O MPDFT é o primeiro do Brasil com essa iniciativa de uma comissão para proteção de dados. Como foi a concepção do projeto?
Paulo: É algo antigo no MPDFT, que ganhou força com a atuação das promotorias de defesa do consumidor quando teve aquele caso do Lulu (aplicativo de escolha de parceiros para relacionamentos sexuais) em que havia o compartilhamento dos dados dos usuários do Facebook com o aplicativo sem uma informação prévia adequada. Os dados eram tratados de uma forma indevida.
Como vocês avaliam a proteção de dados dos brasileiros?
Frederico: A proteção de dados no Brasil ainda é incipiente. Isso é tratado na União Europeia desde os anos 1990. Há um trabalho da Senacon (Secretaria Nacional do Consumidor) e um projeto de lei que foi enviado para o Congresso para cuidar disso. Tem alguma coisa no Marco Civil da internet. Mas não temos nada específico. Não temos uma autoridade.
O que vocês têm usado para pedir explicações às empresas?
Paulo: O nosso sistema jurídico, mas é um trabalho de interpretação. Não há uma lei que trate diretamente da questão. Mas, se você pensar em termos de Código de Defesa do Consumidor, uma lei que tem uma base principiológica, e à Constituição, você tem fundamentos legais para tratar da proteção de dados.
Como a comissão vê o fato de o cliente fazer um cadastro em um local, e, no outro dia, outra empresa, fora do primeiro segmento, liga para o consumidor oferecendo um serviço e com informações como a renda, o CPF? Ou então o cliente ganhar 10% de desconto se fizer um cadastro e, em seguida, começar a receber promoções de outras empresas?
Frederico: Além do NetShoes e do Uber, algo que estamos muito interessados é a questão de farmácias. O vendedor pergunta: “Você tem cadastro?”. “Não”, o cliente responde. “Mas, se você tiver cadastro vai ter 30% de desconto neste medicamento”. Essa é a questão: a troca de dados por desconto. Só que esses dados, como o histórico de compras, é uma informação extremamente sigilosa. O que está sendo feito com esses dados é uma caixa-preta. Pode ser uma bomba-relógio. Por exemplo, tive um cachorro que passou por tratamento de câncer. O meu histórico de compras vai claramente dar uma pessoa que provavelmente passou por um tratamento quimioterápico. Se esses dados são comercializados, se esse grupo farmacêutico é comprado por um grupo de seguro-saúde, eu praticamente não vou conseguir contratar um seguro-saúde ou o meu vai ser inviável. Uma coisa que a gente está fazendo diariamente e que é um problema absurdo a médio prazo.
O Marco Civil diz ser preciso um consentimento do consumidor sobre o uso ou não dos dados. Mas e as empresas, elas são obrigadas a dizer o que vão fazer ?
Frederico: O que a comissão tenta fazer é trazer a importância de entender o que está sendo feito com os dados pessoais dos consumidores, seja das autoridades, seja da sociedade. A gente não tem como desatrelar proteção de dados pessoais de defesa do consumidor. Não é função principal, mas basilar, de defesa do consumidor a proteção de dados.
A empresa tem os dados violados e não comunica aos clientes, como ocorreu com a Netshoes. Isso os preocupa?
Paulo: Não comunica e quando comunica faz a conta-gotas e essas informações não são claras, não dizem a realidade. É como se houvesse um menosprezo com o usuário brasileiro.
Quais os principais problemas com a violação dos dados?
Frederico: O problema é a aquisição de informações de certos setores por outros setores. O compartilhamento dos dados. A Amazon hoje é um polvo, ela está tomando todos os setores da economia. Se você imaginar a Amazon simplesmente como um site de venda de produtos é de uma ingenuidade tremenda. Ela já foi para venda de produtos, e agora está indo para a área de seguro-saúde. Olha só: o grande problema quando a gente pensa em dados é isso. É a compra de empresas como o Facebook fez com o WhatsApp. Antes da compra, o CEO do WhatsApp disse: “olha nós não vamos compartilhar informações dos usuários com quem estiver comprando”. Ele teve que mudar. Essa compra de setores por outros setores é um problema enorme hoje no Brasil. Se você imaginar sob a ótica de farmácias: não vai comercializar ou vai comercializar. O problema é ele ser comprado por um grupo que não tem a ver com grupo de saúde e vai usar aqueles dados. Seguro de saúde é um exemplo disso.
Com os dados em mão, como as empresas podem, de alguma forma, prejudicar o consumidor?
Frederico: A complexidade disso quando você imagina em compras on-line. A Amazon é um exemplo. Isso é público. Pelo menos na americana, a gente não conferiu isso na brasileira. A questão é a seguinte: se o consumidor acessa a Amazon usando um iPhone, um sistema iOS, e se acessa usando um celular sistema Android, a Amazon vai supor que quem está usando o iPhone tem mais dinheiro, porque o valor é mais caro. Se você acessar em um Mac ou usando o Windows, o Mac vai ser mais caro. Dependendo do IP, aquele número da conexão, dependendo da cidade, se é uma cidade pobre americana, o valor é X, se for de Nova Iorque, o valor é Y.
O consumidor tem dificuldade de enxergar esses prejuízos?
Frederico: A lógica ainda é a do supermercado. A gente chega à prateleira e tem o valor. Não. O mundo digital é exatamente o contrário. Você chega à prateleira, a prateleira vai olhar para você e vai dizer: “Peraí, você está bem-vestido, está com um terno bom, você provavelmente mora no Lago Sul, seu valor é X”.
Além dos casos da NetShoes e da Uber, vocês estão investigando outros casos?
Frederico: Farmácias e análise automatizada de crédito. No caso do crédito, vamos imaginar: você pede um cartão para determinada empresa. A análise daquele crédito não vai ser um cara analisando a sua declaração de imposto de renda, nem nada. É automatizado: vai pegar seu CPF, dados que existem no mercado, muitas vezes até dados de redes sociais, e vai te colocar em um ranking. Temos um problema muito sério. Que base de dados essa empresa está usando? Existem erros na base de dados. Se você não trabalha com um erro nessa base de dados, o consumidor vai ser “ranqueado” de forma incorreta. Ela não vai ter crédito, não vai ter cartão. Essa nota vai ser compartilhada com outras empresas do mercado de crédito e a pessoa não será informada. A pessoa vai ter uma prisão perpétua de crédito porque foi “ranqueada” na base de uma informação errônea. Você jogando milhares de pessoas à margem da economia.
Como é a reação das empresas quando vocês pedem esclarecimentos sobre violação de dados?
Frederico: Se você hoje bater na porta da Google Brasil, Facebook Brasil, Uber, vai ser uma choradeira. “É um absurdo, vai impactar nosso modelo de negócios, vai custar caro”. Veja o que eles estão fazendo na Europa. Eles mudaram tecnicamente todos os produtos para se adequarem à legislação europeia.
Paulo: As empresas começam a responder tocando no seguinte ponto: não tem lei que determine que eles façam isso. Eles podiam fazer isso porque o consumidor, quando entrava no Facebook, concordava com os termos ali colocados.