Quinta-feira, 30 de junho de 2016

ISSN 1983-392X

Tecnologia da nova era: tribunais brasileiros e americanos - Scraping, a superfície das fronteiras legais do uso da internet

Fernando M. Pinguelo, Renato Opice Blum e Kristen M. Welsh

Juízes no Brasil e nos Estados Unidos começam a delinear o uso permissível e não permissível do scraping, software que extrai informações disponíveis em websites.

terça-feira, 20 de março de 2012

Fernando M. Pinguelo, Renato Opice Blum e Kristen M. Welsh

Tecnologia da nova era: tribunais brasileiros e americanos

Scraping a superfície das fronteiras legais do uso da internet

A internet tem fornecido a qualquer um, em qualquer lugar, uma riqueza de informações a um estalar de dedos. Dentro da atual e sempre crescente era da tecnologia, os juízes brasileiros e americanos continuam a traçar limites legais dentro de um ciberespaço aparentemente ilimitado. A imensidão da Internet e sua tecnologia transcendem os limites geográficos e propõem questões mundiais de regulamentação.

Uma das tecnologias, que chamou a atenção dos negócios e resultou em batalhas legais, é o scraping (software) - uma técnica de computação que extrai informações públicas disponíveis em websites. Ocorre que, por si só, o scraping pode não ser ilegal. Juízes no Brasil e nos Estados Unidos começam a delinear o uso permissível e não permissível desta tecnologia.

Processos sobre Scraping no Brasil

Uma recente sentença do juízo de primeira instância da comarca de São Paulo, Brasil, deu novo significado ao direito de propriedade de informações disponíveis na Internet. O parecer da justiça brasileira no processo Curriculum Tecnologia Ltda. x Catho Online S/C Ltda., e outros, examina pedidos de concorrência desleal e violação das normas dos direitos autorais, para serem aplicados à Internet. A autora, Curriculum Tecnologia Ltda. ("Curriculum"), e a ré, Catho Online S/C Ltda. ("Catho"), são empresas de recrutamento de emprego, e operam somente através da Internet. Milhares de indivíduos que procuram empregos usam os serviços dessas empresas postando seus currículos nos respectivos websites. Os empregadores, por sua vez, revisam milhares de empregados em potencial para preencher seus cargos disponíveis. De fato, Curriculum é um dos maiores sites de empregos no Brasil, fornecendo locais para reuniões para mais de 6 milhões de candidatos e 100 mil empresas usuárias. Esses serviços permitem uma conexão mais fácil e rápida para abrir o mercado de empregos.

Em fevereiro de 2002, segundo dados do processo, os desenvolvedores da Curriculum observaram um aumento na atividade do website de sua empresa. Geralmente, clientes da Curriculum procuram cerca de 500 currículos por dia em seu website e os desenvolvedores suspeitaram quando um usuário específico registrou mais de 63.000 buscas em um só dia. Mediante uma maior investigação, os técnicos da Curriculum bloquearam essa conta e rastrearam sua origem até um computador na Catho, a ré concorrente. Com o resultado de suas investigações e os meios de prova, a Curriculum processou a Catho alegando várias reclamações relacionadas ao negócio. Enquanto o processo prosseguia em seu curso normal, os esforços na coleta de dados revelaram indícios de ilegalidade da Catho em violação à lei brasileira para adquirir informações do website da Curriculum. Em resumo, a Catho desenvolvia um programa que a habilitava a cópia em massa do banco de dados do website da Curriculum, por meio do qual poderia acessar todos os currículos disponíveis no website da autora. Assim que a Catho obtinha acesso a essas informações, utilizava-se destas para seus propósitos comerciais. O propósito por trás dos esforços da Catho seria a de incrementar sua própria base de empregados em potencial para oferecer uma maior variedade de recrutamento de empregos online.

Para avaliar a quebra de segurança e o valor das informações adquiridas, precisamos entender a função do mercado de recrutamento de empregados no Brasil, onde as partes operam. Ambas as partes operam principalmente com o mecanismo de pesquisa de empregos online. Pessoas físicas que procuram emprego e empregadores que procuram pessoas físicas qualificadas utilizam os serviços destas empresas pagando taxas que permitem a colocação dos currículos e propagandas de empregos, permitindo a pesquisa por ambas as partes. Estes serviços baseados na web oferecem vários graus de acesso a currículos e anúncios conforme a taxa paga, que por sua vez gera receita para estas empresas. O website da Curriculum fornece a seus usuários instruções e vários menus que permitem a eles navegar eficientemente e efetivamente em sua página da web. Mas a Curriculum não fornece a todo usuário acesso ao seu banco de currículos. Ao contrário, o website usa filtros que permitem somente a determinados clientes, com conta específica, o acesso a estas informações. Após a autora ter ajuizado uma ação judicial, as partes apresentaram argumentos perante a Justiça Brasileira para apoiar suas respectivas posições. A Curriculum argumentou que tinha interesse na propriedade dos dados e, por isso, a Catho teria cometido concorrência desleal e feito cópia não autorizada das informações da Curriculum. A Catho argumentou que as informações eram públicas, e o acesso à internet era público e irrestrito. Portanto, as informações não tinham proteção legal. Sustentando a indenização concedida em primeira instância, o Juiz Luiz Mario Galbetti, da 33ª Vara Cível de São Paulo considerou que a Catho cometeu concorrência desleal por ter violado os sistemas de computadores da Curriculum e adquirido ilegalmente milhares de currículos ali postados. O juízo entendeu que a transmissão e expansão do banco de dados da Catho, por meio da aquisição ilegal, serviram para incrementar a visibilidade do mercado com efeitos diretos nos lucros obtidos pela Catho. Apoiando-se em noções de enriquecimento ilícito, abuso de direito, o tribunal estabeleceu indenização na quantia de R$ 21.828.250,00 (Reais brasileiros). Para calcular a indenização, o juízo considerou a quantia cobrada pela Catho por mês para postar um currículo na sua website, R$50,00, multiplicada por 436.595 currículos ilegalmente adquiridos. Com juros e multas adicionais esses R$ 21.828.250,00 resultaram em uma indenização compensatória de R$ 63 milhões, ou, aproximadamente, 42 milhões de dólares americanos.

Processos sobre Scraping nos Estados Unidos

Igualmente, os tribunais dos Estados Unidos têm procurado estabelecer os limites legais da extração de informações de websites públicos. No caso EF Cultural Travel x. Zefer Corp, 318 F.3d 58 (1st Cir.2003). O Tribunal de Apelação Americano, concedeu uma liminar de acordo com a Lei de Fraude e Abuso em Computadores [Computer Fraud and Abuse Act ("CFAA")], 18 U.S.C. 1030, para proibir o uso de programa de software de "scraper" que as rés utilizavam para coletar informações sobre preços do website da requerente/concorrente. Zefer Corp. ("Zefer") requereu a revisão da decisão antecipatória, implementada em um procedimento anterior com a co-ré Explorica, Inc. ("Explorica"). Ver EF Cultural Travel BV contra Explorica, Inc., 274 F.3d 577 (1st Cir. 2001).

EF e Explorica são concorrentes no negócio de viagens estudantis, operando websites que permitem que seus visitantes explorem vários pacotes de viagem. Para ganhar competitividade, Explorica contratou Zefer para fazer um programa que permitiria à Explorica o scraping dos preços do website da EF e baixá-los em uma planilha do Excel. Após acessar os preços dos pacotes de viagem da EF, Explorica refez seus custos e os barateou propositadamente em media de 5%. A EF se deparou com o esquema de scraping ao descobrir um processo não relacionado, no tribunal estadual, envolvendo a Explorica. Como resultado, EF ajuizou um processo em âmbito federal, com pedido de liminar baseada em que o scraping havia violado tanto a legislação federal sobre direitos autorais quanto várias disposições da CFAA [Computer Fraud and Abuse Act], Lei de Fraude e Abuso contra Computadores.

O fundamento da questão no caso era se o uso do programa de scraping excedia o acesso autorizado, violando a lei federal. A disposição relevante da CFAA examinada em juízo versa:

"Qualquer indivíduo que... conscientemente, e com intenção de fraudar, acessar um computador protegido, sem autorização, ou exceder o limite de acesso autorizado, e, por meio de tal conduta intensificar o intento de fraude e obter qualquer objeto de valor, a não ser que tal objeto de fraude e o que for obtido consista somente do uso do computador e o valor de tal uso não seja maior do que R$5.000 em qualquer período de 1 ano... será punido de acordo com a subseção 'c' desta seção."

Enquanto CFAA define "excede acesso autorizado" como "acessar um computador sem autorização e utilizar tal acesso para obter ou alterar informações no computador o qual a pessoa não autorizada não tem direito nem a acesso nem a fazer alterações,” o tribunal no caso EF Cultural Travel analisou o termo "autorização." O Tribunal sustentou que autorização pode ser determinada explicitamente, por exemplo, por meio de declaração direta restringindo acesso, ou implicitamente. Ao definir a autorização implícita, se apoiou no termo "expectativas razoáveis" e embora concordasse que autorização poderia ser tanto explícita quanto implícita, rejeitou a aplicação do termo de expectativas razoáveis usado pelo juízo de primeira instância. Ao invés disso, o juízo de segunda instância determinou que “o(s) provedor (es) de website público podem facilmente dizer explicitamente o que é proibido e da mesma forma, que nada justifica deixar os usuários a mercê de um padrão altamente impreciso, gerador de litígios, como o termo 'expectativas razoáveis' ".

Como resultado, o Tribunal determinou que uma manifestação clara da intenção da companhia de que nenhuma informação seja coletada de seu website se faria necessária para demonstrar "falta de autorização," tal como uma declaração explícita na página do website restringindo o acesso. Ou, para ser mais direto, “se a EF deseja banir scrapers, deve dizer isto na página de seu website ou em um link claramente marcado como contendo restrições.” Todavia, a decisão deste Tribunal de segunda instância não eliminou o conceito de autorização implícita, visto que ela pode ser suficiente em outras circunstâncias. Contudo, a decisão ressaltou que o autor deveria demonstrar sem ambiguidade que a autorização era proibida.

A decisão do caso EF Cultural Travel promulga a teoria a qual afirma que o direito de controlar o acesso implica em um direito de impedir ou obter remédios jurídicos para qualquer acesso não autorizado. Conforme demonstrado neste caso, a autorização pode ser estabelecida tanto implicitamente quanto explicitamente. Outro método de divulgar falta de autorização pode ser por meio da criação de barreiras tecnológicas, tais como criptografia de informações específicas. De acordo com este regime, após o encontro inicial, um terceiro deve obter permissão ou tomar as medidas necessárias para driblar as barreiras tecnológicas. Finalmente, os proprietários de bancos de dados podem também estabelecer condições de autorização de uso por meio de termos contratuais.

Qualquer que seja o meio de estabelecer autorização, ou falta dela, fica evidente que um esforço razoável para proteger é uma pré-condição para manutenção deste direito. Contudo, reconhece-se que a simples postagem de informações em um domínio público, como a internet, não extingue por si mesma, um direito de proteção daquelas informações. Esta suposição também se repete na análise da jurisprudência de apropriação indevida de sigilos comerciais.

Por exemplo, em Barnett, Inc. versus. Shidler, 338 F.3d 1125 (10th Cir. 2003), o Tribunal examinou se antigos empregados haviam se apropriado indevidamente de um sigilo comercial ao implementar o programa Pesquisa sobre Natação Infantil [Infant Swimming Research programa ("ISR")], que havia sido concebido pelo requerente como abordagem científica comportamental, para prevenção de afogamento pediátrico. Ao considerar que o programa ("ISR") não era um sigilo comercial, o juízo de primeira instância declarou que “o requerente permitiu que seu programa se tornasse de domínio público antes de buscar proteção…” referindo-se a vários livros publicados que explicam o método. Ao reformar esta decisão, o juízo de segunda instância enfatizou a decisão do caso Rivendell Forest Prods., Ltd. V. Georgia-Pacific Corp., 28 F.3d 1042, 1045 (10th Cir.1994) no qual o juízo determinou que “um sigilo comercial pode existir combinado com características, que consideradas separadamente são de domínio público, porém juntas podem gerar vantagem competitiva que resulta em sigilo comercial passível de proteção, "tornando mais sólido o argumento que afirma que informações podem ser sigilosas comercialmente não obstante o fato de alguns de seus componentes serem bem conhecidos". Vide também Syncsort v. Innovative Routines, No. 04-CV-03623, 2011 BL 213594(D.N.J. Aug. (18, 2011) (a primeira instância federal de New Jersey examinou a existência de um sigilo comercial à luz de sua breve publicação na internet). Enquanto a jurisprudência que envolve scraping requer alguma forma de notificação quanto à falta de autorização, esta linha de raciocínio cancela qualquer argumento de que informações postadas na Internet não deveriam ter proteção legal simplesmente por serem de natureza pública.

Um tribunal deve determinar a intenção subjacente do scraper, pois a legalidade de extrair dados de um website frequentemente se baseia na intenção subjacente de copiar. A cópia de informações para qualquer finalidade considerada "uso justo" pode, portanto não ser passível de ser processada. Conforme provado por EF Cultural Travel e Curriculum, este elemento chave é o que frequentemente implica em remédios jurídicos.

Lições aprendidas

O fácil acesso a informações disponibilizadas pela Internet criou uma cultura global que frequentemente aceita o livre uso (e abuso) de informações. Isto resulta em limites pouco claros entre propriedade pública e privada, especialmente para aqueles que realizam negócios por meio da Internet.

Portanto, a menos que um banco de dados seja composto de conteúdo independente com direito à proteção, por exemplo, através da lei de direitos autorais ou de sigilo comercial, os proprietários de bancos de dados devem se apoiar em uma "colcha de retalhos" de remédios jurídicos disponíveis. Os proprietários de bancos de dados podem buscar proteção em conformidade com as leis de comércio injusto ou com as teorias do direito costumeiro [common law] tais como apropriação indevida. Restrições contratuais também oferecem proteção, porém tal remédio requer confidencialidade. Ademais, enquanto uma reclamação de violação pode também ser uma opção possível, a maioria dos tribunais exige uma demonstração do dano real. Ainda, a proteção sob a CFAA pode ser justificada. Enquanto cada opção tem suas próprias nuances, os tribunais estabelecem o fundamento da proteção em resposta às ilegalidades da era da Internet. Assim, enquanto os remédios, em potencial, disponíveis para proprietários de bancos de dados tendem a ser limitados na legislação dos Estados Unidos, isto é, indubitavelmente apenas, o começo.

Independentemente do princípio jurídico subjacente declarado contra um scraper ilegal, a responsabilidade é imputada com base em cada caso dependendo do tipo de acesso obtido pelo scraper, da quantidade de informações acessadas e copiadas, do grau em que o acesso afeta adversamente o sistema do proprietário do website e dos tipos e forma de proibições em tal conduta.

A indenização monetária significativa concedida pelo tribunal de São Paulo ressalta o valor das informações para uma empresa e sua sobrevivência. A decisão também serve de aviso para bilhões de usuários da Internet globalmente, como o cálculo da indenização serve não apenas para punir o transgressor, mas também para desencorajar a atividade ilegal em si mesma.

Estas decisões evidenciam uma nova e justa tentativa do judiciário de focar questões legais apresentadas pela Internet. Embora a abordagem ainda não seja uniforme, o judiciário tem dedicado óbvios esforços para proteger os proprietários de informações na Internet de usos prejudiciais aos proprietários dos referidos sites.

__________

* Fernando M. Pinguelo é advogado residentes nos Estados Unidos, sócio da Norris, McLaughlin & Marcus, P.A. e vice-presidente da empresa Response to Electronic Discovery & Information Group;

** Renato Opice Blum é advogado e economista, CEO do escritório Opice Blum Advogados Associados; coordenador do curso de MBA em Direito Eletrônico da EPD e do curso de Direito Digital da GVLaw; professor convidado da USP (PECE) e Mackenzie; presidente do Conselho de Tecnologia da Informação e Comunicação da FECOMERCIO/SP e do Comitê de Direito da Tecnologia da AMCHAM; Membro da Comissão de Direito da Sociedade da Informação – OAB/SP; coordenador e coautor do livro "Manual de Direito Eletrônico e Internet" e "Direito Eletrônico: a internet e os tribunais";

*** Kristen M. Welsh é uma litigante residente nos Estados Unidos, associada do Schiffman, Abraham, Kaufman & Ritter, e devota sua carreira a questões de direito comercial e trabalhista

Opice Blum Advogados Associados

__________