Resposta oficial da Receita Federal sobre o alegado vazamento de dados pelo grupo Anonymous

Em função do recente caso envolvendo um alegado vazamento de dados da Receita Federal, que teria sido realizado pelo grupo Anonymous, efetuei um pedido de acesso à informação sobre a situação. Reproduzo aqui a pergunta e a resposta oficial da instituição negando o vazamento. Destaco também que essa situação foi tema do podcast Segurança Legal no seu ep. 43.

---

Pergunta:

A imprensa especializada informou recentemente (no início do ano de 2014) um incidente envolvendo a receita federal. A notícia dá conta de que o grupo anonymous obteve acesso a 200GB de dados da receita federal (ver notícia em http://mariano.delegadodepolicia.com/grupo-anonymous-obtem-acesso-a-15-milhoes-de-dados-da-receita-federal-e-disponibilizam-site-para-pesquisa-de-c-p-fs/).

Essa consulta tem o objetivo de obter as seguintes informações sobre este caso:
1 - A receita soube do ocorrido antes ou depois de divulgado da imprensa?
2 - Quais as informações que a receita tem sobre a natureza do incidente? Tecnicamente, como esses crackers conseguiram acesso a esses dados?
3 - Quais as informações que a receita pretende dar aos contribuintes acerca do incidente?

Nestes termos,
Peço deferimento

Resposta oficial da instituição obtida em 06/01/2014

Acerca dos questionamentos feitos temos a dizer que:

1- Como neste caso não houve incidente de invasão das nossas bases de dados, as quais são monitoradas 24h por dia, por uma estrutura de GRA (Grupo de Resposta à Ataques), não poderíamos ter tomado conhecimento de um fato inexistente, tecnicamente falando. Nesse sentido, ficamos a par desta noticia por meio dos veículos de comunicação que divulgaram a mesma.
2- O que podemos afirmar é que os dados disponibilizados, no site relacionado na notícia, não correspondem aos da base de dados da RFB. Foram feitos testes pela RFB, no curto tempo em que o referido site ficou no ar, e neste intervalo pudemos detectar diversas inconsistências, tais como: endereços errados, endereços desatualizados, informações que nunca estiveram nas bases da RFB, etc. Não podemos afirmar em qual fonte o grupo, citado na noticia, obteve esses dados, mas é fato notório que redes de lojas de comércio varejistas, de prestação de serviços e até concessionárias de serviço público possuem bases cadastrais com dados fornecidos voluntariamente pelos cidadãos brasileiros.
3- Não houve incidente porque não houve invasão de dados de bases da RFB. A RFB já se comunicou com os veículos que divulgaram essa notícia, visando esclarecer aos mesmos a falta de veracidade da informação veiculada. Nesse sentido, foram tomadas cautelas para que esta polêmica não fosse novamente alimentada na imprensa, já que o maior laurel para este tipo de hacker é exatamente a publicidade e a notoriedade.
Disponha dos serviços desta Unidade, sempre que julgar necessário.

Íntegra da decisão condenando o Google por publicar foto de menor no Street View

Repasso aqui a recente sentença que condenou o Google por publicar no StreetView uma imagem, tirada na cidade de Recife, em que uma menor aparecia trocando de roupa. A imagem foi produzida por meio dos carros do StreetView e retratou a menor dentro de sua residência. A condenação foi alta (R$ 25.000,00) e levou em consideração o fato de a atingida ser menor de idade e das imagens terem sido visualizadas por seus colegas de escola.

É interessante notar também que a decisão pernambucana cita outro caso paulista semelhante (que pode ser lido aqui). Tratou-se de uma apelação em que o Google foi condenado por disponibilizar no Google Maps o nome, endereço e imagem da residência do autor. Nesta situação a indenização por danos morais (que foi de R$ 5.000,00) foi definida com base no fato de que a publicação de nome, endereço residencial, telefone e foto da residência seria suficiente "para causar no autor temor pela segurança e de seus familiares, a ponto de resvalar na paz de espírito dos mesmos".

Até onde sei (obtendo também uma confirmação com o Renato Ópice Blum via Twitter) a decisão pernambucana seria a primeira a condenar especificamente o Google Street View no país.

Caso alguém conheça outro julgado tratando sobre o mesmo assunto, peço a gentileza de comunicar para que eu possa atualizar o post.

Resposta do Banco do Brasil ao incidente de Dezembro de 2013

É fato público que o Banco do Brasil, em Dezembro de 2013, teve um incidente de segurança que permitia que correntistas acessassem outras contas que não as suas. O assunto teve repercussão na mídia especializada (ver aqui) em função de sua seriedade sendo o incidente reconhecido no próprio Twitter da instituição.
Objetivando obter mais informações sobre o ocorrido, realizei um pedido de acesso à informação solicitando mais detalhes do caso. Publico aqui a pergunta feita e a resposta oficial dada pelo banco.
É importante ressaltar que no episódio 41 do Podcast Segurança Legal - do qual eu participo - foi realizada uma análise crítica e pormenorizada da situação. Portanto, para saber os detalhes do caso, acesse o link do episódio 41 do podcast.

---

Pedido de informação n. 99901.002034/2013-75 feito ao Banco do Brasil em 13/12/2013

No dia 09/12/2013 alguns correntistas do BB verificaram que os aplicativos mobile do banco estavam permitindo o acesso a outras contas QUE NÃO AS DO CORRENTISTA LOGADO. A situação foi relatada inclusive no próprio Twitter da instituição.
Assim, meu pedido consiste em obter as seguintes informações:
1 - Como o banco tomou conhecimento da falha de segurança?
2 - Qual foi, pormenorizadamente, a falha técnica que permitiu que o incidente ocorresse?
3 - Quantas contas foram indevidamente acessadas?
4 - Internamente, de quem foi a responsabilidade pelo erro que permitiu que a falha ocorresse?
5 - Qual foram as medidas tomadas pela equipe de segurança para corrigir a situação?
6 - Quais foram as medidas tomadas pela equipe de segurança para que problema semelhante não volte a ocorrer no futuro?

Resposta do Banco do Brasil enviada dia 06/01/2014

Prezado Sr. Guilherme
Encaminhamos-lhe resposta da Diretoria de Tecnologia ao seu pedido de informação: 
        
"Sr Guilherme,

 1.     O Banco do Brasil identificou falhas no aplicativo BB Mobile Banking para as plataformas IPhone e Android. O problema foi detectado por meio do sistema interno de monitoramento do BB, às 20:40 do dia 09.12.2013

 2.     O problema surgiu nos processos periódicos de atualização de versões dos aplicativos.  Houve, sobretudo, intermitência e inconsistência de dados cadastrais.

 3.     O incidente afetou usuários do BB Mobile Banking que estavam online no período de 19h52 até por volta das 20h40 do dia 09.12.2013.

 4.      Os sistemas de segurança do Banco do Brasil permaneceram ativos, e não houve comprometimento de dados ou risco no caso de transações bancárias para os clientes que utilizam o BB Mobile Banking.

 5.     Tao logo identificado o problema os acessos ao canal mobile foram interrompidos e implantou-se a versão anterior do aplicativo. O canal voltou a ficar disponível, com estabilidade, a partir das 23h45 do dia 09.12.2013.

 6.     O Banco do Brasil, por meio da Diretoria de Tecnologia, monitora permanentemente os sistemas e aplicativos disponibilizados aos clientes, com objetivo de oferecer alto grau de disponibilidade e segurança dos serviços. Em relação ao incidente em questão, foram reforçados os processos de testes (unitários, de sistemas e de integração) de forma a inibir a ocorrência de problema de natureza semelhante.

Em relação ao pedido de detalhamento das falhas ocorridas nos aplicativos, infomamos que o Serviço de informações ao Cidadão do Banco do Brasil - SICBB é fundamentado legalmente na Lei de Acesso à Informação - LAI (Lei 12.527/2011) e no Decreto 7.724/2012, que a regulamenta. Consta dos dispositivos mencionados que as sociedades de economia mista subordinam-se ao dever de prestar informações previsto no inciso XXXIII do art. 5º, no inciso II do § 3º do art. 37, e no § 2º do art. 216 da Constituição Federal.

Nada obstante ser correto que, na condição de entidades integrantes da Administração Indireta, as sociedades de economia mista sujeitam-se ao princípio da publicidade, tal imposição CESSA quando for incompatível com os interesses das sociedades que executam o seu objeto social por meio do regime de concorrência previsto no art. 173 da Constituição Federal.

Neste sentido, a Lei 12.527/2011, em seu artigo 22:
O disposto nesta Lei não exclui as demais hipóteses legais de sigilo e de segredo de justiça, nem as hipóteses de segredo industrial decorrentes da exploração direta de atividade econômica pelo Estado ou por pessoa física ou entidade privada que tenha qualquer vínculo com o poder público.

No mesmo sentido, o Decreto 7.724/2012, dispõe em seu artigo 6º, I:

Art 6º O acesso à informação disciplinado neste Decreto não se aplica:

I - às hipóteses de sigilo previstas na legislação, como fiscal, bancário, de operações e serviços no mercado de capitais, comercial, profissional, industrial e segredo de justiça.

Diante disso informamos que o detalhamento solicitado é internamente classificado, quanto ao critério de disponibilidade, como Restrito - nível atribuído às informações que:

   - Garantem a obtenção de vantagem competitiva;
   - Contêm estratégias operacionais que, se divulgadas, sujeitam o Banco a riscos.

Att,
L. C. A.
Gerente de Divisão"

Recurso
=======
Conforme a Lei 12527/11 em seu artigo Art. 15, no caso de indeferimento de acesso a informações ou às razões da negativa do acesso, poderá o interessado interpor recurso contra a decisão no prazo de 10 (dez) dias a contar da sua ciência.

Parágrafo único. O recurso será dirigido à autoridade hierarquicamente superior à que exarou a decisão impugnada, que deverá se manifestar no prazo de 5 (cinco) dias.

Neste caso, o recurso será encaminhado ao Gerente Executivo da Diretoria de Tecnologia.

Atenciosamente,
Serviço de Informação ao Cidadão do Banco do Brasil – SICBB 

Como o consumidor é tratado no Brasil e nos EUA

Vejam a brutal diferença de duas realidades envolvendo a forma com que empresas de comércio eletrônico tratam o mesmo problema:

• Neste Natal, em função da não ter previsto a grande demanda, a loja americana de comércio eletrônico Amazon não conseguiu entregar no prazo prometido muitas de seus pedidos. Algumas das compras seriam entregues até antes do Natal o que não ocorreu. Para tentar amenizar o problema a Amazon ofereceu, voluntariamente, um cartão presente de U$ 20,00 para os que foram atingidos pelo atraso.  Esses U$ 20,00 podem não resolver o problema de quem ficou sem presente de Natal; dependendo do caso, o inconveniente representa muito mais do que isso. Por outro lado, isso mostra uma disposição da empresa em resolver um problema causado por ela mesma[1]. 
• Aqui no Brasil existem milhares de ações envolvendo o descumprimento dos prazos de entrega no comércio eletrônico. Esse é o cotidiano dessas empresas. Como se sabe, o prazo de entrega faz parte da oferta e deve ser cumprido. Algumas das decisões, todavia, entendem que o mero descumprimento de prazo não configura dano moral, sendo necessárias outras circunstâncias agravantes como o desleixo do fornecedor em atender o cliente ou em não responder suas demandas, recalcitrância em cancelar o pedido quando solicitado, a continuidade do desconto em cartão de crédito sem que a compra seja entregue, etc. Quando estas circunstâncias não acompanham o atraso na entrega, tudo é considerado como "mero incômodo" normal da vida cotidiana.
• Com isso, dou dois exemplos pessoais envolvendo essas duas realidades:
• Em uma situação de demora na entrega de uma compra feita na Amazon, contatei a loja solicitando uma forma de resolver o problema. Eles responderam em menos de 24 horas informando que o livro comprado era o último do estoque e que não teriam como me enviar outro. Assim, prontamente, fizeram o estorno dos valores no meu cartão de crédito. Alguns dias depois o livro chegou. Ao informá-los da situação, eles disseram para eu não me preocupar e que o estorno seria uma forma de amenizar o atraso da entrega.
• Comprei três livros na última BlackFriday na loja virtual da Revista dos Tribunais. A compra foi feita em 29/11/2013. Após fazer uma reclamação sobre a demora na entrega, recebi, duas semanas depois, apenas um dos livros. Fiz diversos contatos pelo site da loja virtual sem receber nenhum retorno. Tive que ligar para lá. A atendente informou que em função da grande procura, esgotou-se o estoque deles. Eu teria que esperar até o dia 31 de Dezembro (ou seja, só para 2014) e que o mesmo teria acontecido com diversos clientes. Tudo isso não mereceu nem ao menos um e-mail por parte da loja para explicar o porquê de ter recebido apenas um dos três livros. Além do mais, eles desrespeitaram o decreto 7962/2013 (art. 4º, inc. V e VI além do seu §único) por não responderem meus contatos feitos por meio de sua página.

Nota-se um abismo entre as duas situações. As pessoas acostumaram-se a serem destratadas a todo o instante. O comércio eletrônico no Brasil é fonte de grandes problemas e de grandes violações dos direitos do consumidor. Empresas vendem e não entregam, descumprem prazos, informam um valor e na hora da conclusão da compra cobram outro, vendem produtos que não possuem, fazem propaganda enganosa, etc. A lista é interminável. O raciocínio é bastante simples: o prazo de entrega deve sempre ser cumprido. Há casos (e isso aconteceu comigo diversas vezes) em que o consumidor pode escolher um produto mais caro em função do prazo de entrega ser menor. Comprar um produto que não se sabe quando será entregue, além de não ter sentido, é bastante frustrante. Além disso, o consumidor perde seu tempo tentando resolver essas questões, escrevendo e-mails, anotando protocolos, fazendo ligações, reclamando pelo Twitter, etc [2]. São os chamados micro-danos que não possuem expressão para levar o consumidor ao judiciário, mas que se somados causam um abalo nas relações de consumo.

Acerca do problema envolvendo a Revista dos Tribunais, é de se notar que a BlackFriday é uma grande oportunidade para as empresas. Naturalmente, em função dos grandes descontos, é de se esperar (o que é bastante óbvio) que ocorra um aumento considerável na demanda. Dessa maneira, se há o risco de faltarem produtos em estoque com a incerteza sobre o prazo de entrega, a empresa deve prevenir-se. Um contador no site informando o número de produtos em estoque pode ser uma ótima forma de resolver o problema. Bastaria que a empresa informasse que o prazo será aumentado para mais de um mês para produtos comprados que não estiverem em estoque. Pronto! A empresa cumpre assim com o dever de informar, o consumidor sabe que comprará um produto que chegará em sua casa daqui a um mês, e todos ficam satisfeitos.

Assim, são inúteis decretos que regulam a atividade do comércio eletrônico bem como a vindoura alteração no CDC se para as lojas for economicamente mais vantajoso descumprir a lei. Enquanto o judiciário insistir em não aplicar a indenização punitiva nessas empresas, de forma que sintam efetivamente a presença do judiciário, essas situações continuarão a fazer parte do nosso cotidiano.

Notas
[1] - Mais informações podem ser buscadas em em uma reportagem do WashingtonPost. 

[2] - Sobre isso, nossa doutrina já se manifestou no excelente livro "Desvio produtivo do consumidor: o prejuízo do tempo desperdiçado" de Marcos Dessaune (diga-se de passagem, editado pela própria Revista dos Tribunais).

Resposta oficial da Abin sobre o monitoramento do WhatsApp

Recentemente a imprensa nacional repercutiu uma notícia (aqui, aqui, aqui e aqui) bastante preocupante: que a Abin, em função das recentes manifestações ocorridas no Brasil, estaria monitorando algumas redes sociais e também o WhatsApp. Pouco foi falado, todavia, acerca do fato das comunicações feitas por meio do WhatsApp serem consideradas comunicações privadas, protegidas por sigilo constitucional. Uma exceção foi a reportagem da revista Galileu que entrevistou o Prof. Carlos Affonso Pereira de Souza e a Profª Carolina Rossini que criticaram a medida. O referido monitoramento, se realizado sem ordem judicial específica, constituir-se-ia no crime de interceptação telemática não autorizada, assim tipificado no art. 10 da lei 9296/96.

Ciente da seriedade desta questão, utilizei-me da lei 12.527/2011 (a lei de acesso à informação) para questionar o Gabinete de Segurança Institucional da Presidência sobre o assunto. Abaixo a reprodução do pedido e da resposta obtida:

Protocolo: 00077.000909/2013-05
Solicitante: Guilherme Damasio Goulart
Prazo de Atendimento: 10/07/2013 23:59:59
Tipo de resposta: Correspondência eletrônica (e-mail)
Descrição da solicitação: A imprensa noticiou, na data de hoje, que a Abin está montando uma rede para monitorar as recentes manifestações na Internet (http://www.estadao.com.br/noticias/cidades,abin-monta-rede-para-monitorar-internet,1044500,0.htm). Ocorre que entre os serviços que estão sendo monitorados, um deles, o WhatsApp, é um serviço de mensagens privadas. Minha solicitação é : - Saber como o serviço WhatsApp está sendo monitorado (quais os meios técnicos usados e como as mensagens estão sendo interceptadas). - Qual a base legal para este monitoramento e se há ordens judiciais autorizando esta ação.

Resposta
Prezado Senhor, Guilherme Damasio Goulart, Em atenção ao pedido de informação (NUP: 00077.000909/2013-05) apresentado por V.Sa, este Serviço de Informação ao Cidadão do Gabinete de Segurança Institucional da Presidência da República esclarece que a Agência Brasileira de Inteligência (ABIN) não monitora o serviço de WhatsApp. Informamos ainda, que nos termos do art. 15, da Lei nº 12.527/2011, o interessado poderá interpor recurso no prazo de 10 dias. Om informações do Gabinete de Segurança Institucional da Presidência da República. Atenciosamente, Serviço de Informações ao Cidadão do Palácio do Planalto. www.planalto.gov.br/acessoainformacao

Neste sentido, temos uma resposta oficial do Governo Brasileiro afirmando categoricamente que não monitora o WhatsApp. Tenhamos isto em mente caso, no futuro, o contrário venha a ser demonstrado.

Taxonomia revisada de dados das redes sociais

O texto abaixo é uma tradução autorizada do artigo "A Revised Taxonomy of Social Networking Data" de Bruce Scheneier que foi publicado, originalmente em https://www.schneier.com/blog/archives/2010/08/a_taxonomy_of_s_1.html. Agradecemos a gentileza do autor em autorizar a tradução.

---

Taxonomia revisada de dados das redes sociais

Por Bruce Schneier

Trad. de Guilherme Damasio Goulart e Vinícius Serafim

Ultimamente tenho lido sobre segurança do usuário e privacidade - controle, na realidade - nas redes sociais.[1] A questão é difícil e as soluções mais difíceis ainda, e eu tenho visto muita confusão até mesmo na formulação das perguntas. As redes sociais lidam com uma série de tipos de dados diferentes e é essencial separá-los.

Abaixo segue a minha taxonomia[2] dos dados de redes sociais, a qual foi apresentada pela primeira vez na reunião do Internet Governance Forum, em Novembro de 2009 e após uma revisão em Junho de 2010, em um workshop sobre o papel dos intermediários na Internet na OECD.

• Dados de serviço são aqueles dados que você dá ao site de rede social para poder utilizá-lo. Tais dados podem incluir seu nome, sua idade e seu número de cartão de crédito.
• Dados divulgados são aqueles que você publica nas suas próprias páginas: posts em blogs, fotografias, mensagens, comentários, etc.
• Dados confiados são aqueles que você publica nas páginas de outras pessoas. É basicamente o mesmo do que os “dados divulgados”, porém a diferença é que você não tem controle sobre os dados após postá-los - o outro usuário [o destinatário] é que possui este controle.

Continuar lendo

Publicação de artigo na Revista Digital de la Red Iberoamericana de Derecho Informático

Informo, com muita alegria, que o meu artigo "Projeto de atualização do Código Civil e Comercial argentino: lições para o Brasil envolvendo o Direito da Tecnologia" foi publicado no n. 14 da Revista Digital de la Red Iberoamericana de Derecho Informático.

Faço um agradecimento especial ao advogado Guillermo M. Zamora que é Diretor da Red Iberoamericana de Derecho Informático.

A revista pode ser baixada aqui.

Entrevista na Rádio TransMundial sobre crimes informáticos

Publico aqui a entrevista que foi feita comigo na Rádio TransMundial em 04 de Abril de 2013 no programa RevistaRTM. O tema foi a nova lei de crimes informáticos (popularmente chamada de lei Carolina Dieckmann) que passou a vigorar no último dia 3 de Abril.

Meus agredecimentos à jornalista Renata Burjato e à produtora Renata Theodoro.

Em função do tempo e do espaço o assunto foi tratado de maneira mais simples buscando o esclarecimento do público geral. Para uma discussão mais aprofundada e crítica sobre o tema sugiro o episódio 22 do Podcast Segurança Legal, o qual mantenho em conjunto com o prof. Vinícius Serafim. Ele estará disponível a partir do dia 08 de Abril de 2013 no site www.segurancalegal.com.

Curso de Extensão em Responsabilidade Civil na Internet

Gostaria de divulgar aqui um curso que ministrarei na faculdade IDC sobre Responsabilidade Civil na Internet. Mais informações podem ser obtidas clicando na imagem.

Estatísticas de fraudes, proteção de dados pessoais e “pânico moral”

Reproduzo aqui meu artigo publicado no site da empresa BrownPipe Consultoria.

---

O CIFAS (organização sem fins lucrativos de prevenção de fraudes da Inglaterra) reportou que em 2012 houve o registro de 38.428 fraudes[1] envolvendo o acesso não autorizado a contas. De acordo com esta pesquisa, em 65% das fraudes foi necessário que os agentes tivessem que ter acesso a dados pessoais dos usuários para o cometimento dos crimes. Esta aquisição de dados pessoais envolve desde ações de hacking, engenharia social e também interceptação de correspondência e e-mails.

Os números ingleses mostram que houve um aumento de 53% das fraudes envolvendo o acesso não autorizado a contas, de 2011 para 2012. Porém estes números vistos isoladamente podem não signifcar muito. Seria necessário verificar também o crescimento do número de usuários e do número de serviços e contas (sabe-se que os usuários cadastram-se em novos serviços com uma frequência bastante grande). Além do mais, seria importante verificar a diminuição da frequência de outras atividades criminosas. Dependendo da situação, o criminoso migra de atividade, partindo para ações de menos risco ou de maior custo-benefício (aumentando assim o seu benefício marginal)[2].

Destaca-se, inicialmente, a grande diferença de números de fraudes envolvendo a Inglaterra e o Brasil. É evidente que se tratam de países diferentes, com realidades absolutamente distintas (inclusive em relação à educação e à tecnologia) e também com números de habitantes diferentes. Mesmo assim, a natureza das estatísticas - e a sensação que sua divulgação causa - deve ser destacada. A Serasa reportou recentemente a notícia de que a cada 15 segundos uma pessoa seria vítima de “tentativa de fraude” no Brasil e ainda que, de janeiro a setembro de 2012, houve 1.565.028 tentativas de fraude[3]. Infelizmente, a Serasa não reportou... (continuar lendo)

Termos de Uso, EULAs, Windows 8 e clareza de disposições

Reproduzo aqui meu artigo publicado no site da empresa BrownPipe Consultoria.

---

Um dos grandes problemas com o uso de softwares e sistemas na internet, do ponto de vista do consumidor leigo, do usuário comum é a quantidade e a qualidade da informação que os fornecedores dão acerca dos sistemas. Trata-se de um direito básico do consumidor, conforme o art. 6º do nosso CDC.

Ocorre que não se trata apenas do fornecedor meramente publicar ou não as informações. Em alguns casos, o problema está na forma com que as informações são publicadas. Há situações em que é necessária uma formação jurídica para que o usuário compreenda os termos de uso de um site ou sua política de privacidade. Dessa maneira é necessário que a informação seja de qualidade, que realmente possa informar o consumidor leigo, que seja útil e adequada, que seja ostensiva, simples, completa e o principal: compreensível. Também deve informar os direitos e deveres de usuário e também os eventuais riscos aplicáveis à situação (riscos estes envolvendo, entre outras coisas, os problemas do fornecimento de informações pessoais e sensíveis).

Mais complexas ainda são as famosas EULAs (End User License Agreement) ou Licenças de Uso presentes em qualquer sofwtare. Geralmente quem elabora essas licenças de uso consegue utilizar apenas um jargão técnico absolutamente incompreensível para o usuário comum e, em função disto, totalmente inútil do ponto de vista do cumprimento do dever de informar.

(continuar lendo)

Derecho al olvido: Entre la protección de datos, la memoria, y la vida personal en la era digital

Reproduzo aqui um artigo bastante interessante sobre o Direito ao Esquecimento, baseado em um artigo  criado pelo CELE (Centro de Estudios en Libertad de Expresión y Acceso a la Información) da Universidade de Palermo.

---

Las fotos bochornosas de hace diez años en las que fuimos etiquetados, los mensajes que hemos enviado y recibido a través de nuestras cuentas de correo, las conversaciones por chat, las búsquedas realizadas a través de motores como Google o Yahoo!, las compras en línea, o la información de nuestra vida privada publicada por terceros en un portal; ¿es posible que Internet se ‘olvide' de esos datos?

El nuevo trabajo de la Iniciativa por la Libertad de Expresión en Internet del Centro de Estudios en Libertad de Expresión y Acceso a la Información (CELE) aborda los debates en torno a la creación de un nuevo derecho al olvido que podría devolverle al individuo el control sobre su información y, además, liberarlo de su “pasado digital”.

Este nuevo derecho (o la expansión del derecho de ‘habeas data’) permitiría, por ejemplo, que una empresa no tenga más en su poder cierto dato sobre alguien, que se borren de las redes sociales determinadas imágenes, o que un motor de búsqueda excluya de sus resultados los rumores falsos que afectaron la reputación de una persona.

Para los críticos de esta propuesta [en], este olvido digital sería inconveniente en asuntos de interés público: un funcionario que pide que se borre un vídeo donde acepta un soborno o un médico tratando de eliminar un registro sobre una mala práctica profesional, por mencionar algunos ejemplos.

El nuevo trabajo del CELE busca ofrecer un panorama general del tema: esboza una definición de derecho al olvido y su posible tensión con otros derechos existentes, plantea su vínculo con la protección de datos o habeas data, y referencia algunas propuestas prácticas para introducir una especie de olvido en el entorno digital.

El documento [pdf] señala:

Aunque señalamos razones por las que la discusión de derecho al olvido es importante, no pretendemos asumir la defensa de su implementación. Consideramos que, sobre todo, resulta importante entender los argumentos en juego, ubicar –especialmente- las distintas posiciones y empezar a pensar el tema desde América Latina.

Al final del trabajo, CELE recomienda, entre otras cosas, que a la hora de buscar soluciones en materia de derecho al olvido digital se contemple a todos los actores involucrados en Internet -empezando por los usuarios- y que los mecanismos a implementar se ajusten a los estándares internacionales en temas como libertad de expresión y acceso a la información.

Fonte: Global Voices Español

Defesa de Dissertação de Mestrado

Informo aos amigos que, na data de ontem 17/12/2012, defendi com sucesso minha dissertação de mestrado em Direito junto ao PPGD na UFRGS. Obtive o grau A na avaliação da banca juntamente com a recomendação de publicação do trabalho.

O título da dissertação defendida é "Segurança da informação e a proteção contra a violação de dados pessoais: A confidencialidade no Direito do Consumidor". Em breve, após alguns ajustes, pretendo publicá-la resumidamente em forma de artigo.

A banca foi composta pelos professores Drs. Cesar Viterbo Matos Santolim (este meu orientador), Fabiano Menke, Têmis Limberger e Gerson Luiz Carlos Branco. Agradeço de público as valiosas considerações da banca e também todo o apoio que recebi de meu professor orientador.

De igual forma agradeço também a algumas pessoas que foram muito importantes para a composição deste trabalho. É impossível enumerar todas, mas farei isso mesmo correndo o risco de esquecer de alguém. Meus agradecimentos ao amigo e professor Vinícius Serafim, meu irmão por escolha, que contribuiu com suas conversas, com o apoio intelectual e com suas lições de Tecnologia da Informação; ao professor Bruno Miragem que, antes mesmo de meu ingresso no PPGD da UFRGS, deu importantes conselhos; a todos os colegas de Pós-Graduação, principalmente a Fabiano Koff Coulon, João Pedro Scalzilli, Cássio Cavalli e José Rodrigo Dorneles Vieira. Agradeço especialmente ao último pelo grande apoio e pelas palavras de incentivo nas horas difíceis: fico feliz de tê-lo como amigo; ainda a Marcel Leonardi, Aila Corrent, Clemilson Dias, Guilherme Bertoni Machado, Kurt Rieck, André Fávero, André Peres e William Keffer.

Agradeço aos meus pais pelo incentivo e pelo apoio. Agradeço à minha irmã pelo incentivo e por ter presenteado-me com obras importantes para o meu trabalho.

Agradeço, por fim, à minha esposa Tatiane, amiga e companheira, por entender minhas ausências, pelo apoio incessante e pelo imenso carinho.
 

Na foto, da esquerda para direita: Prof. Cesar Santolim, eu, Prof.ª Têmis Limberger, Prof. Gerson Branco e Prof. Fabiano Menke.

Atuação da AGU assegura sigilo de dados coletados pelo IBGE no Censo 2010

Este caso é interessante por se aproximar de decisão semelhante do Tribunal Constitucional Alemão, datada de 25/03/83, que constitui a principal referência, naquele país e no mundo, no que diz respeito à proteção de dados pessoais e também de autodeterminação informativa. No caso alemão, proibiu-se o uso ampliado de dados recolhidos no censo, inclusive, com a proibição de uso dos dados por outros órgãos da administração pública. 

Como se vê, a Alemanha tratou desta questão há quase 30 anos e este precendente é bastante citado em artigos e livros que tratam da disciplina de proteção de dados pessoais. Têmis Limberger e Regina Ruaro chegam a afirmar, inclusive, que esta sentença da Corte Constitucional Alemã, a Sentença da Lei do Censo "é apontada pela maioria maciça da doutrina como uma referência na proteção de dados pessoais". [LIMBERGER, Têmis; RUARO, Regina Linden. O direito de privacidade do servidor na lei de acesso à informação e sua consequência no crime de violação do sigilo funcional. Revista de Estudos Criminais, São Paulo, v. 46, jul./set. 2012, p. 196]. O MPF (autor da demanda contra o IBGE) desconsiderou a melhor doutrina sobre o assunto e também esta decisão alemã que é referência para o estudo do tema em qualquer lugar do mundo. Felizmente, neste caso, a Justiça Federal garantiu o princípio constitucional de proteção da privacidade e de dados pessoais.

A íntegra da decisão pode ser lida aqui.

Abaixo a notícia.

---

A Advocacia-Geral da União (AGU) conseguiu suspender, na Justiça, decisão que obrigava o Instituto Brasileiro de Geografia e Estatística (IBGE) a informar dados sigilosos do Censo de 2010 sobre a identificação das famílias e endereços residenciais de crianças e adolescentes que não possuem registros de nascimentos em Bauru (SP) e demais municípios.

A Justiça havia acatado o pedido do Ministério Público Federal para que o IBGE prestasse as informações sob pena de multa diária de R$ 10 mil. O Escritório de Representação da Procuradoria-Regional Federal da 3ª Região (ER/PRF3) em Bauru/SP e a Procuradoria Federal Especializada junto à Fundação (PFE/IBGE) pediram a reconsideração da decisão, contestando que a quebra do sigilo de dados do Censo configuraria ataque à intimidade e prejudicaria as políticas públicas, que são planejadas com base nessas informações em benefício da sociedade.

De acordo com os procuradores federais, caso as pessoas recenseadas não contassem mais com a garantia de que as informações prestadas ao IBGE seriam utilizadas apenas para estudos estatísticos, perderiam a confiança no órgão. Destacaram que por esse motivo deixariam de repassar dados que poderiam gerar questionamentos pelas autoridades públicas, como a negligência no registro civil dos filhos, impedindo o desempenho das atividades e da missão institucional do Instituto.

Segundo as unidades da AGU se as famílias perdessem a confiança no sigilo dos dados, as análises estatísticas deixariam de retratar o problema, dificultando também a elaboração de estratégias públicas para o seu enfrentamento.

Decisão

Acolhendo os argumentos de defesa das unidades da AGU, a 1ª Vara Federal da 8ª Subseção Judiciária de Bauru/SP julgou extinto o pedido do MPF, determinando a manutenção do sigilo dos dados do Censo. "Não tendo as famílias confiança no sigilo dos dados, as análises estatísticas deixarão de retratar o problema, dificultando a elaboração de estratégias públicas para seu enfrentamento", destacou um trecho da decisão.

Ref.: Ação Civil Pública processada sob o nº 0005687-25.2012.403.6108 - 1ª Vara Federal da 8ª Subseção de Bauru.

Fonte: Leane Ribeiro - Site da AGU

Operação Porto Seguro descobre indícios de vazamento de informações sigilosas no Ministério da Cultura

A operação Porto Seguro da Polícia Federal está demonstrando que os desmandos no primeiro escalão do governo federal atingiram também outros órgãos. Descobriu-se que há indícios de vazamento de informações no Ministério da Cultura. O fato foi confirmado pelo próprio ministro Aloizio Mercadante.

Os indícios apontam que teria havido vazamento de informações sigilosas em favor de algumas faculdades que não tiveram seus nomes divulgados. Estas informações estariam vinculadas ao processo de autorização e avaliação de cursos. O ministro tentou amenizar o problema afirmando que o servidor envolvido teria "função pouco relevante no que diz respeito a autorizar cursos". A polícia investiga ainda se houve fraudes na emissão de diplomas pelas faculdades envolvidas. 

Independente da função deste servidor ser ou não relevante o fato concreto é o vazamento de informações confidenciais no âmbito daquele ministério. A situação assemelha-se aos casos ocorridos no Rio Grande do Sul com o sistema de segurança pública Consultas Integradas. Neste último caso, houve até mesmo condenações de servidores que teriam facilitado e permitido o acesso não autorizado ao referido sistema.

Quando um ministro de Estado tenta abrandar a importância de um vazamento de informações sigilosas feito por um funcionário público, nota-se que além da própria defesa política do órgão, há também uma tentativa de diminuir a seriedade deste crime. Ao desqualificar este tipo de delito a mensagem passada é que isto seria algo de menor importância, um erro pequeno diante da "função pouco relevante" do funcionário. Parece que o vazamento perde a importância uma vez que o funcionário não teria funções de autorizar cursos. 

Nota-se aqui um desafio para o Direito e para a Segurança da Informação. De nada adiante os órgãos públicos federais serem tão avançados no último campo, principalmente com políticas de segurança bem elaboradas, se na prática, funcionários públicos deliberadamente fornecem informações sigilosas em troca de vantagens. É incorreto, no entanto, culpar apenas o poder público. A própria iniciativa privada, aqui representada por algumas universidades, não veem problemas em cooptar e corromper funcionários em troca de vantagens ilícitas. Portanto, se há funcionários que se deixam corromper, há, por outro lado, alguém que aceita corromper. 

De maneira geral é possível ver, na iniciativa privada, negócios que afrontam diretamente a ética. Funcionários de empresas que exigem vantagens para escolher este ou aquele fornecedor de serviços  são um destes exemplos que ocorrem, inclusive, com a área de TI. 

Indenização de R$ 7.000 pela não entrega de produto comprada em loja virtual

Em comparação com outros ordenamentos jurídicos - o americano, por exemplo - o brasileiro possui uma tradição de conceder baixas indenizações em casos de danos morais. Se por um lado tem-se a vedação do enriquecimento sem causa, por outro há a tímida utilização da indenização punitiva (por alguns chamada incorretamente de dano punitivo, esta baseada na doutrina americana dos punitive damages). Há poucos anos atrás, inclusive, a jurisprudência nem reconhecia a possibilidade da utilização da indenização punitiva.

A questão é econômica e as empresas fazem uma análise de custo benefício: se desrespeitar reiteradamente a ordem jurídica for mais barato do que arcar com indenizações, certamente a empresa escolherá esta opção. Da mesma forma, deve ser levado em conta o porte econômico do violador de direitos. Caso trate-se de empresa de grande porte esta situação deve ser observada mais até do que a regra do enriquecimento sem causa, sob pena da indenização não atender ao aspecto punitivo-pedagógico. Quando isto não é observado há um claro desprestígio do poder judiciário e um verdadeiro incentivo para que a empresa continue a desrespeitar o direito.

No entanto, a jurisprudência vem, pouco a pouco, aumentando os valores das indenizações. Neste sentido, em uma situação de não entrega de compras efetuadas em loja virtual, o TJ-RS estipulou uma indenização de R$ 7.000,00 a título de danos morais. É claro que deve ser observado o caso concreto: a loja virtual Magazine Luiza além de não entregar o produto continuou realizando os descontos no cartão de crédito mesmo após aviso do consumidor. A loja, depois de 22 meses da compra, não realizou a entrega do bem adquirido e tampouco suspendeu os descontos no cartão o que certamente contribuiu para a referida indenização.

A íntegra da decisão pode ser acessada aqui.

Em louvor ao Teatro da Segurança

Realizei, junto com Vinícius Serafim, a tradução deste artigo que é de autoria de Bruce Schneier.

O texto aborda um importante aspecto da segurança da informação: a questão da sensação de segurança. Neste contexto o “Teatro da Segurança” - visto como uma expressão simbólica e figurativa - é representado por aquelas medidas tomadas para fazer com que as pessoas sintam-se mais seguras. Ocorre que nem sempre a sensação de segurança está alinhada com a realidade da segurança e este desalinhamento pode causar problemas e até mesmo abalar a confiança das pessoas nos serviços e, consequentemente, nas empresas. Ademais, podem existir situações em que as empresas preocupam-se mais com a sensação de segurança do que com a realidade dela, investindo, assim, mais no “Teatro da Segurança” do que na segurança propriamente dita. 

O artigo foi originalmente publicado no ano de 2007 e sua tradução foi autorizada pelo autor. Você pode acessar a tradução aqui.

Decisão do STJ sobre abuso de direito da Microsoft em caso de contrafação

O recente juldado do STJ, publicado no dia 30/10/2012, traz a questão do abuso de direito das empresas titulares de direitos autorais de software quando propõem, de maneira desarrazoada, medidas cautelares de vistoria a fim de identificar possíveis casos de contrafação de software.

Nesta situação, a empresa atingida ajuizou ação indenizatória contra a Microsoft em função deste abuso de direito. O fundamento legal é encontrado no art. 187 do CC em conjunto com o §5º do art. 14 da lei 9609/98:

§ 5º Será responsabilizado por perdas e danos aquele que requerer e promover as medidas previstas neste e nos arts. 12 e 13, agindo de má-fé ou por espírito de emulação, capricho ou erro grosseiro, nos termos dos arts. 16, 17 e 18 do Código de Processo Civil.

Embora a ementa fale em abuso de direito, o relator afirma ter havido erro grosseiro no exercício de direito. Este erro grosseiro é exteriorizado pelo excesso manifesto no exercício do direito. Destaque-se que não importa se houve dolo ou não para a constituição do abuso de direito. Na situação, houve o entendimento de que, como a empresa atingida nem utilizava os softwares da Microsoft, a atuação desta não foi pautada pela diligência - ou boa-fé - esperada em tais situações.

A condenação, neste caso, ficou mantida em R$ 100.000,00.

Deve ser ressaltado, por fim, o voto-vista da ministra Nancy Andrigui, que assim dispõe:

"Realmente, o direito do titular de zelar pelos seus direitos autorais deve ser exercido com ponderação e austeridade, jamais movido por capricho, comodismo, revanchismo, suspeitas infundadas ou qualquer outro motivo torpe, que não encontre suporte nas premissas legais e constitucionais de proteção da propriedade imaterial." 

A íntegra da decisão pode ser baixada aqui.

Decisão do TJ-RS que decidiu pela não responsabilidade da empresa por ato ilícito de funcionário, durante o trabalho, praticado na Internet

Em um julgado bastante interessante, o Tribunal de Justiça do Rio Grande do Sul decidiu que uma empresa não é responsável pelo ato do funcionário que cria um perfil falso e pejorativo na Internet durante o trabalho.

Mesmo estando no trabalho e usando o computador da empresa, foi decidido que a responsabilidade pelo ato dos funcionários "só pode ser reconhecida se estes se encontravam no exercício do trabalho ou em razão dele."

A doutrina já aponta, há décadas, que há a necessidade da relação do ato ilícito do preposto com suas atividades. Se o ato ilícito for praticado em atividade absolutamente distinta da desenvolvida pelo preposto na empresa, não se fala em responsabilidade do empregador, mesmo diante da estipulação da responsabilidade objetiva do art. 933 do CC.

Mesmo não tendo sido citado pela decisão, tomo a liberdade de trazer a importante lição do mestre Alvino Lima em obra específica sobre o tema (LIMA, Alvino. A responsabilidade civil pelo fato de outrem. Rio de Janeiro: Forense, 1973, p. 56):

"...não se verificará a condição examinada se o ato do preposto não tem relação alguma com as funções que lhe são conferidas ou se esta função não lhe foi designada".

Entendo como correta, neste ponto, a decisão. Baseia-se na chamada "teoria da normalidade do trabalho".

Por sua vez, discordo com a decisão no que diz respeito ao fato de afirmar que "não existe nenhuma norma que determine que os assinantes de conexões à internet mantenham controle sobre todo o tráfego de dados transmitidos."

Na verdade, mesmo sem uma norma específica, podemos chegar à necessidade de um controle de acesso por parte das empresas se considerarmos os deveres advindos da boa-fé objetiva. A consideração da boa-fé objetiva e os deveres anexos  provenientes dela - de proteção, cuidado, cooperação, etc, -, ao meu ver, fazem nascer na empresa o dever de identificar os que usam sua infraestrutura de Internet. Se a empresa não identificar qual funcionário foi o autor de determinada ação, inclusive, pode ser responsabilizada pela omissão na identificação. Em situações análogas, envolvendo lan houses, este dever foi reconhecido havendo, inclusive, em São Paulo, lei específica regulando a identificabilidade destes ambientes. Pensar de forma contrária seria permitir o anonimato daqueles que acessam a Internet nas empresas. O empresário precisa controlar o uso de Internet realizado sob sua estrutura computacional.

De qualquer forma, a decisão é importante para afastar tendências que tentam pregar uma responsabilidade quase que integral dos empregadores pelo ato dos funcionários, no que se refere ao uso da Internet no ambiente de trabalho.

O acórdão pode ser baixado aqui.

Palestra na AGU - A Responsabilidade Civil na Internet

Convido a todos para a palestra que ministrarei na Advocacia Geral da União aqui em Porto Alegre. Trata-se do Fórum de Atualidades Jurídicas realizado pela instituição.

A data é 10 de Outubro de 2012 das 14:00 às 17:00. A AGU fica na Av. Mostardeiro, 483. Também haverá uma palestra do Dr. Ricardo Lupion Garcia intitulada "A boa-fé Objetiva nos Contratos Empresariais".

As inscrições são gratuitas e devem ser realizadas pelo email escoladaagu.rs@agu.gov.br, informando o Nome Completo e CPF.