Imagine um mundo em que uma boneca armazena informações da criança e a empresa pode usar os dados para publicidade. Onde aspiradores de pó são capazes de fazer a planta da casa do consumidor e enviar as informações para um computador remoto. Comprar pela internet de uma cidade considerada mais rica pode sair mais caro do que o mesmo produto comprado em um município pobre. Assim como comprar por um sistema iOS a mercadoria pode valer mais do que a comprada por um sistema Android. Sabe aquele simples cadastro na farmácia? Ele pode deixar o seu plano de saúde mais caro. Parecem histórias de seriados e ficções científicas. Mas o que parece uma conexão futurista está mais próximo ao dia a dia do consumidor do que ele pode imaginar. Por isso, o Ministério Público do Distrito Federal e Territórios (MPDFT) lançou a primeira iniciativa nacional dedicada exclusivamente à proteção dos dados pessoais e da privacidade dos brasileiros.

Desde a criação da comissão, o Ministério Público já pediu informações à varejista Netshoes e ao aplicativo Uber sobre vazamento de dados de clientes e agora foca os olhares para duas situações: cadastro de farmácias em troca de descontos e a classificação de clientes por instituições financeiras baseado em cruzamento de dados virtual sem consentimento do consumidores.
Dois dos promotores que estão na comissão, Frederico Meinberg Ceroy e Paulo Roberto Binicheski receberam o Correio para falar desse novo desafio do consumidor moderno: proteger as informações pessoais dos clientes que circulam na rede. Além do vazamento, há preocupação mundial com o cruzamento e venda de informações. “A gente acha que a lógica ainda é a do supermercado, que a gente chega na prateleira e tem o valor. Não. O mundo digital é exatamente o contrário. Você chega na prateleira, a prateleira vai olhar para você e vai dizer: ‘peraí, você está bem vestido, está com um terno bom, você provavelmente mora no Lago Sul, seu valor é X’”, comenta Frederico. Confira a entrevista:

 

O MPDFT é o primeiro do Brasil com essa iniciativa de uma comissão específica para proteção de dados. Como foi a concepção desse projeto?

Paulo: É algo antigo que a gente tem dentro do MPDFT e ganhou força com a atuação das promotorias de defesa do consumidor quando teve aquele caso do Lulu em que havia o compartilhamento dos dados dos usuários do Facebook com o aplicativo sem uma informação prévia adequada. Os dados eram tratados de uma forma indevida. Desde então a gente vem estudando o assunto.

Como vocês avaliam a proteção de dados dos consumidores brasileiros?

Paulo: A proteção de dados no Brasil ainda é incipiente. Isso é tratado na União Europeia desde a década de 1990. O pessoal mexe com isso há mais de 20 anos e a gente está iniciando. Há um trabalho da Senacon (Secretaria Nacional do Consumidor) e um projeto de lei que foi enviado para o Congresso para cuidar disso. Tem alguma coisa no Marco Civil da internet. Mas nós não temos nada especificamente para cuidar disso: não temos uma autoridade, como tem em outros países.

Se ainda não temos uma proteção específica, o que vocês têm usado para pedir explicações às empresas?

Paulo: A gente usa o nosso sistema jurídico, mas é um trabalho de interpretação. Não há uma lei que trate diretamente da questão. Mas se você pensar em termos de Código de Defesa do Consumidor, que é uma lei que tem uma base principiológica, e a Constituição, você tem fundamentos legais para tratar da proteção de dados. Esses vazamentos (Uber, Netshoes) e têm outros que estão sendo investigados podem causar um prejuízo muito grande às pessoas.

Como a comissão vê o fato de o cliente fazer um cadastro em um local, e, no outro dia, outra empresa, que não tem nada a ver com o primeiro segmento, liga para o consumidor oferecendo um serviço e com informações como a renda, CPF… Ou então o fato do cliente ganhar 10% de desconto se fizer um cadastro e, em seguida, começar a receber promoções de outras empresas…

Frederico: Além do NetShoes, o Uber, algo que estamos muito interessados é a questão de farmácias. Parece uma coisa muito boba e simples, mas é importante. O vendedor pergunta: “Você tem cadastro?”. “Não”, o cliente responde. “Mas se você tiver cadastro vai ter 30% de desconto neste medicamento”. Essa é a questão: a troca de dados por desconto. Só que esses dados, como o histórico de compras, é uma informação extremamente sigilosa. Na Europa se chama dado pessoal sensível. O que hoje está sendo feito com esses dados é uma caixa preta. Pode ser uma bomba relógio para todos nós. Por exemplo, eu tive um cachorro que passou por tratamento de câncer. O meu histórico de compras vai claramente dar uma pessoa que provavelmente passou por um tratamento quimioterápico. Se esses dados são comercializados, se esse grupo farmacêutico é comprado por um grupo de seguro saúde, eu praticamente não vou conseguir contratar um seguro saúde ou o meu seguro saúde vai ser inviável. Então olha só: uma coisa que a gente está fazendo diariamente e que é um problema absurdo a médio prazo.

O Marco Civil da internet diz que é preciso um consentimento prévio do consumidor sobre o uso ou não dos dados. Mas e as empresas? Elas são obrigadas a dizer o que vão fazer com os dados?

Frederico: Existe o entendimento que elas devem dizer. O que a comissão está tentando fazer é trazer a importância de entender o que está sendo feito com os dados pessoais dos consumidores, seja das autoridades, seja da sociedade. Hoje no Brasil a gente não tem como desatrelar proteção de dados pessoais de defesa do consumidor. Não é função principal, mas basilar de defesa do consumidor a proteção de dados.

O Marco Civil foi uma lei polêmica, mas é uma lei que ajuda?

Paulo: Foi e ela acabou sendo passada por medida provisória. Há muitos estudos de órgãos de defesa do consumidor da necessidade de dar uma proteção adequada. Você imagina hoje… as pessoas podem até sentir, mas não tem noção. O Gmail foi a primeira grande violação da privacidade dos usuários do mundo todo e as pessoas não perceberam no início. Como era o e-mail antes do Gmail? Se você quisesse armazenar as mensagens tinha que pagar. E o Gmail veio com uma promessa: você não precisa pagar, nem apagar arquivo nenhum. O armazenamento é ilimitado. Por que? Tudo que tiver de informações ali, os robôs estão lendo, estão pegando aqueles dados. Como é que eles lidam com isso? Como é que eles tratam isso? Você abre o Gmail e imediatamente você recebe aquele monte de publicidade e essas plataformas interagem. Facebook interage. Vem na linha do tempo publicidade. Por que eu estou sendo invadido por isso? O que se diz no meio é que quando você não paga pela mercadoria, a mercadoria é você.

Qual é a avaliação de vocês em relação à privacidade de dados no Brasil?

Paulo: Nós precisamos urgente de uma legislação adequada. O Congresso tem que retomar essa agenda. Nós não podemos ficar reféns de uma agenda única: corrupção, Lava-Jato ou reforma da previdência. O Brasil tem outras tantas demandas. O parlamento existe para isso. Mas enquanto não vier, a gente vai usar o nosso instrumento jurídico. Precisamos de conscientização e as empresas precisam trabalhar com transparência. Elas não podem esconder vazamento de dados.

A empresa tem os dados violados e não comunica os clientes. Como ocorreu com a Netshoes… Isso os preocupa?

Paulo: Não comunica e quando comunica faz a conta-gotas e essas informações não são claras, não dizem a realidade. É como se houvesse um menosprezo com o usuário brasileiro.

Quais são os principais problemas com essa violação dos dados dos consumidores?

Frederico: A gente pensa nessa questão de dados assim: vão vender esses dados. O problema não é esse. O problema é a aquisição informações de certos setores por outros setores. O compartilhamento dos dados. A Amazon hoje é um polvo, ela está tomando todos os setores da economia. Se você imaginar a Amazon simplesmente como um site de venda de produtos é de uma ingenuidade tremenda. Ela já foi para venda de produtos e agora está indo para a área de seguro saúde. Olha só: o grande problema quando a gente pensa em dados é isso. É a compra de empresas como o Facebook fez com o WhatsApp. Antes da compra, o CEO do WhatsApp disse: “olha nós não vamos compartilhar informações dos usuários com quem tiver comprando”. Ele teve que mudar. Essa compra de setores por outros setores é um problema enorme hoje no Brasil. Se você imaginar sob a ótica de farmácias: não vai comercializar ou vai comercializar. O problema é ele ser comprado por um grupo que não tem haver com grupo de saúde e vai usar aqueles dados. Seguro de saúde é um exemplo disso.

Com os dados em mãos, como as empresas podem, de alguma forma, prejudicar o consumidor?

Frederico: A complexidade disso quando você imagina em compras online. A Amazon é um exemplo. Isso é público. Pelo menos na americana, a gente não conferiu isso na brasileira. A questão é a seguinte: se o consumidor acessa a Amazon usando um iPhone, um sistema iOS e se acessa usando um celular sistema Android, a Amazon vai supor que quem está usando o iPhone tem mais dinheiro porque o valor é mais caro. Se você acessar em um Mac ou usando o Windows, o Mac vai ser mais caro. Dependendo do IP, aquele número da conexão, dependendo da cidade, se é uma cidade pobre americana, o valor é X, se for de Nova Iorque, o valor é Y.

O consumidor ainda tem dificuldade de enxergar esses prejuízos?

Frederico: A gente acha que a lógica ainda é a do supermercado. A gente chega na prateleira e tem o valor. Não. O mundo digital é exatamente o contrário. Você chega na prateleira, a prateleira vai olhar para você e vai dizer: “peraí, você está bem vestido, está com um terno bom, você provavelmente mora no Lago Sul, seu valor é X”. É assim que funciona.

Além dos casos da Net Shoes e da Uber, vocês estão investigando outros casos de violação de dados?

Frederico: Farmácias e análise automatizada de crédito. No caso do crédito, vamos imaginar: você pede um cartão para determinada empresa. A análise daquele crédito não vai ser um cara analisando a sua declaração de imposto de renda, nem nada. É automatizado: vai pegar seu CPF, dados que existem no mercado, muitas vezes até dados de redes sociais e vai te colocar em um ranking. Nós temos um problema muito sério. Que base de dados essa empresa está usando? Existem erros na base de dados. Então, se você não trabalha com um erro nessa base de dados, o consumidor vai ser “ranqueado”de forma incorreta. Ela não vai ter crédito, não vai ter cartão… Essa nota vai ser compartilhada com as outras empresas do mercado de crédito e a pessoa não será informada. A pessoa vai ter uma prisão perpétua de crédito porque foi “ranqueada” na base de uma informação errônea. Você jogando milhares de pessoas à margem da economia. Não é um problema simplesmente do direito do consumidor, é um problema para economia.

Como é a reação das empresas quando vocês pedem esclarecimentos sobre violação de dados?

Frederico: Se você hoje bater na porta da Google Brasil, Facebook Brasil, Uber… vai ser uma choradeira. “É um absurdo, vai impactar nosso modelo de negócios, vai custar caro”. Veja o que eles estão fazendo na Europa. Eles mudaram tecnicamente todos os produtos para se adequarem à legislação europeia.

Paulo: As empresas já começam a responder tocando no seguinte ponto: não tem lei que determina que eles façam isso. É o primeiro ponto de embate. Isso ocorreu também na questão do Lulu. A primeira resposta deles foi a de que não tinha lei que regulamentasse o assunto. Eles podiam fazer isso porque o consumidor, quando entrava no Facebook, concorda com os termos ali colocados.

O que o consumidor pode fazer com esses contratos impossíveis de ler, e cuja a única saída é clicar naquele quadradinho de “li e concordo”?

Paulo: Se você ler e não concordar, você não contrata. A validade desse contrato é pequena. Só seria uma explicitação dos termos de uso à plataforma. Mas essas plataformas para serem disponibilizadas aos consumidores brasileiros e aos nossos usuários, elas têm que se adequar ao nosso sistema jurídico e não o contrário. Se a gente pensar em insuficiência de leis, nós já temos um sistema jurídico. Quando você fala é direito básico do consumidor: proteção à vida, saúde e segurança. Podia ter só esse dispositivo e ponto. Quando você viola os dados, você não está protegendo o consumidor, não tem proteção à saúde, nem à segurança dele.

O consumidor está muito vulnerável…

Frederico: A Google é uma empresa que você sabe o que que é. Agora você imagina: tem um negócio que chama internet das coisas: uma geladeira inteligente, um aspirador de pó, um drone, um relógio da Apple. Descobriram que esse aspirador inteligente – que você não empurra – está mandando uma planta da sua casa para a empresa. Brinquedos inteligentes. Uma empresa americana soltou uma boneca que chama My friend Cayla, essa boneca inteligente conectada à internet. Foram fazer testes e a autoridade de dados alemã disse: “pais, destruam esses brinquedos” porque a sua filha pode estar em uma boneca em um parquezinho, um pedófilo facilmente vai pegar o celular dele e conectar ao bluetooth e vai conversar com a criança; “Vem cá, vem para trás do parquinho. Quem está falando? É um mágico? E pega as crianças”. As comunicações entre a criança e a boneca, segundo os termos de uso, poderiam ser usadas para fins de publicidade. As comunicações da boneca e da criança armazenadas na empresa. Então quer dizer, nós estamos em um universo de coisas ruins que podem acontecer.

De experiência internacional, qual país está mais avançado na discussão de proteção de dados e que poderia ser um modelo para o Brasil?

Frederico: A União Europeia e os Estados Unidos tem um acordo que chama-se “Privacy Shield” (escudo da privacidade). O nome antigamente era “Safe Harbor” (porto seguro). Só que um cara chamado Snowden bagunçou esse escudo. Quase que eles não conseguiram renovar esse acordo. O que a Comissão está tentando fazer é algo parecido com o modelo americano. Que é um modelo setorial. Se é algo envolvendo empresas ligadas à internet, vamos usar o Marco Civil. Se é setor de saúde, plano de saúde, farmácia, vamos usar o Código de Defesa do Consumidor, Constituição, legislação de saúde, normativas do Ministério da Saúde. Setor bancário, que é muito regulado, regulações do Banco Central, CDC. Isso aproxima muito do modelo feito nos Estados Unidos. Tem um grande erro que a gente olha e diz que os EUA não regulam proteção de dados. Se você pegar um grande mapa com os países mais regulados do mundo na proteção de dados, os Estados Unidos está como vermelho, legislação muito pesada. A gente fala em legislação europeia, o General Data Protection Regulation (GDPR), você compara com a legislação da área de saúde dos Estados Unidos, tem uma legislação que chama HIPPA que coloca a legislação europeia no chinelo, de tão pesada que ela é. A União Europeia tem mais proteção geral e os Estados Unidos vai mais por setores.

Paulo: A União Europeia é uma comunidade de países. Cada país tem uma legislação interna, chamada diretiva, então, para cada país pode legislar em alguns aspectos que às vezes não é tratada na forma uniforme na União Europeia. Mas os avanços estão sempre sentidos lá e a tendência mundial é de exigir mais das empresas. Não posso simplesmente fazer o que eu bem quiser com os dados dos consumidores.

Outros Ministérios Públicos já estão em contato para essa questão? Para troca de experiências?

Frederico: Tudo ainda é muito novo. A data da criação é 20 de novembro. Nós entramos em recesso 20 de dezembro.