Bloco Associe-se

Associe-se ao Idec

Aconteceu

Aconteceu

Quantos aplicativos você tem no celular? Quantas vezes você já cedeu seu CPF em farmácias e lojas em troca de descontos? Você tem ideia de quantos cookies já foram instalados no seu computador para monitorar seus rastros digitais? O que estão fazendo com as informações que coletam sobre você?

Dados pessoais de consumidores sempre foram do interesse do mercado porque com eles é possível, por exemplo, planejar um ação de vendas mais eficiente ou direcionar uma publicidade de forma cada vez mais específica e segmentada.

Separamos alguns casos que atuamos que exemplificam bem como a falta de uma legislação que protegesse os dados pessoais permitiu que empresas violassem direitos e cometessem práticas abusivas contra consumidores brasileiros.

Em “Casos Emblemáticos” fizemos um breve resumo de casos que não atuamos, mas consideramos bastante importantes para entender o que já estão fazendo com nossos dados. Confira:

DADOS PESSOAIS E A SAÚDE PÚBLICA

O setor de saúde será um dos mais afetados com as normas previstas na Lei Geral de Proteção de Dados (LGPD), que determina a proteção de dados sensíveis

Informações pessoais com detalhamento médico, como peso, altura, tipo sanguíneo, histórico de exames, se possui alguma doença, são considerados dados sensíveis. Por isso não  podem ser comercializadas, a não ser que o compartilhamento de dados seja para prestação de serviços de saúde e farmácia em benefício do titular, ou feito a seu pedido.   

Na prática, isso significa que uma rede farmacêutica não poderá vender seu perfil e histórico médico para empresas de planos de saúde calcularem o valor do seu plano por risco, por exemplo, ou cometer outros tipos de uso indevido utilizando seus dados pessoais, como retratamos nos casos abaixo: 

 

O uso de dados no combate à pandemia do coronavírus 

Muitos países estão usando dados de geolocalização para auxiliar no combate ao coronavírus e no Brasil foram criados mapas de calor capazes de determinar a densidade populacional e calcular o risco de contágio. A vantagem desta tecnologia, considerada menos intrusiva, é que os dados pessoais podem ser anonimizados.

As medidas de países como China, Singapura e Coréia do Sul preocupam porque estes dados estão sendo usados para fiscalizar o cumprimento da quarentena ou identificar quem teve contato com pessoas infectadas, traçando um mapa do contágio da doença, o que é considerado mais invasivo. O compartilhamento destas informações com o Estado abre brecha para discriminações, vazamentos de dados e vigilância para controle social, durante e após a pandemia.

Por isso, ao lado de outras organizações da sociedade civil, enviamos posicionamento aos governos da América Latina e Caribe, cobrando que as tecnologias utilizadas na prevenção e combate à pandemia respeitem os direitos humanos. Para isso, é necessário transparência, com avaliação da necessidade e efetividade do tratamento e que a finalidade exclusiva seja o combate à pandemia.

 

IBGE e a transferência desnecessária de dados 

Em abril de 2020 o governo federal publicou a Medida Provisória nº 954 que autoriza o compartilhamento de dados pessoais de consumidores de serviços de telefonia com o IBGE (Instituto Brasileiro de Geografia e Estatística) para “produção estatística oficial” sobre a pandemia do Covid-19 e seus impactos. 

A medida foi bastante criticada  por não delimitar a finalidade do tratamento de dados, pela falta de transparência no processo e pelo envio de dados desnecessários ao IBGE, já que a pesquisa proposta seria realizada por amostragem e não havia necessidade de compartilhar as informações pessoais de todos os consumidores brasileiros de telefonia. Na ocasião, enviamos aos parlamentares um documento técnico com críticas ao texto e defendendo sua inconstitucionalidade caso não houvesse mudanças.

Antes mesmo de entrar em votação no Congresso, o Supremo Tribunal Federal declarou a MP como inconstitucional por violar a privacidade, intimidade e proteção de dados de milhões de brasileiros. A decisão do Supremo foi histórica, reconhecendo a proteção de dados pessoais como um direito fundamental e sua importância para a democracia.

 

Google avança no mercado de dados e saúde

No fim de 2019, a Google anunciou a compra do Fitbit, empresa de aplicativos de saúde e dispositivos, como pulseiras e relógios inteligentes, que monitoram o batimento cardíaco, número de passos, o sono do usuário e outras informações sensíveis.

Com a compra, todos esses dados serão cruzados com dados de outros serviços da Google, como todas as interações no Gmail, os vídeos assistidos no YouTube, os aplicativos baixados na Google Play Store, as localizações rastreadas pelo Google Maps, o histórico de navegação do Google Chrome e também através dos próprios mecanismos de busca do site da Google. 

O que essas informações, integradas e processadas com a alta capacidade computacional da Google, podem dizer sobre o usuário? Como será a relação da Google como grande (ainda maior) detentora de dados de saúde com convênios médicos e outras empresas de serviços e produtos de saúde? 

A operação milionária gerou várias dúvidas sobre as consequências para a concorrência nos mercados digitais e de saúde. Com a compra, a Google fortalecerá seu poder dominante em diversas esferas da economia digital, podendo abusar deste poder e colocar em risco a privacidade dos consumidores. 

Em julho de 2020, enviamos uma representação ao CADE, autoridade de concorrência, cobrando que a entidade investigue a operação. Nossa iniciativa faz parte de um movimento global de pressão para que autoridades de concorrência de todo o mundo analisem os impactos da operação Google-Fitbit

 

Pontuação de saúde

Também em 2019, o Dr. Consulta, empresa de serviços de assistência privada, anunciou à imprensa que passaria a oferecer convênios de planos de saúde com base no risco, a partir de uma base de dados que a empresa teria construído nos últimos anos. Na prática, este modelo de negócio propõe cobrar mais caro de quem oferecer mais “risco”, ou seja, quem apresentar mais chances de utilizar os serviços do plano. 

Notificamos a empresa para que prestasse esclarecimentos, assim como a Agência Nacional de Saúde (ANS) e o Conselho Federal de Medicina (CFM), solicitando que os órgãos se manifestassem de maneira contrária à prática do Dr. Consulta. Como resultado, a empresa voltou atrás na iniciativa e a ANS reforçou a proibição da prática pela legislação em vigor.

RECONHECIMENTO FACIAL EM PAUTA

Em 2019, o uso do reconhecimento facial cresceu no Brasil em áreas como segurança pública, educação e comércio, enquanto especialistas alertavam para as violações da privacidade e o potencial discriminatório da tecnologia. 

Funciona a partir da marcação de pontos na face de uma pessoa onde, por meio de algoritmos, é criado um mapa facial que, ao ser escaneado e analisado, pode reconhecer certas características, como gênero e faixa etária. Com o método de identificação biométrica, por exemplo, é possível fazer varreduras em massa de pessoas que passaram apenas segundos diante de uma câmera. Erros, porém, são recorrentes.

 

Reconhecimento facial no metrô pra que, cara pálida? 

Em 2019 o metrô de São Paulo anunciou a compra de um sistema de monitoramento eletrônico com tecnologia de reconhecimento facial com potencial de atingir cerca de 3,7 milhões de passageiros diariamente. Sem debate prévio, o governo do estado investiu mais de 58 milhões de reais em um aparato de segurança pública que é capaz de identificar indivíduos em meio a multidão, como por exemplo em manifestações e atos públicos, o que preocupou organizações da sociedade civil

O reconhecimento facial pode comprometer gravemente a proteção dos direitos humanos já que pode ser usado para vigilância e atos discriminatórios, além de abrir brecha para a interrupção da viagem de usuário com falsos positivos de tecnologia, ou seja, a câmera pode identificar equivocadamente o passageiro como "criminoso". Mesmo que o índice de ocorrência de falso positivo seja baixo, cerca de 2%, se aplicado a quantidade de usuários que passam pelo metrô todos os dias, essa taxa representa milhares de pessoas, das quais a maioria é negra.

Considerando a falta de transparência e de debate público no processo de licitação conduzido pelo governo de São Paulo e os impactos sobre direitos dos usuários de transporte público, em conjunto da Defensoria Pública do estado e outras organizações, ajuizamos uma ação exigindo explicações sobre o contrato e sobre como os dados pessoais serão usados e guardados. O pedido foi concedido, no entanto consideramos que as informações fornecidas pelo metrô foram insuficientes para explicar a necessidade e proporcionalidade do uso desta tecnologia.  

 

Boom de reconhecimento facial

No mesmo ano, diversas empresas anunciaram que iriam implementar tecnologias de reconhecimento facial em seus serviços com diversos objetivos, como o combate a fraudes ou a realização de pesquisas de mercado e publicidade direcionada através de um suposto reconhecimento de gênero e emoções dos consumidores.

Considerando os riscos que a tecnologia apresenta, enviamos diversos documentos questionando o funcionamento do reconhecimento facial e as medidas de segurança e de privacidade elaborada para o uso da tecnologia. Foram enviadas cartas à Hering, Itaú e Quod, 99 Táxis, Carrefour e Zaitt e ao Data Prev. O caso da Hering motivou uma denúncia pela Secretaria Nacional do Consumidor (Senacon) e a instauração de um inquérito administrativo contra a varejista, investigação que contou com nossa contribuição. 

 

ACP da ViaQuatro

Em 2018,  a ViaQuatro, a concessionária da linha amarela do metrô de São Paulo,  colocou câmeras de reconhecimento facial nas plataformas das estações capazes de identificar a reação dos usuários às propagandas transmitidas no local, sem qualquer informação ou consentimento dos usuários. 

Entramos com uma Ação Civil Pública (ACP) solicitando o desligamento imediato das câmeras e o sancionamento da empresa por ter violado a privacidade dos consumidores. O pedido de desligamento foi concedido por meio de uma liminar judicial e o caso ainda será julgado. Além da vitória pelo fim da coleta dos dados biométricos dos consumidores, trata-se da primeira ACP do país a debater a LGPD e reconhecimento facial, sendo um caso emblemático para definir como o tema será tratado no Brasil.

GRANDES EMPRESAS LUCRANDO COM SEUS DADOS

Em 2016, o aplicativo WhatsApp mudou seus termos de uso e, contrariamente ao que havia informado quando foi comprado pelo grupo Facebook, passou a compartilhar metadados, ou seja, dados de utilização do aparelho, com empresas do grupo Facebook. 

A mudança violou o direito à informação sobre o tratamento de dados, além de não contar com consentimento dos usuários. Solicitamos que a Secretaria Nacional do Consumidor (Senacon) iniciasse um processo de investigação em virtude das violações identificadas, como ocorrido com autoridades de proteção de dados ao redor do mundo todo.

Na época, nada foi feito no Brasil, mas o compartilhamento de dados entre as redes sociais, assim como fusões e aquisições de empresas que utilizam dados pessoais, virou uma preocupação da concorrência, já que o poder de alguns destes grupos empresariais tem impacto sobre a vida e privacidade de milhares de consumidores. Desde então, diversos especialistas pedem a separação do Facebook, Instagram e WhatsApp.  

➜ VEJA O RELATÓRIO CONSENTIMENTO FORÇADO?

SEGURANÇA DA INFORMAÇÃO: VAZAMENTOS E CRIPTOGRAFIA

Com o aumento da centralidade dos dados pessoais na economia, são cada vez mais comuns denúncias de vazamentos de dados e usos indevidos por empresas e governos. Por isso, ganham centralidade questões de segurança da informação, como a criptografia.

 

Vazamento de dados no INSS

Faz tempo que o INSS (Instituto Nacional do Seguro Social) representa um caso crítico de vazamento de dados pessoais. A falta segurança com  dados dos beneficiários do Instituto é notória  e muitos consumidores já tiveram suas informações compartilhadas sem seu consentimento. Com os vazamentos, os beneficiários do INSS, em sua maioria idosos,  ficaram ainda mais vulneráveis a fraudes e ao assédio de instituições financeiras que tentam vender crédito consignado, contribuindo para o superendividamento de uma população que já é vulnerável.

Ao longo de 2019 e 2020, denunciamos e pressionamos diversas autoridades para que os vazamentos não continuem a acontecer.  E, no fim de 2019, a Procuradoria-Geral da República iniciou investigação sobre o caso. 

 

Criptografia e bloqueios no WhatsApp

Em 2015 e 2016, decisões judiciais determinaram o bloqueio do Whatsapp com a justificativa de que a empresa se negou a compartilhar com as autoridades mensagens privadas de seus usuários, uma vez que as mensagens são criptografadas , ou seja, só podem ser acessadas pelos integrantes da conversa. 

Em 2017, acompanhamos audiência pública realizada pelo Supremo Tribunal Federal para debater a legalidade dos bloqueios. Em nossa contribuição enviada ao Supremo, defendemos que a suspensão do aplicativo é contraditória, já que a empresa agiu justamente em defesa da privacidade dos consumidores. Este ano, foi iniciado o julgamento com votos favoráveis de dois ministros, mas foi adiado sem data para retomada. 

Para nós, a tentativa de “quebra” ou enfraquecimento da criptografia para investigação de algumas pessoas coloca em risco a segurança, privacidade e liberdade de expressão de milhões de cidadãos de forma desproporcional.

A QUEM INTERESSA A PONTUAÇÃO DE CRÉDITO?

Em 2017, a Serasa Experian lançou o Serasa Consumidor, onde é possível baixar um aplicativo no celular e visualizar sua pontuação de crédito. O termo de uso do serviço permite coletar metadados, ou seja, dados de utilização do aparelho, por 15 anos e utilizá-los para retroalimentar a pontuação. 

Não houve consentimento informado, ou finalidade legítima para coleta de dados e a empresa ainda violou o princípio da minimização, já que o aplicativo não precisa coletar esses dados para funcionar. Diante do caso, lançamos a campanha Caixa Preta do Crédito e um manual sobre direitos básicos em sistemas de pontuação de crédito e denunciamos a prática. 

A pontuação de crédito continua sendo um sistema obscuro e com grande impacto sobre a vida do consumidor, por isso o Idec segue buscando por mais transparência e proteção de dados pessoais, principalmente em face das mudanças com a nova Lei do Cadastro Positivo.

DESINFORMAÇÃO E DEMOCRACIA

Na eleição de 2018, o jornal Folha de S. Paulo denunciou que empresas ligadas ao então candidato Jair Bolsonaro compravam pacotes de disparo de mensagens em massa para a base de eleitores já existente e para bases comercializadas por agências de estratégia digital. Além da infração à legislação eleitoral, este caso configura comércio e fornecimento ilegal de dados pessoais (números de telefones) por empresas de cobranças e por funcionários de empresas de telecomunicações, assim como a classificação dos eleitores para envio de propaganda direcionada sem autorização. É possível que esses canais de comunicação tenham sido utilizados para propagação de desinformação de maneira massiva.

Em reação, protocolamos uma representação na Comissão de Dados Pessoais do Ministério Público Federal solicitando a abertura de inquérito civil por utilização indevida de dados pessoais, mas infelizmente a investigação não foi adiante. A desinformação continua sendo um risco para a democracia.

➜ Os principais momentos da CPMI das Fake News, que ampliou racha na base de Bolsonaro 

➜ Como a Cambridge Analytica recolheu dados do Facebook

OUTROS CASOS EMBLEMÁTICOS

Além dos casos em que atuamos, separamos outros casos emblemáticos envolvendo dados pessoais de consumidores brasileiros. Confira: 

 

CPF nas farmácias

Em 2018, o Instituto de Referência em Internet e Sociedade solicitou ao Ministério Público de Minas Gerais que investigasse o tratamento de dados pessoais realizado por farmácias devido à prática comum de solicitarem o CPF de consumidores no ato do pagamento para receber desconto na compra. 

O que é feito com suas informações e para quem elas são transmitidas? As informações sobre a existência e a finalidade do tratamento de dados são insuficientes. Além disso, informações de saúde são extremamente sensíveis e, se mal utilizadas, podem resultar em discriminações ilegais. O Ministério Público firmou um acordo com a drogaria Araújo exigindo mais transparência no uso destes dados.  

 

Vazamento massivo de dados 

Em 2017 um ciberataque vazou dados pessoais de quase 2 milhões de clientes da Netshoes, que tiveram dados como nome, CPF, e-mail, data de nascimento e histórico de compras expostos. Foi um dos maiores vazamentos já registrados no Brasil. O Ministério Público do Distrito Federal e Territórios (MPDFT) instaurou inquérito civil, no qual a empresa se comprometeu a notificar todos os afetados via telefone ou carta. 

➜ Confira outros vazamentos importantes no país: Anvisa vaza lista de pacientes de canabidiol, Facebook vaza informações de mais de 30 milhões de consumidores.

 

Venda de dados pelo poder público

Em 2013, o Tribunal Superior Eleitoral (TSE) firmou acordo que previa o repasse dos dados pessoais de 141 milhões de eleitores à empresa Serasa Experian S/A, sem o consentimento de seus titulares e sem qualquer finalidade legítima. Foram expostos os nomes, número e situação da inscrição cadastral, dentre outras informações pessoais. Após pressão de ONGs e mídia, a então presidente do TSE, ministra Carmen Lúcia, anulou o acordo firmado entre o órgão e a empresa Serasa Experian, por entender haver risco de quebra de sigilo de informações do cadastro eleitoral. Não houve processo ou responsabilização.

 

Oi monitora e vende dados de seus usuários 

Em 2010, sem o consentimento dos consumidores, a empresa de telecomunicações Oi começou a mapear hábitos de acesso à internet de usuários do serviço Velox, batizado de navegador, mas que foi utilizado para coleta de dados e traçar perfis de consumo que eram comercializados para realização de publicidade direcionada. 

Após 4 anos, o Departamento de Proteção e Defesa do Consumidor instaurou processo administrativo para apurar as irregularidades cometidas. Após sua conclusão, a Secretaria Nacional do Consumidor (Senacon/MJ) multou a empresa em 3,5 milhões de reais, com base no Código de Defesa do Consumidor.

 

Vivo vende dados pessoais de seus clientes

Também sem o consentimento dos consumidores, o programa Smart Steps da Vivo vende os dados de localização de seus usuários, coletados para a prestação do serviço de telefonia móvel, assim como os dados pessoais fornecidos na contratação (nome, endereço, gênero etc.), para o poder público e empresas.

Com a ampla exposição de dados, a empresa coloca os consumidores sob risco de sofrer problemas como discriminação ou golpes financeiros. A Vivo chegou a afirmar que não há violação à LGPD, nem tratamento de dados pessoais, já que os dados seriam anônimos e estatísticos. Porém, a reidentificação a partir dos dados de localização é totalmente possível, como mostrou a investigação do portal The Intercept, que contou com nossa  avaliação técnica.

RECEBA NOVIDADES SOBRE DIREITOS EM DADOS PESSOAIS

Ao se inscrever, você autoriza o Idec a enviar notícias e outros conteúdos sobre esse assunto.