Encrypting your laptop

April 27th, 2015

From Micah Lee –   Twitter @micahflee

Time and again, people are told there is one obvious way to mitigate privacy threats of all sorts, from mass government surveillance to pervasive online tracking to cybercriminals: Encryption. As President Obama put it earlier this year, speaking in between his administration’s attacks on encryption, “There’s no scenario in which we don’t want really strong encryption.” Even after helping expose all the ways the government can get its hands on your data, NSA whistleblower Edward Snowden still maintained, “Encryption works. Properly implemented strong crypto systems are one of the few things that you can rely on.”

But how can ordinary people get started using encryption? Encryption comes in many forms and is used at many different stages in the handling of digital information (you’re using it right now, perhaps without even realizing it, because your connection to this website is encrypted). When you’re trying to protect your privacy, it’s totally unclear how, exactly, to start using encryption. One obvious place to start, where the privacy benefits are high and the technical learning curve is low, is something called full disk encryption. Full disk encryption not only provides the type of strong encryption Snowden and Obama reference, but it’s built-in to all major operating systems, it’s the only way to protect your data in case your laptop gets lost or stolen, and it takes minimal effort to get started and use.

If you want to encrypt your hard disk and have it truly help protect your data, you shouldn’t just flip it on; you should know the basics of what disk encryption protects, what it doesn’t protect, and how to avoid common mistakes that could let an attacker easily bypass your encryption.

If you’re in a hurry, go ahead and skip to the bottom, where I explain, step-by-step, how to encrypt your disk for WindowsMac OS X, and Linux. Then, when you have time, come back and read the important caveats preceding those instructions.

What disk encryption guards against

If someone gets physical access to your computer and you aren’t using disk encryption, they can very easily steal all of your files.

It doesn’t matter if you have a good password because the attacker can simply boot to a new operating system off of a USB stick, bypassing your password, to look at your files. Or they can remove your hard disk and put it in a different computer to gain access. All they need is a screwdriver, a second computer, and a $10 USB enclosure.

Computers have become an extension of our lives and private information continually piles up on our hard disks. Your computer probably contains work documents, photos and videos, password databases, web browser histories, and other scattered bits of information that doesn’t belong to anyone but you. Everyone should be running full-disk encryption on their laptops.

Encrypting your disk will protect you and your data in case your laptop falls into the wrong hands, whether because you accidentally left it somewhere, because your home or office was burglarized, or because it was seized by government agents at home or abroad.

It’s worth noting that no one has privacy rights when crossing borders. Even if you’re a U.S. citizen entering the United States, your Constitutional rights do not apply at the border, and border agents reserve the right to copy all of the files off of your computer or phone if they choose to. This is also true in Canada, and in other countries around the world. If you plan on traveling with electronic devices, disk encryption is the only way you have a chance at protecting your data if border agents insist on searching you. In some situations it might be in your best interest to cooperate and unlock your device, but in others it might not. Without disk encryption, the choice is made for you: the border agents get all your data.

What disk encryption is useless against

There’s a common misconception that encrypting your hard disk makes your computer secure, but this isn’t entirely true. In fact, disk encryption is only useful against attackers that have physical access to your computer. It doesn’t make your computer any harder to attack over a network.

All of the common ways people get hacked still apply. Attackers can still trick you into installing malware. You can still visit malicious websites that exploit bugs in Flash, or in your web browser, or in your operating system’s font or image rendering engines, or countless other ways. When you visit benevolent websites, network attackers can still secretly make them malicious by modifying them in transit. Attackers can still exploit services running on your computer, such as network file sharing, iTunes playlist sharing, or your BitTorrent client, to name a few.

And of course, disk encryption doesn’t do anything to stop internet surveillance. Spy agencies like NSA, who tap into the fiber optic cables that make up the backbone of the internet, will still be able to spy on nearly everything you do online. An entirely different category of encryption is needed to fix that systemic problem.

The different ways you can get hacked or surveilled are too numerous to list in full. In future posts I’ll explain how to reduce the size of your probably-vast attack surface. But for now it’s important to know that disk encryption only protects against a single flavor of attack: physical access.

How it works

The goal of disk encryption is to make it so that if someone who isn’t you has access to your computer they won’t be able to access any of your files, but instead will only see scrambled, useless ciphertext.

Most disk encryption works like this. When you first power your computer on, before your operating system can even boot up, you must unlock your disk by supplying the correct encryption key. The files that make up your operating system are on your encrypted disk, after all, so there’s no way for your computer to work with them until the disk is unlocked.

In most cases, typing your passphrase doesn’t unlock the whole disk, it unlocks an encryption key, which in turn unlocks everything on the disk. This indirection allows you to change your passphrase without having to re-encrypt your disk with a new key, and also makes it possible to have multiple passphrases that can unlock the disk, for example if you add another user account to your laptop.

This means that your disk encryption passphrase is potentially one of the weakest security links. If your passphrase is “letmein”, a competent attacker will get past your disk encryption immediately. But if you use a properly generated high-entropy passphrase like “runge wall brave punch tick zesty pier”, it’s likely that no attacker, not even the NSA or Chinese intelligence, will ever be able to guess it.

You have to be extremely careful with strong disk encryption that can only be unlocked with a passphrase you’ve memorized. If you forget the passphrase, you get locked out of your own computer, losing your data forever. No data recovery service can help you, and if you give your machine to the FBI they won’t be able to access your files either. Because that’s kind of the point of disk encryption.

Once your computer is on and you’ve entered your passphrase, your disk encryption is completely transparent to you and to the applications on your computer. Files open and close as they normally would, and programs work just as they would on an unencrypted machine. You won’t notice any performance impact.

This means, however, that when your computer is powered on and unlocked, whomever is sitting at it has access to all your files and data, unencumbered by encryption. So if you want your disk encryption to work to its full potential, you need to lock your screen when your computer is going to be on while you’re away, and, for those times when you forget to lock it, to set it to lock automatically after, say, 10 minutes of idling.

It’s also important that you don’t have any other users on your system that have weak passwords or no passwords, and that you disable the guest account. If someone grabs your laptop, you don’t want them to be able to login at all.

Attacks against disk encryption

There are a few attacks against disk encryption that are tricky to defend against. Here are some precautions you can take.

Power off your computer completely (don’t just suspend it) when you think it’s at risk of falling into someone else’s hands, like right before going through customs when entering a new country. This defends against memory-based attacks.

Computers have temporary storage called RAM (otherwise known as memory) which you can think of as scratch paper for all of your software. When your computer is powered on, your software is constantly writing to and deleting from parts of your RAM. If you use disk encryption, as soon as you successfully unlock your encrypted disk the encryption key is stored in RAM until you power your computer off. It needs to be—otherwise there would be no way to encrypt and decrypt files on the fly as you use your computer.

But unfortunately, laptops have ports that have direct memory access, or DMA, including FireWire, USB, and others. If an attacker has access to your computer and your disk is unlocked (this is true even if your laptop is suspended), they can simply plug a malicious device into your computer to be able to manipulate your RAM. This could include directly reading your encryption keys or injecting commands into your operating system, such as closing the screen lock program. There is open source software calledInception that does just this using a FireWire cable and a second laptop, and there’s plenty of commercial hardware available too, like this one, or this one. It’s worth noting that new versions of Mac OS X uses a cool virtualization technology called VT-d to thwart this type of DMA attack.

 

cold-boot

Demonstration of a cold boot attack. (Photo courtesy of J. Alex Halderman et al. “Lest We Forget: Cold Boot Attacks on Encryption Keys”.)

 

But there are other ways for an attacker to learn what’s in your RAM. When you power your computer off, everything in RAM fades into nothingness. But this doesn’t happen immediately; it takes a few minutes, and an attacker can make it take even longer by physically freezing the RAM. An attacker with physical access to your powered-on computer can use a screwdriver to open the case of your computer and then use an upside-down can of compressed air to freeze your RAM (as in the image above). Then they can quickly cut the power to your computer, unplug your RAM, plug the RAM into a different computer, and dump all of the data from RAM to a disk. By sifting through that data, they can find a copy of your encryption key, which can then be used to decrypt all of the files on your hard disk. This is called the cold boot attack, and you can see a video of it in action here.

The key takeaway is that while your encrypted disk is unlocked, disk encryption doesn’t fully protect your data. Because of this, you may consider closing all your work and completely shutting down your computer at the end of the day rather than just suspending it.

It’s also important to make sure your laptop is always physically secure so that only people you trust ever have access to it. You should consider carrying your laptop with you wherever you go, as inconvenient as that may be, if your data is extremely important to you. When traveling, bring it with you in a carry-on bag instead of checking it in your luggage, and carry it with you rather than leaving it in a hotel room. Keep it with a trusted friend or locked in a safe when you can’t babysit it yourself.

This is all to defend against a different type of disk encryption attack known, in somewhat archaic language, as the “evil maid” attack. People often leave their laptops in their hotel room while traveling, and all it takes is one hotel housekeeper/elite hacker to foil your disk encryption.

Even when you use full disk encryption you normally don’t encrypt 100% of your disk. There’s a tiny part of it that remains in plaintext. The program that runs as soon as you power on your computer, that asks you to type in your passphrase and unlocks your encrypted disk, isn’t encrypted itself. An attacker with physical access to your computer could modify that program on the tiny part of your disk that isn’t encrypted to secretly do something malicious, like wait for you to type your passphrase and then install malware in your operating system as soon as you successfully unlock the disk.

Microsoft BitLocker does some cool tricks to make software-based evil maid attacks considerably harder by storing your encryption key in a special tamper-resistant chip in your computer called a Trusted Platform Module, or TPM. It’s designed to only release your encryption key after confirming that your bootloader hasn’t been modified to be malicious, thwarting evil maid attacks. Of course, there are other attacks against TPMs. Last monthThe Intercept published a document about the CIA’s research into stealing keys from TPMs, with the explicit aim of attacking BitLocker. They have successfully done it, both by monitoring electricity usage of a computer while the TPM is being used and by “measuring electromagnetic signals emanating from the TPM while it remains on the motherboard.”

You can set up your Linux laptop to always boot off of a USB stick that you carry around with you, which also mitigates against evil maid attacks (in this case, 100% of your disk actually is encrypted, and you carry the tiny unencrypted part around with you). But attackers with temporary access to your laptop can do more than modify your boot code. They could install a hardware keylogger, for example, that you would have no way of knowing is in your computer.

The important thing about evil maid attacks is that they work by tampering with a computer without the owner’s knowledge, but they still rely on the legitimate user to unlock the encrypted disk. If someone steals your laptop they can’t do an evil maid attack against you. Rather than stealing it, the attacker needs to secretly tamper with it and return it to you without raising your suspicions.

You can try using bleeding-edge tamper-evidence technology such as glitter nail polish to detect if someone has tampered with your computer. This is quite difficult to do in practice. If you have reason to believe that someone might have maliciously tampered with your computer, don’t type your passphrase into it.

Defending against these attacks might sound intimidating, but the good news is that most people don’t need to worry about it. It all depends on your threat model, which basically is an assessment of your situation to determine how paranoid you really need to be. Only the most high-risk users need to worry about memory-dumping or evil maid attacks. The rest of you can simply turn on disk encryption and forget about it.

What about TrueCrypt?

TrueCrypt is popular disk encryption software used by millions of people. In May of 2014, the security community went into shock when the software’s anonymous developers shut down the project, replacing the homepage with a warning that, “Using TrueCrypt is not secure as it may contain unfixed security issues.”

TrueCrypt recently underwent a thorough security audit showing that it doesn’t have any backdoors or major security issues. Despite this, I don’t recommend that people use TrueCrypt simply because it isn’t maintained anymore. As soon as a security bug is discovered in TrueCrypt (all software contains bugs), it will never get fixed. You’re safer using actively developed encryption software.

How to encrypt your disk in Windows

BitLocker, which is Microsoft’s disk encryption technology, is only included in the Ultimate, Enterprise, and Pro versions of Windows Vista, 7, 8, and 8.1, but not the Home version which is what often comes pre-installed on Windows laptops. To see if BitLocker is supported on your version of Windows, open up Windows Explorer, right-click on C drive, and see if you have a “Turn on BitLocker” option (if you see a “Manage BitLocker” option, then congratulations, your disk is already encrypted, though you may want to finish reading this section anyway).

If BitLocker isn’t supported in your version of Windows, you can choose to upgrade to a version of Windows that is supported by buying a license (open Control Panel, System and Security, System, and click “Get more features with a new edition of Windows”). You can also choose to use different full disk encryption software, such as the open source program DiskCryptor.

BitLocker is designed to be used with a Trusted Platform Module (TPM), a tamper-resistent chip that is built into new PCs that can store your disk encryption key. Because BitLocker keys are stored in the TPM, by default it doesn’t require users to enter a passphrase when booting up. If your computer doesn’t have a TPM (BitLocker will tell you as soon as you try enabling it), it’s possible to use BitLocker without a TPM and to use a passphrase or USB stick instead.

If you only rely on your TPM to protect your encryption key, your disk will get automatically unlocked just by powering on the computer. This means an attacker who steals your computer while it’s fully powered off can simply power it on in order to do a DMA or cold boot attack to extract the key. If you want your disk encryption to be much more secure, in addition to using your TPM you should also set a PIN to unlock your disk or require inserting a USB stick on boot. This is more complicated, but worth it for the extra security.

Whenever you’re ready, try enabling BitLocker on your hard disk by right-clicking on C drive and choosing the “Turn on BitLocker” option. First you’ll be prompted to make a backup of your recovery key, which can be used to unlock your disk in case you ever get locked out.

I recommend that you don’t save a copy of your recovery key to your Microsoft account. If you do, Microsoft—and by extension anyone Microsoft is compelled to share data with, such as law enforcement or intelligence agencies, or anyone that hacks into Microsoft’s servers and can steal their data—will have the ability to unlock your encrypted disk. Instead, you should save your recovery key to a file on another drive or print it. The recovery key can unlock your disk, so it’s important that it doesn’t fall into the wrong hands.

Follow the rest of the simple instructions and reboot your computer. When it boots up again, your disk will begin encrypting. You can continue to work on your computer while it’s encrypting in the background.

Once your disk is done encrypting, the next step is to set a PIN. This requires tweaking some internal Windows settings, but it shouldn’t be too hard if you follow the instructions to the dot.

Click Start and type “gpedit.msc” and press enter to open the Local Group Policy Editor. In the pane to the left, navigate to Local Computer Policy > Computer Configuration > Administrative Templates > Windows Components > BitLocker Drive Encryption > Operating System Drives.

In the pane to the right, double-click on “Require additional authentication at startup.” Change it from “Not Configured” to “Enabled”, and click OK. You can close the Local Group Policy Editor.

Now open Windows Explorer, right-click on drive C, and click “Manage BitLocker”.

In the BitLocker Drive Encryption page, click “Change how drive is unlocked at startup”. Now you can choose to either require a PIN while starting up, or requiring that you insert a USB flash drive. Both work well, but I suggest you use a PIN because it’s something that you memorize. So if you get detained while crossing a border, for example, you can choose not to type your PIN to unlock your drive, however you can’t help it if border agents confiscate your USB flash drive and use that to boot your computer.

If you choose to require a PIN, it must be between 4 and 20 numbers long. The longer you make it the more secure it is, but make sure you choose one that you can memorize. It’s best if you pick this PIN entirely at random rather than basing it on something in your life, so avoid easily guessable PINs like birthdates of loved ones or phone numbers. Whatever you choose make sure you don’t forget it, because otherwise you’ll be locked out of your computer. After entering your PIN twice, click Set PIN.

Now reboot your computer. Before Windows starts booting this time, you should be promped to type your PIN.

Finally, open User Accounts to see all of the users on your computer, confirm that they all have passwords set and change them to be stronger if necessary. Disable the guest account if it’s enabled.

How to encrypt your disk in Mac OS X

FileVault, Apple’s disk encryption technology for Macs, is simple to enable. Open System Preferences, click on the Security & Privacy icon, and switch to the FileVault tab. If you see a button that says “Turn Off FileVault…”, then congratulations, your disk is already encrypted. Otherwise, click the lock icon in the bottom left so you can make changes, and click “Turn On FileVault…”.

Next you will be asked if you want to store a copy of your disk encryption recovery key in your iCloud account.

I recommend that you don’t allow your iCloud account to unlock your disk. If you do, Apple — and by extension anyone Apple is compelled to share data with, such as law enforcement or intelligence agencies, or anyone that hacks into Apple’s servers and can steal their data — will have the ability to unlock your encrypted disk. If you do store your recovery key in your iCloud account, Apple encrypts it using your answers to a series of secret questions as an encryption key itself, offering little real security.

Instead, choose “Create a recovery key and do not use my iCloud account” and click Continue. The next window will show you your recovery key, which is twenty-four random letters and numbers. You can write this down if you wish. The recovery key can unlock your disk, so it’s important that it doesn’t fall into the wrong hands.

Once you click Continue you will be prompted to reboot your computer. After rebooting, FileVault will begin encrypting your hard disk. You can continue to work on your computer while it’s encrypting in the background.

With FileVault, Mac OS X user passwords double as passphrases to unlock your encrypted disk. If you want your passphrase to survive guessing attempts by even the most well-funded spy agencies in the world, you should follow the instructions here to generate a high-entropy passphrase to use to login to your Mac.

Go back to System Preferences and this time click on the Users & Groups icon. From there you should disable the guest account, remove any users that you don’t use, and update any weak passwords to be strong passphrases.

How to encrypt your disk in Linux

Unlike in Windows and Mac OS X, you can only encrypt your disk when you first install Linux. If you already have Linux installed without disk encryption, you’re going to need to backup your data and reinstall Linux. While there’s a huge variety of Linux distributions, I’m going to use Ubuntu as an example, but setting up disk encryption in all major distributions is similar.

Start by booting to your Ubuntu DVD or USB stick and follow the simple instructions to install Ubuntu. When you get to the “Installation type” page, check the box “Encrypt the new Ubuntu installation for security,” and then click Install Now.

On the next page, “Choose a security key,” you must type your encryption passphrase. You’ll have to type this each time you power on your computer to unlock your encrypted disk. If you want your passphrase to survive guessing attempts by even the most well-funded spy agencies in the world, you should follow the instructions here.

Then click Install Now, and follow the rest of the instructions until you get to the “Who are you?” page. Make sure to choose a strong password—if someone steals your laptop while it’s suspended, this password is all that comes between the attacker and your data. And make sure that “Require my password to log in” is checked, and that “Log in automatically” is not checked. There is no reason to check “Encrypt my home folder” here, because you’re already encrypting your entire disk.

And that’s it.

Correction: This post originally gave an incorrect date for when the TrueCrypt project was shut down. April 27 12:35 pm ET.

Email the author: micah.lee@theintercept.com

Pequena nota: O #MarcoCivil e a antinomia

April 8th, 2015

(*) Paulo Sá Elias

O objetivo desta pequena nota é lançar um debate. Trata-se de uma reflexão aberta ao público. Não tenho opinião formada a respeito. É um “brainstorm” que comecei há algum tempo.

Estudando o tema das antinomias e os critérios para a sua solução, veio à minha memória o texto da Lei 12.965/2014 (Marco Civil da Internet) – especialmente o trecho que trata da responsabilidade civil dos provedores.

Alguém poderia logo dizer que o #MarcoCivil é uma lei especial – e em razão disso, deverá prevalecer sobre a lei geral, no caso, o Código Civil e o regime de responsabilidade civil. No entanto, nós sabemos que o Código Civil é uma lei geral composta por várias leis especiais. O tema da responsabilidade civil é uma lei especial dentro do Código Civil, tem um título só para ela – veja só: (Título IX – Da Responsabilidade Civil).

Ora, sendo assim, pense comigo: no critério cronológico a lei posterior prevalece sobre a anterior, na especialidade, a lei especial prevalece sobre a geral e no hierárquico, a lei superior prevalece sobre a inferior. Sabemos que a antinomia de primeiro grau é sempre aparente, já que o conflito existe apenas em um critério. E a antinomia que parece existir no Marco Civil x Código Civil (Regime de Responsabilidade Civil) jamais seria apenas de primeiro grau, uma vez que necessariamente envolveria mais de um critério para a sua solução.

Vamos considerar que o regime da responsabilidade civil do Código Civil seja qualificado como “lei especial” (“Lex specialis derogat generali”). Sendo assim, temos o seguinte cenário: o regime de responsabilidade civil do Código Civil (norma especial anterior e hierarquicamente superior) x Marco Civil da Internet.

Lembrando que o critério cronológico não tem suporte constitucional, pouco importando a recente data do Marco Civil, logo concluímos que os critérios da especialidade e da hierarquia passam a ter grande importância nesta equação. Há antinomia aparente ou real entre o regime de responsabilidade civil do Código Civil e o regime de responsabilidade civil do Marco Civil? Quem vencerá essa queda de braço? Sempre soube que o Código Civil tinha um braço de ferro. Só se o Marco Civil tiver um braço de aço e eu ainda não percebi.

Alguém deseja o bloqueio de todo um serviço de Internet?

March 6th, 2015

* Paulo Sá Elias

Alguém deseja o bloqueio de todo um serviço de Internet? Claro que não. Muito menos o Poder Judiciário. É bastante equivocada e arrogante a afirmação de que os juízes não conhecem a Internet. Obviamente que os magistrados só adotam esta opção extrema e espantosa quando todas as outras possibilidades coercitivas (e menos gravosas à sociedade) não foram capazes de impedir que as ordens judiciais continuassem sendo desobedecidas, desafiadas de forma contumaz e até desrespeitosa. É o que na prática tem o nome conhecido por todos da área jurídica de “Desobediência à ordem judicial” ou “Contempt of Court” (Common Law).

O que se observa no Brasil, são alguns casos em que, mesmo diante de astreintes milionárias e de uma série de providências (incluindo a possibilidade de condução coercitiva), a desobediência à uma ordem judicial permanece, obrigando o juiz a procurar alternativas mais drásticas para que a ordem seja cumprida.

Há uma excelente e paradigmática decisão em que o Egrégio Tribunal de Justiça do Estado de São Paulo (Des. Ênio Santarelli Zuliani) considerou que uma empresa de Internet  “(…) lidava com a sentença judicial de forma parcimoniosa e até desrespeitosa, agindo passivamente, como se não lhe coubesse alguma responsabilidade pelo impasse que colocava em cheque a eficácia da coisa julgada, acabando por provocar com isso – um sensacionalismo imprudente dos jejunos do Direito” dando-se a impressão na época (com o auxílio de opiniões erradas na imprensa) de que se falava em censura ou mesmo que houvesse sido solicitada a interdição por completo do referido serviço de Internet em todo o território nacional bloqueando-o no “backbone” (que é a infraestrutura de transferência de dados entre o Brasil e outros países) como primeira opção do juiz, o que não é verdade. A decisão drástica (quase ocorreu), pois não havia mais o que fazer para obrigar a empresa a obedecer a ordem.

O caso referido é, na verdade, emblemático e referência aos profissionais que militam nesta área do Direito da Informática, mostrando claramente – como destacado na época – que sentenças são proferidas para serem cumpridas, e não cabe tergiversar sobre esse princípio, sob pena de comprometimento da credibilidade da instituição do Poder Judiciário, com reflexos desastrosos para a segurança jurídica, principalmente em tutelas mandamentais, nas quais há direta associação com o conceito de imperium, ou seja, da função do juiz em expedir ordens e fazê-las cumprir mediante as medidas necessárias para obtenção do resultado equivalente ao que seria obtido em caso de cumprimento voluntário (art. 461, § 5º, CPC).

E isso não ocorre apenas no Brasil. O direito norte-americano, por exemplo, analisando a figura das injunctions – cuja função é estreitamente ligada à preservação da autoridade judiciária, mostra que ordem judicial deve ser obedecida.

“Não se pode deixar ao alvitre da parte decidir sobre a validade das ordens regularmente emanadas pela autoridade judiciária, sob pena de transformar-se o poder jurisdicional em simples zombaria (“mockery”), tornando as Cortes impotentes. Não há razão para ser outra a resposta do direito brasileiro. Se a função da multa é garantir a obediência à ordem judicial, não se pode abrir espaço para o requerido questioná-la (senão pelas vias naturais judiciais), sob pena de negar-se-lhe todo caráter coercitivo. Pouco importa se a ordem se justifica ou não; após a sua preclusão, só resta o seu cumprimento, sem qualquer ulterior questionamento. Merece ela ser respeitada (quando editada) pela simples razão de decorrer da autoridade pública adequadaEstá em jogo, afinal, a própria autoridade do Estado. Não se pode, portanto, dizer que ocorreu apenas a inobservância de uma decisão do Estado-Juiz. Ocorreu, em verdade, a transgressão a uma ordem, que se presume legal (mesmo porque submetida à potencial revisão interna no Judiciário). Se o conteúdo desta ordem será, posteriormente, infirmado pelo exame final da causa, isto é dado futuro, que não pode refletir para o fato de que a ordem, enquanto vigorou, deveria ser cumprida inevitavelmente.” (cf. Sérgio Cruz Arenhart. A doutrina brasileira da multa coercitiva).

Ora, a desobediência civil é muito bem-vinda em Estados de Exceção, onde o Poder Judiciário está sob controle ditatorial e obriga juízes imparciais, temerosos e corruptos ou sob forte ameaça a praticarem censura, para evitar que reportagens inconvenientes sejam apresentadas aos leitores.

(*) Veja um exemplo: Um jornal é impedido por decisão de um Tribunal de publicar reportagens com informações sobre uma operação da Polícia Federal que investiga o filho de alguém extremamente poderoso (ocupante de cargo público), envolvido em corrupção. Gostamos da decisão? Não. Mas queremos saber do que se trata, pois parece haver evidente interesse público (interesses primários, de coletividade) na reportagem impedida de circular. Mas há uma decisão judicial impedindo a publicação. Devemos partir para a desobediência civil e desafiar a ordem judicial?

Resposta: Não. Em um Estado Democrático de Direito, não podemos. A resposta é negativa. Devemos obedecer a ordem judicial regularmente emanada do Poder Judiciário.

No entanto, nada nos impede, ao contrário tudo recomenda, lutarmos com todas as nossas forças jurídicas, jornalísticas e políticas para compreender melhor a informação jornalística tão sensível e polêmica que a imprensa gostaria de nos dar com aquela reportagem, cancelando a ordem judicial anterior por meio dos recursos jurídicos disponíveis.

E ninguém pode negar, em pleno Século XXI, que a decisão judicial vai ser incapaz de impedir a divulgação de alguma informação sensível e extremamente urgente aos interesses da coletividade em uma determinada conjuntura política perigosa. Sabemos que, na prática, muitas vezes as informações acabam vazando. E nos dias atuais, vazam na Internet, sendo armazenadas fora do país, em servidores que nem mesmo as autoridades conseguem identificar e encontrar onde estão, causando perplexidade ao pessoal da “old school”.

E isso, curiosamente, forma um interessante paradoxo, mostrando à sociedade uma ferramenta muito poderosa para a imprensa do Século XXI. As forças ocultas que muitas vezes impedem a veiculação de informações extremamente importantes e sensíveis para os interesses da coletividade, com a demissão de jornalistas, pressões nas redações, ameaças, etc., em determinadas conjunturas políticas adversas, são enfraquecidas com os recursos da tecnologia da informação. Por isso que China, Rússia, Irã, Coréia do Norte e outros países onde não há democracia (ou democracia plena), liberdade de imprensa e manifestação do pensamento, a Internet livre é vista como inimiga.

Aos profissionais da área jurídica em ambientes democráticos, resta o competente trabalho jurídico de mostrar fortes argumentos envolvendo o interesse público (interesse primários, de coletividade), para que, quando for o caso, no processo de ponderação que normalmente é utilizado pelos Tribunais para solucionar conflitos de direitos fundamentais, a informação seja publicada. Na prática, não se atribui preferência a um ou outro princípio ou direito fundamental, mas na realidade, há um esforço do Tribunal para que seja assegurada a aplicação das normas conflitantes, ainda que uma delas possa sofrer atenuações.

Observe que o Direito tem solução para esses impasses relevantes. Sinceramente, tento compreender as razões pelas quais as inteligências juvenis da área jurídica, entusiasmadas com as novidades da Internet (parafraseando o saudoso mestre Miguel Reale), acabam orientando os executivos das empresas da Internet para uma conduta tão equivocada como essa, ou seja, a da desobediência às ordens judiciais no Brasil de 2015, pelo menos até o momento, afinal, ainda vivemos em uma democracia plena. Acredito eu.

Veja que o art. 19, § 4º do #MarcoCivil da Internet diz claramente que o juiz deve considerar o interesse da coletividade da disponibilização do conteúdo na Internet. Há interesse público, interesse primário, interesse de coletividade na divulgação, por exemplo, de imagens de pornografia infantil? Obviamente não.

(*) Texto originalmente publicado em www.omci.org.br

Minha opinião sobre o Observatório do #MarcoCivil

February 9th, 2015

O grande diferencial deste projeto (www.omci.org.br), na minha opinião, é a qualidade jurídica, a responsabilidade científica e técnica e também o fato do “Observatório do Marco Civil da Internet” ser “de código aberto”, transparente, quer e precisa da participação daqueles que se comprometem com o estudo sério e responsável da matéria, com a Internet livre, com a livre manifestação do pensamento. Com isso, pretendemos conseguir o aprimoramento dos estudos nesta área e do próprio conteúdo do projeto.

Infelizmente esta área do Direito da Informática foi tomada por dezenas de “especialistas” criados da noite para o dia com o auxílio de poderosas assessorias de imprensa, abordagens publicitárias, interesses políticos, editoriais, comerciais e outros – e que acabavam inserindo verdadeiros absurdos jurídicos na grande mídia, influenciando negativamente a compreensão dos temas relacionados ao Direito, Internet e Tecnologia pelos mais variados profissionais que gravitam ao redor do Direito e da Justiça no Brasil e também na imprensa.

Os professores e pesquisadores sérios e de longa data nesta área do Direito precisavam há muito tempo criar um espaço imune a essas estratégias e abordagens. Há necessidade urgente de uma profilaxia. Há necessidade de um forte combate aos pseudos “congressos”, às irresponsáveis publicações editoriais, incluindo aqueles livrinhos que assustam pela barbaridade jurídica, pelos equívocos elementares e que acabam também influenciando negativamente toda uma geração de estudantes e futuros profissionais.

Em breve teremos novos comentaristas e novas opiniões para enriquecer ainda mais o debate. E enquanto o projeto seguir essa linha, terá meu apoio e participação.

Paulo Sá Elias
09/02/2015

A regulamentação do #MarcoCivil da Internet

January 28th, 2015


A regulamentação do Marco Civil da Internet

(*) Paulo Sá Elias

Hoje, quarta-feira (28.01.2015), visitei o Ministério da Justiça para acompanhar a abertura de dois importantes debates públicos diretamente relacionados ao uso da Internet no Brasil. O primeiro tem o objetivo de regulamentar o Marco Civil da Internet (Lei nº 12.965/2014) e o segundo cuida do anteprojeto de Lei de Proteção de Dados Pessoais, tema de grande relevância para o país, mais ainda após as denúncias de Edward Snowden (que revelou que dados de brasileiros estão sendo monitorados por países estrangeiros).

É bem verdade que o Marco Civil passou por um difícil período para a sua aprovação. O trabalho promovido pelo Deputado Alessandro Molon (PT-RJ) na condução das inúmeras negociações para a aprovação do texto da lei do Marco Civil, tentando preservar ao máximo, dentro do que foi possível, os pontos fundamentais de interesse público discutidos coletivamente e de uma Internet livre, merece destaque, apesar dos pesares.

Como sabemos, a regulamentação é o próximo passo para uma lei ordinária. O que causa perplexidade, no entanto, são os comentários de que o Marco Civil apresenta um texto legal superficial, simplório, incompleto, entre outros equivocados e inacreditáveis argumentos do gênero.

Obviamente que nenhuma lei, principalmente na área da tecnologia da informação, pode ser escrita de tal maneira que em seu contexto fiquem compreendidos todos os casos em qualquer tempo ocorrentes. Há uma máxima do Direito Romano que já explicava isso aos profissionais e jejunos da área jurídica há séculos. Uma lei ordinária, como é o caso do Marco Civil, não consegue (e não pode) prever todos os desdobramentos e inovações que poderão ocorrer ao longo dos anos em relação aos temas tratados por ela.

A legislação, a norma jurídica do direito evoluído, a melhor técnica legislativa, em todo o mundo, ressalte-se, caracteriza-se justamente pela generalidade, por não entrar em minúcias, em detalhes, em matérias típicas do processo de regulamentação. O legislador, como sabemos, deve pairar nas alturas, fixar princípios e preceitos gerais, de amplo alcance, embora precisos e claros. É exatamente por isso que uma lei tecnicamente bem elaborada, justamente por não entrar em campos típicos da regulamentação, passa a ter flexibilidade, ou seja, uma longa e duradoura jornada no sistema legal de um país, sem a necessidade de uma constante interferência do legislador em seu texto principal.

Como já dizia Carlos Maximiliano Pereira dos Santos, bem como Paulo Dourado de Gusmão, leitura obrigatória para qualquer estudante de um bom curso de Direito: “A letra da lei permanece, apenas o sentido se adapta às mudanças que a evolução opera na vida social – surgem novas ideias, aplicam-se os mesmos princípios a condições sociais diferentes. O intérprete melhora o texto legal sem lhe alterar a forma; a fim de adaptar aos fatos a regra antiga, ele a subordina às imprevistas necessidades presentes, embora chegue a postergar o pensamento do elaborador prestigioso; deduz corretamente e aplica inovadores conceitos que o legislador não quis, não poderia ter querido exprimir“.

Aliás, eis a razão da também sabedoria oriunda dos romanos: “scire leges non hoc est, verba earum tenere, sed vim ac potestatem” – saber as leis não é conhecer-lhes as palavras, porém a sua força e poder, isto é, o sentido e o alcance respectivos.

É incrível ter que repetir isso em 2015. Se tem uma coisa que o texto de uma lei ordinária, como é o caso do Marco Civil, elaborada de acordo com a melhor técnica legislativa, não pode ser acusado, é de ser simplório, tolo ou superficial. O momento correto para entrar em detalhes, para complementar o texto legal, é na regulamentação. Como bem afirmou o Ministro José Eduardo Cardozo, e que sempre faço questão de ressaltar, tratar-se de um grande jurista e professor da área do Direito Administrativo: “Vai manter o mesmo espírito do Marco Civil que encantou o mundo. É um novo paradigma, uma nova referência legislativa do Século XXI, que afirma a soberania do Brasil”.

E a ampla participação da sociedade brasileira no debate, tanto da regulamentação do Marco Civil, como no anteprojeto de Lei de Proteção de Dados Pessoais, ganhou uma ferramenta ainda melhor do que a anteriormente utilizada durante o processo de elaboração do Marco Civil. O novo sistema me pareceu excelente, transparente e bem fácil de ser utilizado por qualquer cidadão interessado em contribuir com o debate.

Aproveito a oportunidade para comunicar que será lançado, provavelmente ainda durante o mês de janeiro de 2015, o Observatório do Marco Civil da Internet (www.omci.org.br), projeto que conta com a minha participação e de outros colegas da área, cujo foco principal é acompanhar a jurisprudência nacional e as decisões judiciais no tocante a aplicação jurídica e prática da Lei nº 12.965/2014. O substrato inicial do Observatório são as mais de 150 decisões, sentenças, despachos e demais peças processuais localizadas até o momento pela equipe de pesquisadores envolvidos com o projeto e que tratam diretamente do Marco Civil e sua interpretação pelos magistrados e Tribunais brasileiros.

(*) Os endereços para participar do debate são:
http://participacao.mj.gov.br/marcocivil/
http://participacao.mj.gov.br/dadospessoais/

(*) Paulo Sá Elias, 43 anos, é professor e advogado em São Paulo. Mestre em Direito pela UNESP (Universidade Estadual Paulista). Twitter @psael

Brazil, before destruction.

December 19th, 2014

Sobre o recente livro do Olavo de Carvalho

December 19th, 2014

Muitas pessoas perguntam minha opinião sobre o recente livro do Olavo de Carvalho:  “O mínimo que você precisa saber para não ser um idiota.” organizado por Felipe Moura Brasil. Editora Record. 615 páginas. Gostei muito. Evidentemente que não tenho a menor dúvida em recomendar a leitura. É obrigatório. O Reinaldo Azevedo faz um vôo panorâmico sobre a obra aqui:

 http://veja.abril.com.br/blog/reinaldo/geral/o-minimo-que-voce-precisa-saber-para-nao-ser-um-idiota/ -

Eu coloquei a disposição dos meus alunos, leitores e amigos - a lista de destaques que fiz durante a leitura do livro. Aliás, tarefa que ficou muito mais fácil com o fantástico dispositivo de leitura Kindle White Page da Amazon. Virei fã do Kindle.

Para conhecer os destaques que fiz, publicados
com a autorização do autor (via Roxane), clique aqui
.

O “Marco Civil” (Lei 12.965/2014) visto por eles, os juízes.

September 1st, 2014

 

Seminário “Marco Civil da Internet” – Escola Paulista da Magistratura (TJSP)
A visão do Desembargador Ênio Santarelli Zuliani

(*) Paulo Sá Elias

Terminou a semana passada, em São Paulo, Capital, o Seminário “Marco Civil da Internet” promovido pela Escola Paulista da Magistratura (Tribunal de Justiça do Estado de São Paulo), com a excelente exposição do Desembargador Ênio Santarelli Zuliani e que trouxe importantes considerações sobre a forma como o professor e Desembargador interpreta a aplicação do Marco Civil (Lei nº 12.965/2014) em determinadas questões práticas do dia a dia. Há algumas semanas, ouvimos a exposição do Prof. Dr. Marcel Leonardi, que também apresentou excelentes argumentos.

Para o Desembargador, o “tempo” nas questões envolvendo a Internet é de vital importância para as partes em determinadas situações. Muitas vezes, a demora faz com que o direito da parte se prejudique eternamente, tornando impossível evitar a propagação de conteúdo ilícito pela Internet. Para ele, o Marco Civil não foi sábio com essa variante da realidade, ao exigir a ordem judicial para a remoção de conteúdos evidentemente ilícitos, apesar da exceção existente no art. 21.

“A lei não foi sábia com essa variante da realidade. Ao exigir ação judicial, ela criou essa dificuldade que pode criar um embaraço e uma impossibilidade técnica.”

Em sua exposição, Santarelli Zuliani lembra ainda que se a vítima de conteúdo ilícito divulgado pela Internet não conseguir identificar desde logo quem é o responsável pela inserção do conteúdo na rede, não poderá ser impedida de ingressar contra o provedor de aplicações de Internet inicialmente, mesmo sem saber quem é o responsável pela efetiva inserção do conteúdo, pois pensar de forma diferente seria admitir que o Marco Civil teria criado uma condição para restringir o acesso da vítima ao Judiciário em defesa do seu direito, o que evidentemente não se pode admitir. Atualmente, pela redação da Lei 12.965/2014, o provedor de aplicações de Internet só é obrigado a remover conteúdo ilícito veiculado na Internet (salvo o disposto no art. 21) por meio de decisão judicial (liminar, tutela antecipada ou decisão final) e se não remover, se não cumprir a decisão judicial, poderá ser condenado.

No entanto, questiona o Desembargador, se o provedor de aplicações de Internet não atender uma notificação prévia, ele estará exercendo corretamente o direito estabelecido no Marco Civil ou estará abusando do direito e deixando a vítima desprotegida? O provedor de aplicações de Internet nada faz e pergunta-se: Seria possível cogitar de sua responsabilidade por omissão? – Para ele, as pessoas que são afetadas por essas situações trazidas pela informática e telemática só possuem meios de salvaguardar os seus direitos através das atividades do provedor de aplicações de Internet, pois elas próprias não têm como resolver essa questão. Apenas o provedor de aplicações de Internet dispõe dos meios e das facilidades para atender uma situação de dano, para evitar o dano, impedir a continuidade do dano. Se o provedor de aplicações de Internet toma conhecimento de que há uma ofensa na rede e não age com rapidez, poderá contribuir para que esse dano se perpetue ou se agrave. Nesse tipo de questionamento, segundo ele, ganha força o princípio da exclusão de responsabilidade pelo fato de a lei não impor ao provedor de aplicações de Internet o dever de agir mediante notificação do interessado.

“Não me interessa que a lei (Marco Civil) tenha dito que só a partir das decisões judiciais (os provedores devem remover o conteúdo), ao meu juízo, ao meu entendimento, quem não obedece uma notificação com essa clareza, com essa transparência de ilicitude, não pode alegar exercício regular do direito. O provedor está abusando da sua posição, ainda que essa posição tenha sido imposta pela lei 12.965 e ao não agir, continuará no meu modo de entender, responsável.”

Para justificar sua posição, o Desembargador questiona se os provedores de aplicações de Internet, de acordo com o Marco Civil, ao não agirem mediante notificação prévia, estariam acobertados pelo exercício regular de direito (art. 188, inc. I, Código Civil) – respondendo que não, por uma razão bem simples:

“Apesar do advento da norma que de forma transparente buscou proteger o provedor e suas atividades, há, ínsito ao desenvolvimento do serviço, uma salvaguarda ao consumidor.” – e cita ainda o trabalho de Menezes Cordeiro, “que trata da questão dos deveres secundários, (que os portugueses chamam de tráfego) e que são atribuições para prevenir o perigo e o dano e não predeterminados, nem nos seus sujeitos, nem no seu conteúdo, de modo a poderem dar azo a uma verdadeira obrigação.” (MENEZES CORDEIRO, Tratado de Direito Civil Português, II – Direito das Obrigações, Tomo III, Almedina, 2010, p. 588).

“O Poder Judiciário tem que zelar pela integridade do ordenamento (jurídico) e se uma peça foge desse esquema geral, nós temos que deixar essa peça de lado e pensar no âmbito coletivo.”

“(…) Se o provedor exerce uma atividade por uma função social, ou seja, é autorizado a fazer uso da Internet, lucrar com tal atividade, dentro dela existem direitos e deveres fundamentais que estão atrelados a essa atividade e um desses deveres é dar segurança às pessoas. Então quando uma pessoa é afetada pelo mal desempenho do serviço e comunica ao provedor, ele tem que agir, ele não pode se escudar na lei nova (Marco Civil), dizendo assim: “eu só ajo quando o juiz decidir”. Isso me parece um retrocesso muito claro, muito evidente, ainda que tenha sido feito para facilitar a vida dos provedores, não pode ser aceito pelo judiciário. O Poder Judiciário tem que zelar pela integridade do ordenamento (jurídico) e se uma peça foge desse esquema geral, nós temos que deixar essa peça de lado e pensar no âmbito coletivo, e o âmbito coletivo nos diz que nós não podemos permitir que isso prossiga apenas com decisão judicial. Não me parece correto. Portanto, se alguém continuar a fazer como vinha sendo feito, ou seja: notificar e o provedor não atender, ele (provedor) responderá. No meu modo de entender, não mudou essa parte.”

“O provedor não pode justificar sua omissão, diante de reclamação fundamentada do interessado, pelo conteúdo da Lei 12.965/2014, como se não estivesse obrigado a cooperar agindo na luta contra o ilícito. Quando o art. 5º, II, da CF, diz que ninguém será obrigado a fazer ou deixar de fazer alguma coisa senão em virtude da lei, não pretendeu anistiar os empresários quanto ao procedimento seguro em favor da harmonia e da estabilidade do direito, o que significa dizer que sendo notificado da introdução de mensagem desonrosa e ofensiva, deverá promover a retirada ou justificar a manutenção em homenagem a liberdade de expressão e comunicação.”

Para o Desembargador, há abuso de direito (art. 187, do Código Civil) e ocorre uma colisão de direitos valiosos e iguais. Se de um lado o provedor de aplicações de Internet conta com a Lei 12.965/2014, a vítima possui, também, proteção constitucional (art. 5º, incisos V e X, da Constituição Federal) e da garantia de que serviços autorizados não causem danos (proteção de segurança) tal como previsto no art. 14 da Lei 8.078/90 (Código de Defesa do Consumidor). “Ora, o confronto deverá ser solucionado pelo critério que priorize a eliminação ou atenuação dos prejuízos. Caso se legalize a omissão do provedor, a ordem jurídica estaria emitindo licença para perpetuar o dano e converter sua negligente atuação em prejuízo a ser injustamente suportado pelo interessado.” – E se ficar constatado que o provedor de aplicações de Internet deveria agir e não o fez, responderá.

Sobre o Art. 21 do Marco Civil (Lei 12.961/2014), o Desembargador lembra que, ao contrário do outro dispositivo, a lei foi muito boa neste ponto, pois é preciso proteger rapidamente as pessoas que são expostas de tal maneira. No entanto, diz que a lei trouxe uma celeuma. A celeuma, segundo ele, está na palavra: “subsidiariamente”. O provedor de aplicações de Internet responde subsidiariamente. “Para nós, isso representa uma inovação. Nós conhecemos as obrigações solidárias. Mas subsidiárias? Nós conhecemos o benefício de ordem que está na fiança. E na fiança, diz assim, primeiro executa-se o devedor, e se o devedor não te pagar ou não tiver bens, aí sim executa-se o fiador. Isso é subsidiário. Outra obrigação subsidiária nós temos no art. 928 do Código Civil, que é a responsabilidade do incapaz. Primeiro tem que se executar o responsável pelo incapaz. Então, obrigação subsidiária que nós conhecemos, é essa alternativa: “primeiro deve pagar o devedor principal, depois é que deve pagar o outro”. Quando eu leio essa palavra (subsidiária), eu lembro do enriquecimento sem causa. Você só pode pedir a ação de locupletamento, se não tiver ação apropriada para o fim desejado. A ação para locupletamento é subsidiária. Afinal, qual o sentido da palavra subsidiária (no art. 21 do Marco Civil)? “Primeiro executa-se o autor da ofensa, se ele não pagar, aí o provedor paga?” – Eu não admiti isso. Para mim, a lei não quis dizer isso, porque isso está errado. Está errado, porque a questão do dano provocado à uma pessoa pela Internet, não acarreta a solidariedade perfeita. O ilícito praticado pelo agente que coloca o ilícito na rede é um. O ilícito do provedor é outro. Então, como é que nós podemos falar em responsabilidade solidária, se a causa da ilicitude é diferente?

“O legislador não soube contornar um problema jurídico, que é distinguir o nexo de causalidade que é múltiplo.”

“(.,..) Logo, não pode ser obrigação solidária. Realmente não me parece correto estabelecer solidariedade. Subsidiariedade também não me parece correto. Para mim, o legislador não soube contornar um problema jurídico, que é distinguir o nexo de causalidade que é múltiplo, e estabelecer diferentes sancionamentos. Qual a interpretação correta desse dispositivo?

“O provedor (de aplicações de Internet) foi notificado para retirar o ilícito e não retirou? Ele é responsável? Sim. Ele é responsável, pois ele entrou na cadeia do nexo causal e agravou o dano ao não retirar o material ilícito.”

“Primeiro, são dois agentes causadores do dano. O primeiro que colocou o conteúdo ilícito. Este é um. Ele responde, pois ele é quem fez a exposição do ilícito. O juiz tem que observar isso e estabelecer a responsabilidade de acordo com essa conduta. E o provedor de aplicações de Internet? O provedor foi notificado para retirar o ilícito e não retirou? Ele é responsável? Sim. Ele é responsável, pois ele entrou na cadeia do nexo causal e agravou o dano ao não retirar o material ilícito. O provedor (de aplicações de Internet) contribuiu de maneira eficiente para que o dano se perpetuasse ou se agravasse, então a responsabilidade do provedor é subsidiária, pois ela é independente da responsabilidade do agente causador. O juiz tem que fixar duas indenizações, diferentes, uma para o causador do dano e outra para o provedor. Por isso que é subsidiária. Essa subsidiariedade é diferente. Não é que uma depende da outra. A do provedor de aplicações de Internet tanto é menor, igual ou maior que a do agente. Quando ela é menor? Quando o provedor de aplicações de Internet age rapidamente. Ele tira, mas demora um pouco. Vamos supor que demore 24 horas para agir. Agora vamos supor que ele demore, 20 dias. Nesses 20 dias (de sua letargia), o dano ganhou uma dimensão extraordinária, pois cada minuto que passa mais gente vê, mais gente faz download, muitos farão um arquivo (do conteúdo ilícito). Então, o provedor pode ter uma responsabilidade maior ou menor. Por isso que é subsidiário.” – Pensar de forma diversa, vai contra qualquer razoabilidade do sistema jurídico e das obrigações.” Para o Desembargador, portanto, o provedor de aplicações de Internet que contribuiu para o dano por não retirar o que deveria ser imediatamente excluído (fica em situação de espera), somente será responsável “subsidiariamente”, o que parece sensato. Esse sim é o sentido da norma.

Por fim, respondendo a indagação que eu fiz sobre “astreintes” (multa diária), entende o Desembargador que a aplicação de multas diárias por desobediência a ordens judiciais (“Contempt of Court”) devem ser fixadas em valores expressivos e que sejam realmente capazes de obrigar o cumprimento das ordens judiciais.

Nota: Todas as informações da aula do Prof. Ênio foram divulgadas com sua autorização, nos termos da Lei 9.610/98.

(*) Paulo Sá Elias, 43 anos, é advogado. Mestre em Direito pela UNESP. Professor Universitário. Mantém o blog www.direitodainformatica.com.br e o perfil na rede Twitter @psael

A indecente, deletéria e sórdida alegação dos Planos de Saúde

August 9th, 2014

A indecente, deletéria e sórdida alegação dos Planos de Saúde:
“O procedimento não se enquadra nas diretrizes da ANS.”

* Paulo Sá Elias

“Para ser tolerante, é preciso fixar os limites do intolerável.” (Umberto Eco)

 

A IMRT – Radioterapia de Intensidade Modulada ocupa papel essencial e importantíssimo no tratamento de câncer. O tratamento radioterápico IMRT (técnica tridimensional com modulação da intensidade do feixe) possibilita ação concentrada na região do tumor, sendo mais eficaz para o tratamento do câncer e para a preservação dos tecidos sadios, uma vez que em razão das altas doses de radiação necessárias para o tratamento de determinados tumores, principalmente nos mais agressivos e raros, a utilização da radioterapia convencional (a de tecnologia anterior), aumenta consideravelmente o risco de comprometimento de tecidos sadios e outros órgãos do paciente.

Por mais inacreditável que possa parecer, alguns planos de saúde no Brasil (inclusive em Ribeirão Preto, como é o caso da UNIMED) estão indeferindo pedidos de tratamento com IMRT (cujos valores são altíssimos) sob a indecente, deletéria e sórdida alegação de que o procedimento não se enquadra nas diretrizes da ANS – Agência Nacional de Saúde.

O Poder Judiciário brasileiro, em inúmeros casos, já deixou bem claro que o rol de procedimentos listados pela ANS não estabelece um ápice para os procedimentos na área de saúde (não se trata de um rol restritivo), mas, sim, de um patamar mínimo. A tentativa de obrigar pacientes a serem submetidos ao tratamento convencional de radioterapia genérico não indicado para o seu quadro clínico atual, não pode ser tolerado, incidindo a norma prevista no art. 51, Código de Defesa do Consumidor (CDC), que define como nulas as cláusulas contratuais que limitam abusiva e onerosamente direitos essenciais e básicos do consumidor e também o disposto no Código Civil no tocante à boa-fé, inclusive contratual.

Os contratos de plano de saúde estão, sem dúvida alguma, submetidos ao Código de Defesa do Consumidor, nos termos dos arts. 29 e 35, pois envolvem típica relação de consumo. Nesse sentido, a Súmula 469, Superior Tribunal de Justiça (STJ). Além do que, o art. 47 do CDC, determina que a interpretação das cláusulas contratuais deve ser realizada de maneira mais favorável ao consumidor.

A conclusão é que não há justificativa plausível para a não autorização do tratamento com o novo sistema IMRT, especialmente pelo fato de que, na grande maioria dos casos, o pedido de realização se dá por determinação médica. Somente aos médicos que acompanham os pacientes é dado estabelecer quais são os tratamentos adequados para alcançar a cura ou amenizar os efeitos de suas doenças. Os planos de saúde não estão habilitados e muito menos autorizados a limitar as alternativas possíveis para o restabelecimento da saúde de seus segurados, sob pena de colocar em risco as suas vidas.

O Órgão Especial do Tribunal de Justiça do Estado de São Paulo, publicou algumas súmulas importantes sobre o assunto em 2012 e 2013. São Exemplos:

Súmula 102: “Havendo expressa indicação médica, é abusiva a negativa de cobertura de tratamento sob o argumento da sua natureza experimental ou por não estar previsto no rol de procedimentos da ANS.”

Súmula 96: “Havendo expressa indicação médica de exames associados a enfermidade coberta pelo contrato, não prevalece a negativa de cobertura do procedimento.”

(*) Veja abaixo como os Tribunais estão decidindo este tema:

PLANO DE SAÚDE. Ação de obrigação de fazer. Negativa de cobertura a procedimento de radioterapia com intensidade modulada de feixe (IMRT) Medida necessária a tratamento de neoplasia do colo uterino metastático. Procedimento não inserido dentre as restrições de cobertura do art. 10 da Lei nº 9.656/98. Necessidade do tratamento atestada pelo médico responsável. Não incumbia à paciente escolher o tipo de procedimento necessário ao tratamento de sua saúde, senão ao profissional médico responsável. Incidência do CDC à espécie. Cobertura de rigor. Súmula 102 do TJSP. Sentença de procedência mantida. Recurso improvido. Apelação nº 1001283-23.2014.8.26.0011, São Paulo, v.u., julg. 29.07.2014, Res. Des. Paulo Eduardo Razuk.

AÇÃO DE OBRIGAÇÃO DE FAZER CUMULADA COM COBRANÇA. PLANO DE ASISTÊNCIA À SAÚDE. Autor diagnosticado com câncer de orofaringe portador de adenocarcinoma de próstata localmente avançado (CID C10). Indicação por médico especialista de realização do exame PET-SCAN e de tratamento de radioterapia de intensidade modulada do feixe (IMRT). Negativa da operadora em razão de o exame e o tratamento não estarem previstos no rol da ANS. Cláusula de exclusão. Limitações constantes no contrato que constituem prática ilegal, fundada no abuso do poder econômico, em detrimento da defesa e do respeito ao consumidor. Contrato de adesão. Nulidade da cláusula restritiva. Incidência do CDC. Súmulas 96 e 100 do E. TJSP. Recurso desprovido. (Apelação 0004539-25.2013.8.26.0011, São Paulo. julg. 24.07.2014, v.u., Rel. Des. Milton Carvalho)

PLANO DE SAÚDE. Obrigação de fazer. Pedido de cobertura para todo o tratamento quimioterápico prescrito ao autor, inclusive com realização de radioterapia com técnica de intensidade modulada (IMRT). Havendo expressa indicação médica, é abusiva a negativa de cobertura de custeio de tratamento sob o argumento de não estar previsto no rol de procedimentos da ANS (Súmula 102 deste Tribunal). Limitações constantes no contrato que constituem prática ilegal, fundada no abuso do poder econômico, em detrimento da defesa e do respeito ao consumidor. Contrato de adesão. Incidência do CDC. Danos morais não configurados. Mero inadimplemento contratual. Recursos parcialmente providos. (Apelação 04863-87.2012.8.26.0562, Santos/SP, julg. 24.07.2014. v.u. Rel. Des. Milton Carvalho)

PLANO DE SAÚDE. Tratamento de Radioterapia IMRT e tratamento quimioterápico via oral com medicamento Temodal, prescrito por médico especialista, recusado pela ré – Aplicação do Código de Defesa do Consumidor – Tratamento indicado por possuir a técnica mais atualizada. Aplicação das Súmulas nº 95 e nº 102 deste Egrégio Tribunal de Justiça. (Apelação Cível nº 0045285-59.2013.8.26.0002 – São Paulo. 1ª Câmara de Direito Privado. v.u., julg. 29.07.2014. Rel. Des. Christine Santini).

PLANO DE SAÚDE. RADIOTERAPIA COM INTENSIDADE MODULADA – IMRT. NEGATIVA DE COBERTURA INDEVIDA. INCIDÊNCIA DA LEI DOS PLANOS DE SAÚDE, DO CÓDIGO DE DEFESA DO CONSUMIDOR E DO ESTATUTO DO IDOSO. PROCEDÊNCIA MANTIDA. DANO MORAL. RECONHECIMENTO “IN RE IPSA”. INDENIZAÇÃO DEVIDA. 1. Contrato de plano de saúde. Negativa indevida de cobertura. Incidência da Lei nº 9.656/98 ao caso dos autos. Plano-referência (arts. 10 e 12). Plano que deve cobrir o tratamento radioterápico reclamado pela autora. Eventual cláusula contratual contrária a dispositivo de lei deve ser tida como não escrita, por abusiva e ilegal. 2. Incidência do Código de Defesa do Consumidor. Típica relação de consumo. Questão sumulada pelo Eg. STJ. Estatuto do Idoso. Autora com mais de 65 anos de idade. Incidência das regras protetivas ao caso dos autos. 3. A ré deve arcar com o tratamento radioterápico com intensidade modulada necessitado pela autora, sendo irrelevante não constar nos róis da Agência Nacional de Saúde. 4. O tratamento foi prescrito por médico habilitado e a ré não trouxe aos autos nenhuma prova técnica desautorizando o procedimento como meio adequado para o tratamento da doença, e não há dúvida de que, diante da prescrição médica, lhe cabia fazer a prova segura nesse sentido. 5. Dano moral. Reconhecimento “in re ipsa”. Jurisprudência. Indenização fixada em R$ 10.000.00. Recurso da ré não provido. (Apelação nº 1030103-13.2013.8.26.0100, São Paulo, v.u., julg. 22.07.2014, Rel. Des. Carlos Alberto Garbi)

PLANO DE SAÚDE. Necessidade de radioterapia pelo sistema “IRMT”. Tratamento não previsto no rol da Agência Nacional de Seguros ao regulamentar a aplicação da Lei 9.656, de 1.998. Irrelevância. A finalidade do contrato de plano de saúde é a prestação do serviço de saúde necessário à recuperação ou manutenção da saúde abalada do consumidor. Mesmo que o procedimento não seja contemplado no rol daqueles procedimentos que segundo a Agência Nacional de Saúde são obrigatórios, havendo a sua necessidade prescrita pelo médico que atende o consumidor, sob pena de colocar em risco a sua vida, a obrigação é devida e assim deve ser compreendida, pois, ao revés, inutilizaria o objetivo do contrato que repita-se é a prestação de serviços de saúde. O rol publicado pela Agência Nacional de Saúde, que é uma autarquia especial federal e, assim, parte integrante do Poder Executivo, não pode alterar o que dispõe a Lei 9.656, de 1.998, ao normatizar a matéria. A Autarquia pratica ato administrativo que não pode naturalmente superar, alterar ou divergir do previsto na Lei 9.656, de 1.998, ao pretender regulamentar a sua aplicação na prática. Recurso a que se nega provimento. (Apelação nº 1093184-33.2013.8.26.0100, julg. 15.07.2014, v.u., Rel. Des. Mauro Conti Machado)

TUTELA ANTECIPADA. Ação de obrigação de fazer, fundada em contrato de assistência médico-hospitalar. Negativa de cobertura Radioterapia com Intensidade Modulada (IMRT). Presentes os requisitos exigidos pelo §3º do art. 461, do Código de Processo Civil. Relevante fundamento da demanda e justificado receio de ineficácia do provimento final demonstrados. Aplicação da Súmula nº 95, do Tribunal de Justiça/SP. Decisão mantida AGRAVO NÃO PROVIDO. (TJ-SP; AI 0028910-86.2013.8.26.0000; Ac. 6758993; São Paulo; Décima Câmara de Direito Privado; Rel. Des. Élcio Trujillo; Julg. 28/05/2013; DJESP 04/07/2013)

(*) Paulo Sá Elias, 43 anos, é advogado e professor universitário. Mestre em Direito pela UNESP. Mantém o blog www.direitodainformatica.com.br e o Twitter @psael

Propaganda Eleitoral na Internet

July 29th, 2014

Propaganda Eleitoral na Internet nas Eleições de 2014

* Paulo Sá Elias

O texto de referência é a Resolução nº 23.404 do Tribunal Superior Eleitoral (TSE) que dispõe sobre propaganda eleitoral e condutas ilícitas em campanha eleitoral nas Eleições de 2014.

É proibida a veiculação de qualquer tipo de propaganda eleitoral paga na Internet. Ainda que gratuitamente, o candidato não pode veicular propaganda na Internet em websites (de pessoas jurídicas, com ou sem fins lucrativos) bem como sites oficiais ou hospedados por órgãos ou entidades da Administração Pública direta ou indireta da União, dos Estados, do Distrito Federal e dos Municípios. Está incluída nessa proibição, evidentemente, a veiculação de propagandas por meio de links patrocinados, aumento de seguidores ou fãs reais ou “fantasmas” (que pode ser interpretada como compra de cadastros/mailing) e procedimentos do gênero.

No entanto, nada impede aos candidatos a utilização de serviços para adequação visual (layout) de seus próprios perfis em redes sociais e blogs e, com isso, garantir eventual promoção do crescimento orgânico (natural) de seus seguidores ou fãs (leia-se: eleitores em potencial) por meio de sua própria rede de relacionamento já existente. Nesse caso, não há compra de fãs, não há propaganda paga, não há compra de seguidores ou mailing, etc. Existe, na realidade, um trabalho estratégico, visual e de adequação de uso dos perfis e/blogs, gerando resultados positivos e em harmonia com a legislação eleitoral.

Tanto é verdade, que o candidato poderá realizar propaganda eleitoral na Internet no próprio site do candidato e do partido ou da coligação, cujo endereço eletrônico deve ser comunicado à Justiça Eleitoral e hospedado, direta ou indiretamente, em provedor de serviço de Internet estabelecido em território brasileiro. Também poderá veicular suas propagandas por meio de mensagem eletrônica para endereços cadastrados gratuitamente pelo candidato, partido ou coligação. Bem como utilizar blogs, Facebook, Twitter e demais redes sociais, sites de mensagens instantâneas e assemelhados, desde que o conteúdo seja gerado ou editado pelos candidatos, partidos ou coligações ou de iniciativa de qualquer pessoa natural.

Provedores de conteúdo e de serviços multimídia que hospedem a divulgação de propaganda eleitoral de candidato, de partido ou de coligação não poderão utilizar, doar ou ceder os cadastros eletrônicos de seus clientes (cadastro/mailing), em favor de candidatos, partidos ou coligações. Importante ressaltar ainda que as mensagens eletrônicas enviadas por candidato, partido ou coligação, por qualquer meio, deverão dispor de mecanismo que permita seu descadastramento pelo destinatário, obrigado o remetente a providenciá-lo no prazo de 48 horas.

No tocante a este tema do chamado “SPAM ELEITORAL”, entendo diferentemente de outros colegas especialistas em Direito Eleitoral. Minha opinião é no sentido de que a legislação eleitoral brasileira optou pelo sistema de regras “opt-in” (em que a regra é a proibição, ou seja, só quando o usuário autoriza, quando há consentimento prévio, é que as mensagens diretas poderão ser enviadas, com possibilidade de solicitação de retirada) – ou ainda melhor, posso dizer que o texto normativo optou pelas regras “soft opt-in” (que é uma forma especial de consentimento baseada na prévia e comprovável relação existente entre o candidato e os eleitores daquela base dados). Digo isso, pois o texto normativo autoriza a propaganda eleitoral por meio de mensagens eletrônicas para endereços cadastrados gratuitamente pelo candidato, partido ou coligação. Ora, se existe este cadastro prévio, houve autorização prévia do eleitor cadastrado para receber mensagens (normalmente concedida naquelas listas de contatos que os políticos adoram divulgar nas épocas de eleição e também durante os seus mandatos).

Já o sistema “opt-out”, por outro lado, ocorre quando as mensagens são enviadas indiscriminadamente aos destinatários de uma forma geral, para quaisquer eleitores, sem que eles as tenham solicitado, no entanto, com a possibilidade de que o eleitor possa solicitar a retirada de seu endereço do rol de destinatários daquelas mensagens de comunicação direta. Na minha opinião, o mais puro “SPAM” (só que, eleitoral). Entender pelo “opt-out” é legitimar o SPAM eleitoral. Sinceramente, não creio que tenha sido essa a intenção do legislador. Bem, pelo menos assim espero.

Candidatos que mesmo assim insistirem com a remessa não autorizada (após solicitação de retirada solicitada pelo eleitor destinatário), poderão ser multados em até R$ 100,00, por mensagem. Felizmente, também está proibida a propaganda eleitoral via telemarketing em qualquer horário. Uma questão interessante é que será possível aplicar uma multa de até R$ 30.000,00 (trinta mil reais) a quem realizar propaganda eleitoral na Internet, atribuindo indevidamente sua autoria a terceiro, inclusive a candidato, partido ou coligação.

* Paulo Sá Elias, 43 anos, é advogado especialista em Direito da Informática e Tecnologia da Informação, Professor Universitário e autor de livros jurídicos, Mestre em Direito pela UNESP, autor do Blog www.direitodainformatica.com.br e do perfil no Twitter @PSAEL