Abertura de Processo Administrativo aponta os riscos à privacidade da parceria entre Oi e Phorm

Um processo administrativo contra a TNL PCS S.A. (Grupo Oi) foi instaurado pelo Departamento de Proteção e Defesa do Consumidor do Ministério da Justiça (DPDC/SDE/MJ) por suspeita de violação aos direitos do consumidor, em particular a sua privacidade e intimidade, em razão dos riscos aos consumidores brasileiros a partir da implantação da tecnologia da empresa britânica Phorm na rede da Oi. A instauração do processo constitui iniciativa inédita e pode ampliar os debates no Brasil sobre a legalidade e constitucionalidade da interceptação realizada pela Phorm, podendo alertar inclusive outras autoridades públicas para esses riscos.

A aprovação da parceria da empresa do grupo Oi com a Phorm está sob análise pelo CADE, tendo sido recentemente retirada de sua pauta de julgamentos.

A atividade da Phorm, conforme já ressaltamos diversas vezes, provocou o alarme dos reguladores e consumidores em diversos países onde a empresa procurou atuar, justamente por representarem grande risco para a privacidade e a proteção de dados dos consumidores. Após ter as portas de mercados como o norte-americano e britânico fechadas por este motivo, a Phorm busca agora a inserção no mercado brasileiro, provavelmente por este não possuir uma tradição forte de proteção de dados. Assim, provedores como Oi, UOL, Terra e iG foram mencionados como parceiros que utilizariam os principais produtos da Phorm, o software “Navegador” e o OIX (Open Internet Exchange).

A abertura do mencionado processo administrativo e o retardo na aprovação da parceria pelo CADE dão a entender que a iniciativa pode estar, curiosamente, provocando um efeito não pretendido: alertar o regulador e o legislador brasileiro para a lacuna existente em nosso ordenamento jurídico sobre proteção de dados e para a necessidade de proteger as informações pessoais do cidadão brasileiro de forma ao menos similar aos cidadãos de tantos outros países que dispõem de garantias e ferramentas adequadas.

Mais sobre a Phorm aqui  

201006232139.jpg

SPC começa a cadastrar brasileiros inadimplentes no Japão

O SPC – Serviço de Proteção ao Crédito – iniciou o cadastramento de brasileiros que moram no Japão ou que, voltando de lá, regressaram com dívidas não pagas. [via BBC Brasil]

Segundo informações divulgadas na imprensa, esta inscrição é realizada diretamente no cadastro brasileiro de maus pagadores.

Apresentado, como é hábito, como uma solução tão simples como prática a proteção do crédito, é necessário verificar se o sistema não é capaz de prejudicar cidadãos sem dívidas que tenham eventual problema com o sistema ou então de punir de forma desproporcional o devedor.

As transferências internacionais de dados pessoais, que o sistema acaba realizando, não encontram maiores óbices na legislação japonesa tanto como na brasileira, apesar de ser uma prática sujeita a rigorosa normatização em outros países, o que talvez impeça que tal modelo seja adotado de forma mais ampla.

Tratando-se de um sistema que realize o tratamento de dados pessoais no Japão, o sistema há de operar conforme as normas japonesas de proteção de dados. Além disso, as normas referentes aos bancos de dados de proteção ao crédito presentes no Código de Defesa do Consumidor, por sua vez, são plenamente aplicáveis e isso leva à constatação de que, caso um cidadão residente no Brasil seja eventualmente cadastrado neste sistema, deverá ter exatamente as mesmas prerrogativas e direitos em relação ao acesso e retificação do cadastro que teria caso a negativação tivesse como origem um crédito contraído no Brasil.

O sistema, cuja divulgação, repetimos, deu-se apenas através de matéria circulada pela imprensa, levanta algumas outras dúvidas como: de que forma o SPC é capaz de saber se determinada dívida contraída no Japão o foi por um cidadão brasileiro? Isto leva a crer que a empresa tem acesso a dados que incluem a nacionalidade do devedor, cujo acesso certamente há de ser regulado pela normas locais de proteção de dados. Este é um ponto fundamental para a concepção do funcionamento do sistema e com claras implicações legais, sobre o qual o SPC faria muito bem em se pronunciar.

É interessante notar que a informatização dos serviços financeiros não fez, até hoje, avançar de forma concreta nem tornou especialmente relevante algum grande serviço internacional ou transnacional de proteção ao crédito ao consumo. Talvez porque as peculiaridades de cada país sejam muito fortes e a transferência de informações, por si só, não seja de grande valor no contexto de outra economia. E também porque esta transferência implica em atender a uma série de requisitos legais de proteção de dados, que podem variar muito de um país para o outro. Por fim, a própria eficácia da medida leva a dúvidas quanto à sua eficácia sob o ponto de vista econômico, sugerindo que, na verdade, trate-se de um mecanismo que na prática estaria dirigido mais à recuperação de dívidas do que à proteção do crédito futuro.

Introdução sorrateira do software de rastreamento da Phorm por provedores brasileiros não passa despercebida

O acordo realizado pela empresa norte-americana Phorm com diversos provedores de acesso brasileiros (Oi,UOL. Ig, Estadão e Terra), tratado em post anterior, começa a dar mostras de que não passará despercebido e que a reputação no mínimo duvidosa de que a empresa goza no exterior pode acompanhá-la na sua vinda ao Brasil.

O colunista Elio Gaspari, em texto publicado hoje (31/03/2010) e intitulado “A trapaça do rastreador Oi na Velox” [acesso pago], enfatiza a forma como uma ferramenta de rastreamento, que pode apresentar problemas para a privacidade dos usuários, é ativada automaticamente pela Oi para os seus clientes, que não recebem informações suficientes sobre suas características. Aliás, as informações fornecidas ao consumidor apresentam um habitual tom ufanista sobre suas vantagens. Segue trecho:

A Oi trapaceia na maneira como oferece o “Navegador”. O sujeito liga a máquina, aciona o Velox e vê uma tela que lhe apresenta a “facilidade” (em relação a quê?). A lisura recomendaria que a empresa mencionasse, de saída, a função rastreadora do “Navegador”.

Até aí, manipulam a comunicação. No lance seguinte, recorrem a uma pegadinha para capturar clientes. Quando a tela do “Navegador” aparece, o mimo é oferecido com o aviso de que ele “já está ativo”. A tela do “Navegador” permite que o consumidor desative a ferramenta, mas não é assim que se faz. Uma pessoa não pode ser obrigada a desativar algo que não solicitou.

Em relação à entrada da Phorm no mercado brasileiro, pode ser possível tirar algumas conclusões preliminares do gráfico da sua cotação em bolsa (LSE) nos últimos dois meses, pelo qual no dia 26/03, dia do anúncio do acordo com os provedores brasileiros,a cotação das ações da Phorm atingiu um pico que, quase que imediatamente, reverteu:

201003311628.jpg

[Yahoo!Finance]

A atuação da Phorm no mercado britânico foi alvo de severas críticas, testemunhadas por sites como:

http://www.badphorm.co.uk/

https://www.dephormation.org.uk/

Ou nas notas de Sir Tim Berners Lee

Bem como noticiado pela BBC.

Brasil torna-se porto seguro para tecnologia que, no exterior, é considerada de alto risco para a privacidade.

A empresa Phorm anunciou hoje que entrará no mercado brasileiro de publicidade online, tendo acordos já estabelecidos com provedores de serviços como Estadão, IG, OI, Terra e UOL [Reuters].

O que é a Phorm? A empresa norte-americana inicialmente denominava-se 121Media e ficou conhecida por oferecer produtos caracterizados como spyware, que recolhiam hábitos de navegação dos seus usuários e dificultavam sua própria remoção. Em 2007, após mudar o próprio nome para Phorm, concentrou-se na área de publicidade on-line. Seu produto, denominado Webwise, procurava determinar os hábitos de navegação de um usuário na Internet para a exibição de publicidade dirigida.

Qual o problema com a Phorm? O fato deste produto ser concebido como um sistema de opt-out, isto é, que seria ativado mesmo sem o consentimento da pessoa que navegasse na Internet, levantou várias dúvidas sobre sua legalidade na Inglaterra, onde seria inicialmente oferecido. Mesmo a eventual opção em sair do sistema (opt-out) pelo seu usuário não parecia ser eficaz.

Após severas ressalvas da autoridade de proteção de dados britânica, a Comissão Européia, através de sua comissária de tutela das comunicações, solicitou que o governo britânico tomasse providências contra os danos causados  à privacidade dos consumidores pelo produto da Phorm. As grandes empresas britânicas que utilizariam estes serviços (entre elas BT (British Telecom) e Virgin Media), acabaram por não levar adiante a intenção de trabalhar com a Phorm, que não mais oferece seus serviços em território britânico.

A Phorm e o Brasil. Em busca de mercados que recebam mais calorosamente seus produtos, a Phorm começou a atuar na Coréia do Sul e anunciou a parceria com os provedores brasileiros para oferecer ser produto Navegador (originalmente denominado Web Discover), que também exibe publicidade dirigida aos seus usuários através do monitoramento de seus hábitos de navegação, utilizando-se de técnicas de DPI (Deep Packet Inspection).

Até o momento (26/03/2010), nenhum anúncio oficial parece ter sido feito pelos provedores brasileiros mencionados pela Phorm, o que impossibilita que se estabeleça com precisão qual o grau de risco presente na tecnologia que será de fato implementada (se o for). De toda forma, pode-se facilmente perceber que a pouca atenção dada ao tema da privacidade e proteção de dados por nosso ordenamento vem dando seus frutos: desta vez, uma empresa com um histórico e linha de produtos dificilmente proponíveis em países que, de fato, tutelaram a privacidade de seus cidadãos, observa uma oportunidade de negócios no Brasil, país cuja legislação encontra-se claramente defasada nesta área e é capaz de expor os brasileiros a práticas que, em economias desenvolvidas, estão proscritas.

O site TheRegister, já devidamente escorado, refere-se desta forma às operações brasileiras da Phorm:

Brazil has long been a destination of choice for those who hit trouble in Britain, and Phorm is no different. Confirming rumours that have been circulating for several months, Phorm said it has signed deals to profile with five of the country’s ISPs.

Resta, agora, verificar de que forma o mercado brasileiro irá absorver o produto, inicialmente a partir das declarações dos provedores parceiros da Phorm.

ATUALIZAÇÃO (29/03): Dos provedores mencionados, o IG manifestou-se publicamente sobre o acordo com a Phorm, através de noticia publicada em seu site IG Tecnologia, confirmando que o Navegador entrará em fase de testes na cidade do Rio de Janeiro até, ainda em 2010, estar disponível no resto do Brasil.

O texto da “notícia” trata do Navegador como uma ferramenta cujas características beiram a paranormalidade:

O Navegador pode ser definido como um sistema de busca instantâneo de conteúdos, capaz de realizar as pesquisas sem que o internauta precise digitar os comandos num campo específico. Basta navegar.

Como é de praxe, somente as suas supostas vantagens são apregoadas, sem qualquer ressalva quanto aos potenciais riscos de sua utilização e ao fato desta mesma tecnologia estar virtualmente proscrita em outros países. A nota, que é claramente um release redigido por uma assessoria de imprensa, jamais poderia se pretender como uma “notícia”, tal como o portal IG o veicula. A linguagem publicitária é clara em trechos como o seguinte, que somente poderiam ser veiculados com a ressalva de tratar-se de mensagem publicitária ou de opinião:

Ou seja, o Navegador pode fazer que os anúncios e ofertas que surgem diante das pessoas também se pareçam mais com seus desejos de compra. Ganham os anunciantes, ganham os internautas. É um passo eficaz no campo da segmentação.

Proteção de dados em Serviços de Atendimento ao Consumidor

O Decreto 6.523/08, que ficou conhecido como a “Lei do SAC”, traz dispositivos que tratam diretamente da proteção dos dados do consumidor que utiliza tais serviços, além de outras previsões (como por exemplo um limite de 60 segundos para que um atendente responda a uma chamada telefônica ao serviço).

Pelo Decreto, os dados pessoais do consumidor são considerados sigilosos e a sua utilização deve atender ao princípio da finalidade, i.e., “utilizados exclusivamente para os fins do atendimento” (art. 11).

Também menciona-se que o sistema informatizado deve zelar pela segurança das informações – o que incluiria as informações pessoais.

Por outro lado, há previsões cujo efeito pode ser o de aumentar o volume de dados pessoais tratado por sistemas do gênero. O registro da conversa telefônica entabulada entre o consumidor e o atendente é considerado obrigatório, bem como a sua manutanção por um prazo de 90 dias. Também o registro das interações em si há de ser mantido por 2 anos, “à disposição do consumidor e do órgão ou entidade fiscalizadora”.