Em linhas gerais, o monitoramento e armazenamento da atividade de uma pessoa com fins comerciais permite que se possa monitorar, criar perfis, entender padrões de comportamento e induzir/sugerir a determinado comportamento. No contexto das relações de consumo, essa prática vem sendo chamada de vigilância do consumidor. Schneier[1] afirma que a prática de vigilância do consumidor sempre existiu – isso é, as informações dos clientes sempre foram vigiadas e altamente cobiçadas, mesmo antes do advento da internet, sendo possível se dividir em quatro principais fontes pelas quais as informações chegavam.  

A primeira fonte são as informações que as empresas guardavam de seus clientes, seus pedidos e informações pessoais – eventualmente, isso evoluiu para uma primeira base de dados. A segunda fonte de informação vinha do marketing direcionado, de sorte que empresas utilizavam o correio como meio para direcionar propaganda. Assim, para que o marketing direcionado fosse efetivo, era providenciada uma lista de pessoas que seriam propensas a gostar de receber determinado conteúdo pelo correio. A ideia aqui era não desperdiçar recursos com sujeitos que não queriam receber a propaganda pelo correio – isso era feito de maneira muito singela quando comparado com os dias de hoje, na medida em que usavam dados demográficos e dados advindos de assinaturas de revistas. A terceira fonte vinha das agências de crédito (credit bureau). Essas empresas coletavam detalhadamente informações financeiras das pessoas, e vendiam toda informação que encontravam para grandes bancos. O objetivo do banco era, através das informações adquiridas, determinar o risco financeiro de oferecer crédito à uma pessoa e, ainda, qual seria a taxa de juros.  A quarta fonte de informação vem do Estado. Consiste nos diversos registros públicos disponibilizados a qualquer um que procure: nome completo, data de nascimento, obituário, carteira de motorista, litígios judiciais. As empresas cada vez mais possuem ferramentas para ‘baixar’ ou comprar as informações públicas.

Inegável que ao adentramos a era digital, a tendência da vigilância apenas aumentou exponencialmente. Com os avanços tecnológicos das últimas décadas, o preço da tecnologia da computação despencou e, como direta consequência, possibilitou o acesso ao público em geral. Ainda, com o avanço tecnológico, há um direto impacto na redução dos custos de armazenamento de dados e sua análise, o que fez surgir um novo motto para empresas e organizações: coletar, analisar e armazenar a maior quantidade dados possíveis.

Com tantos dados sendo produzidos e o interesse de empresas/organizações em sua coleta e análise, surgiram então a figura dos data brokers. Mas afinal, o que são data brokers?

Como bem define Marta Peirano no livro “El Enemigo Conoce el Sistema: Manipulación de ideas, personas e influencias después de la economia de la atencíon”, data brokers são empresas especializadas na compra e venda de dados pessoais. São responsáveis por reunir sob uma única identidade todas as informações espalhadas de uma pessoa:

Los data brokers son empresas que se dedican a la compraventa de base de datos personales. Su trabajo es reunir bajo uma sola identidade toda la información dispersas que existe sobra cada persona[2].

Os data brokers vasculham por dados pessoais e até mesmo, compram esses dados pessoais de outras empresas com quem o titular já fez negócios – com isso, criam toda uma identidade com as informações que conseguiram. As empresas vão atrás do nome completo, endereço, telefone celular, número de identidade, informações de seguro médico, informações sobre profissão e empresa onde trabalha, rendimentos em banco, as compras feitas no cartão de crédito, viagens, serviços assinados (netflix, amazon prime, spotify...), currículo acadêmico e profissional, séries favoritas, antecedentes criminais – todo e qualquer tipo de informação é válida. Se os dados existem, os data brokers vão comprar onde quer que estejam, incluindo o mercado negro (PEIRANO, 2019). Novamente se aplica a máxima do big data – quanto mais dados, melhor.

Após os dados pessoais serem adquiridos, há uma análise do que foi coletado e uma divisão em grupos socioeconômicos detalhados, que serão úteis a clientes ou campanhas com finalidades específicas e diversas. Tudo isso pode ser utilizado para infinitas finalidades, indo além marketing personalizado, como por exemplo influenciar diretamente o resultado das eleições de um país, uma discussão extensa que merece ser tratada em outro texto.

Um ponto de atenção é o quanto os dados pessoais estão desprotegidos. Isso fica claro nos cada vez mais frequentes episódios de vazamento de dados pessoais (data leak / data breach), no Brasil e no mundo. Para demonstrar a fragilidade e exposição dos dados pessoais, é possível citar como exemplo o caso[3] de um estudante da Universidade de Aarhus na Dinamarca, que em 2016 publicou o perfil de 70 mil usuários do site de relacionamentos OKCupid, dados que incluíam: idade, gênero, trabalho, localização, fetiches, drogas favoritas, inclinações políticas. Quando questionado o motivo de não ter anonimizado os dados, simplesmente respondeu que eram dados de domínio público, ou seja, estavam disponíveis para quem quisesse acessá-los.

Além dos dados facilmente acessáveis, outra tática empregada por empresas para coletar dados e comercializá-los, é conhecida por aqui como “programas de fidelidade”. São aqueles em que nos identificamos à uma empresa e nos “fidelizamos” como clientes –   a cada compra feita, será gerado um registro associado ao nosso perfil – dessa forma, permitimos que a empresa obtenha um histórico de todas as compras feitas e expanda sua base de dados (PEIRANO, 2019). Com os novos dados coletados, muitas empresas não os usam apenas internamente, e acabam por distribuírem esses dados a terceiros por um custo, que podem gerar consequências inimagináveis ao titular consumidor, como aumento no plano de saúde, uma rejeição numa entrevista de emprego, um pedido de crédito recusado pelo banco:

[...] Uma fuente inagotable para estas empresas son las tarjetas de puntos, que generan listas automáticas de madres solteras, divorciados recientes, personas que necesitan cuidados especiales porque padecen de hipertensión, anemia o diabetes o son adictos al azúcar. Esas personas son después penalizadas em entrevista de trabajo o com el encarecimento de seguros médicos sin que sepan por qué.[4]

Situações como essas já são comuns nas nossas vidas, embora a maior parte da população sequer possa imaginar os riscos daí decorrentes. Apenas para ilustrar, vale trazer de exemplo a coleta de dados pessoais (dados de saúde) entre farmácia e titular de dados pessoais. Os clientes se cadastram no programa de fidelidade da rede de farmácia e ao efetuar qualquer compra de medicamento ouvem a usual pergunta “qual o CPF (cadastro de pessoas físicas)?”. Ao vincularem o CPF à compra, é auferido um desconto significativo ao produto, podendo chegar até 50% do valor original – mais um incentivo aos consumidores à consentirem acesso aos seus dados. O problema é que cada compra de medicamento é associada ao cliente, os dados são registrados e geram um histórico de todos os medicamentos adquiridos sob aquele número de CPF. Vale frisar que semana passada foi publicada a Lei 17.301/2020 (Estado de São Paulo) que proíbe as farmácias de exigirem o CPF no ato da compra, inclusive mediante afixação de avisos nas paredes dizendo que informar o CPF não é obrigatório para a aquisição de produtos.

Com essa coleta massiva de dados e com a ajuda da ciência de dados, vai sendo montado o quebra-cabeça do titular consumidor, descrito por Ángel Gómez de Ágreda[5] como uma base de dados que se relaciona entre si agregando todas as características do titular e montando uma imagem única de um sujeito –o perfil do cliente é criado dispondo de informações valiosas – qual a idade do consumidor? Tem problemas cardíacos? HIV? Diabetes?

Se os dados fossem somente internalizados nas farmácias, o problema não seria tão caótico. A questão, entretanto, é que os dados estão sendo comercializados. Conforme investigação do Ministério Público iniciada em 2018, há a suspeita de repasse dos dados pessoais às empresas de plano de saúde e de análise de crédito. Com o histórico de compras de medicamentos, é possível prever o comportamento do consumidor e sua atual condição médica. Dispondo das informações valiosas, é plenamente possível que uma empresa de planos de saúde se antecipe e, prevendo problemas de saúde do consumidor, aumente o valor da prestação de serviço, ou até mesmo identifique uma quebra contratual. Vale destacar a fala do promotor Frederico Meinberg, coordenador da Comissão de Dados Pessoais do MP, quanto as possíveis consequências na comercialização dos dados pessoais:

Imagine que você comprou no seu CPF um remédio para sua avó que está sofrendo de câncer. Se esse histórico sai da farmácia e é compartilhado para outros setores, numa análise, o plano de saúde pode acreditar que você está fazendo um tratamento e não avisou. Daí aumentam o valor do contrato e você nem fica sabendo [6].

Ainda, como uma direta consequência da comercialização de dados pessoais, um dos clientes da farmácia que teve seu histórico de compras repassado, pode ter um pedido de empréstimo negado, conforme explica o promotor:

Antes de liberar um financiamento, empresas consultam um cadastro para saber se a pessoa consegue pagar as dívidas. Com alguém que está comprando muito remédio, podem interpretar que ela está com risco de vida. Ou seja, negariam o empréstimo ou subiriam muito os juros por entender que ela não vai conseguir arcar com essa dívida. [7]

A investigação ainda não foi concluída pelo Ministério Público, mas, em compensação, para amenizar o cenário e de forma protetiva aos dados pessoais, a recente LGPD (Lei Geral de Proteção de Dados) inclui dados referentes à saúde em uma categoria de dados pessoas sensíveis[8]. Isso significa que o tratamento[9] desses dados será feito de uma forma mais rígida em relação à sua coleta, armazenamento, uso e compartilhamento, vale mencionar o tratamento de dados pessoais sensíveis possui seção própria na Lei de Geral de Proteção de Dados.

A realidade é que data brokers ou não, as empresas estão coletando dados pessoais e comercializando-os, a prática não é nova e continuará ocorrendo.

Ainda que com a criação da LPGD e outros mecanismos que asseguram a proteção aos dados pessoais, a real proteção somente será efetivada com o conhecimento geral da sociedade quanto ao valor agregado aos dados pessoais e a conscientização das possíveis consequências no vazamento ou exposição desses dados pessoais.

Notas e Referências

[1] SCHNEIER, Bruce. Data And Goliath: the Hidden Battles to Collect Your Data and Control Your World. New York, N.Y. :W.W. Norton & Company, 2015

[2] PEIRANO, Marta. El Enemigo Conoce El Sistema. Spain, Debate, 2019. P. 218

[3] COX. Joseph. Danish Authorities Investigate OKCupid Data Dump. Vice. Disponível em: <https://www.vice.com/en_us/article/53dd4a/danish-authorities-investigate-okcupid-data-dump.>. Acesso em 19 de jun. de 2020.

[4] PEIRANO, Marta. El Enemigo Conoce El Sistema. Spain, Debate, 2019. P. 218

[5] ÁGREDA, Ángel Gómez de. Mundo Orwell: Manual de Supervivencia Para um Mundo Hiperconectado. Espanha, Ariel, 2019. P. 84

[6] LUIZ. Gabriel. CPF em troca de desconto: MP investiga venda de dados de clientes por farmácias. G1. Disponível em: <https://g1.globo.com/df/distrito-federal/noticia/cpf-em-troca-de-desconto-mp-investiga-venda-de-dados-de-clientes-por-farmacias.ghtml>. Acesso em 20 de jun. de 2020.

[7] LUIZ. Gabriel. CPF em troca de desconto: MP investiga venda de dados de clientes por farmácias. G1. Disponível em: <https://g1.globo.com/df/distrito-federal/noticia/cpf-em-troca-de-desconto-mp-investiga-venda-de-dados-de-clientes-por-farmacias.ghtml>. Acesso em 20 de jun. de 2020.

[8] LGPD – Lei 13.709/18 Art. 5º Para os fins desta Lei, considera-se: II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

[9] LGPD – Lei 13.709/: Art. 5º Para os fins desta Lei, considera-se: X - tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;