Tomei conhecimento agora a pouco, através do Direito e Trabalho, sobre o inquerito policial aberto para investigar possível cybercrime de violação de sigilo cometido por este ao divulgar dados de cliente do speedy explorando uma falha de segurança no banco de dados da empresa.
Utilizando SQL Injection Vinucius K-Max agora é investigado por possivelmente ter cometido cybercrime
Em julho o Vinicuis K-Max descobriu que o site da telefonica era vulnerável ao SQL injection e criou um site que divulgava alguns dos dados encontrados no banco sem fornecer os últimos dígitos de telefones ou CPF, por exemplo, tentando proteger a privacidade dos consumidores, o que para a polícia paulista não teria impossibilitado a caracterização do cybercrime que apuram.
Em entrevista publicada na Info online, K-Max afirma que a ultima atualização no site da telefonica deu-se a cerca de três anos pois, pois a informação do “header http Last-Modified” datava deste ano.
O art. que teoricamente ele teria infringido é o 153, que diz
Art. 153 – Divulgar alguém, sem justa causa, conteúdo de documento particular ou de correspondência confidencial, de que é destinatário ou detentor, e cuja divulgação possa produzir dano a outrem.
Caso o inquérito conclua pela violação do artigo acima e o juiz aceite a acusação, creio que a principal defesa a ser explorada é a “justa causa” na divulgção dos dados, por três anos a telefonica manteve seu banco de dados com esta falha e em 24 horas, após o início da possível execução deste cybercrime, a telefonica a corrigu, impedindo a divulgação dos dados sigilosos de seus clientes do speedy
Outro ponto a ser explorado é o fato de que o K-max não era o portador dos dados, por isso não teria violado o artigo em questão, enfim, estas análises superficiais das possíveis defesas caso o juiz aceite a denúncia.
Creio no entanto que poderia sim ter havido violações ao artigo 5º da constituição federal, em seu inciso X e talvez ao XII,
X - são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação;
(…)
XII - é inviolável o sigilo da correspondência e das comunicações telegráficas, de dados e das comunicações telefônicas, salvo, no último caso, por ordem judicial, nas hipóteses e na forma que a lei estabelecer para fins de investigação criminal ou instrução processual penal
de toda a forma, não creio em violação ao inciso XII pois não houve interceptação dos dados, mas mera consulta, por fim também pode ter havido uma possível violação aos direitos autorais devido a manipulação da base de dados da telefonica, que é protegida nos termos da LDA, art. 7º, XII
Apesar de tudo preocupa-me mais o fato de que este caso será artilharia pesada nas mãos do senador Eduardo Azeredo para aprovar seu AI-5 digital.
Foto utilizada de acordo com os termos da licença Creative Commons By-NC originalmente publicada no Flickr de prashant_zi.
O Facebook é em todo o mundo, menos no Brasil, o que o Orkut é para nós brasileiros, a principal rede relacionamentos e como em todas as outras redes o usuário, ao registrar-se no site tem de “aceitar” os termos do serviço, em nada distantes do que denominamos contrato de adesão, e como em todos os outros casos, há a cláusula de que os temos de serviço poderão ser alterados a qualquer momento sem prévio aviso.
No último dia 14 de Fevereiro, fazendo uso da cláusula para alterar o contrato sem prévio aviso, o site alterou as normas quanto a disponibilidade dos dados pessoais no serviço. O usuário que poderia a qualquer tempo remover o que bem entendesse do site, passou a ficar preso a vontade dos administradores do site que poderiam continuar a usar a informação, fotos, recados na “Wall” (como os scraps do orkut) livremente.
Não demorou muito e os usuários do serviço rebelaram-se contra as mudanças, e com razão, fazendo uma imensa pressão pela Internet através da blogosfera e da criação de grupos no próprio Facebook, conseguiram com que a administração do site voltasse atrás em sua decisão, revendo sua política de propriedade dos dados e privacidade.
A interação em redes sociais na internet vulnerabiliza a privacidade se não fore bem utilizadas
Apesar de ter realizado a mudança na terça feira o tema repercutiu durante toda a semana, fazendo com que houvesse uma reflexão sobre a disponibilização de dados em redes sociais, e como elas afetam nossa privacidade. Neste tema o Manoel Netto do Tecnocracia comentou o tema quando do lançamento do Latitude, resumidamente, toda a atividade social traz alguns riscos, pode-se mantê-los moderados, mas tudo depende das escolhas dos usuários.
Um pouco mais aprofundado na questão é o do Rafael Capitão que aborda a segurança nas redes socais e aspectos jurídicos desta , indicando ao final um link com dicas de segurança na rede, básica, mas fundamentais e que garantem mais facilmente a privacidade e o controle de seus dados na internet.
De toda a forma esta questão sobre quem é o proprietário dos dados e conteúdos disponibilizados na internet não é exatamente nova, no meio do ano passado houve um incidente do mesmo tipo com a Abril Blogs e mesmo com o Chrome do Google.
Como aborda Chris Matyszczyk os “TOS são escritos por advogados e aceitos por pessoas q estão com pressa demais par utilizarem o serviço e não os leem.”
A legislação americana pode até mesmo permitir que este tipo de dados sejam cedidos, mas no Brasil, nome e imagem são aspectos personalíssimos não podendo ser cedidos a qualquer título e os conteúdos produzidos pelos usuários estão protegidos pelo direito de autor que, pela nossa lei Lei de direitos autorais exige que os contratos de cessão e licenciamento sejam específicos para cada uso o que tornaria inválida a cessão por um contrato de adesão genérico, como no caso do Facebook.
Foto utilizada mediante a licença CC-NC-SA concedida por Manoel Netto originalmente publicada no Flickr.
Nota fiscal paulista instituiu o Big Brother São Paulo
A Nota Fiscal Paulista foi instituída com o intuito de aumentar a arrecadação, transferindo ao cidadão parcela do dever de fiscalização ao incentivar a solicitação de notas fiscais, sendo então identificado pelo número de CPF e quando processado o recolhimento do ICMS daquela nota fiscal, até 30% daquele valor seria devolvido ao consumidor.
Desde o início utilizei a NFP, acreditava eu tratar-se de uma ótima iniciativa do governo paulista para diminuir a sonegação e devolver, de fato, parte dos impostos pagos.
Muitas pessoas que conheço não pedem a NFP por medo de que a Receita federal obtenha os dados dos gastos e cruze com os dados da Declaração de impostos de renda para fechar ainda mais a malha fina.
Nunca me preocupei com isto, sou daqueles que pensam que não tem nada a esconder, ou mais especificamente, não tenho como esconder, tudo o que recebo é informado à receita diretamente pela empresa através da Declaração de imposto retido na fonte.
A grande sacada da nota fiscal paulista, além de gerar créditos para o contribuinte, é possibilitar o acompanhamento no site do programa, assim se a compra realizada não aparecer no site é só denunciar que será apurado o que ocorreu, se um erro do sistema ou se um “esquecimento” do vendedor.
Não costumo acompanhar os rigidamente os créditos que recebo, porém esta noite, enquanto guardava as notas fiscais mais recentes resolvi verificar o quanto acumulara.
Um das compras que realizei no início do último ano
Ao fazer a consulta notei que, o que creio ser o número da nota, é um link, ao clicá-lo é exibida a nota fiscal, da maneira como me foi entregue, inclusive com a quantidade, descrição e preço dos produtos.
Não me preocupo com o fato de o google ler meus e-mails, se não os armazenasse em seu sistema, teria que fazer em um servidor de terceiros pois não tenho como manter um servidor dedicado na sala de casa. Não me importo com o registro de meus números de IP, gerando os logs de acesso, quando interajo com um site ou como dito anteriormente, a possibilidade de a receita cruzar os dados com a secretaria da fazenda, o que realmente me preocupou foi o monitoramento, não dos valores gastos, mas com o que foram gastos.
Pesquisando a legislação paulista descobri que esta exigência não advém da nota fiscal paulista mas da escrituração fiscal, pela conjugação das normas abaixo:
A disponibilização desta informação se dá pela conjugação de diversas normas:
- Art. 67 e §1ºda lei 6374/89
Art. 67 – As pessoas sujeitas à inscrição no cadastro de contribuintes, conforme as operações ou prestações que realizem, ainda que não tributadas ou isentas do imposto, devem, relativamente a cada um de seus estabelecimentos, emitir documentos fiscais, manter escrituração fiscal destinada ao registro das operações ou prestações efetuadas e atender às demais exigências decorrentes de qualquer outro sistema adotado pela Administração Tributária.
§ 1º – Os modelos de documentos e livros fiscais, a forma e os prazos de sua emissão e escrituração, bem como disposições sobre sua dispensa ou obrigatoriedade de mantença, serão estabelecidos em regulamento ou em normas complementares.
- Art. 2º e 3º e 14º da portaria CAT – 85 de 4 – 9 – 2007
Art. 2º – Os documentos fiscais a seguir indicados deverão, após sua emissão por contribuinte paulista, ser registrados eletronicamente na Secretaria da Fazenda para que seja gerado seu respectivo Registro Eletrônico de Documento Fiscal – REDF:
I – Nota Fiscal, modelo 1 ou 1-A;
II – Nota Fiscal de Venda a Consumidor, modelo 2;
III – Cupom Fiscal, emitido por meio de Equipamento Emissor de Cupom Fiscal – ECF.
Parágrafo único – O disposto no caput não se aplica à Nota Fiscal de Venda a Consumidor “On-line” – NFVC-“On-line”, modelo 2, de que trata o inciso II do artigo 212-O do Regulamento do ICMS.
Art. 3º – Registro Eletrônico de Documento Fiscal – REDF é o conjunto de informações armazenadas eletronicamente na Secretaria da Fazenda que correspondem aos dados do documento fiscal informados pelo contribuinte emitente.
Artigo 14 – As informações disponíveis no Registro Eletrônico de Documento Fiscal – REDF poderão ser consultadas eletronicamente pelo:
I – contribuinte emitente do respectivo documento fiscal;
II – contribuinte destinatário do respectivo documento fiscal;
III – legítimo interessado em informações contidas em determinado Registro Eletrônico de Documento Fiscal – REDF, mediante preenchimento de formulário eletrônico com os dados que identifiquem o respectivo documento fiscal.
- Art. 133 do decreto 45490/2000
Art. 133 – A Nota Fiscal de Venda a Consumidor emitida nos termos do inciso I do art. 132-A deverá conter as seguintes indicações (Lei 6.374/89, art. 67, § 1°, e Convênio de 15-12-70 – SINIEF, art. 51, na redação do Ajuste SINIEF-10/99):I – a denominação “Nota Fiscal de Venda a Consumidor”;
II – o número de ordem, a série e o número da via;
III – a data de emissão;
IV – o nome do titular, o endereço e os números de inscrição, estadual e no CNPJ, do estabelecimento emitente;
V – a discriminação da mercadoria: quantidade, marca, tipo, modelo, espécie, qualidade e demais elementos que permitam sua perfeita identificação;
VI – os valores, unitário e total, das mercadorias, outros valores cobrados a qualquer título e o total da operação;
VII – o nome, o endereço e os números de inscrição, estadual e no CNPJ, do impressor do documento, a data e a quantidade da impressão, o número de ordem do primeiro e do último documento impresso, a série e subsérie e o número da Autorização de Impressão de Documentos Fiscais.
§ 1° – Quando solicitado pelo consumidor, o número de inscrição no Cadastro de Pessoas Físicas – CPF ou no Cadastro Nacional de Pessoas Jurídicas – CNPJ que o identifique deverá constar no corpo da Nota Fiscal de Venda a Consumidor.
Por fim, não há motivo para exigir a descrição de cada item pois a base de cálculo é o valor total da operação (Art. 62, I 6374/89)
Imaginem o caso de alguém que vá aos finais de semana para a cidade de São Paulo Estado sabe a que horas essa pessoa sai da sua cidade e chega em SP, o que e onde comeu, quais livros, revistas, DVD’s e CD’s comprou e o que fez para se entreter, provavelmente sabem com maior exatidão a hora que chegou em casa do que as pessoas que vivem com ele.
Além de todas essas informações resta a dúvida quanto ao que é feito com elas e por que tamanho grau de detalhamento se tudo que eles precisam é o valor total da operação.
Finalmente passei a acreditar que se comprar um Main Kampf, alguém saberá, descenessário citar que 1984 de Orwell também pode estar nesta lista.
No mês de março ocorrerão dois interessantes eventos na área de direito e informática, direito eletrônico ou direito digital, independente da forma como você queira referir-se à esta área do direito.
Introdução ao direito eletrônico
Realizado pela Escola paulista de direito é organizado Alan Balban Sasson que e será um de seus conferencista juntamente com ada Pellegrine Grvinover, Carlos Eduardo Moreira Valentim, José Carlos de Araújo Almeida Filho e Rony Vainzof.
O curso será ministrado às terças e quintas feiras, de 10 a 26 de março das 19 ás 21 com um total de 12 horas aula que abordarão o teletrabalho e a necessidade de regulamentação, o e-mail corporativo e a possibilidade de monitoramento pelo empregador, o processo eletrônico em conformidade com a lei 11.419/06, crimes informáticos e o pregão eletrônico.
As inscrições para o curso de introdução ao direito eletrônico podem ser feitas através do site.
Aspectos jurídicos da comunicação eletrônica e internet: privacidade e manipulação de dados
Realizado pelo IICS com organização em cooperação com a Universidade de Hanover e o Instituto de Informática Jurídica – IRI de Hanover tendo como palestrantes
Michael Wagner, Manoel J. Pereira dos Santos, Alessandro Brito, João Fábio Azevedo e Azeredo e Marcel Leonardi.
O simpósio ocorrerá no dia 03 de março das 13:30 às 19:30 abordando a proteção de dados pessoais no Brasil e na Europa, transferência de dados bancários para a receita federal, retenção de dados: obrigações e limites e criação de perfis (profiling) e marketing direto.
As inscrições para o simpósio sobre privacidade e manipulação de dados podem ser feitas através do site.
O presidente do STF, Ministro Gilmar Mendes, deferiu a liminar requerida pelo Google na Ação Cautelar 2265, para que o Tribunal de Justiça do Rio de Janeiro destrancasse o recurso extraordinário interposto contra decisão da 26ª vara do Rio de Janeiro.
Google obteve do presidente do STF liminar para que seja analisado seu Recurso extraordinário
Em 13 de Novembro de 2007, o Ministério Público ajuizou ação para obter, independentemente de determinação judicial, mediante simples requisição, a quebra do sigilo dos dados cadastrais e logs de acesso às contas de perfis suspeitos de serem utilizados para a prática ou facilitação de crimes.
Alegava o promotor que a demora da empresa em entregar os dados atrapalhava a apuração de ilícitos praticados através do Orkut, solicitando acesso imediato, ao M.P. e aos órgãos policiais que requisitassem a violação do sigilo dos dados dos usuários, resumidamente, o que o parquet queria era uma decisão judicial para obter os dados dos usuários sem a necessidade de a cada nova investigação ter que solicitar autorização judicial novamente.
O juiz de primeira instância, Gustavo Quintanilha Telles de Menezes , ignorando o que dispõe a lei 9296/96 sobre o sigilo de dados em redes telemáticas, concedeu exatamente o que o Ministério Público solicitou, uma ordem para que os dados fossem fornecidos por simples requerimento do M.P. ou polícia civil, independentemente de novas autorizações judiciais.
O Google, por entender que a decisão lesaria a privacidade de seus usuários, agravou a sentença e interpôs Recurso Extraordinário, para que o STF verificasse possível lesão à direito fundamental, conforme prevê a constituição em seu art. 5º, X, CF, porém novamente teve seu pedido negado pelo TJRJ, que aplicando a regra do 543, §4º reteve o recurso extraordinário.
A decisão do presidente do STF não resolveu a questão da quebra de sigilo sem autorização judicial, pois não é este o objeto da ação cautelar que visa somente o envio do RE àquele tribunal, quando então será verificado o mérito da questão.
Assim a regra do art. 542 § 3º, do Código de Processo Civil, poderá ser afastado nas hipóteses em que esteja comprovada a possibilidade da ocorrência de danos irreparáveis ou de difícil reparação às partes e demonstrada a viabilidade de processual do recurso extraordinário e a plausibilidade das razões alegadas.
De toda forma, pode-se verificar a tendência do ministro ao dizer, em sua decisão:
A jurisprudência deste tribunal é de que o sigilo da comunicação de dados somente pode ser violado por ordem judicial, para fins de investigação criminal ou instrução processual penal (art. 5º, X, CF) ou pelas Comissões Parlamentares de Inquérito, que possuam poderes de investigação próprios das autoridades judiciais.
tendo por fim decidido:
No presente caso a decisão recorrida pode resultar em quebra do sigilo de dados cadastrais, sem prévia autorização judicial, dos usuários dos serviços de do sitio de relacionamentos “Orkut”, universo que engloba cerca de 37 milhões de usuários conforme afirmação à fl. 31.
(…)
Defiro a medida cautelar, ad referendum, para determinar que o Tribunal a quo realize o juízo de admissibilidade do RE no 2008.134.10.128
Fonte: Notícias STF
Foto utilizada conforme os termos da licença CC-BY-NC-SA, concedida pelo autor mark knol originalmente publicada no Flickr.
Após escrever o texto sobre a legalidade do armazenamento dos logs de acesso à Internet passei a buscar mais algumas informações sobre o caso.
No site da ABRANET é possível encontrar o acordo realizado entre os principais provedores de acesso à internet, aquela associação e o ministério público para o combate à pornografia infantil e ao racismo, assinado em 10 de Novembro deste ano.
Após uma longa exposição de motivos dentre os quais a necessidade de se zelar pelo bem estar das crianças e adolescentes e a dignidade de todos os cidadãos brasileiros os termos do acordo trazem dentre outras obrigações o armazenamento dos logs de acesso à internet pelos provedores.
Ocorre que o texto em sua cláusula segunda alínea “h” traz a obrigação de armazenar os logs nos seguintes termos:
h) preservar e armazenar, pelo prazo mínimo de 6 (seis) meses ou prazo superior que venha a ser estabelecido na legislação, o registro de logs de acesso discado e, quando possível, os IPs originários dos usuários dos serviços de web page, salas de bate papo, fotologs, fóruns de discussão on-line. O disposto nesta cláusula, aplicar-se-á mesmo após o prazo mínimo, se houver solicitação escrita da Polícia Federal ou do Ministério Público Federal, até que estas autoridades providenciem a competente ordem judicial de quebra de sigilo de dados telemático;
A situação não é tão alarmante quanto publicou o Xô Censura, na clausúla transcrita não se observa nenhuma intenção de vigilância sobre qualquer pessoa, pelo contrário, prevê que a que a entrega dos dados somente será efetuada mediante ordem judicial que autorize a quebra do sigilo destes dados.
Voltamos afirmar, inclusive, que frente ao que dispõe a recente lei
118329/08 editada para aprimorar o combate à produção, venda e distribuição de pornografia, ainda que aprovada e publicada posteriormente à assinatura do acordo, passa muito longe de qualquer prazo prescricional, correndo-se o risco de, por prever um período muito curto, prescrever os crimes nelas enumerados.
Também merece atenção o trecho que diz ser obrigatória preservação e armazenamento de logs de acesso discado, eliminando assim a obrigatoriedade do armazenamento dos logs de acesso por provedores de acesso por de banda larga, vez que estes não são discados, cremos que neste caso deverá ser dada a interpretação extensiva, ultrapassando-se a má escolha dos termos empregados no acordo.