Abertura de Processo Administrativo aponta os riscos à privacidade da parceria entre Oi e Phorm

Um processo administrativo contra a TNL PCS S.A. (Grupo Oi) foi instaurado pelo Departamento de Proteção e Defesa do Consumidor do Ministério da Justiça (DPDC/SDE/MJ) por suspeita de violação aos direitos do consumidor, em particular a sua privacidade e intimidade, em razão dos riscos aos consumidores brasileiros a partir da implantação da tecnologia da empresa britânica Phorm na rede da Oi. A instauração do processo constitui iniciativa inédita e pode ampliar os debates no Brasil sobre a legalidade e constitucionalidade da interceptação realizada pela Phorm, podendo alertar inclusive outras autoridades públicas para esses riscos.

A aprovação da parceria da empresa do grupo Oi com a Phorm está sob análise pelo CADE, tendo sido recentemente retirada de sua pauta de julgamentos.

A atividade da Phorm, conforme já ressaltamos diversas vezes, provocou o alarme dos reguladores e consumidores em diversos países onde a empresa procurou atuar, justamente por representarem grande risco para a privacidade e a proteção de dados dos consumidores. Após ter as portas de mercados como o norte-americano e britânico fechadas por este motivo, a Phorm busca agora a inserção no mercado brasileiro, provavelmente por este não possuir uma tradição forte de proteção de dados. Assim, provedores como Oi, UOL, Terra e iG foram mencionados como parceiros que utilizariam os principais produtos da Phorm, o software “Navegador” e o OIX (Open Internet Exchange).

A abertura do mencionado processo administrativo e o retardo na aprovação da parceria pelo CADE dão a entender que a iniciativa pode estar, curiosamente, provocando um efeito não pretendido: alertar o regulador e o legislador brasileiro para a lacuna existente em nosso ordenamento jurídico sobre proteção de dados e para a necessidade de proteger as informações pessoais do cidadão brasileiro de forma ao menos similar aos cidadãos de tantos outros países que dispõem de garantias e ferramentas adequadas.

Mais sobre a Phorm aqui  

201006232139.jpg

Phorm aguarda posicionamento do CADE e é tema na imprensa brasileira

A Phorm, empresa que explora o Navegador , um software de monitoramento de navegação na Internet, continua aguardando pronunciamento do CADE sobre a sua parceria com uma empresa do grupo Oi.

Enquanto isso, as violações à privacidade realizadas pelo software Navegador continuam a ser assunto na imprensa brasileira. Desta vez, a revista Época aponta, em reportagem de 4 de junho, lembra que:

Além das questões comerciais, o maior estigma em torno dos programas de rastreamento da Phorm é a ameaça à privacidade. O Brasil está recebendo um programa espião rejeitado em outros países. O histórico da Phorm é sombrio. Ela foi fundada em 2002, com o nome de 121Media. Especializou-se na criação de programas para publicidade on-line. Seu primeiro produto foi classificado como um spyware, nome técnico dos programas espiões que se instalam na máquina do usuário sem consentimento e enviam informações a terceiros. No início da década passada, esses programas eram tão populares quanto difíceis de apagar. A Phorm recebeu notificações de órgãos de segurança de países como Estados Unidos, Canadá e Inglaterra pedindo que interrompesse as vendas por ferir a segurança e a privacidade do internauta.

Entre as novidades, a matéria deixa claro que parceiros brasileiros parecem já estar pulando do seu barco – ao menos uma das empresas que a própria Phorm apontou publicamente como sua parceira já nega qualquer relacionamento, como afirma a assessoria do Grupo Estado:

“a parceria nunca existiu e o nome da empresa foi usado à revelia”

Por outro lado, UOL e Terra confirmaram a parceria e esta informação deve colocar em alerta os seus usuários preocupados com a privacidade de sua utilização da Internet.

Mais sobre a Phorm [aqui]

Proteção de Dados Pessoais está na pauta do Mercosul

Um dos temas principais da próxima reunião do Sub-Grupo de Trabalho 13 (SGT13) do Mercosul será uma proposta de Acordo em matéria de proteção de dados pessoais, que poderá ser assinada pelos países-membros do bloco comercial.

O SGT13 trata dos assuntos referentes ao comércio eletrônico no Mercosul. Em sua atividade recente, o SGT13 aprovou Acordo em matéria de assinatura digital, que foi fundamental na adoção de políticas públicas e legislação a este respeito nos países-membros do bloco que não as tinham.

A assinatura do Acordo representaria o compromisso do bloco em estabelecer um alto nível de proteção aos dados pessoais dos cidadãos de seus países-membros, garantindo o seu direito à privacidade e proteção de dados e também facilitando transações comerciais com os países e blocos regionais que estabelecem barreiras para a transferência de dados para o exterior quando não há normas fortes a este respeito.

Para o Brasil, em particular, a assinatura do Acordo seria fundamental para colocar de forma definitiva na pauta de discussões interna uma lei geral sobre proteção de dados pessoais – que é parte essencial da internalização dos termos do Acordo à legislação interna de cada país.

A  23ª reunião do SGT13 realizar-se-á em Buenos Aires, nos dias 27 e 28 de maio de 2010.

“Body scanners” já estão nos aeroportos brasileiros

Não demorou muito. O Departamento de Estado norte-americano doou 4 aparelhos conhecidos como body scanners, capazes de “ver” através das roupas de uma pessoa, para pretensamente aumentar a segurança nos procedimentos de embarque em aeroportos.

Os 4 aparelhos, segundo matéria de [O Estado de S. Paulo], serão instalados nos aeroportos internacionais do Rio de Janeiro, São Paulo, Recife e Manaus.

Os aparelhos serão operados pela Polícia Federal.

A referida reportagem, ao levantar questionamentos sobre a invasão de privacidade dos passageiros pelo uso de tais aparelhos, obteve da Polícia Federal o esclarecimento de que:

(…) a imagem – gerada a partir da radiação emitida pelo equipamento, como uma radiografia – só tem capacidade de mostrar ossos, órgãos, objetos estranhos e o contorno do corpo dos indivíduos.

Devemos imaginar, portanto, que a Polícia Federal tem uma concepção bastante restrita do que seja a nossa privacidade, já que, para ela, “ossos”, “órgãos”, e o “contorno do corpo dos indivíduos” não seriam aspectos desta nossa privacidade.

No entanto, a declaração que mais chama  – tristemente – a atenção é a do superintendente da Polícia Federal no Rio de Janeiro, Ângelo Goia, para quem:

“Nunca há excesso quando se fala de segurança.”

Mesmo conhecendo e respeitando o trabalho da Polícia Federal, uma declaração do gênero deve despertar a atenção de todos os brasileiros e colocar-nos em alerta contra o componente fortemente policialesco e autoritário que se revela.

O mesmo Ângelo Goia prossegue em sua elegia das novas máquinas:

“Esta técnica seria menos invasiva que outras que já estão em vigor, mais constrangedoras”

É um direito nosso saber no que consistem exatamente tais técnicas, que seriam mais invasivas e constrangedoras do que despir virtualmente um indivíduo e possibilitar que a sua imagem seja utilizada para fins incertos – já que o armazenamento das imagens foi assunto no qual não se tocou.

À parte o fato de que a própria eficácia de tais aparelhos é, no mínimo, contestável, algumas perguntas básicas que são essenciais para determinar o nível de privacidade os passageiros podem esperar caso forem submetidos à revista pelo scanner, devem ser respondidas. Elas são:

  1. Os funcionários que terão acesso às imagens do corpo dos passageiros serão os mesmos que eventualmente o interpelarão pessoalmente?
  2. As imagens obtidas desta forma serão armazenadas na memória da máquina, de forma a que possa ser retirada, associada ao passageiro e utilizada para outros propósitos?

A segunda pergunta é particularmente relevante pois, nos Estados Unidos, uma entidade de defesa da privacidade, a EPIC, recentemente obteve acesso a documentos governamentais que atestam que o governo norte-americano possui armazenadas ao menos 2000 imagens obtidas de body scanners – isto após o próprio governo ter afirmado publicamente que estes aparelhos não eram capazes, tecnicamente, de armazenar imagens.

Os body scanners norte-americanos foram encomendados com capacidade de armazenamento em um HD interno, com saída USB e Ethernet, possibilitando, portanto, não somente o armazenamento como a eventual obtenção de imagens por funcionários ou terceiros não autorizados a tal. Os aparelhos que chegaram ao Brasil, provavelmente, compartilham das mesmas especificações.

201005062222.jpg

Leia mais aqui, aqui e aqui.

Links externos: [A nova ordem mundial]

Publicado o Decreto que regulamenta o RIC – Registro de Identidade Civil – sem menções à privacidade ou proteção de dados

O Decreto presidencial nº 7.166, publicado hoje (06/05), regulamenta o Registro de Identidade Civil (RIC), que será o novo documento de identidade dos brasileiros.

O decreto cria o Sistema Nacional de Registro de Identificação Civil, baseado no Ministério da Justiça, o Cadastro Nacional de Registro de Identificação Civil, e o Comitê Gestor, composto por diversos ministérios, pela Secretaria de Direitos Humanos, Casa Civil e ITI [ver press release / matéria do Convergência Digital].

O decreto não toca diretamente, em nenhum momento, no tema da proteção dos dados dos cidadãos brasileiros.

Os dados biométricos do cidadão, dados pessoais extremamente sensíveis que serão incluídos no chip de que é dotado o documento do RIC, não são sequer referidos no Decreto. Continua-se no escuro, portanto, quanto a quais dados biométricos serão coletados, quais as medidas de segurança para sua proteção e quais as garantias das quais o cidadão poderá se valer contra fraudes, abusos e discriminações baseados em tais dados.

Não são previstos meios específicos para o cidadão ter acesso aos seus dados armazenados pelo sistema e eventualmente corrigi-los.

A questão fundamental do nível de acesso dos usuários às informações armazenadas pelo sistema terá sua definição a cargo do Comitê Gestor, sem que o decreto tenha fixado princípios ou parâmetros gerais.

Nota-se, em uma primeira análise, que o decreto preocupou-se apenas com os aspectos operacionais do sistema, seguindo uma lógica meramente tecnocrática que, até o momento, tem sido dominante nas discussões em torno da adoção do RIC no Brasil.

Em vista dos efeitos potenciais do sistema para a privacidade dos cidadãos, aguaradam-se que considerações específicas sobre este tema fundamental estejam claramente presentes no trabalho dos gestores do sistema.

O texto do Decreto 7.166 encontra-se aqui ou diretamente no Diário Oficial [1] [2].

A cartada final da Phorm no Brasil – parceria com empresa do grupo Oi retirada da pauta do CADE

A empresa Phorm, após anunciar em 26/04 que trabalharia no mercado de targeted marketing juntamente com alguns dos maiores provedores de Internet brasileiros – Oi, Terra, UOL, Estadão e IG -, agora aparenta ter dificuldades em ter aprovada pelo CADE uma parceria com a TNL, empresa do grupo Oi. Na sessão de 05/05, o órgão retirou da pauta a avaliação desta parceria [ver ata da sessão].

Curiosamente, o requerimento ao CADE para aprovação desta parceria mencionava uma espécie de “curto-circuito”: que seus concorrentes potenciais seriam algumas das mesmas empresas com quem a Phorm anunciou, no documento de 26/04, que já havia firmado relações comerciais:

(…) Phorm has been working with Brazil’s leading Internet Service Providers (“ISPs”), publishers and advertisers for some time, and today is pleased to announce the first phase of a country-wide roll-out in conjunction with Estadão, iG, Oi, Terra and UOL. The Company expects to announce further ISP and content partners in due course.

A Phorm, conforme já comentado em posts anteriores, procura introduzir no Brasil seu software de monitoramento de navegação na Internet denominado Navegador, que armazena a a atividade de um usuário na Internet sem que lhe tenha sido dada autorização prévia (como apontou recentemente o jornalista Elio Gaspari).

É possível que a Phorm esteja jogando no Brasil algumas de suas últimas esperanças de conquistar uma fatia representativa no mercado de publicidade na Internet – e, eventualmente, de continuar existindo. Seus produtos não foram contratados por nenhum provedor de peso nos EUA e no Reino Unido, em grande parte pelo elevado risco que apresentavam à privacidade e pela péssima reputação que construiu nestes mercados. Agora, a empresa tenta se estabelecer no Brasil e na Coréia do Sul.

As ações da Phorm negociadas na LSE registram sensível e constante queda nos últimos meses, em particular após a empresa ter anunciado as suas novas operações no Brasil, conforme quadro abaixo. No próximo dia 25 de maio a empresa deverá anunciar seus resultados financeiros referentes ao ano fiscal de 2009.

201005060123.jpg

[Yahoo! Finance]

[ATUALIZAÇÃO 06/05] Coincidentemente, a mesma sessão de julgamento do CADE teve como destaque uma Averiguação Preliminar envolvendo a Telemar Norte Leste S/A (nome pelo qual a OI era conhecida até 2006).

A averiguação do CADE tem por motivo uma prática que soa familiar ao próprio modelo de negócios da Phorm. De acordo com o boletim do CADE:

A investigação, aberta pela SDE e pela ANATEL, é embasada no suposto monitoramento, pela Telemar, das chamadas telefônicas de seus clientes para o serviço 0800 da Vésper. A Telemar avaliava o interesse do cliente e de seu nível de renda, para depois ofertar produtos diferenciados. As ações teriam como objetivo impedir a migração de clientes para a Vésper.  

A investigação teve início após denúncia do jornal Folha de S. Paulo em 2005 [acesso pago]. veja matéria completa em [Convergência Digital]

Mensagens publicitárias por telefone celular passam a depender de prévia autorização do cliente

A partir de 1º de maio de 2010, as operadoras de telefonia celular no Brasil somente poderão enviar mensagens publicitárias se tiverem a autorização prévia dos seus clientes.

Esta medida foi comunicada às operadoras de telefonia móvel no Brasil pela ANATEL, em resposta a solicitação do Ministério Público Federal de São Paulo, que fundamentou-a no direito à privacidade dos usuários deste serviço.

O sistema de autorização funcionará como um opt-in para os novos contratos celebrados a partir do 1º de maio. Os antigos clientes que desejarem bloquear o recebimento destas mensagens deverão entrar em contato direto com a sua respectiva operadora – o que representa, sem dúvida um obstáculo concreto a que muitos usuários exerçam de fato este direito, ao se criar um sistema misto de opt-in para os novos clientes e opt-out para os demais.

A nova postura da ANATEL, que não foi divulgada oficialmente senão em comunicação sobre o teor de uma circular enviada às operadoras, também não fixa sanções para a operadora que desrespeitar a orientação. [IDEC][IDG Now!]

Localização e bloqueio compulsórios para automóveis liberados pela Justica Federal

A instalação compulsória de equipamento capaz de localizar e bloquear os automóveis brasileiros foi liberada por decisão da 7ª Vara Cível Federal de São Paulo, dando efeito à Resolução 245/2007 do Conselho Nacional de Trânsito (Contran) e da Portaria 253/2009 do Denatran.

A liberação se deu com a revogação de liminar concedida ao Ministério Público Federal de São Paulo, que suspendia a aplicação da portaria.

O sistema, originalmente, monitoraria os deslocamentos de cada veículo mesmo sem o consentimento de seu proprietário. Na sua última versão, segundo a mencionada Portaria 253/2009, esta função depende do consentimento escrito do usuário.

As funções de localização e bloqueio, porém, serão compulsórias para todos os automóveis brasileiros. Trata-se de um dispositivo de segurança compulsório, cujos custos serão repassados aos usuários sem que estes tenham decidido pela sua instalação.

Mesmo com a desativação da função de monitoramento por padrão, o equipamento continua capaz de localizar cada automóvel e a possibilidade desta informação acabar sendo utilizada é um problema de segurança e gerenciamento da informação, matéria que não foi mencionada de forma específica na documentação referente à implementação do sistema.

Ref.: Ação Civil Pública n.º 0007033-40.2009.403.6100 – 7ª Vara Civil Federal de São Paulo

Introdução sorrateira do software de rastreamento da Phorm por provedores brasileiros não passa despercebida

O acordo realizado pela empresa norte-americana Phorm com diversos provedores de acesso brasileiros (Oi,UOL. Ig, Estadão e Terra), tratado em post anterior, começa a dar mostras de que não passará despercebido e que a reputação no mínimo duvidosa de que a empresa goza no exterior pode acompanhá-la na sua vinda ao Brasil.

O colunista Elio Gaspari, em texto publicado hoje (31/03/2010) e intitulado “A trapaça do rastreador Oi na Velox” [acesso pago], enfatiza a forma como uma ferramenta de rastreamento, que pode apresentar problemas para a privacidade dos usuários, é ativada automaticamente pela Oi para os seus clientes, que não recebem informações suficientes sobre suas características. Aliás, as informações fornecidas ao consumidor apresentam um habitual tom ufanista sobre suas vantagens. Segue trecho:

A Oi trapaceia na maneira como oferece o “Navegador”. O sujeito liga a máquina, aciona o Velox e vê uma tela que lhe apresenta a “facilidade” (em relação a quê?). A lisura recomendaria que a empresa mencionasse, de saída, a função rastreadora do “Navegador”.

Até aí, manipulam a comunicação. No lance seguinte, recorrem a uma pegadinha para capturar clientes. Quando a tela do “Navegador” aparece, o mimo é oferecido com o aviso de que ele “já está ativo”. A tela do “Navegador” permite que o consumidor desative a ferramenta, mas não é assim que se faz. Uma pessoa não pode ser obrigada a desativar algo que não solicitou.

Em relação à entrada da Phorm no mercado brasileiro, pode ser possível tirar algumas conclusões preliminares do gráfico da sua cotação em bolsa (LSE) nos últimos dois meses, pelo qual no dia 26/03, dia do anúncio do acordo com os provedores brasileiros,a cotação das ações da Phorm atingiu um pico que, quase que imediatamente, reverteu:

201003311628.jpg

[Yahoo!Finance]

A atuação da Phorm no mercado britânico foi alvo de severas críticas, testemunhadas por sites como:

http://www.badphorm.co.uk/

https://www.dephormation.org.uk/

Ou nas notas de Sir Tim Berners Lee

Bem como noticiado pela BBC.

Brasil torna-se porto seguro para tecnologia que, no exterior, é considerada de alto risco para a privacidade.

A empresa Phorm anunciou hoje que entrará no mercado brasileiro de publicidade online, tendo acordos já estabelecidos com provedores de serviços como Estadão, IG, OI, Terra e UOL [Reuters].

O que é a Phorm? A empresa norte-americana inicialmente denominava-se 121Media e ficou conhecida por oferecer produtos caracterizados como spyware, que recolhiam hábitos de navegação dos seus usuários e dificultavam sua própria remoção. Em 2007, após mudar o próprio nome para Phorm, concentrou-se na área de publicidade on-line. Seu produto, denominado Webwise, procurava determinar os hábitos de navegação de um usuário na Internet para a exibição de publicidade dirigida.

Qual o problema com a Phorm? O fato deste produto ser concebido como um sistema de opt-out, isto é, que seria ativado mesmo sem o consentimento da pessoa que navegasse na Internet, levantou várias dúvidas sobre sua legalidade na Inglaterra, onde seria inicialmente oferecido. Mesmo a eventual opção em sair do sistema (opt-out) pelo seu usuário não parecia ser eficaz.

Após severas ressalvas da autoridade de proteção de dados britânica, a Comissão Européia, através de sua comissária de tutela das comunicações, solicitou que o governo britânico tomasse providências contra os danos causados  à privacidade dos consumidores pelo produto da Phorm. As grandes empresas britânicas que utilizariam estes serviços (entre elas BT (British Telecom) e Virgin Media), acabaram por não levar adiante a intenção de trabalhar com a Phorm, que não mais oferece seus serviços em território britânico.

A Phorm e o Brasil. Em busca de mercados que recebam mais calorosamente seus produtos, a Phorm começou a atuar na Coréia do Sul e anunciou a parceria com os provedores brasileiros para oferecer ser produto Navegador (originalmente denominado Web Discover), que também exibe publicidade dirigida aos seus usuários através do monitoramento de seus hábitos de navegação, utilizando-se de técnicas de DPI (Deep Packet Inspection).

Até o momento (26/03/2010), nenhum anúncio oficial parece ter sido feito pelos provedores brasileiros mencionados pela Phorm, o que impossibilita que se estabeleça com precisão qual o grau de risco presente na tecnologia que será de fato implementada (se o for). De toda forma, pode-se facilmente perceber que a pouca atenção dada ao tema da privacidade e proteção de dados por nosso ordenamento vem dando seus frutos: desta vez, uma empresa com um histórico e linha de produtos dificilmente proponíveis em países que, de fato, tutelaram a privacidade de seus cidadãos, observa uma oportunidade de negócios no Brasil, país cuja legislação encontra-se claramente defasada nesta área e é capaz de expor os brasileiros a práticas que, em economias desenvolvidas, estão proscritas.

O site TheRegister, já devidamente escorado, refere-se desta forma às operações brasileiras da Phorm:

Brazil has long been a destination of choice for those who hit trouble in Britain, and Phorm is no different. Confirming rumours that have been circulating for several months, Phorm said it has signed deals to profile with five of the country’s ISPs.

Resta, agora, verificar de que forma o mercado brasileiro irá absorver o produto, inicialmente a partir das declarações dos provedores parceiros da Phorm.

ATUALIZAÇÃO (29/03): Dos provedores mencionados, o IG manifestou-se publicamente sobre o acordo com a Phorm, através de noticia publicada em seu site IG Tecnologia, confirmando que o Navegador entrará em fase de testes na cidade do Rio de Janeiro até, ainda em 2010, estar disponível no resto do Brasil.

O texto da “notícia” trata do Navegador como uma ferramenta cujas características beiram a paranormalidade:

O Navegador pode ser definido como um sistema de busca instantâneo de conteúdos, capaz de realizar as pesquisas sem que o internauta precise digitar os comandos num campo específico. Basta navegar.

Como é de praxe, somente as suas supostas vantagens são apregoadas, sem qualquer ressalva quanto aos potenciais riscos de sua utilização e ao fato desta mesma tecnologia estar virtualmente proscrita em outros países. A nota, que é claramente um release redigido por uma assessoria de imprensa, jamais poderia se pretender como uma “notícia”, tal como o portal IG o veicula. A linguagem publicitária é clara em trechos como o seguinte, que somente poderiam ser veiculados com a ressalva de tratar-se de mensagem publicitária ou de opinião:

Ou seja, o Navegador pode fazer que os anúncios e ofertas que surgem diante das pessoas também se pareçam mais com seus desejos de compra. Ganham os anunciantes, ganham os internautas. É um passo eficaz no campo da segmentação.