Tópicos | informações pessoais

Incomodado pelo telemarketing insistente de operadoras, um consumidor descobriu que seus dados pessoais, como nome, CPF e endereço vazaram sem sua autorização. Ele foi informado que o compartilhamento entre as empresas de telefonia é uma "prática comum". Procuradas pelo LeiaJá, a CLARO e a TIM não revelaram quem presta o serviço.

De mudança para um novo endereço, o designer Pedro Muniz entrou em contato com a CLARO para fechar um pacote de internet e confirmou a visita de instaladores para o dia seguinte. Cerca de 1h depois, recebe a ligação de uma atendente - que dizia ser da CLARO -, que o orienta a cancelar a contratação pois a cobertura da área não garantia a qualidade do serviço. Ela repassa seus dados. Ele confia e segue o recomendado.

##RECOMENDA##

Aproximadamente 30 minutos após cancelar com a CLARO, a TIM liga para ele, confirma seu nome e CPF e, coincidentemente, apresenta um pacote de internet. A demanda de trabalho faz Pedro aceitar a proposta e a instalação fica combinada para a tarde do dia seguinte.

De manhã, ele é surpreendido pela chegada dos funcionários da CLARO, que pedem autorização para a instalar os fios e explicam que a solicitação não foi cancelada no sistema. Sem entender o que estava se passando, Pedro conversa com a atendente da CLARO pelo WhatsApp. A funcionária comunicou que a operadora não teria entrado em contato após a contratação e que o compartilhamento de dados dos clientes era comum entre as operadoras, que são atendidas pela mesma gerenciadora de banco de dados.

Posicionamento das operadoras

Diante da exploração das informações pessoais, que podem ser expostas na internet como já ocorreu em outros episódios, o consumidor descreveu seu sentimento de insegurança ao LeiaJá

A reportagem buscou as operadoras e tentou por diversas vezes confirmar a terceirizada responsável pelos dados dos milhões de clientes. Foi indicado que se tratava de um "assunto delicado" e ficou exposto que a negligência com as informações estava alinhada ao interesse de blindar a empresa parceira.

A Claro deixou de responder os e-mails após receber mais detalhes sobre o assunto. Em nota, a Tim garantiu que "pratica os mais altos padrões de governança para a proteção de dados dos seus clientes e que todas as suas ações comerciais estão em consonância com a legislação vigente". 

A reportagem tinha interesse em confirmar o nome da terceirizada, algo aparentemente simples, mas ambas não repassaram a informação, nem pontuaram sobre a "operação compartilhada".

O sindicato das empresas de telecomunicação, a Conexis Brasil Digital preferiu não se posicionar sobre a denúncia e reiterou que o assunto é de competência individual das operadoras.

LeiaJá também: Saiba como denunciar ligações abusivas de telemarketing

Crime contra do consumidor e LGPD

Ao LeiaJá, o gerente Jurídico do Programa de Proteção e Defesa do Consumidor de Pernambuco (Procon-PE), Ricardo Faustino, comprovou que a prática é passível de advertência e multa de até R$ 50 milhões, conforme a Lei Geral de Proteção de Dados (LGPD).

A Legislação também admite o bloqueio da utilização dos dados e até mesmo a exclusão da base de cadastros das empresas. 

A exploração de informações pessoais também infringe a Lei de Proteção e Defesa do Consumidor e o cliente pode ajuizar um processo por danos morais e financeiros. "Quando há um vazamento a gente não tem como mensurar como o consumidor tomou de prejuízo", avalia.  

“Há um crime contra as relações de consumo por expor as informações de forma indevida para outro fornecedor, que não autorizado por parte do consumidor. Até então ele não tinha conhecimento dessa forma de tratativa que a empresa se utiliza com os dados dos seus clientes e da forma que cede a informação para os seus parceiros”, repreendeu.

Em casos de suspeita desse tipo de compartilhamento criminoso, ele orienta que os consumidores busquem orientações no Procon do seu Estado.

Uma cidadezinha suíça admitiu nesta quarta-feira (25) ter subestimado a gravidade de um recente ataque cibernético, após tomar conhecimento pela imprensa de que os dados de todos os seus moradores foram expostos on-line.

A pitoresca localidade de Rolle, às margens do lago Genebra, admitiu na semana passada ter sido vítima de um ataque de "ransomeware" (sequestro cibernético de dados) e que a informação em alguns servidores administrativos ficou exposta.

##RECOMENDA##

O governo municipal da cidade, de 5.400 habitantes, disse inicialmente que a ação afetou apenas uma pequena quantidade de dados e que tinha backup de toda a informação.

No entanto, uma investigação publicada nesta quarta-feira pelo jornal Le Temps revelou que o ataque, detectado pela primeira vez em 30 de maio, na verdade foi "maciço".

O jornal citou um especialista não identificado em cibersegurança na darkweb que disse ter levado apenas 30 minutos para acessar milhares de documentos municipais de Rolle.

O periódico destacou que os documentos "são pessoais e extraordinariamente sensíveis".

A prefeitura admitiu na noite de quarta-feira, em um comunicado, que "subestimou a gravidade do ataque (e) os usos potenciais dos dados".

Disse que "admite com humildade certa ingenuidade em lidar com a darkweb e os ataques de malwares", e que criou um grupo de trabalho para enfrentar a situação.

Não foi informada qual tipo de informação foi exposta, mas o Le Temps publicou que seus jornalistas viram folhas de cálculo com dados de todos os moradores, incluindo nomes, endereços, datas de nascimento, números de identidade ou permissões de residência e em alguns casos, afiliação religiosa.

A versão para Android do sistema de Notificação de Exposição (Exposure Notifications), a ferramenta do Google e Apple que permite rastrear os contatos com pessoas contagiadas com COVID-19, apresenta uma vulnerabilidade que permite a alguns aplicativos pré-instalados acessarem os dados do usuário.

Trata-se da informação que indica se o usuário teve contato com uma pessoa que tenha testado positivo para a COVID-19. Desta maneira, a falha contraria as promessas dos diretores do Google e Apple, Sundar Pichai e Tim Cook, que asseguram que os dados confidenciais não podem ser compartilhados fora dos dispositivos.

##RECOMENDA##

O portal especializado AppCensus descobriu a falha em fevereiro, durante um teste do sistema realizado como parte de um projeto conjunto com o Departamento de Segurança Nacional dos EUA.

Desde então, o erro foi reportado, porém a Google não tomou providências. O cofundador da AppCensus, Joel Reardon, explica que seria muito fácil solucionar o problema.

"É necessário apenas eliminar diversas linhas não essenciais do código, algo que não influiria no funcionamento do aplicativo", afirmou.

Além disso, ele ressaltou que a versão do aplicativo para iOS não apresenta esta falha.

O porta-voz do Google, José Castañeda, declarou ao portal The Markup que os engenheiros da empresa já estão trabalhando em um pacote para resolver o problema. Espera-se que nos próximos dias todos os dispositivos Android recebam esta importante atualização.

A ferramenta criptografa os sinais Bluetooth entre o smartphone do usuário e outros dispositivos que possuem o sistema ativado.

Se um usuário testar positivo para COVID-19, pode solicitar às autoridades sanitárias que enviem uma notificação aos dispositivos em sua região.

Os sinais mudam a cada 15 minutos para que seja difícil identificar uma pessoa contagiada, sendo armazenados nos registros do sistema.

Nos celulares com Android, os sinais são guardados em uma parte da memória normalmente fechada para outros aplicativos. No entanto, mais de 400 aplicativos pré-instalados podem acessar estes dados em caso de falha ou para fins analíticos, contudo, não se sabe se algum deles os coleta.

O diretor de tecnologia da AppCensus, Serge Egelman, publicou em seu Twitter: "Esperamos que a lição aqui seja que conseguir a privacidade correta é realmente difícil, nos sistemas serão sempre descobertas vulnerabilidades, mas é do interesse de todos trabalharmos juntos para resolver estas questões."

Da Sputnik Brasil

Você sabe o que é feito com os dados que você cadastra na internet? Seu e-mail, nome completo, endereço, documentos ou até mesmo o número de CPF solicitado na farmácia? Sabe para onde vão as informações? A Lei Geral de Proteção de Dados (LGPD), que entrou em vigor na última sexta-feira (18), chega para garantir que todos os cidadãos brasileiros saibam, exatamente, para onde vão suas informações pessoais e o que empresas de todos os tamanhos estão fazendo com elas.

Para jogar uma luz sobre esse assunto ainda tão pouco explorado, mas tão importante, o LeiaJá conversou com Raquel Saraiva, advogada, mestre e doutoranda em Ciência da Computação e Presidenta e do Instituto de Pesquisa em Direito e Tecnologia do Recife (IP.rec).

##RECOMENDA##

“Eu considero a LGPD uma vitória da sociedade civil. Porque a gente, enquanto usuário de tecnologia e enquanto consumidor, é justamente quem sai perdendo quando os dados pessoais são usados para fins abusivos”, diz Raquel Saraiva. Ela também explica que lei chega justamente para proibir esse tipo de prática.

“A LGPD vai regular o tratamento dos dados pessoais, ela conceitua o que é dado pessoal e faz a regulação desse mercado, para que a gente enquanto consumidor tenha a possibilidade de brigar, de exigir, de se defender quando a gente se sentir prejudicado”, acrescentou.

O que são dados pessoais?

De acordo com a LGPD, dado pessoal é “a informação relacionada à pessoa natural identificada ou identificável”, ou seja, todas as informações que identificam diretamente alguém ou que podem levar a esta identificação com a combinação de dados chave. Dentro da lei é possível encontrar outras subdivisões como Dados Sensíveis, por exemplo, que precisam de ainda mais proteção e com os quais se identificam a origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato, entre outros detalhes do cidadão. 

De acordo com Raquel, uma das formas em que a LDPD se propõe a proteger os dados dos consumidores é a transparência. “Se uma empresa está vendendo [seus dados] para outra empresa como, por exemplo, a farmácia que pede o CPF para dar o desconto, se ela está vendendo meu documento para qualquer outra companhia ela tem que pedir autorização para fazer isso, que é o que chamamos de ‘consentimento", explicou.

Com a vigência da Lei Geral de Proteção de dados, companhias de todos os tamanhos, tenham suas sedes no Brasil ou não, agora também são obrigadas a mostrar, de forma clara, para onde vão os dados coletados e por que eles foram necessários para aquele serviço. Para se adaptarem, as empresas precisam ter cláusulas de privacidade, dizendo aos cidadãos o que elas fazem exatamente com os dados coletados, incluindo as farmácias.

[@#video#@] 

Crianças, adolescentes e as redes sociais

Plataformas como Tik Tok, Twitter, Twitch e YouTube estão entre as preferidas dos jovens. Tanto que, de 2019 para cá, os donos dessas redes precisaram rever suas políticas de privacidade e uso de inteligência artificial para lidar melhor com este público. Para o YouTube, o Google tornou mais rígidas os conteúdos veiculados e proibiu vídeos que induzissem, mesmo que indiretamente, crianças a se interessarem por jogos ou brinquedos. 

As redes do Facebook são proibidas para menores de 13 anos, mesmo com o consentimento dos pais. Há diretrizes que seguem a COPPA (Ato de Proteção Online à Criança, na sigla em inglês), uma lei de proteção à vida privada das crianças na internet. No Brasil, essa proteção ganha o reforço da LGPD que exige que a coleta de dados infantis só pode ser feita com o consentimento específico de seus responsáveis legais. 

Além disso, as empresas não podem armazenar essas informações ou repassá-las para outras pessoas assim como não é permitido condicionar o consumo de jogos, aplicativos e outras ferramentas com base nos dados captados. 

A chave está no consentimento 

Para todos os pedidos, seja de cadastro para pegar o cartão de consumo no bar ou para começar a usar um aplicativo no celular, a empresa terá que explicar o porquê precisa daquela informação. Além disso, caso você não concorde com o uso, ou desista de fazer parte de uma rede social, por exemplo, pode pedir para que todas as suas informações sejam excluídas em definitivo. 

“Se ela não excluir você pode entrar com uma ação judicial e caso haja algum dano, exigir reparação”, afirma a advogada. Ela diz que as sanções só serão aplicadas a partir de agosto de 2021, mas que já é possível fazer uma denúncia. “Ela começa com advertência, depois poderá ser obrigada a reconhecer publicamente que houve vazamento de dados [por exemplo], até uma multa de 2% do faturamento da empresa”, explica.

Raquel também cita que é preciso ter um pouco mais de senso crítico na hora de aceitar as permissões de um aplicativo. “Se eu tenho um app de lanterna e ele pede para acessar os meus contatos, é claramente abusivo. Não é possível que uma lanterna só funciona se ela tiver acesso aos meus contatos”, disse.

Quando é possível usar os dados sem pedir permissão

Mas como tudo na vida, existem exceções. É possível que órgãos públicos ou privados tenham acesso aos seus dados  - sem o seu consentimento -, mas só quando isso for indispensável. Ou seja, para cumprir uma obrigação legal, executar uma política pública, defender direitos em processo, prevenir fraudes e crédito, preservar a vida e a integridade física, entre outras situações.

“A LGPD não vai impedir as empresas de tratarem esses dados, ela regula o mercado para que haja transparência nesse processo e para que a gente possa questionar quando se sentir abusado. E tudo isso protegendo um direito fundamental que é um direito à privacidade”, afirmou Raquel.

Um pesquisador de segurança chamado Volodymyr Diachenko descobriu que os dados de 100 mil usuários do site da Razer foram disponibilizados publicamente em 18 de agosto, devido a uma configuração incorreta do servidor. Entre as informações vazadas estão registros de pedidos feitos na loja digital da empresa, informações pessoais que incluíam e-mail e endereços de correspondência, números de telefone e produtos adquiridos.

Diachenko afirmou que entrou em contato com a Razer várias vezes, durante três semanas, assim que descobriu o vazamento. Apenas depois desse período é que a empresa enviou uma resposta. Em um comunicado enviado ao pesquisador, o fabricante do hardware de jogos reconheceu o erro no servidor.

##RECOMENDA##

De acordo com a empresa, em comunicado ao site The Verge, “nenhum outro dado confidencial”, como métodos de pagamento ou números de cartões de crédito foram expostos e o erro foi corrigido totalmente no último dia 9 de setembro.

Leianas redes sociaisAcompanhe-nos!

Facebook

Carregando