Eles sabem tudo sobre si!

ELIZABETH ROSEN, uma enfermeira de Hollywood, Califórnia, chegou a casa numa sexta-feira de Fevereiro passado para deparar com uma carta de uma empresa chamada ChoicePoint. Parecia publicidade não desejada. «Quase a deitei fora», diz Rosen. Mas resolveu abri-la. O que leu deixou-a de cabelos em pé.
«Estou a escrever-lhe», começava a carta, «para lhe comunicar um crime cometido recentemente contra a ChoicePoint, em resultado do qual é possível que o seu nome, morada e número da Segurança Social tenham sido visualizados por empresas que não têm autorização para aceder a essas informações.» A carta prosseguia explicando as medidas que ela devia tomar para se proteger de um eventual roubo de identidade.

A primeira reacção de Elizabeth Rosen foi perguntar-se: «Quem é que obteve os meus dados e que crime foi cometido?» Na segunda-feira, depois de falar com a ChoicePoint, uma empresa que reúne, organiza e vende dados pessoais, despachou mensagens electrónicas para um jornalista que escrevera sobre roubos de identidade e para um activista defensor da privacidade. Ao fazê-lo, ajudou a denunciar aquilo que um perito designou como uma catástrofe na privacidade pessoal.

TRATA-SE DE UM DADO adquirido da Idade da Informação: muito poucas coisas permanecem privadas. Câmaras de segurança vigiam-nos nas esquinas das ruas. Programas de espionagem informática monitorizam os nossos movimentos na Internet. Aparelhos de GPS e as chamadas caixas negras de alguns carros registam aonde vamos e o que acontece quando temos um acidente.
Além de tudo isso, há a história das nossas transacções fiscais e comerciais. Quer nos agrade, quer não, esses detalhes, que não passam de rabiscos digitais combinados num retrato alegadamente vasto, estão à disposição tanto de empresas legítimas como de entidades duvidosas.

A questão de quem controla essa informação pessoal está entre os temas mais quentes da actualidade. Isso porque nos últimos anos emergiu toda uma indústria que reúne essas pequenas pepitas e as vende de uma forma que afecta todos os aspectos das nossas vidas. Essa prática é conhecida como mineração de dados, e as empresas que a ela se dedicam chamam-se corretores de informação. A ChoicePoint é uma dessas empresas. Tem à sua disposição um vasto tesouro informático de registos pessoais – cerca de 19 000 milhões. Esses registos provêm de várias fontes públicas (registos de propriedade, processos judiciais, certidões de nascimento e óbito) e de vendedores privados, entre os quais as três principais agências de crédito do país.

Os dados pessoais são um grande negócio. A ChoicePoint, um dos três corretores que dominam a indústria (os outros dois são a LexisNexis e a Acxiom), teve um lucro de 148 milhões de dólares em 2004 sobre receitas de 918 milhões. Os seus clientes incluem forças de segurança, bancos e seguradoras. Os senhorios também recorrem à ChoicePoint para avaliarem os seus potenciais inquilinos; os empregadores fazem-no para seleccionar potenciais empregados. Essencialmente, a empresa é uma central de informações sobre cidadãos vulgares.
A existência de supermercados de dados pessoais tem vantagens. Como Derek V. Smith, director-geral da ChoicePoint, explicou recentemente aos seus accionistas, em 2004 a empresa ajudou mais de 100 milhões de pessoas a obterem seguros e 7 milhões a arranjarem emprego; também contribuiu para a identificação de 11 000 criminosos entre os candidatos a trabalho de voluntariado com crianças.
Apesar disso, o facto de algumas grandes entidades estarem a coligir uma tal quantidade de informações pessoais sensíveis pode dar origem a problemas sérios.

EM SETEMBRO PASSADO, os empregados da ChoicePoint repararam em algo de estranho num pedido de informações chegado da Califórnia: um homem que afirmava ser agente de cobranças e que preenchera formulários para aceder a relatórios sobre particulares a 15 dólares cada dera como endereço a morada de uma loja de fotocópias em Hollywood.
Esse «agente de cobranças», que seria mais tarde identificado como Olatunji A. Oluwatosin, um nigeriano de 41 anos, foi atraído à loja de fotocópias no dia 27 de Outubro. Quando chegou, transportando cinco telemóveis e três cartões de crédito, todos no nome de outras pessoas, foi preso e acusado de roubo de identidade. Os investigadores dizem que ele apresentou alvarás comerciais falsificados para obter o acesso aos dados pessoais, incluindo os números da Segurança Social, de «vários milhares de pessoas». Por fim, Oluwatosin foi condenado a 16 meses de prisão.
Até agora, as autoridades deslindaram sete casos de fraude com cartões de crédito associada a essa burla e 750 casos de reencaminhamento de correio electrónico, que muitas vezes é o primeiro passo dado pelos ladrões de identidade no sentido de abrirem contas fictícias. Das 145 000 potenciais vítimas identificadas pela ChoicePoint, 35 000 eram da Califórnia. Graças a uma lei estadual de 2003, a empresa era obrigada a informar os residentes da Califórnia cujas informações pessoais estavam comprometidas. Cerca de uma semana antes da condenação de Oluwatosin, quatro meses depois da sua prisão, a ChoicePoint começou a contactá-los. Por fim, a empresa notificou também as potenciais vítimas de outros estados. Os especialistas em privacidade dizem que sem aquela lei do estado da Califórnia, a primeira do seu género, a opinião pública talvez nunca tivesse chegado a saber da violação de dados.

QUANDO ELIZABETH ROSEN contactou a ChoicePoint por telefone, as pessoas com quem falou não souberam responder-lhe às perguntas sobre que tipo de informação pessoal podia ter sido furtada. Alguns dias mais tarde, a ChoicePoint enviou-lhe uma cópia do seu relatório, cópia essa que a deixou perplexa e irritada. Cinco das seis páginas do relatório continham erros. As informações associavam-na a duas empresas das quais ela nunca ouvira falar (uma dada como «extinta»); não havia qualquer menção às suas licenças de enfermagem de Nova Iorque e da Califórnia; e as suas «moradas anteriores» incluíam vários endereços nos quais ela afirma nunca ter vivido.
Rosen soube que a ChoicePoint vendia uma série de relatórios sobre particulares, parte dos quais baseados em registos públicos, outros em informações privadas. Telefonou para a empresa e disse: «Quero um relatório igual ao que enviariam ao Ministério da Justiça.» Um dos responsáveis pela política de privacidade da ChoicePoint respondeu-lhe que a empresa não criava esse tipo de ficheiros para os consumidores. Quanto aos erros contidos no seu relatório público, segundo Rosen, foi-lhe dito que era a ela que cabia a responsabilidade de os corrigir. «Devia informá-los sobre cada erro detectado», contou ela. «Depois, eles comunicavam-me a fonte da informação e eu é que devia dirigir-me a essa fonte para fazer as correcções necessárias.»

O INCIDENTE DA ChoicePoint foi apenas um numa onda de violações de dados que se abateu sobre pequenas empresas, bancos e outros corretores durante cinco meses. Essa aparente epidemia levou a opinião pública a colocar algumas perguntas sérias: Que tipo de informação a meu respeito está a ser comprada e vendida? E como posso saber se essas informações são correctas?
«A questão é que esses compiladores de dados não permitem que as pessoas tenham acesso total às informações coligidas a seu respeito», diz Beth Givens, directora da organização não-lucrativa Privacy Rights Clearinghouse.

O facto de os corretores de informação poderem vender relatórios sem a aprovação daqueles a quem se referem torna a possibilidade da existência de erros ainda mais perturbadora. E a exactidão das informações parece ser um problema crónico. Um estudo realizado em 2004 pelo US Public Interest Research Group sobre relatórios emitidos pelas três principais agências de crédito (Experian, Equifax e TransUnion) concluiu que um em cada quatro relatórios «continha erros cuja gravidade podia resultar na recusa do crédito».
A ChoicePoint alega que a taxa de erro nos seus relatórios abrangidos pelo âmbito do FCRA é inferior a um décimo de 1% (o que equivaleria a um total de 125 000 relatórios defeituosos em 2004).

NADA DISTO SERVIRÁ de consolo a Kenneth Schustereit. Electricista, com 49 anos de idade, Schustereit candidatou-se a um emprego na Home Depot da sua cidade natal de Victoria, Texas, em Setembro de 2004. Com um salário de 10 dólares por hora, esse emprego a tempo parcial rendia-lhe aproximadamente menos 5 dólares por hora do que aquilo que ele dizia ganhar no seu anterior emprego. No entanto, era um trabalho estável e que incluía regalias médicas.
Schustereit foi aprovado nos testes psicotécnicos e de drogas e afirma ter mencionado a um dos elementos do departamento de recursos humanos da empresa que tinha sido condenado por um delito menor havia 30 anos. «Ela perguntou-me se a condenação tinha sido por drogas. Eu disse-lhe que não, e ela respondeu: “Está bem, não há problema.”» Mas, poucas semanas depois, Schustereit recebeu um telefonema da empresa. Uma investigação do seu currículo conduzida pela ChoicePoint referia uma condenação por crime grave e aquilo que parecia ser uma pena de prisão de sete anos. «Caiu-me o coração aos pés», diz ele.
A meio do seu curso liceal, Schustereit foi preso por roubar sucata de ferro e acusado de furto de terceiro grau, acusação essa que foi depois reduzida para delito menor. Cumpriu 51 dias de uma pena de 60. Mas o relatório da ChoicePoint não referia a redução da acusação.
Schustereit telefonou à ChoicePoint e foi-lhe dito que a rectificação do seu relatório podia demorar até um mês. Dirigiu-se ao tribunal do condado, obteve uma cópia do processo e enviou-a ao corretor de informação. Quando recebeu finalmente o relatório rectificado, entregou-o à Home Depot. Mas aquando de um telefonema posterior, destinado a saber quais as suas perspectivas de emprego, foi informado de que o seu nome continuava «na lista negra». Continuou a telefonar regularmente até meados de Janeiro, altura em que, segundo conta, um supervisor dos recursos humanos lhe disse que a Home Depot não o contrataria, nem mesmo com o relatório rectificado. (Reacção da Home Depot: «No interesse da privacidade pessoal, a companhia mantém confidencialidade em todos os assuntos relacionados com emprego.»)

PARA DANIEL SOLOVE, professor associado da Faculdade de Direito da Universidade George Washington, histórias como a de Schustereit reflectem a necessidade de uma nova compreensão das questões de privacidade pessoal. «Actualmente, a tendência é para se avaliar as pessoas com base num ficheiro digital», diz Solove.
James Lee, da ChoicePoint, afirma que a empresa não mantém esse tipo de ficheiros, que todos os registos públicos são consultados «a pedido» e que, embora a informação proveniente de fontes privadas esteja arquivada em bases de dados da companhia, nunca é utilizada para além do âmbito do seu objectivo original.
«Não há nenhuma pasta de arquivo com um ficheiro referente ao “Bob”», diz Lee. Além disso, embora negue que a violação do sistema da ChoicePoint por Oluwatosin revelou a existência de falhas nesse mesmo sistema, sublinha que o caso desencadeou alterações significativas na empresa. Entre as quais: a renúncia à venda de certos produtos a algumas pequenas empresas; a contratação de um novo director de privacidade; o acordo em fornecer monitorização gratuita de crédito durante um ano aos consumidores afectados; a redução da inclusão dos números da Segurança Social nos relatórios, e apelos a favor de uma lei de nova legislação.
Para Pam Dixon, directora executiva do Fórum Mundial de Privacidade, estas medidas, juntamente com uma regulação mais estrita dos corretores de informação, mostram que a opinião pública começa a compreender o que está em causa quando se fala de controle de dados pessoais. «Há anos que andávamos a alertar para a iminência de um desastre deste tipo», diz Dixon. «O caso da ChoicePoint foi decisivo. Agora, creio que estamos a assistir ao princípio de uma reviravolta.»

É uma boa notícia para pessoas como Elizabeth Rosen. Contudo, em meados de Junho completaram-se quatro meses desde o seu pedido de mais informações à ChoicePoint … e ainda está à espera de resposta.

PROTEGER A PRIVACIDADE JÁ: UMA INTRODUÇÃO

Quer saber como é que os cidadãos podem adquirir mais controle sobre os seus dados pessoais? Os activistas dizem que é preciso começar por criar novos regulamentos que incorporem os princípios aqui enumerados. Chamam-lhe os cinco AA da privacidade:

1. As pessoas precisam de ter acesso a toda a informação a elas referente que esteja a ser organizada e vendida.
2. São necessárias salvaguardas que garantam a exactidão dos dados associados ao nome de uma pessoa.
3. Em caso de contestação sobre a exactidão de informações, deve ser feita uma auditoria por terceiros devidamente qualificados, os quais devem ainda ter autoridade para congelar a divulgação desses dados até o caso estar resolvido.
4. São necessários padrões mais rígidos que imponham aos corretores de informação a notificação de todos aqueles cujos dados pessoais possam ter sido ilegalmente acedidos.
5. É tempo de se abandonar a facilidade de acesso a determinados tipos de informação pessoal, sobretudo aos números da Segurança Social.