A Lei Geral de Proteção de Dados (LGPD) está batendo nas portas das corporações brasileiras, mas isso não significa que as grandes corporações nacionais estejam em condições de cumprir as disposições da norma. Um exemplo inteligente disso é um fato que aconteceu com esse jornalista que escreve para ele e que, tão aplicável para nós reconsiderarmos nossa privacidade hoje, acabou se encaixando no negócio do Canaltech.
Basicamente, pude descobrir, a partir da experiência não pública, os estilos de vida de um programa que visava compartilhar conhecimentos não públicos sem o consentimento dos usuários e com o direito de forjar sua própria assinatura. Essa “colaboração” teria existido em 2019 entre a cadeia de distribuição Camisaria Colombo e o cartão de redução ALL Carto.
Tudo começou em setembro do ano passado, quando recebi uma ligação da equipe de coleta de cartões de todos informando que havia contas por mês abertas. Eu descobri e até pensei que era um golpe, porque eu nem tinha ouvido falar desse cartão, muito menos fingi ter pedido. Desliguei e liguei diretamente para o Centro de Cartões ALL; foi quando eles mostraram que, de fato, havia um dos meus registros e que teríamos que nos mudar pessoalmente para a loja mais próxima para explicar a situação.
Depois de visitar um dos postos de combustível da cidade deles, me pediram para dar os principais pontos do meu check-in em algum momento nos últimos meses em uma loja da Camisaria Colombo. Foi quando me lembrei que no início do ano eu tinha comprado na loja de blusas. Eu não dou regularmente meus principais pontos não públicos, mas desta vez, apesar de tudo, eu os informei. No final da aquisição, o empregado disse que eu poderia pegar um cartão de crédito da loja e eu recusei. Saí e nunca pensei que esses dados acabariam em outro lugar.
Depois de resolver o cenário com o cartão ALL, que cancelou temporariamente meu registro e abriu faturas, parei na loja onde tinha feito a aquisição para obter satisfação. O oficial (no cartão) me disse que muitos consumidores reclamaram desse programa de troca de conhecimento, e essas outras pessoas com certeza estão certas porque é ilegal.
Ao chegar na propriedade, os vendedores recuperaram uma suposta nota de consentimento que permitiria que os dados fossem compartilhados. E foi aí que chegou a hora de surpreender: a nota incluía uma assinatura falsa em meu nome. Um exame técnico gráfico também não seria necessário. Soletrar absurdamente outro; não incluía meu sobrenome, além do nome válido. Até brinquei com a vendedora que se minha assinatura genuína fosse tão charmosa como esta, ficaria mais feliz em desistir de autógrafos.
Guiado pelo meu advogado, liguei para a polícia militar, fiz um boletim de ocorrência e entrei com uma ação contra Camiseria Colombo. O teste é realizado em segredo e a loja em questão foi fechada, não mais listada no diretório da filial do site oficial da varejista. Não sei quantos outros clientes sofreram a mesma tragédia, mas infelizmente Camisaria Colombo teve o infortúnio de fazê-lo com quem, além de trabalhar profissionalmente com segurança de dados, ela também é considerada uma defensora do direito à privacidade e à cobertura de dados não públicos.
Mais tarde, em uma ligação telefônica com o superintendente sobre a tarifa do posto de combustível de todos os cartões na cidade de Itaquaquecetuba (interior do estado de São Paulo, onde ocorreu o incidente), a própria empresa mostrou o estilo de vida do programa. No entanto, ele afirmou que essa troca será explicada separadamente a cada visitante, e que dependerá do cliente se ele se contentar ou não com o registro.
“Eles [a loja de blusas] fizeram alguns registros da sabedoria do cartão todo. Então eles entregaram esses dados, e então tivemos um grande desafio com isso”, disse ele.
Segundo Felipe Palhares, advogado especializado em direito virtual e proteção do conhecimento, este é um caso emblemático que mostra como as corporações brasileiras mal preparadas estão em contato com a LGPD. “Um dos princípios norteadores da Lei Geral de Proteção de Dados é a transparência, o que significa que as corporações devem deixar muito claro, em linguagem inegável e disponível, como o conhecimento não público de seus clientes será processado, com quem será compartilhado e para que finalidades; independentemente da base jurídica sobre qual conhecimento será processado, o que não foi observado no caso específico”, explica.
“Haverá também a necessidade de processos transparentes para gerenciar o que é recebido através da empresa, de modo que, em caso de solicitação de dados sobre recursos com base no consentimento, a organização possa demonstrar que recebeu consentimento legal e de acordo com a lei”, o que, mais uma vez, não é observado no relatório do consumidor neste caso , além das peculiaridades que estão dentro da caixa de ladrões de uma falsificação imaginável de assinaturas”, continua Palhares.
Além da própria LGPD, o incidente prejudica uma norma muito mais antiga e mais conhecida: o Código de Defesa do Consumidor (CDC). “A abertura de um registro não solicitado através do cliente será notificada por escrito, conforme decidido pelo parágrafo 43 do CDC, parágrafo 3º. Esse tipo de prática, a troca de conhecimento indiscriminada com outros parceiros comerciais e sem dados suficientes do usuário em questão, ainda não são muito incomuns no mercado”, observa o advogado.
No entanto, Palhares acredita que, com o advento da nova lei, espera-se que a opinião pública sobre o preço do sigilo de seu conhecimento também se acumule, o que “provavelmente levará a um aumento no número de demandas de cobertura de conhecimento”. .
O conceito original era que a LGPD entraria em vigor a partir de agosto de 2020; no entanto, uma série de manobras políticas eventualmente desfiguraram o plano original. Com a recente sanção da Lei 14.010 (que modifica, de forma transitória e emergencial, vários critérios legais para a prestação de assistência financeira às corporações nacionais durante a crise do COVID-19), foi tomada a decisão de que as corporações só podem ser sancionadas por incidentes de segurança de dados de agosto de 2021.
O que acontecerá com o “remanescente” da lei ainda é incerto. A Medida Provisória (MP) 959/2020 pretende prorrogar o texto completo até maio do próximo ano; No entanto, a própria empresa está congelada, não pode lidar com o Congresso. Como resultado, o PMA provavelmente entraria em vigor em agosto deste ano, mas as sanções serão implementadas nos próximos 12 meses.
Em todos os casos, é vital que o texto tenha sido usado como base para decisões judiciais (jurisprudência) e que outros reguladores ou entidades governamentais estejam livres para sancionar corporações após as devidas investigações. O Ministério Público do Distrito Federal e os Territórios (MPDFT) e o PROCON são alguns nomes que podem ser citados como protagonistas autônomos nessa luta pela privacidade dos brasileiros, que já avaliaram irregularidades em diversas corporações.
O Canaltech tentou prestar atenção na Camisaria Colombo, mas a loja não respondeu às nossas tentativas de contato. A assessoria de imprensa do Clube ToDOS Carto disse que a empresa prefere não comentar o caso neste momento.
Inscreva seu email no Canaltech para receber atualizações sobre as últimas notícias do mundo da tecnologia.
Parceiro UOL Tecnologia © Canaltech 2019