoais dos cidadãos de seus países-membros, garantindo o seu direito à privacidade e proteção de dados e também facilitando transações comerciais com os países e blocos regionais que estabelecem barreiras para a transferência de dados para o exterior quando não há normas fortes a este respeito.

Para o Brasil, em particular, a assinatura do Acordo seria fundamental para colocar de forma definitiva na pauta de discussões interna uma lei geral sobre proteção de dados pessoais – que é parte essencial da internalização dos termos do Acordo à legislação interna de cada país.

A  23ª reunião do SGT13 realizar-se-á em Buenos Aires, nos dias 27 e 28 de maio de 2010.

Não demorou muito. O Departamento de Estado norte-americano doou 4 aparelhos conhecidos como body scanners, capazes de “ver” através das roupas de uma pessoa, para pretensamente aumentar a segurança nos procedimentos de embarque em aeroportos.

Os 4 aparelhos, segundo matéria de [O Estado de S. Paulo], serão instalados nos aeroportos internacionais do Rio de Janeiro, São Paulo, Recife e Manaus.

Os aparelhos serão operados pela Polícia Federal.

A referida reportagem, ao levantar questionamentos sobre a invasão de privacidade dos passageiros pelo uso de tais aparelhos, obteve da Polícia Federal o esclarecimento de que:

(…) a imagem – gerada a partir da radiação emitida pelo equipamento, como uma radiografia – só tem capacidade de mostrar ossos, órgãos, objetos estranhos e o contorno do corpo dos indivíduos.

Devemos imaginar, portanto, que a Polícia Federal tem uma concepção bastante restrita do que seja a nossa privacidade, já que, para ela, “ossos”, “órgãos”, e o “contorno do corpo dos indivíduos” não seriam aspectos desta nossa privacidade.

No entanto, a declaração que mais chama  - tristemente – a atenção é a do superintendente da Polícia Federal no Rio de Janeiro, Ângelo Goia, para quem:

“Nunca há excesso quando se fala de segurança.”

Mesmo conhecendo e respeitando o trabalho da Polícia Federal, uma declaração do gênero deve despertar a atenção de todos os brasileiros e colocar-nos em alerta contra o componente fortemente policialesco e autoritário que se revela.

O mesmo Ângelo Goia prossegue em sua elegia das novas máquinas:

“Esta técnica seria menos invasiva que outras que já estão em vigor, mais constrangedoras”

É um direito nosso saber no que consistem exatamente tais técnicas, que seriam mais invasivas e constrangedoras do que despir virtualmente um indivíduo e possibilitar que a sua imagem seja utilizada para fins incertos – já que o armazenamento das imagens foi assunto no qual não se tocou.

À parte o fato de que a própria eficácia de tais aparelhos é, no mínimo, contestável, algumas perguntas básicas que são essenciais para determinar o nível de privacidade os passageiros podem esperar caso forem submetidos à revista pelo scanner, devem ser respondidas. Elas são:

1. Os funcionários que terão acesso às imagens do corpo dos passageiros serão os mesmos que eventualmente o interpelarão pessoalmente?
2. As imagens obtidas desta forma serão armazenadas na memória da máquina, de forma a que possa ser retirada, associada ao passageiro e utilizada para outros propósitos?

A segunda pergunta é particularmente relevante pois, nos Estados Unidos, uma entidade de defesa da privacidade, a EPIC, recentemente obteve acesso a documentos governamentais que atestam que o governo norte-americano possui armazenadas ao menos 2000 imagens obtidas de body scanners – isto após o próprio governo ter afirmado publicamente que estes aparelhos não eram capazes, tecnicamente, de armazenar imagens.

Os body scanners norte-americanos foram encomendados com capacidade de armazenamento em um HD interno, com saída USB e Ethernet, possibilitando, portanto, não somente o armazenamento como a eventual obtenção de imagens por funcionários ou terceiros não autorizados a tal. Os aparelhos que chegaram ao Brasil, provavelmente, compartilham das mesmas especificações.

Leia mais aqui, aqui e aqui.

Links externos: [A nova ordem mundial]

O Decreto presidencial nº 7.166, publicado hoje (06/05), regulamenta o Registro de Identidade Civil (RIC), que será o novo documento de identidade dos brasileiros.

O decreto cria o Sistema Nacional de Registro de Identificação Civil, baseado no Ministério da Justiça, o Cadastro Nacional de Registro de Identificação Civil, e o Comitê Gestor, composto por diversos ministérios, pela Secretaria de Direitos Humanos, Casa Civil e ITI [ver press release / matéria do Convergência Digital].

O decreto não toca diretamente, em nenhum momento, no tema da proteção dos dados dos cidadãos brasileiros.

Os dados biométricos do cidadão, dados pessoais extremamente sensíveis que serão incluídos no chip de que é dotado o documento do RIC, não são sequer referidos no Decreto. Continua-se no escuro, portanto, quanto a quais dados biométricos serão coletados, quais as medidas de segurança para sua proteção e quais as garantias das quais o cidadão poderá se valer contra fraudes, abusos e discriminações baseados em tais dados.

Não são previstos meios específicos para o cidadão ter acesso aos seus dados armazenados pelo sistema e eventualmente corrigi-los.

A questão fundamental do nível de acesso dos usuários às informações armazenadas pelo sistema terá sua definição a cargo do Comitê Gestor, sem que o decreto tenha fixado princípios ou parâmetros gerais.

Nota-se, em uma primeira análise, que o decreto preocupou-se apenas com os aspectos operacionais do sistema, seguindo uma lógica meramente tecnocrática que, até o momento, tem sido dominante nas discussões em torno da adoção do RIC no Brasil.

Em vista dos efeitos potenciais do sistema para a privacidade dos cidadãos, aguaradam-se que considerações específicas sobre este tema fundamental estejam claramente presentes no trabalho dos gestores do sistema.

O texto do Decreto 7.166 encontra-se aqui ou diretamente no Diário Oficial [1] [2].