Tag: netshoes
Dados em perigo? O Ministério Público cria seção para proteger consumidor
Imagine um mundo em que uma boneca armazena informações da criança e a empresa pode usar os dados para publicidade. Onde aspiradores de pó são capazes de fazer a planta da casa do consumidor e enviar as informações para um computador remoto. Comprar pela internet de uma cidade considerada mais rica pode sair mais caro do que o mesmo produto comprado em um município pobre. Assim como comprar por um sistema iOS a mercadoria pode valer mais do que a comprada por um sistema Android. Sabe aquele simples cadastro na farmácia? Ele pode deixar o seu plano de saúde mais caro. Parecem histórias de seriados e ficções científicas. Mas o que parece uma conexão futurista está mais próximo ao dia a dia do consumidor do que ele pode imaginar. Por isso, o Ministério Público do Distrito Federal e Territórios (MPDFT) lançou a primeira iniciativa nacional dedicada exclusivamente à proteção dos dados pessoais e da privacidade dos brasileiros.
Desde a criação da comissão, o Ministério Público já pediu informações à varejista Netshoes e ao aplicativo Uber sobre vazamento de dados de clientes e agora foca os olhares para duas situações: cadastro de farmácias em troca de descontos e a classificação de clientes por instituições financeiras baseado em cruzamento de dados virtual sem consentimento do consumidores.
Dois dos promotores que estão na comissão, Frederico Meinberg Ceroy e Paulo Roberto Binicheski receberam o Correio para falar desse novo desafio do consumidor moderno: proteger as informações pessoais dos clientes que circulam na rede. Além do vazamento, há preocupação mundial com o cruzamento e venda de informações. “A gente acha que a lógica ainda é a do supermercado, que a gente chega na prateleira e tem o valor. Não. O mundo digital é exatamente o contrário. Você chega na prateleira, a prateleira vai olhar para você e vai dizer: ‘peraí, você está bem vestido, está com um terno bom, você provavelmente mora no Lago Sul, seu valor é X’”, comenta Frederico. Confira a entrevista:
O MPDFT é o primeiro do Brasil com essa iniciativa de uma comissão específica para proteção de dados. Como foi a concepção desse projeto?
Paulo: É algo antigo que a gente tem dentro do MPDFT e ganhou força com a atuação das promotorias de defesa do consumidor quando teve aquele caso do Lulu em que havia o compartilhamento dos dados dos usuários do Facebook com o aplicativo sem uma informação prévia adequada. Os dados eram tratados de uma forma indevida. Desde então a gente vem estudando o assunto.
Como vocês avaliam a proteção de dados dos consumidores brasileiros?
Paulo: A proteção de dados no Brasil ainda é incipiente. Isso é tratado na União Europeia desde a década de 1990. O pessoal mexe com isso há mais de 20 anos e a gente está iniciando. Há um trabalho da Senacon (Secretaria Nacional do Consumidor) e um projeto de lei que foi enviado para o Congresso para cuidar disso. Tem alguma coisa no Marco Civil da internet. Mas nós não temos nada especificamente para cuidar disso: não temos uma autoridade, como tem em outros países.
Se ainda não temos uma proteção específica, o que vocês têm usado para pedir explicações às empresas?
Paulo: A gente usa o nosso sistema jurídico, mas é um trabalho de interpretação. Não há uma lei que trate diretamente da questão. Mas se você pensar em termos de Código de Defesa do Consumidor, que é uma lei que tem uma base principiológica, e a Constituição, você tem fundamentos legais para tratar da proteção de dados. Esses vazamentos (Uber, Netshoes) e têm outros que estão sendo investigados podem causar um prejuízo muito grande às pessoas.
Como a comissão vê o fato de o cliente fazer um cadastro em um local, e, no outro dia, outra empresa, que não tem nada a ver com o primeiro segmento, liga para o consumidor oferecendo um serviço e com informações como a renda, CPF… Ou então o fato do cliente ganhar 10% de desconto se fizer um cadastro e, em seguida, começar a receber promoções de outras empresas…
Frederico: Além do NetShoes, o Uber, algo que estamos muito interessados é a questão de farmácias. Parece uma coisa muito boba e simples, mas é importante. O vendedor pergunta: “Você tem cadastro?”. “Não”, o cliente responde. “Mas se você tiver cadastro vai ter 30% de desconto neste medicamento”. Essa é a questão: a troca de dados por desconto. Só que esses dados, como o histórico de compras, é uma informação extremamente sigilosa. Na Europa se chama dado pessoal sensível. O que hoje está sendo feito com esses dados é uma caixa preta. Pode ser uma bomba relógio para todos nós. Por exemplo, eu tive um cachorro que passou por tratamento de câncer. O meu histórico de compras vai claramente dar uma pessoa que provavelmente passou por um tratamento quimioterápico. Se esses dados são comercializados, se esse grupo farmacêutico é comprado por um grupo de seguro saúde, eu praticamente não vou conseguir contratar um seguro saúde ou o meu seguro saúde vai ser inviável. Então olha só: uma coisa que a gente está fazendo diariamente e que é um problema absurdo a médio prazo.
O Marco Civil da internet diz que é preciso um consentimento prévio do consumidor sobre o uso ou não dos dados. Mas e as empresas? Elas são obrigadas a dizer o que vão fazer com os dados?
Frederico: Existe o entendimento que elas devem dizer. O que a comissão está tentando fazer é trazer a importância de entender o que está sendo feito com os dados pessoais dos consumidores, seja das autoridades, seja da sociedade. Hoje no Brasil a gente não tem como desatrelar proteção de dados pessoais de defesa do consumidor. Não é função principal, mas basilar de defesa do consumidor a proteção de dados.
O Marco Civil foi uma lei polêmica, mas é uma lei que ajuda?
Paulo: Foi e ela acabou sendo passada por medida provisória. Há muitos estudos de órgãos de defesa do consumidor da necessidade de dar uma proteção adequada. Você imagina hoje… as pessoas podem até sentir, mas não tem noção. O Gmail foi a primeira grande violação da privacidade dos usuários do mundo todo e as pessoas não perceberam no início. Como era o e-mail antes do Gmail? Se você quisesse armazenar as mensagens tinha que pagar. E o Gmail veio com uma promessa: você não precisa pagar, nem apagar arquivo nenhum. O armazenamento é ilimitado. Por que? Tudo que tiver de informações ali, os robôs estão lendo, estão pegando aqueles dados. Como é que eles lidam com isso? Como é que eles tratam isso? Você abre o Gmail e imediatamente você recebe aquele monte de publicidade e essas plataformas interagem. Facebook interage. Vem na linha do tempo publicidade. Por que eu estou sendo invadido por isso? O que se diz no meio é que quando você não paga pela mercadoria, a mercadoria é você.
Qual é a avaliação de vocês em relação à privacidade de dados no Brasil?
Paulo: Nós precisamos urgente de uma legislação adequada. O Congresso tem que retomar essa agenda. Nós não podemos ficar reféns de uma agenda única: corrupção, Lava-Jato ou reforma da previdência. O Brasil tem outras tantas demandas. O parlamento existe para isso. Mas enquanto não vier, a gente vai usar o nosso instrumento jurídico. Precisamos de conscientização e as empresas precisam trabalhar com transparência. Elas não podem esconder vazamento de dados.
A empresa tem os dados violados e não comunica os clientes. Como ocorreu com a Netshoes… Isso os preocupa?
Paulo: Não comunica e quando comunica faz a conta-gotas e essas informações não são claras, não dizem a realidade. É como se houvesse um menosprezo com o usuário brasileiro.
Quais são os principais problemas com essa violação dos dados dos consumidores?
Frederico: A gente pensa nessa questão de dados assim: vão vender esses dados. O problema não é esse. O problema é a aquisição informações de certos setores por outros setores. O compartilhamento dos dados. A Amazon hoje é um polvo, ela está tomando todos os setores da economia. Se você imaginar a Amazon simplesmente como um site de venda de produtos é de uma ingenuidade tremenda. Ela já foi para venda de produtos e agora está indo para a área de seguro saúde. Olha só: o grande problema quando a gente pensa em dados é isso. É a compra de empresas como o Facebook fez com o WhatsApp. Antes da compra, o CEO do WhatsApp disse: “olha nós não vamos compartilhar informações dos usuários com quem tiver comprando”. Ele teve que mudar. Essa compra de setores por outros setores é um problema enorme hoje no Brasil. Se você imaginar sob a ótica de farmácias: não vai comercializar ou vai comercializar. O problema é ele ser comprado por um grupo que não tem haver com grupo de saúde e vai usar aqueles dados. Seguro de saúde é um exemplo disso.
Com os dados em mãos, como as empresas podem, de alguma forma, prejudicar o consumidor?
Frederico: A complexidade disso quando você imagina em compras online. A Amazon é um exemplo. Isso é público. Pelo menos na americana, a gente não conferiu isso na brasileira. A questão é a seguinte: se o consumidor acessa a Amazon usando um iPhone, um sistema iOS e se acessa usando um celular sistema Android, a Amazon vai supor que quem está usando o iPhone tem mais dinheiro porque o valor é mais caro. Se você acessar em um Mac ou usando o Windows, o Mac vai ser mais caro. Dependendo do IP, aquele número da conexão, dependendo da cidade, se é uma cidade pobre americana, o valor é X, se for de Nova Iorque, o valor é Y.
O consumidor ainda tem dificuldade de enxergar esses prejuízos?
Frederico: A gente acha que a lógica ainda é a do supermercado. A gente chega na prateleira e tem o valor. Não. O mundo digital é exatamente o contrário. Você chega na prateleira, a prateleira vai olhar para você e vai dizer: “peraí, você está bem vestido, está com um terno bom, você provavelmente mora no Lago Sul, seu valor é X”. É assim que funciona.
Além dos casos da Net Shoes e da Uber, vocês estão investigando outros casos de violação de dados?
Frederico: Farmácias e análise automatizada de crédito. No caso do crédito, vamos imaginar: você pede um cartão para determinada empresa. A análise daquele crédito não vai ser um cara analisando a sua declaração de imposto de renda, nem nada. É automatizado: vai pegar seu CPF, dados que existem no mercado, muitas vezes até dados de redes sociais e vai te colocar em um ranking. Nós temos um problema muito sério. Que base de dados essa empresa está usando? Existem erros na base de dados. Então, se você não trabalha com um erro nessa base de dados, o consumidor vai ser “ranqueado”de forma incorreta. Ela não vai ter crédito, não vai ter cartão… Essa nota vai ser compartilhada com as outras empresas do mercado de crédito e a pessoa não será informada. A pessoa vai ter uma prisão perpétua de crédito porque foi “ranqueada” na base de uma informação errônea. Você jogando milhares de pessoas à margem da economia. Não é um problema simplesmente do direito do consumidor, é um problema para economia.
Como é a reação das empresas quando vocês pedem esclarecimentos sobre violação de dados?
Frederico: Se você hoje bater na porta da Google Brasil, Facebook Brasil, Uber… vai ser uma choradeira. “É um absurdo, vai impactar nosso modelo de negócios, vai custar caro”. Veja o que eles estão fazendo na Europa. Eles mudaram tecnicamente todos os produtos para se adequarem à legislação europeia.
Paulo: As empresas já começam a responder tocando no seguinte ponto: não tem lei que determina que eles façam isso. É o primeiro ponto de embate. Isso ocorreu também na questão do Lulu. A primeira resposta deles foi a de que não tinha lei que regulamentasse o assunto. Eles podiam fazer isso porque o consumidor, quando entrava no Facebook, concorda com os termos ali colocados.
O que o consumidor pode fazer com esses contratos impossíveis de ler, e cuja a única saída é clicar naquele quadradinho de “li e concordo”?
Paulo: Se você ler e não concordar, você não contrata. A validade desse contrato é pequena. Só seria uma explicitação dos termos de uso à plataforma. Mas essas plataformas para serem disponibilizadas aos consumidores brasileiros e aos nossos usuários, elas têm que se adequar ao nosso sistema jurídico e não o contrário. Se a gente pensar em insuficiência de leis, nós já temos um sistema jurídico. Quando você fala é direito básico do consumidor: proteção à vida, saúde e segurança. Podia ter só esse dispositivo e ponto. Quando você viola os dados, você não está protegendo o consumidor, não tem proteção à saúde, nem à segurança dele.
O consumidor está muito vulnerável…
Frederico: A Google é uma empresa que você sabe o que que é. Agora você imagina: tem um negócio que chama internet das coisas: uma geladeira inteligente, um aspirador de pó, um drone, um relógio da Apple. Descobriram que esse aspirador inteligente – que você não empurra – está mandando uma planta da sua casa para a empresa. Brinquedos inteligentes. Uma empresa americana soltou uma boneca que chama My friend Cayla, essa boneca inteligente conectada à internet. Foram fazer testes e a autoridade de dados alemã disse: “pais, destruam esses brinquedos” porque a sua filha pode estar em uma boneca em um parquezinho, um pedófilo facilmente vai pegar o celular dele e conectar ao bluetooth e vai conversar com a criança; “Vem cá, vem para trás do parquinho. Quem está falando? É um mágico? E pega as crianças”. As comunicações entre a criança e a boneca, segundo os termos de uso, poderiam ser usadas para fins de publicidade. As comunicações da boneca e da criança armazenadas na empresa. Então quer dizer, nós estamos em um universo de coisas ruins que podem acontecer.
De experiência internacional, qual país está mais avançado na discussão de proteção de dados e que poderia ser um modelo para o Brasil?
Frederico: A União Europeia e os Estados Unidos tem um acordo que chama-se “Privacy Shield” (escudo da privacidade). O nome antigamente era “Safe Harbor” (porto seguro). Só que um cara chamado Snowden bagunçou esse escudo. Quase que eles não conseguiram renovar esse acordo. O que a Comissão está tentando fazer é algo parecido com o modelo americano. Que é um modelo setorial. Se é algo envolvendo empresas ligadas à internet, vamos usar o Marco Civil. Se é setor de saúde, plano de saúde, farmácia, vamos usar o Código de Defesa do Consumidor, Constituição, legislação de saúde, normativas do Ministério da Saúde. Setor bancário, que é muito regulado, regulações do Banco Central, CDC. Isso aproxima muito do modelo feito nos Estados Unidos. Tem um grande erro que a gente olha e diz que os EUA não regulam proteção de dados. Se você pegar um grande mapa com os países mais regulados do mundo na proteção de dados, os Estados Unidos está como vermelho, legislação muito pesada. A gente fala em legislação europeia, o General Data Protection Regulation (GDPR), você compara com a legislação da área de saúde dos Estados Unidos, tem uma legislação que chama HIPPA que coloca a legislação europeia no chinelo, de tão pesada que ela é. A União Europeia tem mais proteção geral e os Estados Unidos vai mais por setores.
Paulo: A União Europeia é uma comunidade de países. Cada país tem uma legislação interna, chamada diretiva, então, para cada país pode legislar em alguns aspectos que às vezes não é tratada na forma uniforme na União Europeia. Mas os avanços estão sempre sentidos lá e a tendência mundial é de exigir mais das empresas. Não posso simplesmente fazer o que eu bem quiser com os dados dos consumidores.
Outros Ministérios Públicos já estão em contato para essa questão? Para troca de experiências?
Frederico: Tudo ainda é muito novo. A data da criação é 20 de novembro. Nós entramos em recesso 20 de dezembro.
Os especialistas acreditam que até as páginas consideradas confiáveis estão suscetíveis aos perigos da internet
Por Augusto Fernandes, especial para o Correio
A cada dia, as compras pela internet crescem em todo o país. Segundo informações do Consumo On-line no Brasil, pesquisa divulgada pelo SPC Brasil e a Confederação Nacional de Dirigentes Lojistas (CNDL), entre junho de 2016 e junho de 2017, nove em cada 10 internautas fizeram ao menos uma compra na web. Para 43% dos entrevistados, o volume de compras feitas pela internet em 2017 aumentou com relação ao anto anterior.
Razões como preços mais baixos, economia de tempo, facilidade para comparar preços e comodidade fazem com que mais pessoas optem por adquirir um produto sem sair de casa. Os internautas, contudo, a partir do momento em que cadastram suas informações em sites de compras, correm o risco de ficar vulneráveis.
No dia 25 de janeiro, a Netshoes, uma das principais lojas on-line de artigos esportivos do Brasil, teve informações de 1.999.704 clientes vazadas, após a invasão de um hacker. O incidente de segurança expôs dados pessoais como nome, CPF, e-mail, data de nascimento e histórico de compras.
Entre os afetados, estão pessoas ligadas a órgãos públicos, como a Presidência da República, a Polícia Federal e a Câmara dos Deputados. O Ministério Público do Distrito Federal e Territórios (MPDFT) recomendou à empresa tomar providências sobre o acontecido e não efetuar qualquer tipo de pagamento ao invasor, seja em moeda real, seja virtual. A Netshoes acatou o pedido e solicitou audiência com os membros do MPDFT a fim de estabelecer medidas que resolvessem o caso.
O ocorrido reforça a necessidade de os usuários tomarem cuidado ao escolherem fazer uma compra pela internet. De acordo com o presidente da Associação Nacional de Defesa do Consumidor (Andecon), Rodinei Lafaete, os consumidores não podem economizar em medidas de segurança.
“As pessoas precisam tomar todo o tipo de cuidado possível, devem checar as informações quantas vezes for necessário. Se possível, ligar para o telefone da empresa para sanar dúvidas e confirmar algum dado ou compra. devem tirar print do site, para poder comprovar alguma informação futuramente. Nesse sentido, pecar pelo excesso não faz mal a ninguém”, recomenda.
Presidente da Associação Brasileira de Comércio Eletrônico (Abcomm), Maurício Salvador aconselha o descarte de e-mails com anexos e links suspeitos e também a atenção às informações que aparecem na página. “É preciso observar se na página em que se está digitando os dados aparece a imagem de um cadeado, próximo ao link do site, e se o endereço começa por ‘https’”, indica. Em sites desse tipo, a comunicação é criptografada, o que eleva o grau de segurança das informações digitadas.
Lafaete aponta, contudo, que as medidas de prevenção dos internautas não são suficientes para garantir a segurança dos dados. Para ele, os sites são os principais responsáveis em proteger as informações dos clientes. “A partir do momento em que uma pessoa se cadastra no endereço eletrônico, ela estabelece um vínculo com a empresa, que se torna guardiã das informações cadastradas. São dados sigilosos e que não podem serem transferidos sem autorização do responsável. Se uma empresa se propõe a estabelecer um serviço, ela tem que ter a capacidade de gerir o site e fornecer segurança para os usuários”, pontua.
Os especialistas acreditam que até as páginas consideradas confiáveis estão suscetíveis aos perigos da internet. “Apesar de todos os cuidados que os consumidores tomam, eles sempre estarão em situação de vulnerabilidade. Para muitas empresas, investir em tecnologias de segurança é muito caro”, explica José Geraldo Tarin, diretor do Instituto Brasileiro de Estudo e Defesa das Relações de Consumo (Ibedec).
Para o presidente da Abcomm, independentemente do custo, é imprescindível o investimento a ser feito pelas empresas de e-commerce. “Toda empresa que armazena dados sensíveis dos consumidores precisa de um bom sistema de segurança. Recorrer a um serviço especializado não é caro, se comparado a outros gastos que a empresa tem. Para marcas reconhecidas mundialmente, esse é um bom investimento”, analisa.
Maurício Salvador esclarece ainda que as próprias empresas precisam orientar os funcionários. “Não adianta nada a instituição investir milhões em segurança e não oferecer treinamento adequado. Se isso não for feito, pode acontecer de o empregado contaminar o site com vírus ou deixar que uma pessoa cadastre uma senha fácil de ser descoberta”, orienta.
Mesmo com esses cuidados, Lafaete opina que é difícil ter um site 100% seguro nos dias de hoje. Segundo ele, ao vazar as informações da Netshoes, o hacker quis mostrar à empresa que o sistema de segurança não funciona da forma correta. “Os hackers estão um passo à frente em relação à tecnologia. Eles sempre vão encontrar um atalho para fazer esse tipo de crime”, lamenta.
Direitos
Usuários que têm dados pessoais vazados podem tomar providências contra a empresa, que também é passível de sofrer intimações jurídicas. “Os clientes podem pedir indenização, requisitar que os seus dados sejam excluídos do cadastro e entrar com ação de reparação de danos morais. Além disso, o Ministério Público pode fazer uma ação civil pública contra a empresa para saber se foi algo proposital ou se foi por problemas de segurança”, aponta o diretor do Ibedec.
Tarin também indica o registro do boletim de ocorrência, para ser apresentado ao SPC e ao Serasa. “Quem teve informações pessoais divulgadas ou perdeu algum documento pode fazer uma pré-notação nesses dois órgãos. Assim, se alguém tentar usar os dados de forma indevida, aparece o registro feito, dificultando a utilização dos documentos. Esse é um procedimento gratuito”, destaca.
Apesar da gravidade do incidente com a Netshoes, Salvador acredita que comprar on-line ainda é a melhor opção, pois os usuários evitam, inclusive, o risco de serem assaltados na rua. De acordo com dados da Secretaria de Estado da Segurança Pública e da Paz Social, nos últimos dois anos, roubos a pedestres aumentaram 21% em relação ao biênio anterior. Em 2014 e 2015, foram 61.895 crimes. O número subiu para 74.969 entre 2016 e 2017.
“As taxas de criminalidade aumentam a cada dia. Se os usuários seguirem as recomendações de segurança, comprar pela internet continua sendo recomendado até pela comodidade de receber o produto na porta de casa”, enfatiza.
Dados de 2 milhões de clientes da Netshoes vazam e MPDFT recomenda que empresa tome providências
Vazamento de dados pessoais, entre eles o CPF, comprometem segurança de clientes do site. Ministério Público pede que Netshoes avise os afetados, entre eles servidores de órgãos públicos
Por Augusto Fernandes, especial para o Correio
Quase 2 milhões de usuários cadastrados no site de compras Netshoes tiveram informações pessoais vazadas. Dados como nome, CPF, e-mail, data de nascimento e histórico de compras dos clientes foram roubados por hackers. Diante do incidente, o Ministério Público do Distrito Federal e Territórios (MPDFT) recomendou que a empresa entre em contato com cada uma das vítimas para informar sobre o ocorrido. A Netshoes tem três dias para responder se acata ou não a recomendação do Ministério Público. Se a resposta for negativa, o Ministério Público deve entrar na Justiça.
Informações como cartão de crédito e senhas não foram reveladas, mas 1.999.704 contas foram invadidas. A Polícia Federal investiga o caso. De acordo com o documento expedido pelo promotor de Justiça da Comissão de Proteção dos Dados Pessoais, Frederico Meinberg, os clientes prejudicados receberam apenas um e-mail genérico sobre segurança digital, e diante da gravidade do acontecido, a Netshoes terá de informar com mais clareza a cada um dos usuários atingidos o vazamento de informações e possíveis consequências.
De acordo com a recomendação do MPDFT, o problema de segurança atingiu centenas de servidores públicos. Entre as vítimas, há clientes registrados com e-mails de órgãos como o Tribunal de Contas da União (@tcu.gov.br), a Câmara dos Deputados (@camara.leg.br), o Tribunal de Justiça do Distrito Federal e Territórios (@tjdft.jus.br), a Polícia Federal (@dpf.gov.br), o Superior Tribunal de Justiça (@stj.jus.br), o Supremo Tribunal Federal (@stf.jus.br), o Ministério da Justiça (@mj.gov.br), a Advocacia-Geral da União (@agu.gov.br) e a Presidência da República (@presidencia.gov.br).
O promotor responsável pela recomendação classificou o vazamento como um dos maiores incidentes de segurança registrados no Brasil, e acredita que os afetados estão sujeitos a uma série de transtornos. “Essas informações, nas mãos erradas, deixam as pessoas vulneráveis a diversas espécies de fraudes”, explicou em nota publicada pelo MPDFT.
O Correio tentou contato com a empresa, mas até a publicação dessa matéria não obteve resposta