“Me informa o número do CPF, por favor?” Seja na farmácia, no supermercado ou em compras on-line, tornou-se comum esse dado ser solicitado. É difícil encontrar alguém que nunca tenha ouvido essa frase ao comprar algo e depois se perguntou porque precisa informar o número do documento.
No varejo, a informação é pedida geralmente para garantir algum benefício ao cliente. Mas o uso dele vai muito além dos descontos prometidos pelas empresas à quem o informa ou que aceita fazer cadastro numa loja. O comércio é só um dos interessados nesse item valioso.
Para muitos, os dados pessoais são o novo petróleo: valem ouro num mercado lucrativo e bilionário de troca e venda que ocorre, na maioria das vezes, sem o consumidor saber que esse movimento existe.
Não é só o varejo, porém, que está de olho nessas preciosidades, as redes sociais, os aplicativos, as fintechs, os bancos e mesmo as bigtechs (gigantes da tecnologia, como Google, Facebook e Amazon) têm certo interesse de saber todos os seus movimentos de consumo. Ao realizar qualquer cadastro você minimamente vai informar seu nome completo, CEP, e-mail, data de nascimento e o seu CPF.
Além destes, há ainda hackers e golpistas de olho em truques para conseguir capturar essas informações pessoais para ganhar dinheiro. E com o Pix, além dos CPFs, dados com o número do celular e o endereço de e-mail também passaram a ser grandes atrativos para organizações e criminosos.
Essas informações são usadas pelas empresas para monitorar seus passos. A partir delas, é possível saber o seu padrão e histórico de compras, preferências e sugerir produtos e serviços sob medida para o seu perfil e que satisfaçam melhor suas necessidades.
Um exemplo disso é o que acontece com o seu endereço de e-mail. Ele pode ajudar a identificar que você usou outro aplicativo, no qual inseriu o mesmo endereço eletrônico, ou se já é cliente de uma determinada loja ou fornecedor de serviços. A partir dos seus dados pessoais é possíveis rastrear a sua vida digital.
A professora doutora do Departamento de Direito da Ufes Margareth Vetis Zaganelli, comenta que alguns estabelecimentos comerciais justificam a necessidade do cadastro. Já outros não explicitam a finalidade e mesmo assim insistem para que o consumidor o faça como prerrogativa para realização da venda.
“Ocorre que o fornecimento de dados pessoais do consumidor não pode ser uma condição para realizar a compra, e além disso, o cliente deve ter a garantia de que os dados só serão usados para esta finalidade (compra). No caso de compras realizadas a prazo ou de produtos adquiridos pela internet, se for necessário realizar um cadastro na loja, o uso dos dados deverá ser autorizado pelo consumidor”
Ela aponta ainda que a Lei Geral de Proteção de Dados (LGPD) determina que o consumidor não é obrigado a fornecer informações e dados pessoais em compras realizadas nos estabelecimentos comerciais. Além disso, caso forneça, ele precisa saber de que maneira aqueles dados serão tratados.
O uso de dados pessoais para oferecer produtos e serviços existe há muito tempo. Bureaus de crédito, bancos e financeiras já consultavam esse tipo de informação para saber se uma pessoa tinha ou não condições de pegar um empréstimo. Com base no perfil de compras do cliente, eles conseguiam saber, por exemplo, se a pessoa era uma boa pagadora e também estipular qual a taxa de juros ideal para ela.
Nos últimos anos, ficou mais nítida a importância da coleta de informações para as empresas. Isso porque as redes sociais, por exemplo, se utilizam dos padrões de um usuário para oferecer produtos que ele possa se interessar. Por isso, não é incomum que depois que você pesquise por um tênis de uma marca ou entre no site de uma loja por algumas vezes, anúncios com aquelas informações apareçam no seu feed.
Ao mesmo tempo em que o uso de informações pelas empresas se tornou comum, as pessoas passaram a ter mais medo de como os seus dados serão utilizados. Algumas empresas armazenam as informações e, em alguns casos, não dão a eles devida proteção contra roubos.
Um dos problemas que essa falta de segurança pode causar é que esses dados parem nas mãos de criminosos e sejam utilizados para aplicar golpes, deixando prejuízo para o consumidor.
A aposentada moradora de Cariacica Laudecir Coelho da Silva, 63 anos, foi vítima de um golpe envolvendo o nome dela. Criminosos usaram suas informações pessoais para fazer um empréstimo consignado em um banco. Desde abril do ano passado, parcelas são descontadas da sua aposentadoria.
“Eu tenho dois empréstimos e descobri em outubro do ano passado que tinha um terceiro em meu nome. Esse que fizeram é de R$ 1.763,62 e dividiram em 84 vezes. Já fiz um boletim de ocorrência para tentar resolver o caso, mas não consegui. Agora vou acionar o Procon”, comenta.
Laudecir não entende como alguém pode ter usado as suas informações para conseguir fazer uma dívida. “O medo é que façam isso de novo e eu adquira outra dívida”, explica.
UM MERCADO LUCRATIVO
Informação é sinônimo de dinheiro no mercado de dados. As empresas se valem das suas informações pessoais para explorar o que elas tem de melhor: o perfil do consumidor. De posse disto, as companhias podem lucrar vendendo os dados para outro negócio ou oferecendo um produto ou serviço baseado neles.
A coleta pode ser realizada tanto off-line, quando um vendedor pede o número de CPF ou uma foto sua é feita a partir de uma câmera de segurança, por exemplo, como on-line, quando os cookies armazenam todas as suas pegadas digitais ao navegar por sites da internet. Com base nelas, eles traçam um perfil de comportamento que indica, por exemplo, onde você clicou, quanto tempo ficou na página, o que pesquisou e o que colocou no carrinho de compras do site.
No caso da venda de informações, se as empresas brasileiras seguirem à risca o que diz a Lei Geral de Proteção de Dados (LGPD), o país poderá explorar um mercado bilionário e que envolve o fluxo massivo de dados entre diversos países. Essa estratégia beneficiaria companhias multinacionais e gigantes da internet. Além delas, empresas locais que estão incorporando inovações tecnológicas com o objetivo de ganhar eficiência e acessar o mercado global também se dariam bem.
Porém, para que esses dados sejam coletados e o comércio de dados seja realizado é indispensável o consentimento do titular do dado. Essa autorização precisa ainda descrever para que ele será usado. O consumidor que se sentir lesado pode entrar com uma ação tanto na Justiça Comum, como no Juizado Especial Cível de pequenas causas.
Outras empresas vendem essas informações que foram obtidas para outras empresas. Algumas ainda usam internamente, para oferecer serviços e produtos que o consumidor tenha interesse.
FARMÁCIAS: COMEÇOU COM O CPF, AGORA É O PLANO DE SAÚDE
Se tornou comum, por exemplo, ir a uma farmácia e ter que informar o CPF e o número de celular para conseguir ter algum desconto em medicamentos. O seu histórico de compras em uma drogaria pode dar muitos indícios sobre o seu comportamento. Ele pode, por exemplo, fazer com que seu contrato do plano de saúde seja mais caro ou até mesmo que um empréstimo financeiro seja recusado.
De posse do perfil de consumo de medicamentos, os planos de saúde poderiam, por exemplo, entender que uma pessoa que compra remédios todos os dias tenha muitos problemas de saúde. Com essas informações em mãos, os planos poderiam ficar mais caros para essas pessoas, já que, caso contratem serviço, precisariam de mais exames e médicos, o que aumentaria o custo com aquele cliente.
Algo semelhante pode acontecer na hora de pegar o empréstimo. Neste caso, o banco poderia recusar o crédito sem dar justificativa ou subir muito a taxa de juros tendo em vista que aquele consumidor não terá como cumprir suas obrigações e quitar o saldo por conta do seu estado de saúde.
Em São Paulo, por exemplo, o governo estadual sancionou uma lei no ano passado que proíbe farmácias e drogarias de exigirem o CPF do cliente na hora da compra sem informar de forma adequada e clara sobre a abertura de cadastro ou registro de dados pessoais e de consumo, que condiciona o consumidor à concessão de promoções.
Para além do uso interno de informações pessoais dos clientes, especialistas apontam ainda para os riscos quanto ao tratamento e armazenamento dos dados. O problema cresce com o fato desses registros feitos de qualquer maneira serem repassados ou vendidos a outras empresas sem autorização do consumidor.
CELULAR E E-MAIL SE JUNTAM AO CPF COMO DADOS SENSÍVEIS NO MERCADO FINANCEIRO
A implantação do Pix, sistema de pagamento instantâneo criado pelo Banco Central, iniciou uma verdadeira corrida em busca do número do CPF, celular e endereço de e-mail das pessoas. Embora seja opcional, o consumidor pode cadastrar chaves com esses dados.
A chave Pix funciona como uma espécie de endereço ou um apedido para sua conta bancária. Dessa forma, ao informar o seu e-mail, por exemplo, a outra pessoa vai estar transferindo o dinheiro para você sem a necessidade de informar número da conta, agência e CPF, como ocorre com TED e DOC.
Acontece que CPF, e-mail e número de telefone só podem ser usados como chave de uma conta bancária. Ou seja, antes de cadastrar, você precisa decidir em qual banco e conta cada informação será vinculada. É aí que esses dados se tornaram tão importantes para o sistema financeiro. Bancos e fintechs chegaram a fazer sorteios e dar prêmios para quem cadastrasse essas informações com eles.
Vamos a um exemplo: você ativou o seu e-mail como uma chave Pix. Ao informar ele para receber um pagamento, esse valor será enviado diretamente para a conta associada ao endereço eletrônico. Como sistema é muito diferente do que ocorre com TED e DOC, que permitem que a conta de destino seja indicada a cada transação realizada, o Pix acaba limitando o consumidor a usar apenas aquela conta indicada.
OPEN BANKING FACILITARÁ MERCADO DE DADOS
O open banking, que teve a primeira fase iniciada neste mês pelo Banco Central, deve facilitar ainda mais o mercado de dados. Trata-se de um sistema bancário aberto que tem como principal objetivo abrir o leque de opções disponíveis para o consumidor e também permitir que o usuário tenha mais liberdade para levar seus dados financeiros para onde quiser.
Na prática, o sistema permite que, se você autorizar, todas as instituições financeiras tenham acesso ao seu histórico financeiro. Tradicionalmente, por se tratar de dados sensíveis – como contas pagas em dia, salários depositados, prestações, empréstimos e perfil de gastos – eles são restritos ao banco em que as operações foram realizadas.
A justificativa do setor financeiro é que compartilhar o seu histórico bancário fará com que o consumidor obtenha empréstimos com juros menores e consiga melhores condições de negociação. Além de gerar mais competição entre os bancos.
Para que isso aconteça, será definido um padrão de API (application programming interface), o que permitirá que empresas do setor financeiro acessem o banco de dados diferentes e integrem seus respectivos sistemas, compartilhem dados e realizem transações de forma automatizada e segura.
Existe a preocupação com relação à possibilidade de vazamento dos dados financeiros dos consumidores. Isso porque eles poderão ser facilmente compartilhados entre as instituições, além de serem informações extremamente sensíveis, já que se tratam da capacidade financeira de cada indivíduo. Nas mãos erradas, elas podem trazer diversos perigos.
Ao longo dos últimos meses, o vazamento de milhões de dados de brasileiros vem aumentando ainda mais o alerta dos consumidores. Vários birôs de crédito, entre eles a Serasa, são suspeitos de serem a fonte de diversos vazamentos de dados. Apesar de terem suspeitas sobre algumas empresas e especialistas que afirmem quais seriam as possíveis fontes, até o momento não se sabe com certeza de onde surgiu o banco de dados.
Dessa forma, ele poderia ter surgido do agrupamento de dados hackeados anteriormente. Ou, ter uma fonte única, esse seria o caso do sistema de uma grande companhia.
O RISCO DE ESTAR EM VÁRIOS BANCOS DE DADOS NA INTERNET
Se por onde passa o consumidor fornecer seus dados pessoais, principalmente o CPF, ele passa a fazer parte de diversos bancos de dados, muitas vezes sem saber disso. O grande problema é que se torna cada vez mais perigoso para essa pessoa ter seus dados nas mãos erradas, uma vez que há criminosos digitais que fazem de tudo para encontrar vulnerabilidades dos sistemas e assim alcançar suas informações.
É claro que o mundo digital facilita o nosso dia a dia de diversas formas, mas ele também esconde muitos perigos. Entre eles estão o vazamento, o roubo e a venda de informações pessoais. É na Deep e na Dark Web, as partes mais profundas da internet, que esse comércio ilegal de dados roubados ou vazadas ocorre, e alguns deles chegam a custar até R$ 4,2 mil.
Segundo a PSafe, empresa especializada em cibersegurança, registros de 102,8 milhões de contas de celular foram vazados na Dark Web. Esses dados contém informações sensíveis de milhares de brasileiros, inclusive a do presidente do país, Jair Bolsonaro. Entre elas, estão tempo de duração das ligações, número de celular, dados pessoais e muito mais.
No dia 19 de janeiro, mais de 220 milhões de dados pessoais de brasileiros podem ter sido vazados de acordo com o dfndr lab, laboratório de cibersegurança da PSafe. A companhia afirma que o banco de dados vazado teria exposto o número de CPF, data de nascimento e nome completo de diversos brasileiros – incluindo grandes autoridades do país.
Além desses dados, ainda foram roubados CNPJs e informações de veículos, contendo número do chassi, placa do automóvel, município, cor, marca, modelo, ano de fabricação, cilindradas e o tipo de combustível utilizado.
Esse foi o maior vazamento de dados do país. Ao todo, 223 milhões de CPFs, 40 milhões de CNPJs e 104 milhões de registros de veículos caíram na internet. De acordo com a empresa de segurança Syhunt, que analisou alguns dos arquivos disponibilizados pelo hacker em fóruns online, as informações de 39.645 brasileiros (incluindo dados de falecidos) e 22.983 empresas nacionais já circulam livremente e gratuitamente na internet.
Ao jornal Estadão, a empresa informou que, no total, estima que o hacker tenha em mãos quase 1 TB de informação, sendo 650 GB de pessoas físicas, 200 GB de pessoas jurídicas e outros 23 GB relacionados as informações de veículos. Um dos dados mais preocupantes dentre todos os vazados é o pacote com fotos com o rosto de pessoas. Ele tem cerca de 16 GB, para a Syhunt, isso equivale a imagens de 1,1 milhão de pessoas. A origem desse vazamento ainda é desconhecida.
Já no ano final do passado foi iniciado um processo contra a Serasa. De acordo com os autos, ela vendia dados dos consumidores sem autorização, o que levantou novamente o debate sobre os direitos de privacidade. Essa subtração de informações de forma indevida ou sem comunicar ao consumidor sobre o que está sendo feito com elas, como no caso da Serasa, acende um alerta.
Todas essas informações acabam indo parar nas profundezas da internet, na Deep e na Dark Web, fortalecendo o comércio ilegal de dados. De acordo com uma investigação feita pela Kaspersky, empresa mundial especializada em cibersegurança, é possível comprar dados privados a partir de US$ 0,50 em dez fóruns e mercados internacionais clandestinos.
O levantamento mostrou ainda que com apenas US$ 0,50 um criminoso pode adquirir carteiras de identidade ou credenciais de acesso a plataformas de streaming de pessoas que foram vítimas de um cibercrime ou vazamento de dados.
As informações mais valiosas são os acesso não autorizado a e-mails ou contas de redes sociais, que variam de US$ 400 a US$ 800 (R$ 2.139,80 a R$ 4.279,60). O aumento da segurança das redes sociais e dos serviços de e-mail, como a dupla autenticação, dificultou essa tipo de roubo de dado, o que valorizou ainda mais as informações.
O titular da Delegacia de Repressão aos Crimes Cibernéticos (DRCC), delegado Breno Andrade, lembra que tanto a comercialização, quanto o uso dessas informações obtidas de maneira ilegal é crime. Ele lembra que depois que um banco de dados é vazado, retirar as informações do comércio ilegal é quase impossível.
“As pessoas devem evitar fazer o compartilhamento de dados de forma aleatória e irrestrita. Não tem como garantir um ambiente 100% seguro, mas podemos minimizar o risco. Por exemplo, nunca preencher formulário ou cadastro em sites desconhecidos ou que você nunca tenha feito uma compra. Essa é uma forma de evitar o furto dos seus dados”
O presidente da Associação Nacional dos Profissionais de Proteção de Dados (ANPPD), Davis Alves, explica que, de 80% a 90% das invasões não acontecem quando um hacker entra em uma conta on-line ou no computador da vítima, ou em um ataque de hackers.
“O ato da pessoa entrar pelo celular dela em uma página clonada ou clicar em um link que chegou pelo celular ou pelo e-mail pode instalar um vírus no celular dela e assim os criminosos terão acesso aos dados da vítima”
Davis aponta ainda que pacotes que englobam diversas informações de uma pessoa têm ainda tem mais valor no mercado ilegal. De acordo com o presidente da ANPPD, quando os dados vendidos têm um relacionamento entre si o perigo aumenta para o usuário.
“Se tiver uma lista e telefone não é muita informação, mas se nela estiver escrito ‘listas dos 100 maiares empresários do país’ e se cair em mãos erradas vai ser um grande problema”, comenta.
EMPRESAS QUE VAZAM DADOS PODEM SER RESPONSABILIZADAS
A Lei Geral de Proteção de Dados Pessoais (LGPD) criou regras para a realização da coleta, armazenamento, tratamento, bem como para o compartilhamento de dados pessoais, desta forma, as organizações devem obedecer a um padrão elevado de segurança elevado.
As organizações que não respeitarem as normas prevista nela poderão sofrer sanções no âmbito administrativo, civil e penal.
A professora doutora do Departamento de Direito da Ufes Margareth Vetis Zaganelli, explica que além de ressarcir as pessoas prejudicadas pelo vazamento de dados, a LGPD também implica em responsabilidades administrativas para o operador e o controlador de dados. Quem determina a punição é a Autoridade Nacional de Proteção de Dados (ANPD). Segundo ela, a lei se aplica para todos e órgãos públicos também poderão ser punidos ao cometerem infrações.
“A LGPD tem por escopo regulamentar as atividades relacionadas ao tratamento de dados das pessoas, com assegurar o cumprimento dos direitos fundamentais de proteção da liberdade, intimidade e privacidade das pessoas. Assim, as empresas deverão obter o consentimento dos clientes para a coleta de dados pessoais e ainda deverão observar os princípios da finalidade, adequação, necessidade e da transparência”, explica.
“As empresas públicas e privadas deverão coletar e armazenar somente os dados que serão aproveitados na interação com o consumidor. Sendo assim, determina-se que a coleta de dados se restrinja a sua finalidade”, complementa Margareth.
COMO SE PROTEGER DO FURTO DE DADOS
A coordenadora dos cursos de Tecnologia da Informação da UVV, Susileia Abreu dos Santos Lima, explica que é possível se proteger ou ao menos minimizar os problemas caso outra pessoa tenha seus dados. Ela dá o exemplo do Pix:
“Tem algumas regras básicas das seguranças dos dados. Cabe ao usuário não usar o aplicativo do banco em redes de internet públicas. Se tiver uma rede com VPN, optar por usar ela, porque será mais seguro. Quando manusear os dados garantir que o aplicativo esteja rodando no celular. E validar o seu número de celular no banco”
Outra dica, de acordo com ela, é ter duas linhas de celular. Uma será usada para validar os dados de aplicativos e transações. Já a outra para comunicação em geral. Isso reduz a chance de os bandidos consigam se aproveitar do seu número que está disponível a todos para cloná-lo e usá-lo para roubar suas senhas.
De acordo com ela, no site Havebeenpwned é possível checar se o seu e-mail já foi vazado. “Depois de digitar o endereço e você confirmar, vai aparecer se os dados foram ou não vazados. Se aparecer em verde não foram, mas se for vermelho vai mostrar todos os lugares em que sua senha foi vazada, os lugares que você se cadastrou com o e-mail e sites que foram invadidos”, explica.
VEJA 15 DICAS DE COMO SE PROTEGER ON-LINE
Assuma o controle das informações nas redes sociais. Vá em configurações – segurança – leia e modifique as autorizações de privacidade e compartilhamento de dados;
Não disponibilize muitas informações pessoais a muitas pessoas, como em cadastros físicos ou on-line;
Nas redes sociais, configure o perfil para que as publicações só sejam vistas por quem você realmente conhece. Quanto menos dados e preferências ficarem disponíveis, mais protegidos estarão os dados da pessoa;
Faça a mudança de senha frequentemente em todas as suas contas on-line;
Escolha diferentes senhas para e-mail, aplicativos e contas;
Escolha senhas difíceis, aleatórias e não obvias como número do telefone, nome completo ou data de aniversário;
Tenha mais de um e-mail, para caso precise recuperar a senha do outro se ele for perdido ou roubado;
Escolha pela autenticação em dois fatores. Com ela fica mais difícil, caso você perca o celular ou tenha seus dados roubados, do invasor ter acesso as suas contas. Hoje bancos e redes sociais já tem esse tipo de proteção extra;
Não use qualquer computador para entrar nas suas redes sociais, muito menos em bancos e e-mails. Eles podem conter programas instalados para capturar informações;
Não use redes de internet abertas para se conectar as suas redes sociais, muito menos em bancos e e-mails. Elas também podem conter programas instalados para capturar informações;
Não clique em links desconhecidos que cheguem por e-mail, mensagem de texto ou WhatsApp. Eles podem conter vírus para infectar o seu dispositivo para capturar informações;
Esteja ciente dos sites e e-mails de phishing e utilize soluções de segurança com função anti-phishing;
Ative os avisos de segurança nas contas bancárias, e-mail e redes sociais. Dessa forma, caso alguém faça um acesso não autorizado você saberá na hora;
Não forneça suas senhas para ninguém. Bancos, por exemplo, nunca pedem a senha do usuário, se ligarem pedindo é um golpe;
Não esqueça de ter o antivírus sempre atualizado. Isso vale para qualquer dispositivo, tanto celulares, quanto computadores.
Fonte: A Gazeta Online ES
Veja também: https://panoramafarmaceutico.com.br/2020/12/08/lei-que-proibe-pedir-cpf-em-farmacia-ainda-gera-duvidas/
