Abertura de Processo Administrativo aponta os riscos à privacidade da parceria entre Oi e Phorm

Um processo administrativo contra a TNL PCS S.A. (Grupo Oi) foi instaurado pelo Departamento de Proteção e Defesa do Consumidor do Ministério da Justiça (DPDC/SDE/MJ) por suspeita de violação aos direitos do consumidor, em particular a sua privacidade e intimidade, em razão dos riscos aos consumidores brasileiros a partir da implantação da tecnologia da empresa britânica Phorm na rede da Oi. A instauração do processo constitui iniciativa inédita e pode ampliar os debates no Brasil sobre a legalidade e constitucionalidade da interceptação realizada pela Phorm, podendo alertar inclusive outras autoridades públicas para esses riscos.

A aprovação da parceria da empresa do grupo Oi com a Phorm está sob análise pelo CADE, tendo sido recentemente retirada de sua pauta de julgamentos.

A atividade da Phorm, conforme já ressaltamos diversas vezes, provocou o alarme dos reguladores e consumidores em diversos países onde a empresa procurou atuar, justamente por representarem grande risco para a privacidade e a proteção de dados dos consumidores. Após ter as portas de mercados como o norte-americano e britânico fechadas por este motivo, a Phorm busca agora a inserção no mercado brasileiro, provavelmente por este não possuir uma tradição forte de proteção de dados. Assim, provedores como Oi, UOL, Terra e iG foram mencionados como parceiros que utilizariam os principais produtos da Phorm, o software “Navegador” e o OIX (Open Internet Exchange).

A abertura do mencionado processo administrativo e o retardo na aprovação da parceria pelo CADE dão a entender que a iniciativa pode estar, curiosamente, provocando um efeito não pretendido: alertar o regulador e o legislador brasileiro para a lacuna existente em nosso ordenamento jurídico sobre proteção de dados e para a necessidade de proteger as informações pessoais do cidadão brasileiro de forma ao menos similar aos cidadãos de tantos outros países que dispõem de garantias e ferramentas adequadas.

Mais sobre a Phorm aqui  

201006232139.jpg

Phorm aguarda posicionamento do CADE e é tema na imprensa brasileira

A Phorm, empresa que explora o Navegador , um software de monitoramento de navegação na Internet, continua aguardando pronunciamento do CADE sobre a sua parceria com uma empresa do grupo Oi.

Enquanto isso, as violações à privacidade realizadas pelo software Navegador continuam a ser assunto na imprensa brasileira. Desta vez, a revista Época aponta, em reportagem de 4 de junho, lembra que:

Além das questões comerciais, o maior estigma em torno dos programas de rastreamento da Phorm é a ameaça à privacidade. O Brasil está recebendo um programa espião rejeitado em outros países. O histórico da Phorm é sombrio. Ela foi fundada em 2002, com o nome de 121Media. Especializou-se na criação de programas para publicidade on-line. Seu primeiro produto foi classificado como um spyware, nome técnico dos programas espiões que se instalam na máquina do usuário sem consentimento e enviam informações a terceiros. No início da década passada, esses programas eram tão populares quanto difíceis de apagar. A Phorm recebeu notificações de órgãos de segurança de países como Estados Unidos, Canadá e Inglaterra pedindo que interrompesse as vendas por ferir a segurança e a privacidade do internauta.

Entre as novidades, a matéria deixa claro que parceiros brasileiros parecem já estar pulando do seu barco – ao menos uma das empresas que a própria Phorm apontou publicamente como sua parceira já nega qualquer relacionamento, como afirma a assessoria do Grupo Estado:

“a parceria nunca existiu e o nome da empresa foi usado à revelia”

Por outro lado, UOL e Terra confirmaram a parceria e esta informação deve colocar em alerta os seus usuários preocupados com a privacidade de sua utilização da Internet.

Mais sobre a Phorm [aqui]

Proteção de Dados Pessoais está na pauta do Mercosul

Um dos temas principais da próxima reunião do Sub-Grupo de Trabalho 13 (SGT13) do Mercosul será uma proposta de Acordo em matéria de proteção de dados pessoais, que poderá ser assinada pelos países-membros do bloco comercial.

O SGT13 trata dos assuntos referentes ao comércio eletrônico no Mercosul. Em sua atividade recente, o SGT13 aprovou Acordo em matéria de assinatura digital, que foi fundamental na adoção de políticas públicas e legislação a este respeito nos países-membros do bloco que não as tinham.

A assinatura do Acordo representaria o compromisso do bloco em estabelecer um alto nível de proteção aos dados pessoais dos cidadãos de seus países-membros, garantindo o seu direito à privacidade e proteção de dados e também facilitando transações comerciais com os países e blocos regionais que estabelecem barreiras para a transferência de dados para o exterior quando não há normas fortes a este respeito.

Para o Brasil, em particular, a assinatura do Acordo seria fundamental para colocar de forma definitiva na pauta de discussões interna uma lei geral sobre proteção de dados pessoais – que é parte essencial da internalização dos termos do Acordo à legislação interna de cada país.

A  23ª reunião do SGT13 realizar-se-á em Buenos Aires, nos dias 27 e 28 de maio de 2010.

“Body scanners” já estão nos aeroportos brasileiros

Não demorou muito. O Departamento de Estado norte-americano doou 4 aparelhos conhecidos como body scanners, capazes de “ver” através das roupas de uma pessoa, para pretensamente aumentar a segurança nos procedimentos de embarque em aeroportos.

Os 4 aparelhos, segundo matéria de [O Estado de S. Paulo], serão instalados nos aeroportos internacionais do Rio de Janeiro, São Paulo, Recife e Manaus.

Os aparelhos serão operados pela Polícia Federal.

A referida reportagem, ao levantar questionamentos sobre a invasão de privacidade dos passageiros pelo uso de tais aparelhos, obteve da Polícia Federal o esclarecimento de que:

(…) a imagem – gerada a partir da radiação emitida pelo equipamento, como uma radiografia – só tem capacidade de mostrar ossos, órgãos, objetos estranhos e o contorno do corpo dos indivíduos.

Devemos imaginar, portanto, que a Polícia Federal tem uma concepção bastante restrita do que seja a nossa privacidade, já que, para ela, “ossos”, “órgãos”, e o “contorno do corpo dos indivíduos” não seriam aspectos desta nossa privacidade.

No entanto, a declaração que mais chama  – tristemente – a atenção é a do superintendente da Polícia Federal no Rio de Janeiro, Ângelo Goia, para quem:

“Nunca há excesso quando se fala de segurança.”

Mesmo conhecendo e respeitando o trabalho da Polícia Federal, uma declaração do gênero deve despertar a atenção de todos os brasileiros e colocar-nos em alerta contra o componente fortemente policialesco e autoritário que se revela.

O mesmo Ângelo Goia prossegue em sua elegia das novas máquinas:

“Esta técnica seria menos invasiva que outras que já estão em vigor, mais constrangedoras”

É um direito nosso saber no que consistem exatamente tais técnicas, que seriam mais invasivas e constrangedoras do que despir virtualmente um indivíduo e possibilitar que a sua imagem seja utilizada para fins incertos – já que o armazenamento das imagens foi assunto no qual não se tocou.

À parte o fato de que a própria eficácia de tais aparelhos é, no mínimo, contestável, algumas perguntas básicas que são essenciais para determinar o nível de privacidade os passageiros podem esperar caso forem submetidos à revista pelo scanner, devem ser respondidas. Elas são:

  1. Os funcionários que terão acesso às imagens do corpo dos passageiros serão os mesmos que eventualmente o interpelarão pessoalmente?
  2. As imagens obtidas desta forma serão armazenadas na memória da máquina, de forma a que possa ser retirada, associada ao passageiro e utilizada para outros propósitos?

A segunda pergunta é particularmente relevante pois, nos Estados Unidos, uma entidade de defesa da privacidade, a EPIC, recentemente obteve acesso a documentos governamentais que atestam que o governo norte-americano possui armazenadas ao menos 2000 imagens obtidas de body scanners – isto após o próprio governo ter afirmado publicamente que estes aparelhos não eram capazes, tecnicamente, de armazenar imagens.

Os body scanners norte-americanos foram encomendados com capacidade de armazenamento em um HD interno, com saída USB e Ethernet, possibilitando, portanto, não somente o armazenamento como a eventual obtenção de imagens por funcionários ou terceiros não autorizados a tal. Os aparelhos que chegaram ao Brasil, provavelmente, compartilham das mesmas especificações.

201005062222.jpg

Leia mais aqui, aqui e aqui.

Links externos: [A nova ordem mundial]

Publicado o Decreto que regulamenta o RIC – Registro de Identidade Civil – sem menções à privacidade ou proteção de dados

O Decreto presidencial nº 7.166, publicado hoje (06/05), regulamenta o Registro de Identidade Civil (RIC), que será o novo documento de identidade dos brasileiros.

O decreto cria o Sistema Nacional de Registro de Identificação Civil, baseado no Ministério da Justiça, o Cadastro Nacional de Registro de Identificação Civil, e o Comitê Gestor, composto por diversos ministérios, pela Secretaria de Direitos Humanos, Casa Civil e ITI [ver press release / matéria do Convergência Digital].

O decreto não toca diretamente, em nenhum momento, no tema da proteção dos dados dos cidadãos brasileiros.

Os dados biométricos do cidadão, dados pessoais extremamente sensíveis que serão incluídos no chip de que é dotado o documento do RIC, não são sequer referidos no Decreto. Continua-se no escuro, portanto, quanto a quais dados biométricos serão coletados, quais as medidas de segurança para sua proteção e quais as garantias das quais o cidadão poderá se valer contra fraudes, abusos e discriminações baseados em tais dados.

Não são previstos meios específicos para o cidadão ter acesso aos seus dados armazenados pelo sistema e eventualmente corrigi-los.

A questão fundamental do nível de acesso dos usuários às informações armazenadas pelo sistema terá sua definição a cargo do Comitê Gestor, sem que o decreto tenha fixado princípios ou parâmetros gerais.

Nota-se, em uma primeira análise, que o decreto preocupou-se apenas com os aspectos operacionais do sistema, seguindo uma lógica meramente tecnocrática que, até o momento, tem sido dominante nas discussões em torno da adoção do RIC no Brasil.

Em vista dos efeitos potenciais do sistema para a privacidade dos cidadãos, aguaradam-se que considerações específicas sobre este tema fundamental estejam claramente presentes no trabalho dos gestores do sistema.

O texto do Decreto 7.166 encontra-se aqui ou diretamente no Diário Oficial [1] [2].

A cartada final da Phorm no Brasil – parceria com empresa do grupo Oi retirada da pauta do CADE

A empresa Phorm, após anunciar em 26/04 que trabalharia no mercado de targeted marketing juntamente com alguns dos maiores provedores de Internet brasileiros – Oi, Terra, UOL, Estadão e IG -, agora aparenta ter dificuldades em ter aprovada pelo CADE uma parceria com a TNL, empresa do grupo Oi. Na sessão de 05/05, o órgão retirou da pauta a avaliação desta parceria [ver ata da sessão].

Curiosamente, o requerimento ao CADE para aprovação desta parceria mencionava uma espécie de “curto-circuito”: que seus concorrentes potenciais seriam algumas das mesmas empresas com quem a Phorm anunciou, no documento de 26/04, que já havia firmado relações comerciais:

(…) Phorm has been working with Brazil’s leading Internet Service Providers (“ISPs”), publishers and advertisers for some time, and today is pleased to announce the first phase of a country-wide roll-out in conjunction with Estadão, iG, Oi, Terra and UOL. The Company expects to announce further ISP and content partners in due course.

A Phorm, conforme já comentado em posts anteriores, procura introduzir no Brasil seu software de monitoramento de navegação na Internet denominado Navegador, que armazena a a atividade de um usuário na Internet sem que lhe tenha sido dada autorização prévia (como apontou recentemente o jornalista Elio Gaspari).

É possível que a Phorm esteja jogando no Brasil algumas de suas últimas esperanças de conquistar uma fatia representativa no mercado de publicidade na Internet – e, eventualmente, de continuar existindo. Seus produtos não foram contratados por nenhum provedor de peso nos EUA e no Reino Unido, em grande parte pelo elevado risco que apresentavam à privacidade e pela péssima reputação que construiu nestes mercados. Agora, a empresa tenta se estabelecer no Brasil e na Coréia do Sul.

As ações da Phorm negociadas na LSE registram sensível e constante queda nos últimos meses, em particular após a empresa ter anunciado as suas novas operações no Brasil, conforme quadro abaixo. No próximo dia 25 de maio a empresa deverá anunciar seus resultados financeiros referentes ao ano fiscal de 2009.

201005060123.jpg

[Yahoo! Finance]

[ATUALIZAÇÃO 06/05] Coincidentemente, a mesma sessão de julgamento do CADE teve como destaque uma Averiguação Preliminar envolvendo a Telemar Norte Leste S/A (nome pelo qual a OI era conhecida até 2006).

A averiguação do CADE tem por motivo uma prática que soa familiar ao próprio modelo de negócios da Phorm. De acordo com o boletim do CADE:

A investigação, aberta pela SDE e pela ANATEL, é embasada no suposto monitoramento, pela Telemar, das chamadas telefônicas de seus clientes para o serviço 0800 da Vésper. A Telemar avaliava o interesse do cliente e de seu nível de renda, para depois ofertar produtos diferenciados. As ações teriam como objetivo impedir a migração de clientes para a Vésper.  

A investigação teve início após denúncia do jornal Folha de S. Paulo em 2005 [acesso pago]. veja matéria completa em [Convergência Digital]

Mensagens publicitárias por telefone celular passam a depender de prévia autorização do cliente

A partir de 1º de maio de 2010, as operadoras de telefonia celular no Brasil somente poderão enviar mensagens publicitárias se tiverem a autorização prévia dos seus clientes.

Esta medida foi comunicada às operadoras de telefonia móvel no Brasil pela ANATEL, em resposta a solicitação do Ministério Público Federal de São Paulo, que fundamentou-a no direito à privacidade dos usuários deste serviço.

O sistema de autorização funcionará como um opt-in para os novos contratos celebrados a partir do 1º de maio. Os antigos clientes que desejarem bloquear o recebimento destas mensagens deverão entrar em contato direto com a sua respectiva operadora – o que representa, sem dúvida um obstáculo concreto a que muitos usuários exerçam de fato este direito, ao se criar um sistema misto de opt-in para os novos clientes e opt-out para os demais.

A nova postura da ANATEL, que não foi divulgada oficialmente senão em comunicação sobre o teor de uma circular enviada às operadoras, também não fixa sanções para a operadora que desrespeitar a orientação. [IDEC][IDG Now!]

O tratamento de dados pessoais no Projeto de Lei sobre Acesso à informação pública.

Foi aprovado pela Câmara dos Deputados em 15/03 o projeto de lei sobre acesso à informação pública, que agora será apreciado pelo Senado Federal.

Este projeto, em se tornando lei, proporcionará regras claras sobre o acesso a documentos públicos ao estabelecer, entre outras disposições, as hipóteses em que documentos poderão ser considerados sigilosos em um regime estrito, com a indicação de um período máximo de sigilo de 25 anos, renováveis somente por uma vez.

O projeto não cria um organismo específico para zelar pela aplicação uniforme da lei, conforme observado (e criticado) por entidades especializadas. Órgãos deste gênero são razoavelmente comuns em diversos países (vide, como exemplo, o IFAI, no México).

Um ponto de destaque do Projeto de Lei é a sua preocupação específica com a proteção de dados pessoais. Em seu art. 31, são estabelecidas regras específicas:

Art. 31. O tratamento das informações pessoais deve ser feito de forma transparente e com respeito à intimidade, vida privada, honra e imagem das pessoas, bem como às liberdades e garantias individuais.

§1o As informações pessoais, a que se refere este artigo, relativas à intimidade, vida privada, honra e imagem:

I – terão seu acesso restrito, independentemente de classificação de sigilo e pelo prazo máximo de cem anos a contar da sua data de produção, a agentes públicos legalmente autorizados e à pessoa a que elas se referirem; e

II – poderão ter autorizada sua divulgação ou acesso por terceiros diante de previsão legal ou consentimento expresso da pessoa a que elas se referirem. trata este artigo será responsabilizado por seu uso indevido.

§2o Aquele que obtiver acesso às informações de que trata este artigo será responsabilizado por seu uso indevido.

§3o O consentimento referido no inciso II do §1o não será exigido quando as informações forem necessárias:

I – à prevenção e diagnóstico médico, quando a pessoa estiver física ou legalmente incapaz, e para utilização única e exclusivamente para o tratamento médico;

II – à realização de estatísticas e pesquisas científicas de evidente interesse público ou geral, previstos em lei, sendo vedada a identificação da pessoa a que as informações se referirem;

III – ao cumprimento de ordem judicial;

IV – à defesa de direitos humanos; ou

IV – à proteção do interesse público e geral preponderante.

§4o A restrição de acesso à informação relativa à vida privada, honra e imagem de pessoa não poderá ser invocada com o intuito de prejudicar processo de apuração de irregularidades em que o titular das informações estiver envolvido, bem como ações voltadas para a recuperação de fatos históricos de maior relevância.

§5o Regulamento disporá sobre os procedimentos para tratamento de informação pessoal.

A ausência de regulamentação específica sobre proteção de dados pessoais no Brasil faz com que, em um número crescente de circunstâncias, diplomas normativos tenham que estabelecer suas próprias referências e instrumentos de proteção aos dados pessoais, sem a possibilidade de recorrer a um estatuto geral sobre o tema e sempre correndo-se o risco de estabelecer um patamar de proteção fraco ou em contradição com outras disposições similares.

No caso deste Projeto de Lei, a presença de informações pessoais é um motivo de restrição à faculdade de acesso ao documento público. Esta regra reconhece uma primazia da tutela da informação pessoal em relação ao mandamento da transparência, que somente não será observada quando a divulgação da informação for legitimada pelo consentimento expresso do titular dos dados ou em uma das hipóteses em numerus clausus nas quais este consentimento é dispensável.

Ao incorporar a regra do consentimento expresso,o Projeto de Lei deu um largo passo ao encontro de uma efetiva tutela da informação pessoal e da efetiva liberdade e privacidade dos cidadãos.

O Projeto, talvez conscientemente, não adentrou em maiores detalhes as diversas circunstâncias em que o mero consentimento do titular dos dados pode não ser suficiente para tutelar direitos pessoais e de terceiros (caso de dados sensíveis), nem em outras situações de consentimento tácito ou não-específico em que a divulgação de dados pessoais é realizada de forma sistemática (pense-se em várias formas de divulgação de informações jurisdicionais ou na divulgação de salários e gastos com funcionários públicos, por exemplo).

É, provavelmente, pela complexidade do tema, que escapa à alçada de um diploma normativo somente sobre o acesso à informação, que o parágrafo 5º do referido artigo acaba por aludir a que “Regulamento disporá sobre os procedimentos para tratamento de informação pessoal”. E aí está presente um defeito relativamente grave do Projeto de Lei: reconhecer o tratamento das informações pessoais e a proteção de dados como um apêndice que possa ser tratado pela via regulamentar.

A proteção de dados, reconhecida em diversos ordenamentos como um direito fundamental, é peça fundamental para a liberdade contemporânea e para a manutenção do equilíbrio de poderes entre o indivíduo e os detentores de suas informações pessoais. Assim, demanda uma série de instrumentos de tutela cuja correta disposição não pode estar circunscrita às limitações de um ato normativo de caráter meramente regulamentar.

Espera-se que, na discussão futura deste Projeto de Lei, venha à tona o fato de que o acesso à informação deve vir acompanhado de instrumentos adequados para a tutela da informação pessoal, dois temas que somente em conjunto abordam de forma integral o problema da informação e as liberdades fundamentais a ela ligadas.

Localização e bloqueio compulsórios para automóveis liberados pela Justica Federal

A instalação compulsória de equipamento capaz de localizar e bloquear os automóveis brasileiros foi liberada por decisão da 7ª Vara Cível Federal de São Paulo, dando efeito à Resolução 245/2007 do Conselho Nacional de Trânsito (Contran) e da Portaria 253/2009 do Denatran.

A liberação se deu com a revogação de liminar concedida ao Ministério Público Federal de São Paulo, que suspendia a aplicação da portaria.

O sistema, originalmente, monitoraria os deslocamentos de cada veículo mesmo sem o consentimento de seu proprietário. Na sua última versão, segundo a mencionada Portaria 253/2009, esta função depende do consentimento escrito do usuário.

As funções de localização e bloqueio, porém, serão compulsórias para todos os automóveis brasileiros. Trata-se de um dispositivo de segurança compulsório, cujos custos serão repassados aos usuários sem que estes tenham decidido pela sua instalação.

Mesmo com a desativação da função de monitoramento por padrão, o equipamento continua capaz de localizar cada automóvel e a possibilidade desta informação acabar sendo utilizada é um problema de segurança e gerenciamento da informação, matéria que não foi mencionada de forma específica na documentação referente à implementação do sistema.

Ref.: Ação Civil Pública n.º 0007033-40.2009.403.6100 – 7ª Vara Civil Federal de São Paulo

Introdução sorrateira do software de rastreamento da Phorm por provedores brasileiros não passa despercebida

O acordo realizado pela empresa norte-americana Phorm com diversos provedores de acesso brasileiros (Oi,UOL. Ig, Estadão e Terra), tratado em post anterior, começa a dar mostras de que não passará despercebido e que a reputação no mínimo duvidosa de que a empresa goza no exterior pode acompanhá-la na sua vinda ao Brasil.

O colunista Elio Gaspari, em texto publicado hoje (31/03/2010) e intitulado “A trapaça do rastreador Oi na Velox” [acesso pago], enfatiza a forma como uma ferramenta de rastreamento, que pode apresentar problemas para a privacidade dos usuários, é ativada automaticamente pela Oi para os seus clientes, que não recebem informações suficientes sobre suas características. Aliás, as informações fornecidas ao consumidor apresentam um habitual tom ufanista sobre suas vantagens. Segue trecho:

A Oi trapaceia na maneira como oferece o “Navegador”. O sujeito liga a máquina, aciona o Velox e vê uma tela que lhe apresenta a “facilidade” (em relação a quê?). A lisura recomendaria que a empresa mencionasse, de saída, a função rastreadora do “Navegador”.

Até aí, manipulam a comunicação. No lance seguinte, recorrem a uma pegadinha para capturar clientes. Quando a tela do “Navegador” aparece, o mimo é oferecido com o aviso de que ele “já está ativo”. A tela do “Navegador” permite que o consumidor desative a ferramenta, mas não é assim que se faz. Uma pessoa não pode ser obrigada a desativar algo que não solicitou.

Em relação à entrada da Phorm no mercado brasileiro, pode ser possível tirar algumas conclusões preliminares do gráfico da sua cotação em bolsa (LSE) nos últimos dois meses, pelo qual no dia 26/03, dia do anúncio do acordo com os provedores brasileiros,a cotação das ações da Phorm atingiu um pico que, quase que imediatamente, reverteu:

201003311628.jpg

[Yahoo!Finance]

A atuação da Phorm no mercado britânico foi alvo de severas críticas, testemunhadas por sites como:

http://www.badphorm.co.uk/

https://www.dephormation.org.uk/

Ou nas notas de Sir Tim Berners Lee

Bem como noticiado pela BBC.