Habeasdata.org.br

Um processo administrativo contra a TNL PCS S.A. (Grupo Oi) foi instaurado pelo Departamento de Proteção e Defesa do Consumidor do Ministério da Justiça (DPDC/SDE/MJ) por suspeita de violação aos direitos do consumidor, em particular a sua privacidade e intimidade, em razão dos riscos aos consumidores brasileiros a partir da implantação da tecnologia da empresa britânica Phorm na rede da Oi. A instauração do processo constitui iniciativa inédita e pode ampliar os debates no Brasil sobre a legalidade e constitucionalidade da interceptação realizada pela Phorm, podendo alertar inclusive outras autoridades públicas para esses riscos.

A aprovação da parceria da empresa do grupo Oi com a Phorm está sob análise pelo CADE, tendo sido recentemente retirada de sua pauta de julgamentos.

A atividade da Phorm, conforma já ressaltamos diversas vezes, provocou o alarme dos reguladores e consumidores em diversos países onde a empresa procurou atuar, justamente por representarem grande risco para a privacidade e a proteção de dados dos consumidores. Após ter as portas de mercados como o norte-americano e britânico fechadas por este motivo, a Phorm busca agora a inserção no mercado brasileiro, provavelmente por este não possuir uma tradição forte de proteção de dados. Assim, provedores como Oi, UOL, Terra e iG foram mencionados como parceiros que utilizariam os principais produtos da Phorm, o software “Navegador” e o OIX (Open Internet Exchange).

A abertura do mencionado processo administrativo e o retardo na aprovação da parceria pelo CADE dão a entender que a iniciativa pode estar, curiosamente, provocando um efeito não pretendido: alertar o regulador e o legislador brasileiro para a lacuna existente em nosso ordenamento jurídico sobre proteção de dados e para a necessidade de proteger as informações pessoais do cidadão brasileiro de forma ao menos similar aos cidadãos de tantos outros países que dispõem de garantias e ferramentas adequadas.

[atualização] De acordo com reportagem no jornal O Globo, a diretora-substituta do DPDC, Juliana Pereira, ressaltou a necessidade das empresas envolvidas mostrarem os detalhes do serviço que pretendem implementar no Brasil e de responderem aos questionamentos feitos pelo próprio DPDC em abril e que, ate hoje, permanecem sem resposta.

Mais sobre a Phorm aqui  

A Phorm, empresa que explora o Navegador , um software de monitoramento de navegação na Internet, continua aguardando pronunciamento do CADE sobre a sua parceria com uma empresa do grupo Oi.

Enquanto isso, as violações à privacidade realizadas pelo software Navegador continuam a ser assunto na imprensa brasileira. Desta vez, a revista Época aponta, em reportagem de 4 de junho, lembra que:

Além das questões comerciais, o maior estigma em torno dos programas de rastreamento da Phorm é a ameaça à privacidade. O Brasil está recebendo um programa espião rejeitado em outros países. O histórico da Phorm é sombrio. Ela foi fundada em 2002, com o nome de 121Media. Especializou-se na criação de programas para publicidade on-line. Seu primeiro produto foi classificado como um spyware, nome técnico dos programas espiões que se instalam na máquina do usuário sem consentimento e enviam informações a terceiros. No início da década passada, esses programas eram tão populares quanto difíceis de apagar. A Phorm recebeu notificações de órgãos de segurança de países como Estados Unidos, Canadá e Inglaterra pedindo que interrompesse as vendas por ferir a segurança e a privacidade do internauta.

Entre as novidades, a matéria deixa claro que parceiros brasileiros parecem já estar pulando do seu barco – ao menos uma das empresas que a própria Phorm apontou publicamente como sua parceira já nega qualquer relacionamento, como afirma a assessoria do Grupo Estado:

“a parceria nunca existiu e o nome da empresa foi usado à revelia”

Por outro lado, UOL e Terra confirmaram a parceria e esta informação deve colocar em alerta os seus usuários preocupados com a privacidade de sua utilização da Internet.

Mais sobre a Phorm [aqui]

Uma boa notícia: os serviços oferecidos pela Google estão tendo algumas opções-padrão redefinidas, fazendo com que a leitura de emails e, em breve, a própria pesquisa no site seja processada através de criptografia.

Desde o início do ano, o serviço Gmail funciona com um protocolo criptografado como padrão, impedindo o acesso aos emails dos seus usuários por técnicas de captura do tráfego de informações em uma rede.

Recentemente, a empresa anunciou que fornecerá a criptografia em seu serviço de buscas (Google.com). É um pouco irônico, mas este anúncio foi feito incidentemente, em meio à admissão da empresa de que teria – inadvertidamente, segundo ela – armazenado dados de navegação de milhares de redes Wi-Fi sem o consentimento de seus proprietários.

Na prática, as mudanças na direção da encriptação de seus serviços torna os dados que trafegam entre a empresa e seus usuários opacos a terceiros, ao menos potencialmente. Isto aumenta a segurança dos serviços oferecidos – claro, sem diminuir o volume de informações pessoais tratadas pela própria Google.

Na prática, garante-se que os emails armazenados no Gmail e as buscas feitas pelo google.com não poderão ser conhecidas pelo man in the middle - um intermediário, como o provedor de acesso – ou terceiros que interceptem estas comunicações. O que não muda é que estas informações continuam a ser armazenadas pela Google, de quem vai depender de forma quase absoluta a integridade e a utilização a ser feita dos dados pessoais.

Este novo padrão também torna relativamente ineficazes as técnicas de monitoramento de navegação propostas por instrumentos como, por exemplo, o Web Discover, da Phorm (no Brasil lançado como o programa Navegador, conforme anunciado pela Oi e outros provedores), que buscam interceptar o tráfego de dados entre o usuário e o provedor de acesso. Este tráfego, caso seja criptografado entre a Google e o seu usuário final, tornar-se-ia opaco para fins de interceptação – o que faria que as páginas de busca no Google resultassem indecifráveis para estes instrumentos de monitoramento.

Esta adoção de mecanismos de segurança pela Google se dá, muito a propósito, após a divulgação dos ataques informáticos sofridos pela empresa que, alegadamente, tiveram sua origem na China e justificaram, entre outras coisas, a mudança no perfil da atuação da Google no mercado chinês.

A empresa Phorm, após anunciar em 26/04 que trabalharia no mercado de targeted marketing juntamente com alguns dos maiores provedores de Internet brasileiros – Oi, Terra, UOL, Estadão e IG -, agora aparenta ter dificuldades em ter aprovada pelo CADE uma parceria com a TNL, empresa do grupo Oi. Na sessão de 05/05, o órgão retirou da pauta a avaliação desta parceria [ver ata da sessão].

Curiosamente, o requerimento ao CADE para aprovação desta parceria mencionava uma espécie de “curto-circuito”: que seus concorrentes potenciais seriam algumas das mesmas empresas com quem a Phorm anunciou, no documento de 26/04, que já havia firmado relações comerciais:

(…) Phorm has been working with Brazil’s leading Internet Service Providers (“ISPs”), publishers and advertisers for some time, and today is pleased to announce the first phase of a country-wide roll-out in conjunction with Estadão, iG, Oi, Terra and UOL. The Company expects to announce further ISP and content partners in due course.

A Phorm, conforme já comentado em posts anteriores, procura introduzir no Brasil seu software de monitoramento de navegação na Internet denominado Navegador, que armazena a a atividade de um usuário na Internet sem que lhe tenha sido dada autorização prévia (como apontou recentemente o jornalista Elio Gaspari).

É possível que a Phorm esteja jogando no Brasil algumas de suas últimas esperanças de conquistar uma fatia representativa no mercado de publicidade na Internet – e, eventualmente, de continuar existindo. Seus produtos não foram contratados por nenhum provedor de peso nos EUA e no Reino Unido, em grande parte pelo elevado risco que apresentavam à privacidade e pela péssima reputação que construiu nestes mercados. Agora, a empresa tenta se estabelecer no Brasil e na Coréia do Sul.

As ações da Phorm negociadas na LSE registram sensível e constante queda nos últimos meses, em particular após a empresa ter anunciado as suas novas operações no Brasil, conforme quadro abaixo. No próximo dia 25 de maio a empresa deverá anunciar seus resultados financeiros referentes ao ano fiscal de 2009.

[Yahoo! Finance]

[ATUALIZAÇÃO 06/05] Coincidentemente, a mesma sessão de julgamento do CADE teve como destaque uma Averiguação Preliminar envolvendo a Telemar Norte Leste S/A (nome pelo qual a OI era conhecida até 2006).

A averiguação do CADE tem por motivo uma prática que soa familiar ao próprio modelo de negócios da Phorm. De acordo com o boletim do CADE:

A investigação, aberta pela SDE e pela ANATEL, é embasada no suposto monitoramento, pela Telemar, das chamadas telefônicas de seus clientes para o serviço 0800 da Vésper. A Telemar avaliava o interesse do cliente e de seu nível de renda, para depois ofertar produtos diferenciados. As ações teriam como objetivo impedir a migração de clientes para a Vésper.  

A investigação teve início após denúncia do jornal Folha de S. Paulo em 2005 [acesso pago]. veja matéria completa em [Convergência Digital]

O acordo realizado pela empresa norte-americana Phorm com diversos provedores de acesso brasileiros (Oi,UOL. Ig, Estadão e Terra), tratado em post anterior, começa a dar mostras de que não passará despercebido e que a reputação no mínimo duvidosa de que a empresa goza no exterior pode acompanhá-la na sua vinda ao Brasil.

O colunista Elio Gaspari, em texto publicado hoje (31/03/2010) e intitulado “A trapaça do rastreador Oi na Velox” [acesso pago], enfatiza a forma como uma ferramenta de rastreamento, que pode apresentar problemas para a privacidade dos usuários, é ativada automaticamente pela Oi para os seus clientes, que não recebem informações suficientes sobre suas características. Aliás, as informações fornecidas ao consumidor apresentam um habitual tom ufanista sobre suas vantagens. Segue trecho:

A Oi trapaceia na maneira como oferece o “Navegador”. O sujeito liga a máquina, aciona o Velox e vê uma tela que lhe apresenta a “facilidade” (em relação a quê?). A lisura recomendaria que a empresa mencionasse, de saída, a função rastreadora do “Navegador”.

Até aí, manipulam a comunicação. No lance seguinte, recorrem a uma pegadinha para capturar clientes. Quando a tela do “Navegador” aparece, o mimo é oferecido com o aviso de que ele “já está ativo”. A tela do “Navegador” permite que o consumidor desative a ferramenta, mas não é assim que se faz. Uma pessoa não pode ser obrigada a desativar algo que não solicitou.

Em relação à entrada da Phorm no mercado brasileiro, pode ser possível tirar algumas conclusões preliminares do gráfico da sua cotação em bolsa (LSE) nos últimos dois meses, pelo qual no dia 26/03, dia do anúncio do acordo com os provedores brasileiros,a cotação das ações da Phorm atingiu um pico que, quase que imediatamente, reverteu:

[Yahoo!Finance]

A atuação da Phorm no mercado britânico foi alvo de severas críticas, testemunhadas por sites como:

http://www.badphorm.co.uk/

https://www.dephormation.org.uk/

Ou nas notas de Sir Tim Berners Lee

Bem como noticiado pela BBC.

A empresa Phorm anunciou hoje que entrará no mercado brasileiro de publicidade online, tendo acordos já estabelecidos com provedores de serviços como Estadão, IG, OI, Terra e UOL [Reuters].

O que é a Phorm? A empresa norte-americana inicialmente denominava-se 121Media e ficou conhecida por oferecer produtos caracterizados como spyware, que recolhiam hábitos de navegação dos seus usuários e dificultavam sua própria remoção. Em 2007, após mudar o próprio nome para Phorm, concentrou-se na área de publicidade on-line. Seu produto, denominado Webwise, procurava determinar os hábitos de navegação de um usuário na Internet para a exibição de publicidade dirigida.

Qual o problema com a Phorm? O fato deste produto ser concebido como um sistema de opt-out, isto é, que seria ativado mesmo sem o consentimento da pessoa que navegasse na Internet, levantou várias dúvidas sobre sua legalidade na Inglaterra, onde seria inicialmente oferecido. Mesmo a eventual opção em sair do sistema (opt-out) pelo seu usuário não parecia ser eficaz.

Após severas ressalvas da autoridade de proteção de dados britânica, a Comissão Européia, através de sua comissária de tutela das comunicações, solicitou que o governo britânico tomasse providências contra os danos causados  à privacidade dos consumidores pelo produto da Phorm. As grandes empresas britânicas que utilizariam estes serviços (entre elas BT (British Telecom) e Virgin Media), acabaram por não levar adiante a intenção de trabalhar com a Phorm, que não mais oferece seus serviços em território britânico.

A Phorm e o Brasil. Em busca de mercados que recebam mais calorosamente seus produtos, a Phorm começou a atuar na Coréia do Sul e anunciou a parceria com os provedores brasileiros para oferecer ser produto Navegador (originalmente denominado Web Discover), que também exibe publicidade dirigida aos seus usuários através do monitoramento de seus hábitos de navegação, utilizando-se de técnicas de DPI (Deep Packet Inspection).

Até o momento (26/03/2010), nenhum anúncio oficial parece ter sido feito pelos provedores brasileiros mencionados pela Phorm, o que impossibilita que se estabeleça com precisão qual o grau de risco presente na tecnologia que será de fato implementada (se o for). De toda forma, pode-se facilmente perceber que a pouca atenção dada ao tema da privacidade e proteção de dados por nosso ordenamento vem dando seus frutos: desta vez, uma empresa com um histórico e linha de produtos dificilmente proponíveis em países que, de fato, tutelaram a privacidade de seus cidadãos, observa uma oportunidade de negócios no Brasil, país cuja legislação encontra-se claramente defasada nesta área e é capaz de expor os brasileiros a práticas que, em economias desenvolvidas, estão proscritas.

O site TheRegister, já devidamente escorado, refere-se desta forma às operações brasileiras da Phorm:

Brazil has long been a destination of choice for those who hit trouble in Britain, and Phorm is no different. Confirming rumours that have been circulating for several months, Phorm said it has signed deals to profile with five of the country’s ISPs.

Resta, agora, verificar de que forma o mercado brasileiro irá absorver o produto, inicialmente a partir das declarações dos provedores parceiros da Phorm.

ATUALIZAÇÃO (29/03): Dos provedores mencionados, o IG manifestou-se publicamente sobre o acordo com a Phorm, através de noticia publicada em seu site IG Tecnologia, confirmando que o Navegador entrará em fase de testes na cidade do Rio de Janeiro até, ainda em 2010, estar disponível no resto do Brasil.

O texto da “notícia” trata do Navegador como uma ferramenta cujas características beiram a paranormalidade:

O Navegador pode ser definido como um sistema de busca instantâneo de conteúdos, capaz de realizar as pesquisas sem que o internauta precise digitar os comandos num campo específico. Basta navegar.

Como é de praxe, somente as suas supostas vantagens são apregoadas, sem qualquer ressalva quanto aos potenciais riscos de sua utilização e ao fato desta mesma tecnologia estar virtualmente proscrita em outros países. A nota, que é claramente um release redigido por uma assessoria de imprensa, jamais poderia se pretender como uma “notícia”, tal como o portal IG o veicula. A linguagem publicitária é clara em trechos como o seguinte, que somente poderiam ser veiculados com a ressalva de tratar-se de mensagem publicitária ou de opinião:

Ou seja, o Navegador pode fazer que os anúncios e ofertas que surgem diante das pessoas também se pareçam mais com seus desejos de compra. Ganham os anunciantes, ganham os internautas. É um passo eficaz no campo da segmentação.

Ótima sátira sobre a utilização de full-body scanners e outras medidas de segurança aérea.

“Compareça ao portão de embarque três dias antes de seu vôo”.
Via [Marc Rotemberg]