COMÉRCIO ELETRÔNICO À LUZ DO CÓDIGO DE DEFESA DO CONSUMIDOR

COMÉRCIO ELETRÔNICO À LUZ DO CÓDIGO DE DEFESA DO CONSUMIDOR

Carmina Bezerra Hissa

Volver al índice

 

 

5.2 Direito a Privacidade

A internet, associada aos avanços tecnológicos desenvolvidos, tem trazido sérias e graves violações a privacidade dos internautas.

Apesar de ser um tema bastante amplo e de suma importância nas relações futuras, traçaremos algumas considerações a respeito do mesmo e sua necessidade premente de regulamentação, visto que o nosso ordenamento jurídico não possui nenhuma legislação específica que regulamente a privacidade e proteção de dados na Internet.

Certamente, nossa privacidade esta sendo violada a cada vez que entramos na internet, fazemos dowloads de um programa, acessamos nosso e-mail, ou simplesmente navegamos na internet.

A cada clique do mouse, somos vigiados, seguidos, monitorados devido às tecnologias cada vez mais perversivas e onipresentes. Através dessas tecnologias nossos dados são armazenados sem que tenhamos conhecimento onde são guardados, bem como o conteúdo do que foi guardado e de que forma serão usados, vendidos, cedidos, alterados, ou podendo ainda simplesmente ser até mesmo furtados.

Essa invasão de privacidade, através dos meios virtuais ocorre na pratica de spam e dos cookies.

Por se tratar desse mundo virtual, transfronteiriço, constatamos ser essa uma preocupação inerente a todos os países.

Teceremos aqui breves comentários acerca da regulamentação da privacidade dos dados nos diversos países, face à importância do tema.

A primeira lei sobre privacidade na internet foi editada em 1973, na Suécia 11. Nesse mesmo ano o Conselho Europeu edita, a Resolução nº 22 que trata da proteção da vida privada das pessoas físicas referente a bancos de dados eletrônicos do setor privado e em 1974 esta proteção é estendida aos bancos de dados eletrônicos do setor público.

Em esfera constitucional, Portugal foi o país que primeiramente fez constar o direito à intimidade frente ao uso da informática.

A Espanha adotou, em sua Constituição de 1978, o direito à intimidade frente ao uso da informática. Assim, em seu artigo 18.4 estabelece que: " La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos ".

A União Européia, através do Parlamento Europeu e do Conselho da União Européia, aprovou a Diretiva 95/46/CE, que vem sendo transformada em leis nacionais nos países da UE.

O escopo desta Diretiva visa concretizar os fins inicialmente previstos pelo Convênio 108 de 28 de janeiro de 1981, especialmente no que tange à harmonização das legislações sobre proteção de dados pessoais e direito à intimidade existentes nos países membros da União Européia.

Quanto aos princípios norteadores da Diretiva 95/46/CE, podemos mencionar quatro importantes, que servem de alicerce e subsidio para implantação de leis nacionais nos países da UE.

O primeiro princípio diz respeito à publicidade, a transparência na coleta dos danos onde afirma que deve ser de conhecimento público a existência e a utilização de qualquer banco de dados com informações pessoais, exigindo ainda a ciência aos envolvidos que tenham dados pessoais sendo utilizados.

Outro princípio é concernente à boa-fé ou a finalidade, posto que a coleta de dados deve estar em consonância com o objetivo proposto, ou seja, que tenha relação direta com o mesmo, limitando assim os dados coletados. Assim só podem ser coletados os dados, com o consentimento do interessado e de conformidade com o objetivo.

O princípio do livre acesso defende a acessibilidade do indivíduo ao banco de dados onde suas informações estão armazenadas, bem como a possibilidade de controle destes dados, suas correções e supressões das que não forem pertinentes ou estejam desatualizadas.

Por fim temos o princípio da segurança do sistema onde estão armazenados os dados, visto que o administrador do banco de dados é responsável pela proteção contra os riscos de extravio, destruição, modificação, transmissão ou acesso não autorizado dos mesmos.

Posteriormente a União Européia editou em 15 de dezembro de 1997 a Diretiva 97/66/CE, que segundo afirma Miguel Angel Davara Rodríguez:

"Esta directiva tiene como objetivo la armonización de las disposiciones de los Estados miembros necesarias para garantizar un nivel equivalente de protección de las libertades y de los derechos fundamentales y, en particular, del derecho a la intimidad, en lo que respecta al tratamiento de los datos personales en el sector de las telecomunicaciones, así como la libre circulación de tales datos y de los equipos y servicios de telecomunicación en la Comunidad, según ella misma contempla en el apartado 1 del artículo primero12 ".

Os Estados Unidos, não possuem legislação pertinente à privacidade, deixando para que as empresas se auto-regulem, face à Primeira Emenda Constitucional Norte Americana.

A Federal Trade Commission (FTC), entidade que lida diretamente com a proteção do consumidor nos Estados Unidos emitiu um relatório sobre a privacidade on-line para o congresso Norte-Americano, onde constata que 92% dos websites coletam dados pessoais e 86% deles não deixam claro que o estão fazendo.

A FTC, regulamentador das atividades comerciais, em consonância com o entendimento da União Européia, instituiu quatro normas básicas sobre a privacidade na internet que seriam: o aviso, a escolha, o acesso e a segurança.

Desta forma, o site deveria informar ao internauta claramente quais informações estão sendo coletadas, para que fim, dando-lhe acesso às mesmas, para verificação, correções e atualizações, bem como garantir as proteções necessárias contra terceiros a esses dados coletados.

Destarte, a FTC ajuizou, em 1999, sua primeira ação referente à privacidade na internet contra o provedor norte-americano Geo-cites, que fez um acordo judicial onde se comprometia a publicar claramente, em suas páginas na internet, quais informações pessoais seriam coletadas e para que propósito 13.

O Departamento de Comércio dos Estados Unidos, face à Diretiva 95/46/CE que restringiu a exportação de dados pessoais para países onde não é respeitada a privacidade dos indivíduos, publicou um documento norteador denominado Internacional Safe Harbor Privacy Priciples, conhecido como “porto seguro”, onde elenca sete princípios que devem ser observados pelas empresas, quanto à proteção internacional da privacidade on-line.

Mister se faz ressaltar que tais princípios estão em sintonia com a Diretiva Européia em vários aspectos, pois senão vejamos: o site deverá noticiar que vai coletar os dados do internauta; deverá facultar ao internauta a escolha, ou seja, o mesmo é quem decidirá se quer ou não que o site colete dados sobre ele; o site deverá pedir a autorização para repassar os dados a terceiros; o site deverá ainda implantar sistema de segurança para que não haja acesso não autorizado por terceiros, garantindo a integridade dos dados coletados; o site disporá ainda ao internauta o acesso ilimitado aos seus dados, possibilitando que o mesmo modifique, altere ou suprima os dados já coletados e por último o site terá que desenvolver mecanismos que permitam fiscalização e o cumprimento dos ditos princípios pelos diversos sites.

Essa iniciativa americana de auto-regulamentar a privacidade dos dados, foi originada da estipulação pela Diretiva 95/46/CE que proíbe a exportação de dados pessoais da EU para outros países que não possuam um tratamento adequado da privacidade destes dados.

Assim, para evitar uma legislação específica o Departamento de Comércio dos Estados Unidos, criou o “Safe Harbor”, que obteve a aprovação da Comissão Européia em julho de 2000.

Apesar de regulamentar, várias associações comerciais norte-americanas têm se movimentado no sentido de que se aprove uma legislação específica em nível federal, como o pedido feito publicamente em início de 2001 por uma das principais associações, a American Electronics Association (AeA) 14

Observamos também a mesma iniciativa por parte das entidades civis americanas, quando 17 dessas entidades, representadas pelo EPIC (Eletronic Privacy Information Center) fizeram um apelo público ao presidente dos EUA, George W. Bush para que fosse apresentada uma legislação sobre a privacidade de dados pessoais15.

Em uma analise comparativa entre a Diretiva Européia 95/46/CE e o Safe Harbor, temos algumas diferenças relevantes quanto aos dados que devem ser colhidos e protegidos.

O modelo europeu trás a luz uma distinção clara entre dados pessoais e sensíveis e as possibilidades de coleta dos mesmos.

Classifica-se na diretiva supramencionada como dados pessoais, o nome completo, o número do CPF, da carteira de identidade, o endereço residencial e profissional, estado civil, dentre outros. Contudo, as proteções aos dados sensíveis dizem respeito aos passíveis de discriminação nas suas mais diversas formas e assim o sendo necessitam de um maior cuidado na sua divulgação.

São dados sensíveis, aqueles objetos de preferência e hábitos sexuais, de origem étnica ou racial, crenças e opções religiosas, filiações partidárias e sindicais, posições ideológicas, informações médicas e genéticas, dentre outras.

O modelo europeu só permite a coleta de dados sensíveis quando há autorização expressa do internauta.

O modelo americano não faz distinção entre dados sensíveis e pessoais, permitindo que todos e quaisquer tipos de dados dos internautas sejam coletados.

Donde se conclui que o modelo europeu quanto à privacidade da coleta de dados, adota o sistema opt-in, ou seja, a empresa tem que solicitar autorização do internauta para coletar seus dados, informando posteriormente sobre o destino e a utilização. Já o modelo americano adota o sistema Opt- Out, que faculta ao internauta a opção de pedir que seus dados não sejam coletados.

Recentemente a União Européia reconheceu a Argentina como o único país da América Latina que tem uma legislação adequada sobre privacidade de dados.

No Brasil, como nos Estados Unidos, não possuímos uma legislação especifica sobre privacidade de dados, contudo temos mecanismos vigentes que nos possibilitam trazer para analise a sua aplicabilidade nessa esfera, visto que existem dispositivos legais esparsos que protegem a privacidade, bem como o sigilo de dados, comunicações e informações pessoais.

A Constituição Federal traz princípios gerais que protegem a privacidade e o sigilo da correspondência e da comunicação de dados.

Temos atualmente a denominada Norma de Referência da Privacidade On-line – NRPOL, que estabelece princípios éticos que servem de parâmetros e devem ser seguidos para a proteção da privacidade das informações pessoais identificáveis de seus usuários e enuncia também um conjunto de atividades complementares e de procedimentos normativos, que deverão ser regularmente cumpridos por todos.

A NRPOL estabeleceu vários princípios éticos de proteção a privacidade do usuário na internet, dentre eles podemos citar os seguintes:

1 – as informações pessoais identificáveis podem ser obtidas para um ou mais propósitos e devem ser coletadas por meios éticos legais;

2 – o propósito da coleta de informações pessoais identificáveis devem ser especificado antes do instante da coleta;

3 – as informações pessoais identificáveis solicitadas devem ser adequadas, relevantes e não superar os objetivos para os quais são coletadas;

4 – as informações pessoais identificáveis coletadas devem ser mantidas integras, conforme fornecidas pelo usuário;

5 - as informações pessoais identificáveis devem ser atualizadas quando necessário ou quando for solicitado pelo usuário;

6 – a empresa (site) deve ter uma política explicita de práticas e procedimentos com relação aos dados pessoais identificáveis de seus usuários;

7 – a empresa deve tomar medidas técnicas e organizacionais para evitar a utilização desautorizada ou desacordo com a lei e contra a perda acidental, destruição ou dano das as informações pessoais identificáveis de seus usuários;

8 – devem ser observados rígidos limites éticos na divulgação e utilização de informações pessoais sensíveis dos usuários;

9 – o usuário deve ter acesso às informações pessoais identificáveis por ele prestadas;

10 – o usuário deve ter mecanismo para comunicar-se com a empresa (site) que coletou seus dados pessoais identificáveis.

São consideradas informações pessoais identificáveis segundo a NRPOL os dados de contato, como nome completo, endereço, fone, e-mail, documentos de identidade e profissional, informações sócio-demográficas (sexo, idade, estado civil, dados étnicos etc), dados médicos, escolaridade, imagens da pessoa, área de interesse social, entretenimento, hobbies, troca de informações, listas de discussão, etc.

Outrossim, são consideradas informações sensíveis aquelas passíveis de constrangimentos morais ou danos, discriminação ou prejuízo à pessoa, como dados que revelem origens raciais ou étnicas, históricos médicos, hábitos sexuais, religião ou credos filosóficos e os dados econômicos –financeiros como número de cartão de crédito, conta corrente, poupança, renda patrimonial, dentre outros.

Todos esses dados são coletados, ou melhor, essa “invasão de privacidade” é realizada por meio de pequenos arquivos que são instalados nos computadores, na maioria das vezes sem conhecimento e consentimento do usuário, quando o mesmo visita determinados sites, principalmente de comércio eletrônico.

Esses arquivos denominados cookies (biscoitos) acompanham e registram tudo o que o usuário faz na Rede, detalhando seus hábitos e costumes, preferências e tendências, traçando o perfil e interesses do usuário, para utilizar posteriormente.

Essa tendência à invasão da privacidade, essa coleta indiscriminada e desavisada de dados dos usuários, através dos cookies é mais freqüente entre os sites de comércio eletrônico.

Segundo a Federal Trade Commission apenas 8% dos sites de comércio possui alguma política de privacidade. Alguns sites têm um selo de privacidade para que o usuário identifique que existe uma política de privacidade seguida pelo mesmo16.

Outra forma de invasão a privacidade na internet, diz respeito ao envio de “spam’s”, que podemos definir como mensagens enviadas sem o consentimento do destinatário e têm ocasionado inúmeros prejuízos e transtornos para usuários, empresas e provedores.

Geralmente de cunho comercial, os spams são atualmente uma praga virtual.

De conformidade com o site www.chooseyourmail.com constata-se que da totalidade das mensagens não solicitadas 30,9 % (trinta virgula nove por cento) dos spams referem-se a material pornográfico, 29,6% (vinte e nove virgula seis por cento) são correntes, 9,9% (nove virgula nove por cento) referem-se a saúde e charlatanismo e 23,5 % (vinte e três virgula cinco por cento) referem-se a oferta de produtos e serviços.

Segundo um estudo realizado pela Nucleus Research chegou-se a conclusão de que as mensagens não solicitadas são responsáveis anualmente, por um prejuízo de US$ 874 (oitocentos e setenta e quatro dólares) por funcionário, relacionados à perda de produtividade, consomem pelo menos 1,4% da produtividade e gasta pelo menos 6,5 minutos por dia de cada profissional17.

Não só as empresas têm amargado prejuízos, os provedores e servidores também, visto que quanto mais “lixo” acumulado, maior será o custo de armazenamento e comunicação.

Quanto ao usuário há os custos de manter conexão à internet, linha telefônica, luz dentre outros.

Outrossim, geralmente o usuário tem um limite de espaço para recebimento de mensagens, que devido a inúmeros spam, lotam e fazem com que mensagens realmente importantes ao usuário não cheguem a sua caixa, gerando os mais diversos prejuízos.

Alguns defensores do spam equiparam-no a uma carta enviada por correio, usualmente denominada de “mala direta”, contudo esse não é nosso entendimento posto que uma carta ou mala direta não “lota” a residência do usuário, deixando-o do lado de fora, nem gera custos de luz, conexão, fone. Ademais, o usuário não deixará de receber outras correspondências, que em alguns momentos podem ser de extrema importância.

Apesar de não termos uma legislação especifica contra o envio de spam, nem uma política de privacidade, podemos nos socorrer na nossa Carta Magna em seu artigo 5º e incisos X e XII que diz:

“Art. 5º - Todos são iguais perante a lei, sem distinção de qualquer natureza, garantindo-se aos brasileiros e estrangeiros residentes no País a inviolabilidade do direito à vida, à liberdade, à igualdade, á segurança e à propriedade, nos termos seguintes:

X – são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoais, assegurado o direito à indenização pelo dano material ou moral decorrente de sua violação;

XII – é inviolável o sigilo da correspondência e das comunicações telegráficas, de dados e das comunicações telefônicas, salvo, no último caso, por ordem judicial, nas hipóteses e na forma que a lei estabelecer para fins de investigação criminal ou instrução processual penal; “

Esses spam são enviados a partir de mailing lists, ou seja, listas de endereços eletrônicos, coletadas sem conhecimento e anuência do usuário e vendidas para empresas que enviam as ofertas de seus produtos e serviços.

O spam fere diversos artigos do Código de Defesa do Consumidor, pois se configura como prática comercial abusiva.

De conformidade com o art. 43, § 2º do CDC:

“Art. 43 – O consumidor, sem prejuízo do disposto no art. 86, terá acesso às informações existentes em cadastros, fichas, registros e dados pessoais e de consumo arquivados sobre ele, bem como sobre as suas respectivas fontes.

§ 2º - A abertura de cadastro, ficha, registro e dados pessoais e de consumo deverá ser comunicada por escrito ao consumidor, quando não solicitada por ele.”

A conduta de se constituir banco de dados sem a autorização do consumidor caracteriza infração ao Código de Defesa do Consumidor.

Através de diversas formas, o usuário é atraído a informar seus dados pessoais e sensíveis que constituíram o banco de dados de empresas e provedores.

Esse banco de dados é formado em algumas vezes, pelo próprio consumidor, que fornece voluntariamente seus dados, visando adquirir um produto ou serviço, outras vezes incentivado pelo fornecedor que está interessado no perfil do consumidor.

Todavia tais coletas podem ocorrer à revelia do consumidor, através dos cookies que captam as informações e remetem para depósito no banco de dados do site, para traçar o perfil do usuário.

Ademais, para complicar, os spammers, sabedores que o anonimato quanto ao envio do spam pode ser-lhes útil, haja vista os contra-ataques a que ficam sujeitos, colocam fraudulentamente o nome e o endereço virtual de outras pessoas, como se fosse o deles.

Essa atividade é comum e é conhecida como spoofing, e tem registrado vários casos de responsabilidade civil em face de sua prática, nos Estados Unidos.

Podemos citar como exemplo Parker et Zilker v. C.N .Enterprise18, a autora Tracey Parker mantinha um site com o nome de domínio FLOWERS.COM, por meio de uma pequena provedora de acesso e serviços chamada Zilker. Utilizando-se da técnica fraudulenta do spoofing, a empresa C.N. Enterprise enviou centenas de milhares de e-mails comerciais para os clientes da AOL, como se estes estivessem sido enviados pelo domínio flowers.com. Tendo a AOL detectado o spam, mandou os e-mails de volta para a origem que constava nos e-mails, o que provocou um colapso e a parcial inutilização do hardware da Zilker . Descoberta a manobra, a empresa ré foi condenada a pagar U$ 13.900 dólares de indenização, acrescido de U$ 5.000 dólares de honorários.

Devido a todos os problemas causados pelos spam, várias têm sido as iniciativas para regular o assunto por meio de normas jurídicas. Nos Estados Unidos, surgiu em 1999 o Unsolicited electronic Mail Act.19 que estabeleceu a necessidade de formulação de uma lista das pessoas que não querem receber spam (opt-out), devendo tal lista ser respeitada por todos os provedores, sob pena de responsabilidade.

No âmbito da União Européia, a Diretiva sobre Comércio Eletrônico, a Diretiva 2000/31/CE, do Parlamento Europeu e do Conselho de 08 de junho de 2000, caminhou no mesmo sentido (art. 7º)

Nos Estados Unidos, o direito à privacidade na Internet está protegido pela lei federal Eletronic Communications Privacy Act of 1986 (ECPA), U.S Code, Secção 18 §§ 2701-2711, bem como o Stored Wire and eletronic Commercial and Transaction Records Access Act – U.S. Code, Secção 18, § 121.

Na União Européia, a Diretiva nº 95/46/EC, garante, em seu art. 9º, o direito à privacidade dos usuários e impõe aos responsáveis por bancos de dados, em seus artigos 16 e seguintes, regras de sigilo em relação às informações de caráter pessoal de que disponham.

Na Alemanha, a transposição da Diretiva mencionada deu-se em 01/08/97, por meio da Teledienstedatenschutz gesetz – TDDSG.

Em Portugal, a Diretiva supramencionada deu origem a Lei nº 67/98, cujo art. 34 cuida da responsabilidade civil dispondo da seguinte forma: “I – Qualquer pessoa que tiver sofrido um prejuízo devido ao tratamento ilícito de dados ou a qualquer outro ato que viole disposições legais em matéria de proteção de dados pessoais tem o direito de obter do responsável a reparação pelo prejuízo sofrido. 2 – O responsável pelo tratamento pode ser parcial ou totalmente exonerado desta responsabilidade se provar que o fato que causou o dano lhe não é imputável”.

Na nossa legislação consumerista, de conformidade com o artigo 43 §§ 1º e 2º, a transmissão onerosa ou gratuita das mailing lists só poderá ocorrer quando o lançamento dos dados se der mediante autorização do consumidor ou com prévia comunicação.

Ademais, a prática do webmarketing ou envio de malas diretas eletrônicas decorrente das mailing lists não autorizadas configura, na forma do artigo 39 do CDC, prática comercial abusiva.