A falta de transparência na operação deste serviço conflita com o regime que o Código de Defesa do Consumidor estabelece para os bancos de dados de proteção ao crédito e é um dos problemas que tornam tal prática abusiva.

O sistema Crediscore é oferecido pelo site da CDL de Porto Alegre sem que sejam fornecidas maiores informações sobre seu funcionamento. Recentemente, algumas sentenças de primeiro grau na Comarca de Porto Alegre lançaram luz sobre a abusividade desta prática, que é completamente opaca aos olhos do consumidor e não atende aos requisitos de transparência e livre acesso estabelecidos pelo Código de Defesa do Consumidor.

De fato, o sistema opera sem que o consumidor tenha conhecimento de sua existência, negando-lhe a possibilidade de decidir autonomamente se deseja ou não fazer parte deste banco da dados (que, como são compostos de dados positivos, requer este consentimento); de ter acesso aos seus próprios dados e, ainda, de exercer o direito de retificá-los caso não correspondam à realidade. Isto além de outros direitos derivados dos deveres da boa-fé, como o de fornecer ao consumidor informações suficientes para que preste ou não o seu consentimento informado sem sofrer pressões, ou que lhe seja fornecido uma noção do mecanismo de avaliação e atribuição de pontos para seu credit score.

Há ainda outro porém. No Brasil, os sistemas de análise de crédito baseados em credit scoring não prosperaram até hoje – provavelmente pelo sistema que verifica o estado de inadimplência ou não do consumidor ser aquele tradicionalmente utilizado. A utilização que se observa do crediscore equivale propriamente à sobreposição dos dois sistemas – o da negativação e o do credit score – restringindo potencialmente as hipóteses de concessão de crédito e também aumentando as hipóteses de danos ao consumidor derivados do mau funcionamento de um dos sistemas. Vale lembrar que a experiência e os reguladores evitam a sobreposição de tais sistemas em outros países.

As recentes decisões que tratam do sistema Crediscore tocam, acertadamente, em pontos essenciais para a consolidação do entendimento segundo o qual o Código de Defesa do Consumidor proporciona uma proteção integral aos dados pessoais nas relações de consumo, e não apenas um conjunto de garantias restrito à patologia do inadimplemento. Entre estes pontos, destacamos:

1. Desmonta-se o “mito da negativação”, ao se ressaltar que o CDC se aplica a todas as hipóteses em que informações pessoais do consumidor são tratadas – e não somente às hipóteses nas quais a informação tratada é negativa.

2. Reconhece-se que o dano sofrido pelo consumidor pela negativa de crédito não é do tipo que necessita de prova, por se consubtanciar no próprio ato de denegação do crédito. Não se trata de inversão do ônus da prova, porém do dano que se consuma com o próprio ato danoso – o dano in se ipsa – como costuma ocorrer com a violação da privacidade e de dados pessoais.

Nos casos em questão, verifica-se a ausência de transparência do sistema Crediscore por este funcionar na “surdina”, sem que o consumidor saiba que seus dados estão sendo tratados – e, evidentemente, sem que este tratamento tenha sido autorizado, como no caso do Processo nº: 001/1.09.0317669-0, da 3ª Vara Cível do Foro Central de Porto Alegre, que trata de situação em que o consumidor :

“jamais recebeu qualquer comunicação acerca da abertura e divulgação das informações constantes no denominado cadastro Crediscore, que é criado e administrado pelo CDL – Porto Alegre”

O próprio contrato que rege a utilização do sistema Crediscore dá mostras claras de que a falta de transparência é intrínseca ao sistema e proposital. No Processo 001/1.09.0233781-9, também da 3ª Vara Cível do Foro Central de Porto Alegre, a cláusula 6ª do contrato realizado entre o fornecedor do sistema Crediscore e seu utilizador é trazida à luz e discutidos seus três comandos:

a) `Por tratar-se de um serviço em fase de teste, a contratante não poderá, em hipótese alguma, fornecer, seja qual for a forma, ao próprio consumidor ou a terceiros as informações obtidas através de consulta ao SPC Crediscore`.

b) `Também é totalmente vedado à contratante informar, seja qual for a forma e a quem quer que seja, a existência, o resultado da consulta e a utilização do SPC Crediscore, bem como a celebração do presente instrumento`

c ) `Os documentos e formulários relativos ao SPC ´Crediscore´ e as suas cópias que a contratante tiver acesso em razão deste instrumento não poderão ser entregues a terceiros ou ao próprio consumidor consultado`.

A aprovação da parceria da empresa do grupo Oi com a Phorm está sob análise pelo CADE, tendo sido recentemente retirada de sua pauta de julgamentos.

A atividade da Phorm, conforma já ressaltamos diversas vezes, provocou o alarme dos reguladores e consumidores em diversos países onde a empresa procurou atuar, justamente por representarem grande risco para a privacidade e a proteção de dados dos consumidores. Após ter as portas de mercados como o norte-americano e britânico fechadas por este motivo, a Phorm busca agora a inserção no mercado brasileiro, provavelmente por este não possuir uma tradição forte de proteção de dados. Assim, provedores como Oi, UOL, Terra e iG foram mencionados como parceiros que utilizariam os principais produtos da Phorm, o software “Navegador” e o OIX (Open Internet Exchange).

A abertura do mencionado processo administrativo e o retardo na aprovação da parceria pelo CADE dão a entender que a iniciativa pode estar, curiosamente, provocando um efeito não pretendido: alertar o regulador e o legislador brasileiro para a lacuna existente em nosso ordenamento jurídico sobre proteção de dados e para a necessidade de proteger as informações pessoais do cidadão brasileiro de forma ao menos similar aos cidadãos de tantos outros países que dispõem de garantias e ferramentas adequadas.

[atualização] De acordo com reportagem no jornal O Globo, a diretora-substituta do DPDC, Juliana Pereira, ressaltou a necessidade das empresas envolvidas mostrarem os detalhes do serviço que pretendem implementar no Brasil e de responderem aos questionamentos feitos pelo próprio DPDC em abril e que, ate hoje, permanecem sem resposta.

Mais sobre a Phorm aqui  

Segundo informações divulgadas na imprensa, esta inscrição é realizada diretamente no cadastro brasileiro de maus pagadores.

Apresentado, como é hábito, como uma solução tão simples como prática a proteção do crédito, é necessário verificar se o sistema não é capaz de prejudicar cidadãos sem dívidas que tenham eventual problema com o sistema ou então de punir de forma desproporcional o devedor.

As transferências internacionais de dados pessoais, que o sistema acaba realizando, não encontram maiores óbices na legislação japonesa tanto como na brasileira, apesar de ser uma prática sujeita a rigorosa normatização em outros países, o que talvez impeça que tal modelo seja adotado de forma mais ampla.

Tratando-se de um sistema que realize o tratamento de dados pessoais no Japão, o sistema há de operar conforme as normas japonesas de proteção de dados. Além disso, as normas referentes aos bancos de dados de proteção ao crédito presentes no Código de Defesa do Consumidor, por sua vez, são plenamente aplicáveis e isso leva à constatação de que, caso um cidadão residente no Brasil seja eventualmente cadastrado neste sistema, deverá ter exatamente as mesmas prerrogativas e direitos em relação ao acesso e retificação do cadastro que teria caso a negativação tivesse como origem um crédito contraído no Brasil.

O sistema, cuja divulgação, repetimos, deu-se apenas através de matéria circulada pela imprensa, levanta algumas outras dúvidas como: de que forma o SPC é capaz de saber se determinada dívida contraída no Japão o foi por um cidadão brasileiro? Isto leva a crer que a empresa tem acesso a dados que incluem a nacionalidade do devedor, cujo acesso certamente há de ser regulado pela normas locais de proteção de dados. Este é um ponto fundamental para a concepção do funcionamento do sistema e com claras implicações legais, sobre o qual o SPC faria muito bem em se pronunciar.

É interessante notar que a informatização dos serviços financeiros não fez, até hoje, avançar de forma concreta nem tornou especialmente relevante algum grande serviço internacional ou transnacional de proteção ao crédito ao consumo. Talvez porque as peculiaridades de cada país sejam muito fortes e a transferência de informações, por si só, não seja de grande valor no contexto de outra economia. E também porque esta transferência implica em atender a uma série de requisitos legais de proteção de dados, que podem variar muito de um país para o outro. Por fim, a própria eficácia da medida leva a dúvidas quanto à sua eficácia sob o ponto de vista econômico, sugerindo que, na verdade, trate-se de um mecanismo que na prática estaria dirigido mais à recuperação de dívidas do que à proteção do crédito futuro.

O colunista Elio Gaspari, em texto publicado hoje (31/03/2010) e intitulado “A trapaça do rastreador Oi na Velox” [acesso pago], enfatiza a forma como uma ferramenta de rastreamento, que pode apresentar problemas para a privacidade dos usuários, é ativada automaticamente pela Oi para os seus clientes, que não recebem informações suficientes sobre suas características. Aliás, as informações fornecidas ao consumidor apresentam um habitual tom ufanista sobre suas vantagens. Segue trecho:

A Oi trapaceia na maneira como oferece o “Navegador”. O sujeito liga a máquina, aciona o Velox e vê uma tela que lhe apresenta a “facilidade” (em relação a quê?). A lisura recomendaria que a empresa mencionasse, de saída, a função rastreadora do “Navegador”.

Até aí, manipulam a comunicação. No lance seguinte, recorrem a uma pegadinha para capturar clientes. Quando a tela do “Navegador” aparece, o mimo é oferecido com o aviso de que ele “já está ativo”. A tela do “Navegador” permite que o consumidor desative a ferramenta, mas não é assim que se faz. Uma pessoa não pode ser obrigada a desativar algo que não solicitou.

Em relação à entrada da Phorm no mercado brasileiro, pode ser possível tirar algumas conclusões preliminares do gráfico da sua cotação em bolsa (LSE) nos últimos dois meses, pelo qual no dia 26/03, dia do anúncio do acordo com os provedores brasileiros,a cotação das ações da Phorm atingiu um pico que, quase que imediatamente, reverteu:

[Yahoo!Finance]

A atuação da Phorm no mercado britânico foi alvo de severas críticas, testemunhadas por sites como:

http://www.badphorm.co.uk/

https://www.dephormation.org.uk/

Ou nas notas de Sir Tim Berners Lee

Bem como noticiado pela BBC.

O que é a Phorm? A empresa norte-americana inicialmente denominava-se 121Media e ficou conhecida por oferecer produtos caracterizados como spyware, que recolhiam hábitos de navegação dos seus usuários e dificultavam sua própria remoção. Em 2007, após mudar o próprio nome para Phorm, concentrou-se na área de publicidade on-line. Seu produto, denominado Webwise, procurava determinar os hábitos de navegação de um usuário na Internet para a exibição de publicidade dirigida.

Qual o problema com a Phorm? O fato deste produto ser concebido como um sistema de opt-out, isto é, que seria ativado mesmo sem o consentimento da pessoa que navegasse na Internet, levantou várias dúvidas sobre sua legalidade na Inglaterra, onde seria inicialmente oferecido. Mesmo a eventual opção em sair do sistema (opt-out) pelo seu usuário não parecia ser eficaz.

Após severas ressalvas da autoridade de proteção de dados britânica, a Comissão Européia, através de sua comissária de tutela das comunicações, solicitou que o governo britânico tomasse providências contra os danos causados  à privacidade dos consumidores pelo produto da Phorm. As grandes empresas britânicas que utilizariam estes serviços (entre elas BT (British Telecom) e Virgin Media), acabaram por não levar adiante a intenção de trabalhar com a Phorm, que não mais oferece seus serviços em território britânico.

A Phorm e o Brasil. Em busca de mercados que recebam mais calorosamente seus produtos, a Phorm começou a atuar na Coréia do Sul e anunciou a parceria com os provedores brasileiros para oferecer ser produto Navegador (originalmente denominado Web Discover), que também exibe publicidade dirigida aos seus usuários através do monitoramento de seus hábitos de navegação, utilizando-se de técnicas de DPI (Deep Packet Inspection).

Até o momento (26/03/2010), nenhum anúncio oficial parece ter sido feito pelos provedores brasileiros mencionados pela Phorm, o que impossibilita que se estabeleça com precisão qual o grau de risco presente na tecnologia que será de fato implementada (se o for). De toda forma, pode-se facilmente perceber que a pouca atenção dada ao tema da privacidade e proteção de dados por nosso ordenamento vem dando seus frutos: desta vez, uma empresa com um histórico e linha de produtos dificilmente proponíveis em países que, de fato, tutelaram a privacidade de seus cidadãos, observa uma oportunidade de negócios no Brasil, país cuja legislação encontra-se claramente defasada nesta área e é capaz de expor os brasileiros a práticas que, em economias desenvolvidas, estão proscritas.

O site TheRegister, já devidamente escorado, refere-se desta forma às operações brasileiras da Phorm:

Brazil has long been a destination of choice for those who hit trouble in Britain, and Phorm is no different. Confirming rumours that have been circulating for several months, Phorm said it has signed deals to profile with five of the country’s ISPs.

Resta, agora, verificar de que forma o mercado brasileiro irá absorver o produto, inicialmente a partir das declarações dos provedores parceiros da Phorm.

ATUALIZAÇÃO (29/03): Dos provedores mencionados, o IG manifestou-se publicamente sobre o acordo com a Phorm, através de noticia publicada em seu site IG Tecnologia, confirmando que o Navegador entrará em fase de testes na cidade do Rio de Janeiro até, ainda em 2010, estar disponível no resto do Brasil.

O texto da “notícia” trata do Navegador como uma ferramenta cujas características beiram a paranormalidade:

O Navegador pode ser definido como um sistema de busca instantâneo de conteúdos, capaz de realizar as pesquisas sem que o internauta precise digitar os comandos num campo específico. Basta navegar.

Como é de praxe, somente as suas supostas vantagens são apregoadas, sem qualquer ressalva quanto aos potenciais riscos de sua utilização e ao fato desta mesma tecnologia estar virtualmente proscrita em outros países. A nota, que é claramente um release redigido por uma assessoria de imprensa, jamais poderia se pretender como uma “notícia”, tal como o portal IG o veicula. A linguagem publicitária é clara em trechos como o seguinte, que somente poderiam ser veiculados com a ressalva de tratar-se de mensagem publicitária ou de opinião:

Ou seja, o Navegador pode fazer que os anúncios e ofertas que surgem diante das pessoas também se pareçam mais com seus desejos de compra. Ganham os anunciantes, ganham os internautas. É um passo eficaz no campo da segmentação.

“§ 6º No fornecimento de produtos ou serviços que envolvam outorga de crédito ou concessão de financiamento ao consumidor, o fornecedor informará aos sistemas de proteção ao crédito, para formação de cadastro positivo, as características e o adimplemento das obrigações contraídas, dispensando-se, na hipótese, a comunicação a que alude o § 2o do art. 43.”

A alteração proposta estabelece a completa liberdade do tratamento de informações referentes às características dos contratos e dos pagamentos realizados pelos sistemas de proteção ao crédito, sem qualquer possibilidade de oposição por parte do consumidor e nenhuma regra que discipline qualquer modalidade deste tratamento de dados. Estes dados poderiam, por exemplo, ser armazenados indefinidamente e mesmo utilizados em outras circunstâncias, visto que não há ainda no direito brasileiro uma restrição específica à utilização de dados para finalidades secundárias.

A medida é incompatível com a finalidade e a natureza da legislação em que se pretende inserir – pois uma disposição de características unilaterais, que somente aumenta o poder do fornecedor e a assimetria informacional em detrimento do consumidor, claramente não encontra lastro em nenhum dos princípios básicos deste Código e nem na norma constitucional na qual se funda a defesa do consumidor.

Este projeto se interpôs a um outro projeto de lei (PL-85, aprovado pela Câmara com relatoria do Deputado Maurício Rands).

A ausência de previsões concretas e modernas sobre a proteção de dados pessoais no ordenamento brasileiro faz com que qualquer passo a ser dado acabe por se demonstrar temeroso. No caso específico, o laconismo sobre qualquer garantia do consumidor em relação aos seus dados pessoais pode fazer presumir ao intérprete uma permissividade que seria potencialmente nociva aos interesses do consumidor e ao próprio equilíbrio das relações econômicas.

O projeto será submetido à votação na Comissão de Assuntos Econômicos do Senado, e terá a relatoria do Senador Aloísio Mercadante.

O IDEC (Instituto Brasileiro de Defesa do Consumidor) está solicitando o adiamento da votação do projeto por 30 dias, para possibilitar o amadurecimento das discussões.

Leia mais em: [O Globo]

Após São Paulo criar a sua lista de “não me ligue” em abril deste ano, os estados do Paraná, Mato Grosso do Sul e Rio Grande do Sul já seguiram o exemplo, enquanto projetos de lei no mesmo sentido foram propostos em diversos outros estados, inclusive o Rio de Janeiro.

Em comum, as leis aprovadas criam uma lista de números telefônicos inscritos pelos respectivos titulares, números estes que não podem ser utilizados para fins de telemarketing, salvo exceções. A sanção para o descumprimento da lei é de multa. As listas são mantidas pelo PROCON de cada estado e a inscrição é gratuita.

A regulação do telemarketing no Brasil forma-se pelas bordas para então constituir-se em uma tendência nacional. Criadas ao molde do Do-not-call registry norte-americano, mantido pela FTC, esta tendência é um marcante exemplo da demanda pela regulamentação de uma atividade diretamente ligada à proteção de dados que, no entanto, não pode se basear em uma normativa federal pela sua absoluta inexistência – mais uma lacuna deixada pela ausência de normas gerais regulando a proteção de dados em nosso país.

A regulação em nível estadual de uma atividade de âmbito nacional – o marketing direto – proporciona insegurança e dificuldades de implementação pela existência de vários marcos legislativos diversos dentro da zona de abrangência da atividade. Assim, maior a dificuldade tanto da indústria se adaptar a esta regulamentação fragmentada, ao mesmo tempo que cresce o potencial de desrespeito à lei pelas dificuldades técnicas e respectivos custos de sua implementação. Por louváveis que sejam as iniciativas estaduais, é também o momento de estabelecer uma política federal a respeito.

“O promotor de Defesa do Consumidor do Ministério Público do DF, Guilherme Fernandes Neto, afirmou hoje, em audiência pública na Câmara, que as regras atuais sobre propaganda comercial por meio de mensagens (torpedos) para celulares não protege os clientes. A possibilidade de optar por não receber as mensagens, segundo ele, não funciona na prática, pois não há sanção contra as empresas que usam o recurso.” [via Agência Câmara]

A ausência de uma regulamentação genérica sobre proteção de dados pessoais empurra, mais uma vez, para uma discussão setorializada e marcada por um pragmatismo de urgência um tema que teria muito a ganhar caso submetido a regras gerais, claras e facilmente aplicáveis – i.e., regras gerais sobre proteção de dados aplicáveis em todos os setores.

A Lei Estadual 16.136/09, que instituiu o Cadastro Para o Bloqueio do Recebimento de Ligações de Telemarketing, determinou que as inscrições podem ser feitas pela internet, por telefone (0800-411512) ou pessoalmente, nas sedes do Procon-PR. Os infratores da lei sujeitam-se às multas determinadas pelo Código de Defesa do Consumidor.

Pelo Decreto, os dados pessoais do consumidor são considerados sigilosos e a sua utilização deve atender ao princípio da finalidade, i.e., “utilizados exclusivamente para os fins do atendimento” (art. 11).

Também menciona-se que o sistema informatizado deve zelar pela segurança das informações – o que incluiria as informações pessoais.

Por outro lado, há previsões cujo efeito pode ser o de aumentar o volume de dados pessoais tratado por sistemas do gênero. O registro da conversa telefônica entabulada entre o consumidor e o atendente é considerado obrigatório, bem como a sua manutanção por um prazo de 90 dias. Também o registro das interações em si há de ser mantido por 2 anos, “à disposição do consumidor e do órgão ou entidade fiscalizadora”.

A iniciativa é similar à Do-Not-Call List norte-americana, administrada pela FTC, que instituiu uma espécie de opt-out para o marketing telefônico.

A medida atende ao previsto na Lei Estadual 13.226/08. A Fundação Procon-SP elaborou uma cartilha para orientação dos interessados.