Existe um negócio lucrativo que alimentou o megavazamento de dados; entenda

Você chega na farmácia precisando comprar um remédio supercaro. Aí o caixa diz que você pode conseguir um bom desconto informando o CPF. Tentador, certo? Mas você precisa saber que está trocando seus dados por vantagens, e eles são mais valiosos do que você imagina para empresas, hackers e golpistas.

As informações vazadas de mais de 220 milhões de brasileiros —inclusive de gente que já morreu— estão disponíveis para compras na deep web. Um pacote de dados de até 100 pessoas físicas ou jurídicas estaria saindo por cerca de US$ 50 (R$ 269,40). A oferta pode render a um único cibercriminoso algo em torno de R$ 80 milhões.

Relacionadas

Seus dados vazaram? Saiba o que fazer para se proteger de fraudes

Site mostra se seus dados foram expostos em megavazamento; entenda o risco

Receba notícias de Tilt em seu WhatsApp

O Procon-SP pediu explicações à Serasa, empresa de crédito considerada suspeita de ser a fonte inicial do conteúdo. O Idec (Instituto de Defesa do Consumidor) cobrou providências do governo, via ANPD (Autoridade Nacional de Proteção de Dados).

Apesar das suspeitas, ninguém sabe com certeza de onde o banco de informações veio. Pode ser o agrupamento de dados hackeados anteriormente ou ter uma origem única —como o sistema de uma grande empresa, por exemplo. O fato é que nosso perfil está há anos espalhado nos servidores de diversas empresas e instituições.

Quem são os corretores de dados?

O birô de crédito Serasa foi apontado como suspeito de ser a fonte zero por conhecidamente usar escore de crédito e base de dados Mosaic, que classifica os consumidores em 11 grupos e 40 segmentos. A empresa se defendeu dizendo que as informações não saíram da sua infraestrutura.

Segundo um processo do MPDFT (Ministério Público do Distrito Federal e dos Territórios), a Serasa vendia no ano passado, pelo preço de R$ 0,98 cada pessoa, o "nome, endereço, CPF, três números de telefones, localização, perfil financeiro, poder aquisitivo e classe social para fins de publicidade e captação de novos clientes".

Estima-se que ela comercialize dados de mais de 150 milhões de brasileiros, embora não seja a única a coletar e tratar dados pessoais para vendê-los a outras empresas —ela foi inclusive proibida pela Justiça de fazer isso, com base na Lei Geral de Proteção de Dados. Coloque na busca do Google "bureau de dados" que você vai encontrar diversas opções desse serviço.

"São empresas que atuam como corretores de dados, não só vendem, mas extraem análises a partir de uma quantidade muito grande de informações que detêm sobre a população", explica Bruno Bioni, diretor-fundador da associação Data Privacy Brasil, organização não governamental voltada às pesquisas sobre privacidade digital.

Como elas conseguem tantos dados?

Existem dois eixos de coleta: offline e online.

• Offline: pedir o CPF no caixa da farmácia, tirar uma foto com câmera de segurança de quem entra numa loja, pegar o telefone para cadastro, por exemplo
• Online: cookies armazenam todas nossas pegadas digitais quando navegamos por sites da internet, traçando um perfil de comportamento (onde clica, quanto tempo dura a visita, que produtos pesquisou, o que colocou no carrinho de compras)

"Eles conseguem cobrir uma boa parte da sua vida digital e ter um perfil preciso sobre seus gostos e predileções. É uma quantidade alta, intensa, de dados", diz Bioni.

Esses cookies detectam até como é a sua rede de wi-fi, o pacote de internet que você contrata e o modelo do seu aparelho (laptop, smartphone, desktop), dando pistas para traçar o perfil socioeconômico da pessoa.

"A partir disso e também da localização do GPS, é possível saber o seu endereço. Uma coisa leva a outra", explica João Archegas, pesquisador do ITS-Rio (Instituto de Tecnologia e Sociedade do Rio de Janeiro).

Robôs para "raspar" dados pessoais de bases públicas e abertas, como a do Detran (Departamento Estadual de Trânsito) ou de algum órgão público que cumpre com a Lei de Acesso à Informação, ajudam nesse trabalho.

CPF ou hábitos de navegação na internet sozinhos, por exemplo, não dizem muita coisa. Eles precisam ser tratados para terem valor de mercado. A inteligência artificial entra para criar grupos como "jovens com rentabilidade" ou "pessoas aposentadas", que permite ações direcionadas.

Para Fabrício Mota, representante do Senado no CNPD (Conselho Nacional de Proteção de Dados), quanto mais precisa for a base de dados de uma empresa, mais valiosa ela vai ser. "Qualquer pessoa tem interesse numa base dessas. Até um advogado pode ter interesse em fazer a prospecção de clientes em certa região, porque sabe que nela tem muita gente que tem problema com a justiça trabalhista", exemplifica.

Como esses dados dão lucro para empresas?

Existem duas maneiras: vendendo-os para outra empresa —caso da Serasa— ou oferecendo um serviço com base neles.

A empresa Unico (novo nome da antiga Acesso Digital), por exemplo, informa a seus parceiros se uma pessoa que está tentando comprar algo ou adquirir um serviço é realmente ela. Para isso, usa um banco de dados biométricos com reconhecimento facial.

Então, se você quer comprar um eletrodoméstico e precisa parcelar a compra em dez vezes no cartão, a loja tira uma foto sua e consulta no banco de dados biométricos da Unico. O resultado é mostrado numa escala que vai de -100 a +100, de acordo com a recorrência da pessoa na base. O objetivo é evitar fraudes.

"Importante ressaltar que nenhuma informação da base de dados é comercializada e que o Score de Autenticação [Biométrica] é entregue apenas aos clientes da Unico", informa a empresa, que não abre valores sobre o serviço.

A lei deixa que lucrem com meus dados?

A LGPD estabelece que é preciso o consentimento do titular do dado para que ele seja usado para determinado fim. Ou seja, se a empresa pediu o seu dado, disse que iria compartilhá-lo para tal fim e você concedeu, em tese ela pode lucrar em cima deles.

Mas como as pessoas ficam sabendo que a Unico tem dados sobre ela? A empresa afirma que o consentimento é dado durante a interação da pessoa com a loja, no momento da coleta da biometria ou na política de privacidade do produto ou serviço.

Segundo Gisele Truzzi, advogada especializada em direito digital, a LGPD levou as empresas a obterem esse consentimento específico para compartilhar dessas informações. "Elas devem firmar termos de conformidade com as outras empresas que estão comprando [os dados] para demonstrar que eles foram coletados e tratados de acordo com o consentimento do titular", explica.

Bruno Bioni, da Data Privacy, diz que a função da LGPD é garantir que os dados circulem dentro das regras do jogo impostas pela legislação. "A lógica não é de restringir a capacidade de circulação da informação. Obviamente, que isso vai atender interesses econômicos (...), mas a LGPD vem para fixar as regras do jogo", afirma.

Quem garante que os dados não vão vazar?

Para Bioni, a questão não é mais se vai acontecer um incidente de segurança, mas quando. Por isso, as empresas que lidam com dados pessoais precisam se armar. Se a companhia for vítima de um vazamento de dados, é ela quem será responsável, de acordo com a LGPD.

Em caso de violação, a empresa recebe desde uma advertência a até uma multa de 2% sobre o seu faturamento. Dependendo do caso, a atividade pode ser suspensa pela Justiça.

O cidadão que se sentir lesado pode entrar com uma ação na Justiça Comum ou no Juizado Especial Cível (das pequenas causas). "A LGPD diz que você é o controlador dos dados, então é responsável pelo que acontece com eles", completa Truzzi.