Menu
Qui Quae Quod

Fechar Responsabilidade Social Corporativa

Fechar ARTIGOS DE OPINIÃO

Fechar Justiça Restaurativa

Fechar Multiculturalismo

Fechar Dossier Europa

Fechar ARTIGOS DE FUNDO

Fechar ARTIGOS DE FUNDO II

Fechar ARTIGOS DE FUNDO III

Fechar TENDÊNCIAS 21

Fechar CIBERDIREITOS

Fechar No gesto da procura

Fechar Os erros do ditado

Fechar Para ler e deitar fora

Fechar O canto dos prosadores

Fechar UTILITÁRIOS

Fechar Apresentações

Fechar Barra JURIS

Fechar CANCIONEIRO de Castelões

Fechar Coisas e loisas da língua portuguesa

Fechar DIVULGAÇÃO DE LIVROS

Fechar Delitos Informáticos

Fechar Encontros

Fechar JURISPRUDÊNCIA

Fechar Livros Maravilhosos

Fechar MANUAL DE REQUERIMENTOS

Fechar NeoFronteras

Fechar Nova Lei das Rendas

Fechar O canto dos poetas

Fechar Vinho do Porto

Fechar Workshops

Relax
Pesquisar



Visitas

   visitantes

   visitantes online

PREFERÊNCIAS

Voltar a ligar
---

Nome

Password


SOS Virus

Computador lento?
Suspeita de vírus?
Fora com eles!
AdwCleaner

tira teimas!
--Windows--

Já deu uma vista de olhos pelas gordas de hoje?


Desde 2004
news_artigo.gifARTIGOS DE FUNDO - Violação de dados pessoais

O arguido utilizou um subdomínio do fornecedor espanhol www.iespana.es para criar uma página onde publicou os nomes, apelidos e endereços dos filiados na Esquerda Unida de uma localidade andaluza, com o título “Os Comunistas de…”.

A existência desse site foi comunicada por uma das pessoas referidas nessa lista ao Ministério Público andaluz que deu conhecimento dos factos ao Tribunal e à Agência Espanhola de Protecção de Dados (AEPD).

Este caso tem dois pontos interessantes: primeiro, porque se observa o cuidado do arguido para não ser descoberto, já que utilizou um proxy para aceder ao subdomínio e enviar a informação sensível, ainda que finalmente viesse a ser apanhado por um descuido (graças aos inspectores da AEPD); segundo, porque na própria sentença se menciona que o Juiz de Instrução procede ao arquivamento do caso enquanto que a AEPD acaba por levar à sua condenação.

Ao iniciar-se a fase de instrução, a AEPD suspendeu as suas investigações. Assim, 4 meses depois, foi comunicado à AEPD a conclusão das mesmas e a decisão de arquivamento.

Poucos dias depois, o Director da Agência Espanhola de Protecção de Dados decide levantar a suspensão das investigações e continuar a tramitação.

Em resumo, o tribunal não chega a conclusão nenhuma, arquiva o processo, mas a AEPD continua a investigar para ver até onde chega. E é aqui que começa o périplo pela rede à procura do possível responsável.

Como se disse, utilizou-se um subdomínio em iespana.es para publicar a página com a informação de carácter pessoal. Portanto, o mais lógico era ir perguntar a iespana.es quem criou esse subdomínio.

O fornecedor informou que foi um cliente que utilizou um serviço gratuito e se identificou como J.C., com o email …@mixmail.com, confirmando que enviou para o site a informação. Além disso, iespana.es forneceu a password de administração do subdomínio (e nós a pensarmos que elas eram guardadas cifradas) e o IP utilizado para enviar os conteúdos para a Internet.

Iespana refere que os dados do registo podem ser falsos, EXCEPTO o do email, porque para activar o serviço teve de receber um email (naquele endereço) com o código de activação [a informação do email não é totalmente correcta - ver Obs. ao fundo da página]

Temos portanto a seguinte informação do infractor:

1. O seu nome J.C. (seguramente falso)
2. O endereço de email …@mixmail.com a que teve de aceder para activar o serviço
3. O IP de onde enviou o conteúdo para iespana

Chegados a este ponto, havia que averiguar a quem pertence esse IP, mas chegou-se a um beco sem saída, porque pertencia a um servidor proxy destinado a ocultar o endereço de IP na Internet.

Só nos fica, portanto, um endereço de email em @mixmail.com … não parece muito.

Pediu-se a mixmail.com para disponibilizar a informação de registo dessa conta de email. Informaram que foi criada por um tal M.J.J. (nome falso) e que a última vez que acedeu foi precisamente no mesmo dia em que foi enviado o conteúdo para o subdomínio da Internet (bom sinal).

Mixmail forneceu então um registo dos últimos 7 acessos a esse email, onde consta o dia, hora, minuto e segundo da ligação e o IP por onde acedeu naquele momento. O IP foi sempre o mesmo nos 7 últimos acessos, que aconteceram em pouco mais de 24 horas no dia em que foi publicado o site.

Agora temos uma nova pista: o IP de ligação à conta de email utilizada para activar o serviço em iespana. Com um pouco de sorte o infractor não terá tido a cautela de utilizar também o proxy para aceder ao correio… e efectivamente, o IP correspondia a uma ADSL da Telefónica. Em poucos dias a AEPD obteve os dados do titular dessa linha de ADSL, pertencente a D.J.Fl.D.

A AEPD tentou contactar com J.Fl.D. por correio normal, mas as cartas nunca foram levantadas. Finalmente, e perante a impossibilidade de entrar em contacto com J.Fl.D., deu-se início ao processo.

E já está, é-lhe imputada uma infracção que viola o artigo 7.2, da Lei Orgânica de Protecção de Dados (espanhola), que estabelece:

Só com o consentimento expresso e por escrito do afectado poderão ser objecto de tratamento os dados de carácter pessoal que revelem a ideologia, filiação sindical, religião e crenças.

Exceptuam-se os arquivos mantidos pelos partidos políticos, sindicatos, igrejas, confissões ou comunidades religiosas e associações, fundações e outras entidades sem fins lucrativos, cuja finalidade seja política, filosófica, religiosa ou sindical, quanto aos dados relativos aos seus associados ou membros, sem prejuízo que a cessão desses dados necessitará sempre do prévio consentimento do afectado.


Isso quer dizer que somente nestes pressupostos específicos os dados poderão ser tratados.

No presente caso, tornou-se evidente que o denunciado tratou os dados de, pelo menos, J.C.T. (a pessoa que comunicou o facto ao Ministério Público), esposa e filhos, numa lista de pessoas referindo-se a eles como membros do Partido Comunista da localidade…, sem que se tenha obtido o consentimento expresso e por escrito dos afectados.

O artigo 44.4.c) da LOPD considera infracção muito grave:
c) Obter e tratar os dados de carácter pessoal, os que se referem à cláusula 2, do artigo 7, quando não haja o consentimento expresso do afectado; obter e tratar os dados referidos na cláusula 3, do artigo 7, quando não o disponha uma Lei ou o afectado não tenha consentido expressamente ou violar a proibição contida na cláusula 4, do artigo 7.

Finalmente, afirma a AEPD que o responsável pela publicação, num site, da lista (….) incorreu na infracção prevista, já que, pelo menos quatro membros de uma mesma família, não consentiram de forma expressa e por escrito no tratamento de dados relativos a ideologia.

Portanto, é-lhe aplicada uma multa de 300.506,05 euros.

Mas há alguns problemas a merecerem reflexão.

Se virmos bem, sanciona-se o TITULAR da linha ADSL e, além disso, nem sequer se chega a entrar em contacto com ele.

Acho que é perigoso associar um acto ilícito ao titular de uma linha ADSL, pela simples razão que numa casa familiar, a ligação ADSL pode ser utilizada pelo pai, mãe, irmão, irmã e o amigo da irmã… sem que (sob o meu ponto de vista) possa ser possível imputar directamente (só pelo IP) a autoria de uma infracção ao titular da linha (faltariam provas na minha opinião), sobretudo, porque neste caso concreto não se averiguou se o titular vivia só ou com mais alguém.

Além disso, é possível até que houvesse lá em casa um router wifi sem acesso restrito… e qualquer pessoa com um portátil poderia ter-se ligado a partir dali.

[Obs. Há contas de email temporárias (1 hora...) e anónimas que permitem receber códigos de activação e depois desaparecem]

Samuel Parra



Criado em: 03/06/2008 • 14:09
Actualizado em: 03/06/2008 • 14:09
Categoria : ARTIGOS DE FUNDO


Imprimir Imprimir

Comentários

Ainda ninguém comentou.
Seja o primeiro!


  Experiência não é o que acontece a um homem; é o que o homem faz com o que lhe acontece  Aldous Huxley
^ Topo ^