goo.gl/XOXr0G | Na última quarta-feira à noite (3/8), estava caminhando pelos corredores da Faculdade de Direito rumo a mais uma aula, quando notei algo diferente. É que, parafraseando os famosos versos do poeta, “no meio do caminho tinha um Pokémon, tinha um Pokémon no meio do caminho”. E assim, vendo que estavam as pessoas ainda mais focadas nos seus celulares, tive certeza que finalmente havia chegado ao Brasil o tão esperado jogo Pokémon Go, lançado pela Niantic, e que rapidamente se tornou febre mundial.
Trata-se de jogo que usa o recurso de augmented reality (AR), em que o jogador, como parte daquele, interage com ambientes do mundo real. No caso em questão o jogador sai pelo mundo real em busca de capturar Pokémons que podem ser vistos pela tela do seu celular.
Este aplicativo, assim como se dá com vários outros, bem como com diversos sites da internet extremamente populares, tais quais Google e Facebook — reforçando a máxima de que não existe almoço grátis — acaba coletando dados privados que o usuário muitas vezes não faz sequer ideia, seja por dificuldade técnica de entendimento, seja pela simples não leitura dos seus termos de serviço e política de privacidade.
A privacidade, aliás, se coloca como o direito da personalidade de mais difícil proteção na era digital. O problema não se dá por ausência de proteção normativa, já que encontra previsão como direito fundamental na Constituição Federal, como direito da personalidade no Código Civil, e ainda no Marco Civil da Internet (Lei 12.695/2014).
A dificuldade da proteção acontece, em parte, pela facilidade com que as informações não permitidas são compartilhadas, alcançando dimensões antes impensáveis, como os diversos casos de vazamento de fotos íntimas que, em menos de um dia, já alcançam milhares de celulares compartilhadas através de grupos de WhatsApp.
Outras vezes, entretanto, isso se dá porque o próprio detentor do direito resolve abrir mão da sua privacidade. Numa primeira análise tem-se aqui situação completamente regular. A garantia da realização dos direitos da personalidade passa não só pela dimensão passiva, de proteção, mas também ativa, pela qual se garante o uso e (limitada) disposição desses direitos, a critério do seu titular. Em outras palavras, para que a personalidade se realize plenamente, é também necessária a garantia da autonomia do sujeito[1] para que possa decidir como se desenvolverá sua própria dimensão existencial.
A verdade é que, nos tempos contemporâneos de espetacularização da vida privada e das redes sociais que estimulam este tipo de comportamento, a realização do direito à privacidade ganhou contornos que ainda carecem de maiores estudos.
Acontece que existem situações de contorno contratual em que, ao menos a imensa maioria dos sujeitos, não parece ter dimensão de eventuais usos de dados extraídos da sua esfera privada. Este quadro parece se agudizar quando se tratam de relações travadas na internet e, ainda mais, nos mais diversos aplicativos baixados nos celulares diariamente.
Ao menos os maiores desses aplicativos possuem termo de uso (ou de serviço) e política de privacidade, que, em suma, determinam, respectivamente, as regras de uso do serviço e os aspectos relativos à privacidade do usuário. Minha pergunta é: você já leu algum deles? Caso sua resposta seja negativa, talvez se assuste com as próximas linhas.
Levando em conta a proposta desse texto, se realizará aqui breve análise da questão da privacidade envolvendo o jogo Pokémon Go.
Já na instalação o jogo solicita permissões para acessar: o local do dispositivo; fotos, mídias e arquivos do dispositivo; contatos; tirar fotos e gravar vídeos. Todas essas permissões são compulsórias, ou seja, não há a possibilidade de ingressar no jogo caso se negue alguma dessas permissões, o que deixa clara a natureza de contrato de adesão.
Note-se que, já nesse momento inicial, se dá permissão para enorme número de informações pessoais do usuário, bem como de terceiros, tanto por permitir o acesso aos contatos, como por permitir que acesse fotos e demais mídias que, por exemplo, podem conter imagem e outros dados de pessoas que não o usuário.
Após o ingresso aparece a política de privacidade ou, para ser mais verdadeiro, a privacy policy, já que as informações se encontram disponíveis somente na língua inglesa[2]. Esta prática é clara violação do dever anexo de informação[3], já que qualquer usuário que não tenha conhecimento da língua em questão se encontrará impedido de entender os termos que está contratando. Ademais, violaria diretamente também o artigo 7°, do Marco Civil da Internet, em diversos dos seus incisos, pelos mesmos fatores que acabamos de elencar. Por fim, essa circunstância se agrava ainda mais quando se considera que é contrato que envolve direitos da personalidade. Mas calma, Pikachu, que ainda tem muito mais!
Quanto à política de privacidade em si, um dado que já de início chama atenção é a possibilidade de sua revisão com efeitos retroativos. Ou seja, é possível que o sujeito adira à política de privacidade em determinados termos e depois ela seja modificada unilateralmente, com efeitos retroativos, mediante simples notificação ao usuário do jogo.
Quanto à coleta e uso das informações há um fator bem relevante a se considerar: boa parte dos usuários, dada a temática do aplicativo, será composta por crianças e adolescentes, ao menos em algum grau juridicamente incapazes. A regra explanada na política de privacidade exige termo de consentimento dos pais para crianças abaixo de 13 anos. Este limite de idade deveria ser revisto para o uso do aplicativo no Brasil, já que, na legislação nacional, alcançar 13 anos não muda em nada a situação do menor, seja no que toca à capacidade[4], seja no que toca à sua situação de proteção pelo ECA.
Superado este ponto, se passa a analisar as informações coletadas. São elas: a) informações de conta, tais quais endereço de e-mail e configurações de privacidade do Google, Facebook ou Pokémon Trainer Club[5]; b) informações de jogo, como nome de usuário, país e língua. Quanto a estas esclarecem que são informações que não seriam suficientes para identificar o usuário, a não ser que combinadas com outras informações (mas em momento algum dizem que não o farão); c) informações são coletadas também pelo uso de cookies e web beacons, que são modos típicos de coleta de informação sobre os usuários, utilizados por extenso número de sites da internet; d) informações relativas ao uso dos serviços, que permite identificar, por exemplo, endereço de IP, tipo de navegador, sistema operacional, página visitadas antes de acessar o Pokémon Go, termos de busca e tempo gasto em páginas relativas ao próprio sistema do jogo; e) informações operacionais enviada pelo seu dispositivo e; f) informações de localização, ou seja, a exemplo do que já acontece com aplicativos como o Waze e o próprio Google, usar o jogo faz com que se tenha acesso à informação de onde o usuário se encontra — o que, aliás, já se autoriza desde a instalação.
E o que faz o Pokémon Go depois que ele capturou seus dados? Na política de privacidade é afirmado textualmente que as informações privadas são um “ativo” da empresa e que, portanto, poderão ser transferidas para outra empresa em casos como venda ou fusão da Niantic. Por outro lado, afirma a política de privacidade que, embora possa ceder informações genéricas para terceiros para fins de pesquisa e análise, tal cessão não incluiria as informações pessoais dos usuários.
Mais interessante é o fato de que a política de privacidade autoriza a Niantic a ceder qualquer informação pessoal do usuário ao governo em caso de ações judiciais movidas contra ela, para proteção da sua propriedade ou da de terceiros, e para identificar e parar qualquer atividade que a empresa considere ilegal, antiética, ou legalmente litigável — o que acaba sendo uma cláusula por demais abrangente, especialmente porque ao menos parcialmente colocada à discricionariedade da própria Niantic[6].
Pode parecer assustador (e, não se iluda, é!) para quem nunca parou para analisar termos de privacidade de aplicativos e sites que prestam serviços, mas a verdade é que este grau de coleta de dados está longe de ser exclusividade do Pokémon Go. Nestes tempos de muita tecnologia e cabeças voltadas para os celulares, a escolha que os sujeitos têm é ceder seus dados privados e se integrar aproveitando os benefícios tecnológicos decorrentes ou simplesmente ficar de fora. E, pelo visto, ficar de fora ninguém quer.
*Esta coluna é produzida pelos membros e convidados da Rede de Pesquisa de Direito Civil Contemporâneo (USP, Humboldt-Berlim, Coimbra, Lisboa, Porto, Girona, UFMG, UFPR, UFRGS, UFSC, UFPE, UFF, UFC e UFMT).
[1] BORGES, Roxana Cardoso Brasileiro. Direitos de personalidade e autonomia privada. 2. ed. São Paulo: Saraiva, 2007.
[2] O mesmo pode ser dito dos terms of service.
[3] NORONHA, Fernando. Direito das obrigações: vol. I. 2. ed. São Paulo: Saraiva, 2007.
[4] Sobre capacidade sugerimos a leitura do nosso livro “Estatuto da pessoa com deficiência, incapacidades e interdição”, a ser lançado ainda este mês pela Editora JusPodivm.
[5] Em tese é possível se cadastrar (criar a conta) por qualquer desses caminhos para ingressar no jogo. Na minha experiência pessoal, no dia do lançamento, apareceu apenas a opção do Google e do Pokémon Trainer Club. Tentei pelo segundo, que não estava cadastrando devido ao grande número de acessos, e acabei indo pelo Google, conferindo assim ao aplicativo mais uma fonte onde pode fuçar a minha vida privada.
[6] E aqui ganham corpo as acusações encontradas em diversas matérias veiculadas na Internet sobre como a Niantic estaria utilizando o Pokémon Go para coletar informações para a CIA, agência norte-americana de inteligência. Verdade ou mentira, a possibilidade é real.
Por Maurício Requião
Fonte: Conjur
Trata-se de jogo que usa o recurso de augmented reality (AR), em que o jogador, como parte daquele, interage com ambientes do mundo real. No caso em questão o jogador sai pelo mundo real em busca de capturar Pokémons que podem ser vistos pela tela do seu celular.
Este aplicativo, assim como se dá com vários outros, bem como com diversos sites da internet extremamente populares, tais quais Google e Facebook — reforçando a máxima de que não existe almoço grátis — acaba coletando dados privados que o usuário muitas vezes não faz sequer ideia, seja por dificuldade técnica de entendimento, seja pela simples não leitura dos seus termos de serviço e política de privacidade.
A privacidade, aliás, se coloca como o direito da personalidade de mais difícil proteção na era digital. O problema não se dá por ausência de proteção normativa, já que encontra previsão como direito fundamental na Constituição Federal, como direito da personalidade no Código Civil, e ainda no Marco Civil da Internet (Lei 12.695/2014).
A dificuldade da proteção acontece, em parte, pela facilidade com que as informações não permitidas são compartilhadas, alcançando dimensões antes impensáveis, como os diversos casos de vazamento de fotos íntimas que, em menos de um dia, já alcançam milhares de celulares compartilhadas através de grupos de WhatsApp.
Outras vezes, entretanto, isso se dá porque o próprio detentor do direito resolve abrir mão da sua privacidade. Numa primeira análise tem-se aqui situação completamente regular. A garantia da realização dos direitos da personalidade passa não só pela dimensão passiva, de proteção, mas também ativa, pela qual se garante o uso e (limitada) disposição desses direitos, a critério do seu titular. Em outras palavras, para que a personalidade se realize plenamente, é também necessária a garantia da autonomia do sujeito[1] para que possa decidir como se desenvolverá sua própria dimensão existencial.
A verdade é que, nos tempos contemporâneos de espetacularização da vida privada e das redes sociais que estimulam este tipo de comportamento, a realização do direito à privacidade ganhou contornos que ainda carecem de maiores estudos.
Acontece que existem situações de contorno contratual em que, ao menos a imensa maioria dos sujeitos, não parece ter dimensão de eventuais usos de dados extraídos da sua esfera privada. Este quadro parece se agudizar quando se tratam de relações travadas na internet e, ainda mais, nos mais diversos aplicativos baixados nos celulares diariamente.
Ao menos os maiores desses aplicativos possuem termo de uso (ou de serviço) e política de privacidade, que, em suma, determinam, respectivamente, as regras de uso do serviço e os aspectos relativos à privacidade do usuário. Minha pergunta é: você já leu algum deles? Caso sua resposta seja negativa, talvez se assuste com as próximas linhas.
Levando em conta a proposta desse texto, se realizará aqui breve análise da questão da privacidade envolvendo o jogo Pokémon Go.
Já na instalação o jogo solicita permissões para acessar: o local do dispositivo; fotos, mídias e arquivos do dispositivo; contatos; tirar fotos e gravar vídeos. Todas essas permissões são compulsórias, ou seja, não há a possibilidade de ingressar no jogo caso se negue alguma dessas permissões, o que deixa clara a natureza de contrato de adesão.
Note-se que, já nesse momento inicial, se dá permissão para enorme número de informações pessoais do usuário, bem como de terceiros, tanto por permitir o acesso aos contatos, como por permitir que acesse fotos e demais mídias que, por exemplo, podem conter imagem e outros dados de pessoas que não o usuário.
Após o ingresso aparece a política de privacidade ou, para ser mais verdadeiro, a privacy policy, já que as informações se encontram disponíveis somente na língua inglesa[2]. Esta prática é clara violação do dever anexo de informação[3], já que qualquer usuário que não tenha conhecimento da língua em questão se encontrará impedido de entender os termos que está contratando. Ademais, violaria diretamente também o artigo 7°, do Marco Civil da Internet, em diversos dos seus incisos, pelos mesmos fatores que acabamos de elencar. Por fim, essa circunstância se agrava ainda mais quando se considera que é contrato que envolve direitos da personalidade. Mas calma, Pikachu, que ainda tem muito mais!
Quanto à política de privacidade em si, um dado que já de início chama atenção é a possibilidade de sua revisão com efeitos retroativos. Ou seja, é possível que o sujeito adira à política de privacidade em determinados termos e depois ela seja modificada unilateralmente, com efeitos retroativos, mediante simples notificação ao usuário do jogo.
Quanto à coleta e uso das informações há um fator bem relevante a se considerar: boa parte dos usuários, dada a temática do aplicativo, será composta por crianças e adolescentes, ao menos em algum grau juridicamente incapazes. A regra explanada na política de privacidade exige termo de consentimento dos pais para crianças abaixo de 13 anos. Este limite de idade deveria ser revisto para o uso do aplicativo no Brasil, já que, na legislação nacional, alcançar 13 anos não muda em nada a situação do menor, seja no que toca à capacidade[4], seja no que toca à sua situação de proteção pelo ECA.
Superado este ponto, se passa a analisar as informações coletadas. São elas: a) informações de conta, tais quais endereço de e-mail e configurações de privacidade do Google, Facebook ou Pokémon Trainer Club[5]; b) informações de jogo, como nome de usuário, país e língua. Quanto a estas esclarecem que são informações que não seriam suficientes para identificar o usuário, a não ser que combinadas com outras informações (mas em momento algum dizem que não o farão); c) informações são coletadas também pelo uso de cookies e web beacons, que são modos típicos de coleta de informação sobre os usuários, utilizados por extenso número de sites da internet; d) informações relativas ao uso dos serviços, que permite identificar, por exemplo, endereço de IP, tipo de navegador, sistema operacional, página visitadas antes de acessar o Pokémon Go, termos de busca e tempo gasto em páginas relativas ao próprio sistema do jogo; e) informações operacionais enviada pelo seu dispositivo e; f) informações de localização, ou seja, a exemplo do que já acontece com aplicativos como o Waze e o próprio Google, usar o jogo faz com que se tenha acesso à informação de onde o usuário se encontra — o que, aliás, já se autoriza desde a instalação.
E o que faz o Pokémon Go depois que ele capturou seus dados? Na política de privacidade é afirmado textualmente que as informações privadas são um “ativo” da empresa e que, portanto, poderão ser transferidas para outra empresa em casos como venda ou fusão da Niantic. Por outro lado, afirma a política de privacidade que, embora possa ceder informações genéricas para terceiros para fins de pesquisa e análise, tal cessão não incluiria as informações pessoais dos usuários.
Mais interessante é o fato de que a política de privacidade autoriza a Niantic a ceder qualquer informação pessoal do usuário ao governo em caso de ações judiciais movidas contra ela, para proteção da sua propriedade ou da de terceiros, e para identificar e parar qualquer atividade que a empresa considere ilegal, antiética, ou legalmente litigável — o que acaba sendo uma cláusula por demais abrangente, especialmente porque ao menos parcialmente colocada à discricionariedade da própria Niantic[6].
Pode parecer assustador (e, não se iluda, é!) para quem nunca parou para analisar termos de privacidade de aplicativos e sites que prestam serviços, mas a verdade é que este grau de coleta de dados está longe de ser exclusividade do Pokémon Go. Nestes tempos de muita tecnologia e cabeças voltadas para os celulares, a escolha que os sujeitos têm é ceder seus dados privados e se integrar aproveitando os benefícios tecnológicos decorrentes ou simplesmente ficar de fora. E, pelo visto, ficar de fora ninguém quer.
*Esta coluna é produzida pelos membros e convidados da Rede de Pesquisa de Direito Civil Contemporâneo (USP, Humboldt-Berlim, Coimbra, Lisboa, Porto, Girona, UFMG, UFPR, UFRGS, UFSC, UFPE, UFF, UFC e UFMT).
[1] BORGES, Roxana Cardoso Brasileiro. Direitos de personalidade e autonomia privada. 2. ed. São Paulo: Saraiva, 2007.
[2] O mesmo pode ser dito dos terms of service.
[3] NORONHA, Fernando. Direito das obrigações: vol. I. 2. ed. São Paulo: Saraiva, 2007.
[4] Sobre capacidade sugerimos a leitura do nosso livro “Estatuto da pessoa com deficiência, incapacidades e interdição”, a ser lançado ainda este mês pela Editora JusPodivm.
[5] Em tese é possível se cadastrar (criar a conta) por qualquer desses caminhos para ingressar no jogo. Na minha experiência pessoal, no dia do lançamento, apareceu apenas a opção do Google e do Pokémon Trainer Club. Tentei pelo segundo, que não estava cadastrando devido ao grande número de acessos, e acabei indo pelo Google, conferindo assim ao aplicativo mais uma fonte onde pode fuçar a minha vida privada.
[6] E aqui ganham corpo as acusações encontradas em diversas matérias veiculadas na Internet sobre como a Niantic estaria utilizando o Pokémon Go para coletar informações para a CIA, agência norte-americana de inteligência. Verdade ou mentira, a possibilidade é real.
Por Maurício Requião
Fonte: Conjur