Os dados pessoais entraram para valer na pauta de legisladores em 2016, quando a União Europeia começou a discutir o GDPR (Regulamento Geral sobre a Proteção de Dados). Após a aprovação da lei europeia, o Brasil não tardou muito em ter a sua própria versão e, em 2018, já tínhamos a LGDP (Lei de Lei Geral de Proteção de Dados Pessoais), que passará a valer em 2020.

A lei tenta evitar imprevistos tanto para as empresas quanto para os usuários de serviços que lidam com dados pessoais (como nosso CPF) e não dá para negar que trata-se de um tema importante numa época em que essas informações são valiosíssimas e, em muitos casos, sensíveis.

Nada a esconder?

Ainda há um longo percurso para que se difunda o interesse na privacidade e a consciência de que os seus dados podem se voltar contra você. No final das contas, continuamos compartilhando dados sem conhecimento técnico e crítico do quê se pode fazer com eles.

Essa noção é compartilhada por Priscila Meyer, CEO da Flipside, empresa especializada em conscientização em cibersegurança, que destaca que “é muito comum ouvir as pessoas que não reconhecem a importância da privacidade dizerem ‘eu não tenho nada a esconder'”.

Segundo Meyer, é preciso que o público entenda quais são as possíveis consequências caso sua privacidade seja violada. “Existem muitas formas de invasão de privacidade, como chantagem e o uso indevido de seus dados pessoais”, diz.

Por que se preocupar com privacidade?

Mas por que, afinal, é importante se preocupar com a privacidade dos seus dados pessoais? Fizemos essa pergunta para especialistas e as respostas indicam que todos deveriam começar a prestar mais atenção no tema: pode doer no bolso.

A CEO da Flipside (empresa que organiza eventos de segurança da informação) ressalta que o CPF é quase que um substituto dos números dos documentos oficiais de identidade (RG, CNH), que são os meios legais hábeis a comprovar quem somos para qualquer pessoa ou autoridade. “Esse tipo de dado em mãos de criminosos pode gerar grandes prejuízos financeiros às vítimas a partir de compras de produtos e serviços, solicitações de cartões de crédito, entradas em financiamentos, por exemplo“.

Rodrigo Marques, advogado da área de direito digital no escritório Marins Bertoldi, reforça os perigos financeiros. “O CPF é um dado único, que identifica claramente o seu titular e pode ser utilizado para coletar dados de uma pessoa em bases públicas. O número é utilizado por todas as receitas públicas para identificar o contribuinte e sua utilização indevida ou fraudulenta pode ocasionar verdadeiros danos financeiros a seus titulares. Podem ocorrer falsos cadastros, a fim de que seja praticado o crime de falsidade ideológica perante várias instituições físicas e digitais”, comentou.

A LGPD, inclusive, trata o CPF como um dado pessoal, assim como RG, CNH, Carteira de Trabalho, passaporte e título de eleitor. Renato Opice Blum, advogado, economista e coordenador do curso de proteção de dados do INSPER, explica que o CPF se enquadra em quatro das dez bases legais da LGPD: consentimento, obrigação legal, execução de contrato e legítimo interesse.

O advogado alerta que a coleta ou tratamento sem enquadramento dessas bases pode gerar multa, tanto para pessoas físicas que tenham fins econômicos quanto para empresas – foi justamente para resguardar juridicamente os usuários e as companhias que surgiu a legislação.

Mas não é só isso: “se alguém usar dados pessoais para a prática de golpes e fraudes, há consequências penais, dependendo do crime que ela praticar. Seja estelionato, fraude, ou outro. Há sanções da LGPD e sanções criminais”, destaca Opice Blum. “A privacidade de dados decorre não só da LGPD, mas também de outras normas como as regulações setoriais das agências e órgãos como Banco Central, CVM, Código do Consumidor ou Marco Civil da Internet”.

Despreocupação não pode ser generalizada

Recentemente recebemos uma dica de um leitor apontando que o site Consumidor.gov, uma plataforma para registrar reclamações sobre empresas e se comunicar diretamente com elas (quase um Reclame Aqui do governo), publicava os CPFs de usuários de forma indiscriminada, indo contra a política de privacidade vigente no site.

Acessando as reclamações públicas é possível, de fato, consultar uma série de dados pessoais de reclamantes – o problema é que as pessoas digitaram o CPF num campo visível para todos, talvez sem se dar conta de que a informação ficaria pública ou sem se preocupar com o compartilhamento desse dado.

A preocupação do leitor está correta, mas o site não está infringindo a própria política de privacidade. E mesmo que a LGPD já estivesse valendo, não haveria violações.

Na política de privacidade do Consumidor.gov, que é surpreendentemente curta e com linguagem simples, o órgão esclarece que solicita de seus usuários informações como nome completo, CPF, endereço, data de nascimento, mas que esses itens “somente serão visíveis à empresa reclamada e aos órgãos gestores do sistema”.

Logo em seguida, um parágrafo diz que “ao utilizar o Consumidor.gov.br, o usuário declara ciência de que algumas informações serão públicas, quais sejam: o relato da reclamação, a resposta do fornecedor e o comentário final do consumidor, conforme Termos de Uso”.

Há ainda uma outra página, linkada no rodapé do site, com “Orientações de uso“. O segundo parágrafo destaca: “para sua própria segurança, não preencha dados pessoais em campos onde a informação postada será pública (campo reclamação, resposta e comentário final). As informações pessoais necessárias para o tratamento da reclamação deverão ser declaradas nos formulários específicos de cada assunto. O preenchimento dessas informações não é obrigatório, entretanto, ele pode fazer a diferença para que a reclamação seja de fato resolvida”.

E é justamente isso o que está acontecendo. O design do site, no entanto não é ideal e poderia reforçar que não é preciso escrever o CPF na reclamação, como o IDEC apontou ao Gizmodo Brasil:

Na avaliação da equipe, não há, ao que parece, manejo incorreto dos dados, tampouco parece haver falta de transparência na informação disponibilizada ao consumidor. Contudo, seria desejável que o portal possuísse uma forma de aviso mais enfático quando do momento de preenchimento dos dados, de forma que o consumidor tenha maior clareza sobre não ser necessário inserir seus dados pessoais no momento de redação da denúncia, pois já constarão do formulário ao qual a empresa terá acesso.

A questão pode ir além: Renato Opice Blum diz que a privacidade é extremamente relevante “não apenas para a proteção dos dados pessoais, dos titulares, mas também pela valorização desses dados coletados e armazenados, em sua maioria, pelas empresas”. Não é à toa que as farmácias pedem o seu CPF em troca de descontos.