Na internet além da invasão de privacidade, quando se obtém dados de um usuário sem sua permissão, deve se ter muito cuidado com a evasão de privacidade, nestes casos o usuário fornece espontaneamente dados sobre seus hábitos, gostos e preferências, facilitando assim o trabalho em golpes de engenharia social e um novo elemento foi adicionado nas ferramentas de evasão de privacidade, o foursquare.

O serviço aproveita principalmente da disponibilidade de GPS nos telefones celulares para que o usuário possa indicar o local onde está para sua rede de contatos, ao chegar em um local o usuário faz o chek-in, incentivando-o assim a dizer onde está.

O problema é a utilização indiscriminada do serviço de forma a sempre se indicar o local em que se está o que permite conhecimento em tempo real da localização de uma determinada pessoa.

Robin indica a localização da Bat caverna na internet

Com o surgimento do twitter muitas pessoas passaram a divulgar sua localização, indicando que estavam em uma determinada lanchonete, shopping ou parque, mas com o foursquare há a indicação exata da localização o que certamente é ainda pior, alie a isto o fato de que os locais frequentados por um determinada usuário ficam armazenados e disponíveis para consultas futuras.

O foursquare exige muito cuidado em sua utilização para que não se comprometa a segurança como o fez o Robin ainda, deve se considerar que normalmente este serviço é conectado ao twitter onde quase ninguém restringe o acesso ao seu perfil fazendo com que a localização seja de conhecimento de qualquer pessoa.

Foi publicado hoje o primeiro modelo do marco civil que pode vir a ser a lei que irá regulamentar a os direitos e obrigações dos usuários da internet.

A proteção civil da internet ao invés da penal

A grande diferença deste projeto para os demais já apresentados é primeiramente o fato de prever direitos e garantias aos usuários da internet na esfera civil, ao contrário do projeto do senador Eduardo Azeredo, o mais famoso e em fase adianta de tramitação legislativa, que pretendia instituir primeiramente os crimes ocorridos através da internet sem antes garantir direitos mínimos aos usuários.

Vale lembrar que o direito penal é considerado a “última ratio” do direito, o que quer dizer que a classificação de uma atitude como um crime deve ser a última última alternativa do legislador e não, como pretendia o senador Eduardo Azeredo, tomá-la como primeira medida de proteção.

O debate da lei com sociedade na internet

Logo do Marco Civil da internet que preve direitos e obrigações para os internautas

Além disso este modelo marco civil da internet teve a ampla participação dos internautas em sua elaboração, na primeira fase foram apresentados os pontos básicos do projeto para sugestões da sociedade que durou quarenta e cinco dias, encerrando-se em Novembro do último ano.

O texto publicado hoje é resultado desta primeira fase, em que a comissão de elaboração levou em consideração as sugestões dada para a regulamentação da internet.

O conteúdo do marco civil da internet

O texto provisórios do marco civil da internet publicado hoje contém ao todo 34 artigos divididos em cinco capítulo.

O texto começa com as considerações básicas a serem levadas em conta na disciplinação do uso da internet assim como a definição dos termos utilizados pela lei prevendo ainda os direitos e garantias básicas do internauta, o principal destaque neste caso fica para a determinação de que o acesso à internet é um direito fundamental e para a proteção da privacidade do usuário e sigilo de seus dados.

O texto continua prevendo as obrigações básicas dos provedores de internet e a responsabilidade por conteúdo de terceiros e prevendo a preservação de logs de acesso por até seis meses.

Um dos pontos que considero mais polêmicos neste projeto do marco civil é a previsão de remoção de conteúdo assim que recebida a notificação pelo provedor de serviços de internet, o que poderá gerar uma censura prévia não possibilitando o direito ao contraditório e a à ampla defesa, mas isso será tema de um texto futuro.

Por fim, a lei estabelece os procedimentos para a requisição dos dados de acesso que possibilitem a identificação do usuário e o posicionamento do governo frente à internet.

Conclusões sobre o marco civil da internet

Este projeto sem dúvidas representa um avanço no debate sobre os direitos e obrigações na internet, por prever primeiramente o estabelecimento de direitos ao invés de prever sanções penais, no entanto ele merece, ao meu ver, alguns ajustes para torná-lo mais adequado.

Minhas considerações sobre estes temas serão publicadas aqui e no que couber nos comentários abertos no blog, pois é exatamente para isso essa segunda fase, verificar a aceitabilidade e adequação da lei à sociedade antes de sua aprovação para que esta não seja mais uma das “leis que não pegam” no Brasil.

A popular idéia de que a internet é uma terra sem lei está com os dias contados.

A intenção não é nova, já tivemos muita discussão em torno do projeto do senador Eduardo Azeredo, com diversas manifestações contrárias ao que ali proposto por ser contrário aos princípios básicos da Internet e principalmente pela falta de debate e pressa em sua aprovação.

Pesava ainda contra o projeto o fato de ser uma lei penal e não uma regulamentação civil da utilização da internet, com isto invertia-se o conceito de direito de que a tutela penal deve ser a última a ser utilizada.

Desta vez a lei que regulamentará a responsabilidade civil na utilização da internet abordando principalmente temas como proteção de dados do internauta, neutralidade da internet (não discriminação do conteúdo que é transmitido) e os direitos básicos do internauta.

A favor desta nova lei pesam o fato de estar sendo preparada pelo com o auxílio do pessoal do CTS da FGV Rio e uma maior abertura para o debate público sobre os termos da lei, inicialmente será publicado um blog, ainda no final deste mês, em que serão expostos e discutidos os artigos por um período de 90 dias.

Por fim, talvez este seja o ponto final na discussão sobre os logs de acesso, tema que sempre causa muita divergência pois hoje não há uma obrigatoriedade para o armazenamento e sempre que se fala na imposição desta obrigação através de lei, um dos principais pontos discutidos é o tempo pelo qual o log deve ser mantido.

Resta agora aguardar o lançamento do blog pois esta é uma questão que interessa a todos os internautas.

Tomei conhecimento agora a pouco, através do Direito e Trabalho, sobre o inquerito policial aberto para investigar possível cybercrime de violação de sigilo cometido por este ao divulgar dados de cliente do speedy explorando uma falha de segurança no banco de dados da empresa.

Utilizando SQL Injection Vinucius K-Max agora é investigado por possivelmente ter cometido cybercrime

Em julho o Vinicuis K-Max descobriu que o site da telefonica era vulnerável ao SQL injection e criou um site que divulgava alguns dos dados encontrados no banco sem fornecer os últimos dígitos de telefones ou CPF, por exemplo, tentando proteger a privacidade dos consumidores, o que para a polícia paulista não teria impossibilitado a caracterização do cybercrime que apuram.

Em entrevista publicada na Info online, K-Max afirma que a ultima atualização no site da telefonica deu-se a cerca de três anos pois, pois a informação do “header http Last-Modified” datava deste ano.

O art. que teoricamente ele teria infringido é o 153, que diz

Art. 153 – Divulgar alguém, sem justa causa, conteúdo de documento particular ou de correspondência confidencial, de que é destinatário ou detentor, e cuja divulgação possa produzir dano a outrem.

Caso o inquérito  conclua pela violação do artigo acima e o juiz aceite a acusação, creio que a principal defesa a ser explorada é a “justa causa” na divulgção dos dados, por três anos a telefonica manteve seu banco de dados com esta falha e em 24 horas, após o início da possível execução deste cybercrime, a telefonica a corrigu, impedindo a divulgação dos dados sigilosos de seus clientes do speedy

Outro ponto a ser explorado é o fato de que o K-max não era o portador dos dados, por isso não teria violado o artigo em questão, enfim, estas análises superficiais das possíveis defesas caso o juiz aceite a denúncia.

Creio no entanto que poderia sim ter havido violações ao artigo 5º da constituição federal, em seu inciso X e talvez ao XII,

X -  são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação;

(…)

XII -  é inviolável o sigilo da correspondência e das comunicações telegráficas, de dados e das comunicações telefônicas, salvo, no último caso, por ordem judicial, nas hipóteses e na forma que a lei estabelecer para fins de investigação criminal ou instrução processual penal

de toda a forma, não creio em violação ao inciso XII pois não houve interceptação dos dados, mas mera consulta, por fim também pode ter havido uma possível violação aos direitos autorais devido a manipulação da base de dados da telefonica, que é protegida nos termos da LDA,  art. 7º, XII

Apesar de tudo preocupa-me mais o fato de que este caso será artilharia pesada nas mãos do senador Eduardo Azeredo para aprovar seu AI-5 digital.

Foto utilizada de acordo com os termos da licença Creative Commons By-NC originalmente publicada no Flickr de prashant_zi.