O setor de saúde será um dos mais afetados com as normas previstas na Lei Geral de Proteção de Dados (LGPD), que determina a proteção de dados sensíveis. 

Informações pessoais com detalhamento médico, como peso, altura, tipo sanguíneo, histórico de exames, se possui alguma doença, são considerados dados sensíveis. Por isso, não podem ser comercializadas, a não ser que o compartilhamento de dados seja para prestação de serviços de saúde e farmácia em benefício do titular, ou feito a seu pedido.   

Na prática, isso significa que uma rede farmacêutica não poderá vender seu perfil e histórico médico para empresas de planos de saúde calcularem o valor do seu plano por risco, por exemplo, ou cometer outros tipos de uso indevido utilizando seus dados pessoais, como retratamos nos casos abaixo: 

CPF e biometria nas farmácias 

Em 2018, o Instituto de Referência em Internet e Sociedade solicitou ao Ministério Público de Minas Gerais que investigasse o tratamento de dados pessoais realizado por farmácias devido à prática comum de solicitarem o CPF de consumidores no ato do pagamento para receber desconto na compra. 

O que é feito com suas informações e para quem elas são transmitidas? As informações sobre a existência e a finalidade do tratamento de dados são insuficientes. Além disso, informações de saúde são extremamente sensíveis e, se mal utilizadas, podem resultar em discriminações ilegais. O Ministério Público firmou um acordo com a Drogaria Araújo exigindo mais transparência no uso destes dados. 

Em 2021, o Idec passou a atuar diretamente no tema ao notificar extrajudicialmente o grupo Raia Drogasil, pedindo explicações sobre a coleta e uso da biometria e do CPF dos clientes. Após o questionamento, o grupo anunciou que vai parar de pedir biometria para a liberação de descontos em suas lojas.

Em menos de uma semana, Ministério da Saúde é responsável por dois casos de vazamentos de dados

No fim de 2020, foram noticiados dois casos graves de riscos para a segurança de dados de brasileiros em sistemas do Ministério da Saúde. Primeiro, foi o vazamento de uma senha de acesso a duas plataformas do governo, usadas em uma parceria entre o Hospital Albert Einstein e o Ministério da Saúde para um projeto no âmbito do Proadi-SUS, que expôs na internet informações pessoais e de saúde de cerca de 16 milhões de brasileiros que tiveram diagnóstico suspeito ou confirmado de Covid-19. 

Pouco tempo depois, uma nova falha de segurança deixou expostos, por pelo menos seis meses, dados pessoais de mais de 200 milhões de brasileiros. Desta vez ficaram abertas para consulta as informações pessoais de qualquer brasileiro cadastrado no SUS ou beneficiário de um plano de saúde. 

Protocolamos uma representação junto ao Ministério Público Federal solicitando a abertura de inquérito para investigar falhas em medidas de controle e segurança digital dos responsáveis. Até o momento, a Câmara dos Deputados realizou uma audiência pública e reunião com Ministério Público Federal para apuração do caso. 

O uso de dados no combate à pandemia de coronavírus 

Muitos países estão usando dados de geolocalização para auxiliar no combate ao coronavírus e no Brasil foram criados mapas de calor capazes de determinar a densidade populacional e calcular o risco de contágio. A vantagem desta tecnologia, considerada menos intrusiva, é que os dados pessoais podem ser anonimizados.

As medidas de países como China, Singapura e Coréia do Sul preocupam porque estes dados estão sendo usados para fiscalizar o cumprimento da quarentena ou identificar quem teve contato com pessoas infectadas, traçando um mapa do contágio da doença, o que é considerado mais invasivo. O compartilhamento destas informações com o Estado abre brecha para discriminações, vazamentos de dados e vigilância para controle social, durante e após a pandemia.

Por isso, ao lado de outras organizações da sociedade civil, enviamos posicionamento aos governos da América Latina e Caribe, cobrando que as tecnologias utilizadas na prevenção e combate à pandemia respeitem os direitos humanos. Para isso, é necessário transparência, com avaliação da necessidade e efetividade do tratamento e que a finalidade exclusiva seja o combate à pandemia.

IBGE e a transferência desnecessária de dados 

Em abril de 2020, o governo federal publicou a Medida Provisória nº 954 que autoriza o compartilhamento de dados pessoais de consumidores de serviços de telefonia com o IBGE (Instituto Brasileiro de Geografia e Estatística) para “produção estatística oficial” sobre a pandemia do Covid-19 e seus impactos. 

A medida foi bastante criticada  por não delimitar a finalidade do tratamento de dados, pela falta de transparência no processo e pelo envio de dados desnecessários ao IBGE, já que a pesquisa proposta seria realizada por amostragem e não havia necessidade de compartilhar as informações pessoais de todos os consumidores brasileiros de telefonia. Na ocasião, enviamos aos parlamentares um documento técnico com críticas ao texto e defendendo sua inconstitucionalidade caso não houvesse mudanças.

Antes mesmo de entrar em votação no Congresso, o Supremo Tribunal Federal declarou a MP como inconstitucional por violar a privacidade, intimidade e proteção de dados de milhões de brasileiros. A decisão do Supremo foi histórica, reconhecendo a proteção de dados pessoais como um direito fundamental e sua importância para a democracia.

Google avança no mercado de dados e saúde

No fim de 2019, a Google anunciou a compra da Fitbit, empresa de aplicativos de saúde e dispositivos, como pulseiras e relógios inteligentes, que monitoram o batimento cardíaco, número de passos, o sono do usuário e outras informações sensíveis.

Com a compra, todos esses dados serão cruzados com dados de outros serviços da Google, como todas as interações no Gmail, os vídeos assistidos no YouTube, os aplicativos baixados na Google Play Store, as localizações rastreadas pelo Google Maps, o histórico de navegação do Google Chrome e também por meio dos próprios mecanismos de busca do site da Google. 

O que essas informações, integradas e processadas com a alta capacidade computacional da Google, podem dizer sobre o usuário? Como será a relação da Google como grande (ainda maior) detentora de dados de saúde com convênios médicos e outras empresas de serviços e produtos de saúde? 

A operação milionária gerou várias dúvidas sobre as consequências para a concorrência nos mercados digitais e de saúde. Com a compra, a Google fortalecerá seu poder dominante em diversas esferas da economia digital, podendo abusar deste poder e colocar em risco a privacidade dos consumidores. 

Em julho de 2020, enviamos uma representação ao CADE, autoridade de concorrência, cobrando que a entidade investigue a operação. Nossa iniciativa faz parte de um movimento global de pressão para que autoridades de concorrência de todo o mundo analisem os impactos da operação Google-Fitbit. 

Pontuação de saúde

Também em 2019, o Dr. Consulta, empresa de serviços de assistência privada, anunciou à imprensa que passaria a oferecer convênios de planos de saúde com base no risco, a partir de uma base de dados que a empresa teria construído nos últimos anos. Na prática, este modelo de negócio propõe cobrar mais caro de quem oferecer mais “risco”, ou seja, quem apresentar mais chances de utilizar os serviços do plano. 

Notificamos a empresa para que prestasse esclarecimentos, assim como a Agência Nacional de Saúde (ANS) e o Conselho Federal de Medicina (CFM), solicitando que os órgãos se manifestassem de maneira contrária à prática do Dr. Consulta. Como resultado, a empresa voltou atrás na iniciativa e a ANS reforçou a proibição da prática pela legislação em vigor.

Em 2019, o uso do reconhecimento facial cresceu no Brasil em áreas como segurança pública, educação e comércio, enquanto especialistas alertavam para as violações da privacidade e o potencial discriminatório da tecnologia. 

A tecnologia funciona a partir da marcação de pontos na face de uma pessoa onde, por meio de algoritmos, é criado um mapa facial que, ao ser escaneado e analisado, pode reconhecer certas características, como gênero e faixa etária. Com o método de identificação biométrica, por exemplo, é possível fazer varreduras em massa de pessoas que passaram apenas segundos diante de uma câmera. Erros, porém, são recorrentes. Entenda:

Reconhecimento facial no metrô pra que, cara pálida? 

Em 2019 o metrô de São Paulo anunciou a compra de um sistema de monitoramento eletrônico com tecnologia de reconhecimento facial com potencial de atingir cerca de 3,7 milhões de passageiros diariamente. Sem debate prévio, o governo do estado investiu mais de 58 milhões de reais em um aparato de segurança pública que é capaz de identificar indivíduos em meio a multidão, como por exemplo em manifestações e atos públicos, o que preocupou organizações da sociedade civil. 

O reconhecimento facial pode comprometer gravemente a proteção dos direitos humanos, já que pode ser usado para vigilância e atos discriminatórios, além de abrir brecha para a interrupção da viagem de usuário com falsos positivos de tecnologia, ou seja, a câmera pode identificar equivocadamente o passageiro como "criminoso". Mesmo que o índice de ocorrência de falso positivo seja baixo, cerca de 2%, se aplicado a quantidade de usuários que passam pelo metrô todos os dias, essa taxa representa milhares de pessoas, das quais a maioria é negra.

Considerando a falta de transparência e de debate público no processo de licitação conduzido pelo governo de São Paulo e os impactos sobre direitos dos usuários de transporte público, em conjunto da Defensoria Pública do estado e outras organizações, ajuizamos uma ação exigindo explicações sobre o contrato e sobre como os dados pessoais serão usados e guardados. O pedido foi concedido, no entanto consideramos que as informações fornecidas pelo metrô foram insuficientes para explicar a necessidade e proporcionalidade do uso desta tecnologia.  

Boom de reconhecimento facial

No mesmo ano, diversas empresas anunciaram que iriam implementar tecnologias de reconhecimento facial em seus serviços com diversos objetivos, como o combate a fraudes ou a realização de pesquisas de mercado e publicidade direcionada por meio de um suposto reconhecimento de gênero e emoções dos consumidores.

Considerando os riscos que a tecnologia apresenta, enviamos diversos documentos questionando o funcionamento do reconhecimento facial e as medidas de segurança e de privacidade elaboradas para o uso da tecnologia. Foram enviadas cartas à Hering, Itaú e Quod, 99 Táxis, Carrefour e Zaitt e ao Data Prev. O caso da Hering motivou uma denúncia pela Secretaria Nacional do Consumidor (Senacon) e a instauração de um inquérito administrativo contra a varejista, investigação que contou com nossa contribuição. 

Diante do boom no uso de tecnologias de reconhecimento facial, o Idec produziu, em parceria com o InternetLab, um guia para a adoção de boas práticas voltado ao setor privado.

ACP da ViaQuatro

Em 2018,  a ViaQuatro, concessionária da linha amarela do metrô de São Paulo,  colocou câmeras de reconhecimento facial nas plataformas das estações capazes de identificar a reação dos usuários às propagandas transmitidas no local, sem qualquer informação ou consentimento destes. 

Entramos com uma Ação Civil Pública (ACP) solicitando o desligamento imediato das câmeras e o sancionamento da empresa por ter violado a privacidade dos consumidores. O pedido de desligamento foi concedido por meio de uma liminar judicial e o caso ainda será julgado. Além da vitória pelo fim da coleta dos dados biométricos dos consumidores, trata-se da primeira ACP do país a debater a LGPD e reconhecimento facial, sendo um caso emblemático para definir como o tema será tratado no Brasil.

Em maio de 2021, a Ação Civil Pública movida pelo Idec contra a ViaQuatro resultou em sentença condenatória que determinou que a empresa pague R$ 100 mil pela captação de imagens por câmeras de reconhecimento facial sem o consentimento dos passageiros. O caso está pendente de recurso.

Em 2016, o aplicativo WhatsApp mudou seus termos de uso e, contrariamente ao que havia informado quando foi comprado pelo grupo Facebook, passou a compartilhar metadados, ou seja, dados de utilização do aparelho, com empresas do grupo Facebook. 

A mudança violou o direito à informação sobre o tratamento de dados, além de não contar com consentimento dos usuários. Solicitamos que a Secretaria Nacional do Consumidor (Senacon) iniciasse um processo de investigação em virtude das violações identificadas, como ocorrido com autoridades de proteção de dados ao redor do mundo todo.

Na época, nada foi feito no Brasil, mas o compartilhamento de dados entre as redes sociais, assim como fusões e aquisições de empresas que utilizam dados pessoais, virou uma preocupação da concorrência, já que o poder de alguns destes grupos empresariais têm impacto sobre a vida e privacidade de milhares de consumidores. Desde então, diversos especialistas pedem a separação do Facebook, Instagram e WhatsApp. 

No início de 2021, o WhatsApp voltou a anunciar mudanças na política, prevendo compartilhamento dos dados limitados dos usuários com o Facebook. Após muita polêmica, que levou muitos usuários aos aplicativos de troca de mensagem concorrentes, a empresa prorrogou a decisão, mas deve seguir com a mudança em sua Política de Privacidade nos próximos meses.  

Desde o anúncio das alterações na política de privacidade e termos de uso, o Idec elaborou três importantes documentos de questionamento e cobranças às autoridades responsáveis sobre as graves violações à proteção de dados e aos direitos dos consumidores por parte do WhatsApp: recomendações iniciais à ANPD, Senacon e MPF-CADE e duas manifestações posteriores completas. 

➜ SAIBA QUAIS SÃO SEUS DIREITOS E ENTENDA O QUE ESTÁ EM JOGO.

A complexidade do caso, envolvendo proteção de dados e problemas concorrenciais devido ao poder de mercado da empresa, levou à cooperação inédita e promissora entre Ministério Público Federal (MPF), Secretaria Nacional do Consumidor (Senacon), Conselho Administrativo em Defesa da Concorrência (CADE) e Autoridade Nacional de Proteção de Dados (ANPD), que expediram uma recomendação conjunta ao WhatsApp e Facebook.

➜ VEJA O RELATÓRIO CONSENTIMENTO FORÇADO?

Com o aumento da centralidade dos dados pessoais na economia, são cada vez mais comuns denúncias de vazamentos de dados e usos indevidos por empresas e governos. Por isso, ganham centralidade questões de segurança da informação, como a criptografia. Destacamos quatro casos:

No começo de 2021, foi divulgado o maior vazamento de dados pessoais de brasileiros já visto. Mais de 223 milhões de pessoas tiveram suas informações básicas e financeiras expostas no megavazemento descoberto pelo laboratório PSafe. 

Como uma organização referência em proteção de dados pessoais no país, enviamos uma carta pública de denúncia a diversas autoridades federais cobrando por ações imediatas em relação ao megavazamento. O documento apontou graves violações à Lei Geral de Proteção de Dados e ao Código de Defesa do Consumidor e destacou a urgência de que sejam adotadas medidas de mitigação dos danos causados, como fiscalização mais rígida e regular de bases de dados imensas, como é o caso dos birôs de crédito, setor que pode ter originado este vazamento. 

O Supremo Tribunal Federal e a Polícia Federal, a pedido da Autoridade Nacional de Proteção de Dados, abriram investigação para identificar os responsáveis e apurar a gravidade dos danos gerados. Até o momento, a investigação segue em curso.

Vazamento de dados no INSS

Faz tempo que o INSS (Instituto Nacional do Seguro Social) representa um caso crítico de vazamento de dados pessoais. A falta segurança com  dados dos beneficiários do Instituto é notória  e muitos consumidores já tiveram suas informações compartilhadas sem seu consentimento. Com os vazamentos, os beneficiários do INSS, em sua maioria idosos,  ficaram ainda mais vulneráveis a fraudes e ao assédio de instituições financeiras que tentam vender crédito consignado, contribuindo para o superendividamento de uma população que já é vulnerável.

Ao longo de 2019 e 2020, denunciamos e pressionamos diversas autoridades para que os vazamentos não continuem a acontecer.  E, no fim de 2019, a Procuradoria-Geral da República iniciou investigação sobre o caso. 

Criptografia e bloqueios no WhatsApp

Em 2015 e 2016, decisões judiciais determinaram o bloqueio do WhatsApp com a justificativa de que a empresa se negou a compartilhar com as autoridades mensagens privadas de seus usuários, uma vez que as mensagens são criptografadas , ou seja, só podem ser acessadas pelos integrantes da conversa. 

Em 2017, acompanhamos audiência pública realizada pelo Supremo Tribunal Federal para debater a legalidade dos bloqueios. Em nossa contribuição enviada ao Supremo, defendemos que a suspensão do aplicativo é contraditória, já que a empresa agiu justamente em defesa da privacidade dos consumidores. Este ano, foi iniciado o julgamento com votos favoráveis de dois ministros, mas foi adiado sem data para retomada. 

Para nós, a tentativa de “quebra” ou enfraquecimento da criptografia para investigação de algumas pessoas coloca em risco a segurança, privacidade e liberdade de expressão de milhões de cidadãos de forma desproporcional.

Em 2017, a Serasa Experian lançou o Serasa Consumidor, onde é possível baixar um aplicativo no celular e visualizar sua pontuação de crédito. O termo de uso do serviço permite coletar metadados, ou seja, dados de utilização do aparelho, por 15 anos e utilizá-los para retroalimentar a pontuação. 

Não houve consentimento informado ou finalidade legítima para coleta de dados e a empresa ainda violou o princípio da minimização, já que o aplicativo não precisa coletar esses dados para funcionar. Diante do caso, lançamos a campanha Caixa Preta do Crédito e um manual sobre direitos básicos em sistemas de pontuação de crédito e denunciamos a prática. 

A pontuação de crédito continua sendo um sistema obscuro e com grande impacto sobre a vida do consumidor, por isso o Idec segue buscando por mais transparência e proteção de dados pessoais, principalmente em face das mudanças com a nova Lei do Cadastro Positivo.

Na eleição de 2018, o jornal Folha de S. Paulo denunciou que empresas ligadas ao então candidato Jair Bolsonaro compravam pacotes de disparo de mensagens em massa para a base de eleitores já existente e para bases comercializadas por agências de estratégia digital. Além da infração à legislação eleitoral, este caso configura comércio e fornecimento ilegal de dados pessoais (números de telefones) por empresas de cobranças e por funcionários de empresas de telecomunicações, assim como a classificação dos eleitores para envio de propaganda direcionada sem autorização. É possível que esses canais de comunicação tenham sido utilizados para propagação de desinformação de maneira massiva.

Em reação, protocolamos uma representação na Comissão de Dados Pessoais do Ministério Público Federal solicitando a abertura de inquérito civil por utilização indevida de dados pessoais, mas infelizmente a investigação não foi adiante. A desinformação continua sendo um risco para a democracia.

Diante desse cenário, o Projeto de Lei 2630/20 começou a ser debatido pelo Senado em julho de 2020 com o objetivo de combater a desinformação. Com propostas muito diversas, o projeto versa sobre medidas de transparência sobre a gestão de publicidade e conteúdos nas redes sociais, identificação e rastreamento de usuários  e a criação do Conselho de Transparência e Responsabilidade da Internet, dentre outras propostas. 

O PL foi amplamente debatido, pois, além de tratar de temas muito atuais, também levantou controvérsias e preocupações sobre a possibilidade de restrições à liberdade de expressão, com remoções de conteúdo arbitrárias, vigilância dos usuários e atos de censura de forma geral.

Na seara deste debate, o Idec contribuiu para a produção do guia “Padrões para uma regulação democrática das grandes plataformas que garanta a liberdade de expressão online e uma internet livre e aberta” ao lado de organizações parceiras da América Latina.

➜ Os principais momentos da CPMI das Fake News, que ampliou racha na base de Bolsonaro 

➜ Como a Cambridge Analytica recolheu dados do Facebook

Além dos casos em que atuamos, separamos outros casos emblemáticos envolvendo dados pessoais de consumidores brasileiros. Confira: 

Vazamento massivo de dados 

Em 2017 um ciberataque vazou dados pessoais de quase 2 milhões de clientes da Netshoes, que tiveram dados como nome, CPF, e-mail, data de nascimento e histórico de compras expostos. Foi um dos maiores vazamentos já registrados no Brasil. O Ministério Público do Distrito Federal e Territórios (MPDFT) instaurou inquérito civil, no qual a empresa se comprometeu a notificar todos os afetados via telefone ou carta. 

➜ Confira outros vazamentos importantes no país: Anvisa vaza lista de pacientes de canabidiol, Facebook vaza informações de mais de 30 milhões de consumidores.

Venda de dados pelo poder público

Em 2013, o Tribunal Superior Eleitoral (TSE) firmou acordo que previa o repasse dos dados pessoais de 141 milhões de eleitores à empresa Serasa Experian S/A, sem o consentimento de seus titulares e sem qualquer finalidade legítima. Foram expostos os nomes, número e situação da inscrição cadastral, dentre outras informações pessoais. Após pressão de ONGs e mídia, a então presidente do TSE, ministra Cármen Lúcia, anulou o acordo firmado entre o órgão e a empresa Serasa Experian, por entender haver risco de quebra de sigilo de informações do cadastro eleitoral. Não houve processo ou responsabilização.

Oi monitora e vende dados de seus usuários 

Em 2010, sem o consentimento dos consumidores, a empresa de telecomunicações Oi começou a mapear hábitos de acesso à internet de usuários do serviço Velox, batizado de navegador, mas que foi utilizado para coleta de dados e traçar perfis de consumo que eram comercializados para realização de publicidade direcionada. 

Após 4 anos, o Departamento de Proteção e Defesa do Consumidor instaurou processo administrativo para apurar as irregularidades cometidas. Após sua conclusão, a Secretaria Nacional do Consumidor (Senacon/MJ) multou a empresa em 3,5 milhões de reais, com base no Código de Defesa do Consumidor.

Vivo vende dados pessoais de seus clientes

Também sem o consentimento dos consumidores, o programa Smart Steps da Vivo vende os dados de localização de seus usuários, coletados para a prestação do serviço de telefonia móvel, assim como os dados pessoais fornecidos na contratação (nome, endereço, gênero etc.), para o poder público e empresas.

Com a ampla exposição de dados, a empresa coloca os consumidores sob risco de sofrer problemas como discriminação ou golpes financeiros. A Vivo chegou a afirmar que não há violação à LGPD, nem tratamento de dados pessoais, já que os dados seriam anônimos e estatísticos. Porém, a reidentificação a partir dos dados de localização é totalmente possível, como mostrou a investigação do portal The Intercept, que contou com nossa  avaliação técnica.