Bloco Associe-se

Associe-se ao Idec

Lojas que pedem dados em excesso podem contribuir para vazamento

Especialistas questionam necessidade de se requisitar informações como CPF e endereço de clientes até para compras simples

separador

O Globo

Atualizado: 

11/02/2021
Foto: iStock
Foto: iStock

Reportagem do jornal O Globo, publicada em 06/02/2021

Uma simples compra ou contratação de serviço no Brasil pode exigir do consumidor uma série de dados, muitas vezes um questionário completo. Mais que burocracia desnecessária, este tipo de pedido pode colocar informações sigilosas em risco, como prova o megavazamento que expôs detalhes da vida de 223 milhões de brasileiros e foi conhecido há pouco mais de duas semanas.

Para especialistas, é hora de repensar a cultura dos cadastros com excesso de dados do Brasil.

— Este tipo de pedidos completos de informação tem relação com nossa história cartorial, burocrática. E com a tradição dos brasileiros de não se importarem muito com dados. Em troca de um pequeno desconto, muitos colocam todos os seus dados pessoais em sites ou aplicativos que mal conhecem. Isso não acontece com tanta frequência em outros países — afirma Emilio Simoni, diretor do dfndr lab, laboratório de cibersegurança da PSafe, empresa que descobriu o megavazamento.

Segundo ele, consumidores de outros países são muito mais reticentes em fornecer dados pessoais. Aqui, em parte por causa do histórico de golpes de falsidade ideológica no passado, muitos veem questionários completos como mais “seguros”.

Mais dados, mais riscos

Até o momento não se sabe a origem do megavazamento de dados, que está sob investigação da Polícia Federal. Simoni afirma, contudo, que cresce a desconfiança de que se trata da combinação de dados de diversas fontes, em uma organização criminosa mais sofisticada.

Neste caso, avalia, informações de empresas podem ter sido combinadas com banco de dados públicos. E quanto mais completos os bancos de dados de empresas, mais cobiça ele gera em hackers.

Para o advogado Michel Roberto de Souza, do Instituto Brasileiro de Defesa do Consumidor (Idec), muitas vezes estes pedidos de informações em cadastros, compras ou contratações são sem propósito:

— Empresas pedem muitos dados por tradição, por cultura, nem sabem o que fazem com eles, mas isso tem riscos — afirma. — Muitas vezes pedem dados no automático, sequer utilizam estas informações em proveito do próprio negócio, mas terão mais responsabilidade no armazenamento destas informações.

Com a Lei Geral de Proteção de Dados (LGPD), uma empresa pode ser multada em até R$ 50 milhões em casos de vazamento de informações de clientes. Quanto mais dados estiverem sob sua guarda, mais riscos. Há no mercado, inclusive, hackers especializados em invadir sistemas para chantagear empresas, que se assustam com o potencial da punição da lei.

— Trate o mínimo de dados possível, mas proteja-os ao máximo. É preciso uma visão minimalista — afirma o economista e advogado Renato Opice Blum, sócio do Opice Blum Advogados e membro do Conselho da EuroPrivacy, uma certificadora europeia de dados. — Parte desta tradição vem da tentativa de buscar uma segurança de crédito, mas hoje isso é um risco.

Com o megavazamento de dados, a comprovação da identidade de alguém por informações cadastrais ficou muito vulnerável, pois estes dados podem estar em mãos de criminosos e golpistas.

Assim, Blum, que é também professor da Faap e do Insper, lembra que as empresas precisam criar mecanismos de confirmação mais elaborados. Bancos, por exemplo, utilizam tolkens, reconhecimento facial e teclados especiais para que o cliente insira sua senha.

— Uma das premissas para evitar multas, em caso de vazamento de dados, é provar que a empresa tentou ao máximo proteger esses dados. Isso não é mais realidade depois do megavazamento, com apenas dados cadastrais — diz o advogado.

Educação digital

Blum lembra ainda que o artigo sexto da LGPD estabelece explicitamente que não se pode pedir dados sem utilidade para consumidores ou clientes. Desta forma, as empresas precisam mudar seus paradigmas ou poderão ter mais problemas em casos de falhas em seus sistemas.

Mas Cristiano Reame, diretor técnico da Globant Brasil, lembra que a preocupação com a segurança de dados tem de vir antes da elaboração do sistema:

— Realmente é preciso pedir o nome da mãe ou do pai de um cliente para a entrega de um produto ou serviço? Qual o potencial de risco nestas situações?.

Christian Perrone, coordenador da área de Direito e Tecnologia do ITS, acredita que, aos poucos, o país passará por mudanças culturais, como não mais pedir o CPF de um cliente em uma farmácia para “checar” se há desconto em determinado produto:

— O megavazamento demonstra que precisamos ter maior educação digital e consciência da importância de nossos dados. Este tipo de debate deveria começar nas escolas, mas é preciso, antes, conscientizar os professores sobre estas questões.