Data Brokers: empresas lucram vendendo sua vida; veja como se proteger

Você já recebeu uma ligação de telemarketing com a oferta de um plano de internet logo depois de se mudar? Ou viu um anúncio de uma geladeira assim que a sua quebrou? Esse “fenômeno” tem nome e sobrenome: data brokers.

• Cookies e fingerprinting: como sites rastreiam identidades para vender anúncio
• Vírus, Worm e Trojan: Diferenciando os termos para não chamar tudo de "vírus"

Apesar da operação mágica, data brokers são que empresas que coletam, reúnem e vendem informações sobre consumidores para marketing direcionado e outras análises. Não, você não leu errado: existem companhias que realmente agregam dados de usuários para vendê-los para outras organizações, abrindo espaço para um universo inteiro de anúncios personalizados e consequências físicas. 

É uma indústria bilionária que gera bastante controvérsia quando estamos falando sobre segurança digital. Afinal, muita gente não faz ideia que esses materiais pessoais são comercializados na internet. Diante desse cenário, o Canaltech abriu a caixa-preta das de data brokers, mostrando como eles agem e oferecendo maneiras práticas de como você pode se proteger e retomar o controle.

O Canaltech está no WhatsApp!Entre no canal e acompanhe notícias e dicas de tecnologia

WhatsApp

O que são data brokers e como eles operam?

Vamos, então, colocar os pingos nos “is”. Como você viu acima, data brokers são empresas que coletam dados de usuários na internet para, na grande maioria dos casos, vendê-los para outras companhias e organizações para fins de publicidade direcionada.

Em linhas gerais, data brokers conseguem capturar essas informações a partir de um rastreamento online e offline, que escaneia o comportamento do indivíduo dentro e fora da internet. Isso inclui fotos e comentários postados em redes sociais (assim como suas atividades nessas plataformas, como contas seguidas, likes e mais), sites visitados com frequência, pesquisas em mecanismo de busca, dados de compras físicas e em e-commerce, registros públicos e mais.

Uma vez que os materiais caem nas graças de data brokers, eles são vendidos para outras companhias na forma de “pacotes”. Entre as áreas mais visadas estão bancos, seguradoras, varejistas e anunciantes variados, que compram esses “perfis” para fins diversos.

Assim, para segmentar as operações, existem três tipos de focos mais comuns entre data brokers na hora da comercialização:

1. Marketing e publicidade: usadas para promover anúncios direcionados a partir de perfis de consumidores.
2. Risco/Crédito: focadas na análise de empréstimos, como no Serasa, por exemplo.
3. Busca de pessoas: sites que vendem endereços e telefones de usuários para consulta.

De onde os data brokers tiram tanta informação?

Você pode estar se perguntando de onde os data brokers conseguem tirar tantas informações pessoais de usuários para vendê-las. A resposta começa na própria internet.

Isso porque essas empresas usam dados que estão livremente circulando no ambiente online, como publicações em redes sociais, cookies de navegação, cadastros em e-commerces e até mesmo aplicativos de quiz, para agregar informações sobre pessoas. O mais assustador é que grande parte dessas informações são fornecidas pelo próprio usuário, que muitas vezes não chega a ler nem a primeira linha dos termos de uso de um site.

Mas não fique achando que são somente os seus dados digitais que vão parar nas mãos de data brokers: fontes offline também são usadas na hora da coleta. Estamos falando de registros públicos em cartórios, processos judiciais, compra de imóveis, propriedade de veículos, programas de fidelidade (o famoso “CPF na nota” na hora da compra) e garantias estendidas.

Assim, unindo materiais online e offline, os brokers conseguem criar um “shadow profile” (perfil sombra) extremamente preciso a partir do cruzamento dessas informações, que não possuem necessariamente o consentimento explícito dos usuários na hora da "venda".

• Mercado de dados: o que acontece com seu CPF depois que ele vaza?

Construção do perfil: o que eles sabem sobre mim?

Muito mais do que vender seu nome e seu CPF para outras empresas, os data brokers comercializam o seu comportamento na web. Isso acontece graças a uma segmentação de usuários, que são colocados em “caixas” com base nas informações coletadas.

Dessa forma, é possível encontrar perfis como “pessoas com alta probabilidade de se divorciarem”, “grávidas no terceiro trimestre”, “entusiastas de tecnologia classe B”, “indivíduos propensos a doenças crônicas”, e por aí vai.

Ao saber até mesmo qual é o seu status de relacionamento e qual eletrodoméstico anda te dando problema em casa, os data brokers geram impactos reais na sua rotina, com a venda de dados resultando em outros desdobramentos, como preços de seguro mais caros, negação de crédito ou anúncios políticos.

Isso é legal? O limite entre negócio e invasão

Pode até parecer algo completamente criminoso e invasivo, mas a venda de dados não é exatamente algo ilegal. A comercialização desse tipo de material pode ocorrer com base na legislação brasileira, a famosa Lei Geral de Proteção de Dados Pessoais (LGPD). Contudo, para toda regra, há uma exceção.

Aqui, o papel da LGPD é organizar e garantir que informações de usuários estejam seguras e se mantenham íntegras, evitando dores de cabeça. Afinal, pode até parecer que não, mas dados públicos não são “terra de ninguém”. Assim, é necessário existir uma finalidade justificável para que exista essa coleta.

É aqui que entra o limite entre negócio e invasão, com os data brokers agindo conforme a lei, enquanto hackers conseguem fazer a mesma operação a partir de vazamento de dados na dark web, esta última sendo ilegal.

Por outro lado, há uma linha tênue dentro da comercialização de data brokers, já que muitas empresas se apoiam no “Legítimo Interesse” (base da LGPD que permite que uma organização trate dados pessoais sem consentimento explícito, desde que prove que há interesse legítimo inofensivo) para não solicitar a permissão explícita dos usuários visados.

Caímos, então, em uma questão de consentimento, algo bastante crítico quando o assunto é privacidade digital. Afinal, se não há o consentimento explícito do usuário, definir um interesse legítimo também se torna algo turvo, fazendo com que muitas corporações coletem dados por meios duvidosos.

Como pedir a remoção dos seus dados

Para quem achou a ação de data brokers coisa de filme de terror, a boa notícia é que existe uma maneira de solicitar a remoção dos seus dados desses pacotes. Além disso, também é possível aplicar algumas medidas preventivas para evitar que as suas informações sejam usadas por terceiros. Veja a seguir como:

• Use a LGPD ao seu favor. Com base na lei, você tem o direito de solicitar a exclusão de seus dados, basta acessar os principais players do país, como o Serasa, sites de consulta pública e bureaus de crédito, e fazer a solicitação.
• Faça uma higiene digital. Para proteger seus dados pessoais no futuro, passe a usar e-mails descartáveis na hora de se cadastrar em sites; evite fornecer seu CPF em farmácias, por exemplo, sem que haja necessidade; e habilite configurações de privacidade nas redes sociais (perfil fechado).
• Aposte em serviços de remoção. Caso você queira ir além, existem serviços pagos que automatizam a exclusão dos seus dados, como o Incogni e o DeleteMe.

Colocando essas dicas em prática, você consegue manter as suas informações pessoais longe das garras de data brokers, mesmo que viver de maneira completamente anônima na internet não seja algo possível na era digital. Você, ou seja, o dono desses materiais, deveria estar sob comando da situação, e não o contrário.

Leia também:

• Engenharia Social Reversa: Quando a vítima procura o criminoso
• O que são ataques de ATO (account takeover)?
• O que são golpes spear phishing?