O programador porto-alegrense Fernando Dandrea, de 29 anos, não tem ideia de como seus dados foram parar na mão da imobiliária Urban Company. Mas, quando recebeu a mensagem de um vendedor no WhatsApp, ele sabia exatamente como reagir. Exigiu ser informado quem havia autorizado aquele contato. E arrematou: “Solicito saber nos termos da Lei 13.709, LGPD: como obtiveram os dados e quais são eles?”
O vendedor até tentou contornar, com respostas vagas, mas acabou pedindo desculpas e desaparecendo.
Esta prática, postada no fórum “r/Brasil” do Reddit, inspirou outros brasileiros a usar a Lei para se livrarem de mensagens indesejadas. A manobra se espalhou rapidamente como o “carteiraço da LGPD”.
Aprovada em agosto de 2018, a Lei Geral de Proteção de Dados Pessoais determina normas a serem seguidas por empresas e governos para a coleta e o tratamento de dados pessoais (como nome, CPF, endereço) e de dados sensíveis (como biometria e informações sobre política e religião).
Agora, a Lei está sendo usada por brasileiros como resposta ao spam de vendedores online que fazem contatos indesejados.
“Como sabiam o nome da minha mãe?”
Dandrea diz ter sentido a vulnerabilidade de seus dados pela primeira vez quando quase caiu em um golpe de spam bancário. Criminosos virtuais tentaram se passar por uma instituição para roubar sua conta.
“Em algum lugar, meu endereço de e-mail e meu CPF estavam combinados. Obviamente, isto foi vazado de algum lugar”, afirmou a Tilt.
O cenário se agravou quando sua mãe passou a receber pensão. Com o dinheiro, vieram centenas de ligações indesejadas oferecendo linhas de crédito com valores grandes. O programador pediu a ela que encaminhasse todas as ligações ao seu número. E todas também tinham diversos dados pessoais dela.
“Como estas pessoas sabiam o nome da minha mãe, telefone, a nova condição de pensionista, e até quanto ela ganhava? Foram mais de 20 ligações em uma tarde!”, reclama.
“Imagine: uma pessoa em uma situação frágil, sem conseguir sequer compreender o que estavam oferecendo (ou cobrando, ela não sabia), recebendo essa quantidade de ligações de lugares desconhecidos? É muito fácil fazer alguém meter os pés pelas mãos assim”, complementa.
Foi só no trabalho, ao ter conhecimento da LGPD, que Fernando teve a ideia do carteiraço. Ao ver que muitas empresas apresentam dificuldade para se adequar aos padrões da lei, ele percebeu que tinha em mãos a ferramenta certa para dar o troco.
“Nossos dados circulam por aí sem nosso consentimento e a serviço de interesses completamente alheios aos nossos. Isto é um risco. Se todo mundo colocar um basta nesta situação, talvez pare de valer a pena adquirir dados de pessoas através de meios obscuros e vazamentos.”
“Desligam na minha cara”
Em Taubaté (SP), a comunicadora empresarial Camila Pinho, de 29 anos, também virou adepta do carteiraço da LGPD. Ela recebia ofertas de produtos e serviços “praticamente todos os dias” por WhatsApp ou por ligação.
“A ideia não é nem saber efetivamente como levantaram meus dados, embora isso me preocupe, mas sim parar de ser importunada”, conta.
Camila não viu a prática no Reddit, mas sim em um manual sobre a Lei.
“Sempre que uso a LGPD como resposta, simplesmente desligam na minha cara, porque sabem que o que estão fazendo não é legal.”
A comunicadora acredita que as empresas têm noção de que as práticas passam por cima da lei de privacidade, mas parecem não levar a questão a sério.
“Por outro lado, vejo que o problema maior é que as pessoas não encaram o uso indiscriminado dos seus dados pessoais como uma violação. Não veêm que proteger seus dados é um fator de segurança”, afirma.
Quando vale dar o Carteiraço?
No artigo 18, a LGPD diz que o titular dos dados poderá a qualquer momento solicitar a eliminação dos dados pessoais coletados, mesmo que a coleta tenha sido feita com consentimento.
Segundo Bruno Bioni, diretor do Data Privacy Brasil, a prática do “carteiraço” é válida, e não depende da intermediação de uma outra instituição para a exigência destes dados.
“A Lei Geral de Proteção de Dados Pessoais acaba por empoderar o usuário com diversos direitos, como por exemplo, o de transparência. Ele tem o direito de entender por que e como aquele dado foi parar dentro de uma organização”, afirma.
Para o especialista, o manejo de informações não é responsabilidade apenas dos Data Protection Officers (DPOs) — os profissionais das empresas responsáveis por administrar e manusear os dados coletados — mas de cada funcionário que maneja e armazena as informações, inclusive nas etapas de serviços de atendimento.
“O que a gente tem visto é que as pessoas não são capacitadas, muito em razão de uma ausência de treinamento, de uma cultura organizacional”, complementa.
A regra se estende, inclusive, quando o acesso destes dados pessoais provêm de bancos públicos, como a Receita Federal. Por exemplo, as informações registradas por Micro-Empreendedores Individuais (MEIs).
“Se estas informações são utilizados para algum tipo de abordagem mirando nesta pessoa para vendas direcionadas à pessoa física, a LGPD se aplica”, comenta.
Entretanto, o diretor alerta que, apesar de ter o direito de saber de onde vêm as informações, o usuário não pode exigir a remoção do acesso a estes dados em alguns casos — por exemplo, empresas de cobrança de crédito ou inadimplência.
Bruno considera que o carteiraço, no fim das contas, é uma prática positiva, e acredita que, em médio e longo prazo, ela pode criar uma cultura de proteção de dados no Brasil.
“É ótimo que isto esteja acontecendo. Uma lei só ‘pega’ quando o cidadão, lá na ponta, começa a exercer seus direitos. E aí a gente começa a ter um movimento de modificações sociais, de práticas de mercado.”