De forma tímida, nesta última semana, a Autoridade Nacional de Proteção de Dados (ANPD) emitiu hoje (2) Medida Preventiva determinando a imediata suspensão, no Brasil, da vigência da nova política de privacidade da empresa Meta, que autorizava o uso de dados pessoais publicados em suas plataformas para fins de treinamento de sistemas de inteligência artificial (IA). Foi estabelecida multa diária de R$ 50 mil por descumprimento.
A ANPD, no entanto, ignora que os sites brasileiros extraem dezenas de informações, que são vendidas ao que denominam de “parceiros”, sendo que alguns ainda alegam que a obtenção dos dados, para venda, “são de interesse legitimo”. Mas, essas informações dos grandes sites brasileiros somente são conhecidas quando, de dentro do Brasil, um usuário da Internet utiliza uma rede VPN e passa a usar um Internet Protocol (IP) da Europa, “escondendo” o IP do Brasil. O IP é um endereço exclusivo que identifica um dispositivo na Internet, dando a localização do usuário.
O Grafitti News fez um teste, utilizando a rede suíça Proton, onde obteve o IP 185.107.56.78, da Holanda, que ao utilizar um portal de geolocalização estava precisamente em um bairro residencial de Amsterdam. Na condição de usuário “europeu”, os sites brasileiros são obrigados a revelar a quantidade de “parceiros” para os quais vendem as informações de que o acessa.
Extração de dados no Brasil
Essa quantidade é imensa e assusta ao usuário “europeu’, que está fazendo esse acesso através de uma rede VPN da Holanda. Essa extração de dados, que não é informada ao usuário da internet no Brasil, no entanto, ainda não foi alvo de uma ação enérgica da ANPD.
Praticamente, quase todos os grandes portais, inclusive os de notícias, incluindo os regionais, que extraem as informações sem o consentimento. Um exemplo é o portal Meu IP (www.meuip.com.br), onde o teste com o IP da Holanda fez com que a empresa informasse: “Os seus dados pessoais vão ser processados, e as informações do seu dispositivo (cookies, identificadores únicos e outros dados do dispositivo) podem ser armazenadas, acedidas e partilhadas com 134 fornecedores TCF e 64 parceiros de anúncios ou usadas especificamente por este site ou app”.
Mas, um dos portais brasileiros de maior acesso, o UOL, também não é diferente, que dá a seguinte informação para o usuário “europeu”: “Os seus dados pessoais vão ser processados, e as informações do seu dispositivo (cookies, identificadores únicos e outros dados do dispositivo) podem ser armazenadas, acedidas e partilhadas com 140 fornecedores TCF e 73 parceiros de anúncios ou usadas especificamente por este site ou app.”
“Alguns fornecedores poderão tratar os seus dados pessoais com base no interesse legítimo. Pode opôr-se a este tratamento gerindo as opções abaixo. Procure um link na parte inferior desta página para gerir ou revogar o consentimento nas definições de privacidade e cookies”, completa o UOL.
Até o portal Diário do Centro do Mundo (DCM), também extrai os dados, sem informar ao usuário brasileiro. “- Este site pede consentimento para usar os seus dados perm_identity. Publicidade e conteúdos personalizados, medição de publicidade e conteúdos, estudos de audiência e desenvolvimento de serviços devices Armazenar e/ou aceder a informações num dispositivo expand_more”, diz o DCM a quem utiliza um IP europeu.
“Saiba mais. Os seus dados pessoais vão ser processados, e as informações do seu dispositivo (cookies, identificadores únicos e outros dados do dispositivo) podem ser armazenadas, acedidas e partilhadas com 136 fornecedores TCF e 65 parceiros de anúncios ou usadas especificamente por este site ou app. Alguns fornecedores poderão tratar os seus dados pessoais com base no interesse legítimo. Pode opôr-se a este tratamento gerindo as opções abaixo. Procure um link na parte inferior desta página para gerir ou revogar o consentimento nas definições de privacidade e cookies”, completa o DCM.
O que são Data Brokers?
As informações coletadas sem o consentimento do usuário de internet no Brasil são vendias pelo portal que foi utilizado para as empresas que fazem a intermediação com o consumidor final dessas informações. As data brokers fazem a compilação dos dados extraídos, sem o consentimento do usuário, classificando e comercializando para terceiros, que vão usar todo o banco de dados qualificado para suas próprias finalidades, independentemente de serem benignas ou malignas para quem teve os dados surripiados.
O principal cliente são as empresas que agenciam o mercado de publicidade online, além das grandes multinacionais que exploram o mercado de redes sociais, como o Facebook e o Google. As pessoas desse segmento citam como exemplo um fabricante de sungas de praia. Com os dados extraídos dos usuários de internet a veiculação desses anúncios através da web par chegam ao público certo, garantindo assim uma campanha de marketing com um ótimo retorno sobre investimento.
Um dos processos da coleta de informações, sem o consentimento do usuário de internet no Brasil, é através da implantação de cookies (aqueles pequenos trechos de códigos que te identificam como visitante em um website), no computador, celular, tablete e até na televisão com o sistema smart do Google.
Lei de Proteção de Dados
A Lei Geral de Proteção de Dados, ou LGPD (lei 14.058/20) vem sendo cumprida apenas para informações pessoas que o cliente fornece para um banco, financeira, compras em loja online, além de órgãos públicos. São informações que incluem nome, endereço, CPF, detalhes de compras, entre outros. Esses são respeitados, mas ainda falta rigor na coleta anônima de informações em sites em geral, onde o usuário acredita que não precisa digitar seus dados pessoais.
É nessa coleta clandestina que o Brasil se distancia do rigor da legislação europeia. Falta a ANPD exigir aos portais brasileiros o mesmo respeito que eles mesmos proporcionam ao usuário que acessa com um IP europeu. Oferecer a opção de desativar todas as coletas de dados, a serem vendidos aos “parceiros”.
Trecho de norma europeia para segurança do usuário de internet:
Leia a íntegra do item (20) do Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho sobre a proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições, órgãos, organismos e agências da União e sobre a livre circulação desses dados, e que revoga o Regulamento (CE) n.o 45/2001 e a Decisão n.o 1247/2002/CE, de 23 de outubro de 2018: Essa norma pode ser conferida no portal do Parlamento Europeu, clicando neste link.
Qualquer tratamento de dados pessoais deve ser lícito e justo. Deverá ser transparente para as pessoas singulares que os dados pessoais que lhes dizem respeito sejam recolhidos, utilizados, consultados ou tratados de outra forma e em que medida os dados pessoais são ou serão tratados. O princípio da transparência exige que qualquer informação e comunicação relativa ao tratamento desses dados pessoais seja facilmente acessível e fácil de compreender, e que seja utilizada uma linguagem clara e simples.
Este princípio diz respeito, em particular, à informação aos titulares dos dados sobre a identidade do responsável pelo tratamento e as finalidades do tratamento e à informação adicional para garantir um tratamento justo e transparente no que diz respeito às pessoas singulares em causa e ao seu direito de obter confirmação e comunicação de informações pessoais dados que lhes dizem respeito e que estão sendo processados.
As pessoas singulares deverão ser sensibilizadas para os riscos, regras, salvaguardas e direitos relacionados com o tratamento de dados pessoais e como exercer os seus direitos em relação a esse tratamento. Em particular, as finalidades específicas para as quais os dados pessoais são tratados deverão ser explícitas, legítimas e determinadas no momento da recolha dos dados pessoais.
Os dados pessoais deverão ser adequados, relevantes e limitados ao necessário para as finalidades para as quais são tratados. Isto exige, em particular, garantir que o período durante o qual os dados pessoais são armazenados seja limitado a um mínimo estrito. Os dados pessoais só deverão ser tratados se a finalidade do tratamento não puder ser razoavelmente cumprida por outros meios.
A fim de garantir que os dados pessoais não sejam conservados durante mais tempo do que o necessário, o responsável pelo tratamento deverá estabelecer prazos para o apagamento ou para uma revisão periódica. Devem ser tomadas todas as medidas razoáveis para garantir que os dados pessoais imprecisos sejam retificados ou eliminados.
Os dados pessoais devem ser tratados de forma a garantir a segurança e a confidencialidade adequadas dos dados pessoais, nomeadamente para impedir o acesso não autorizado ou a utilização de dados pessoais e do equipamento utilizado para o tratamento e para impedir a sua divulgação não autorizada quando são transmitidos.