Varejista brasileira compartilha dados sem autorização e falsifica assinatura

A Lei Geral de Proteção de Dados (LGPD) está batendo na porta das empresas brasileiras, mas isso não significa que grandes corporações nacionais estejam prontas para cumprir as determinações da norma. Um bom exemplo disso é um fato que aconteceu com este repórter que vos escreve, e que, de tão relevante para repensarmos nossa privacidade nos tempos atuais, acabou virando matéria para o Canaltech.

• 6 tópicos para desmitificar a Lei Geral de Proteção de Dados (LGPD)
• A sua empresa está pronta para a LGPD? Veja o que dizem os especialistas
• LGPD: o que mudou na redação final da lei?

Basicamente, pude descobrir, por meio de experiência pessoal, a existência de um suposto programa de compartilhamento de dados pessoais sem o consentimento dos usuários e com direito a falsificação da assinatura dos próprios. Essa “colaboração” teria existido ao longo do ano de 2019 entre a rede varejista Camisaria Colombo e o clube de descontos Cartão de TODOS.

Tudo começou em setembro do ano passado, quando eu recebi uma ligação da equipe de cobrança do Cartão de TODOS afirmando que existiam algumas faturas de minha mensalidade em aberto. Estranhei e até achei que fosse um golpe, pois nem sequer havia ouvido falar a respeito de tal cartão, quem dirá ter solicitado um. Desliguei e liguei diretamente para a central do Cartão de TODOS; foi quando eles confirmaram que, de fato, havia um cadastro meu e seria necessário ir pessoalmente até uma loja correspondente mais próxima para esclarecer a situação.

Após visitar um dos postos de atendimento em sua cidade, fui questionado sobre ter cedido meus dados cadastrais em algum momento ao longo dos últimos meses para uma loja da rede Camisaria Colombo. Foi quando me lembrei que, no começo do ano, eu havia feito uma compra na camisaria. Geralmente não dou meus dados pessoais, mas, daquela vez, acabei informando-os. No fim da compra, a atendente disse que eu poderia ser contemplado com um cartão de crédito da loja e eu recusei. Fui embora e jamais pensei que aquelas informações iriam parar em outro lugar.

E a coisa fica pior

Após resolver a situação com o Cartão de TODOS — que prontamente cancelou meu cadastro e as faturas em aberto —, decidi visitar a loja onde havia realizado a compra para tirar satisfações. A atendente (do Cartão) comentou comigo que vários consumidores estavam reclamando desse programa de compartilhamento de dados — e essas pessoas têm toda a razão, pois trata-se de algo ilegal.

Ao chegar no estabelecimento, as vendedoras resgataram uma suposta nota de consentimento que permitiria o compartilhamento das informações. E foi aí que veio a segunda surpresa: a nota continha uma assinatura falsa no meu nome. Nem seria necessário um exame grafotécnico. A grafia era absurdamente diferente; não continha meu sobrenome, diferente da legítima. Até brinquei com a vendedora que, se minha assinatura real fosse tão bonita quanto aquela, eu teria mais gosto de distribuir autógrafos.

Orientado por minha advogada, acionei a Polícia Militar, registrei um Boletim de Ocorrência e adentrei com um processo contra a Camisaria Colombo. A ação corre em segredo de Justiça e a loja em questão foi fechada, não constando mais no diretório de filiais do site oficial da rede varejista. Não sei quantos outros clientes sofreram com o mesmo drama, mas, infelizmente, a Camisaria Colombo teve o azar de fazer isso com alguém que, além de trabalhar profissionalmente com segurança da informação, também se considera ativista dos direitos de privacidade e proteção de dados pessoais.

Posteriormente, em uma ligação telefônica com a superintendente responsável pelo posto de atendimento do Cartão de TODOS na cidade de Itaquaquecetuba (no interior do estado de São Paulo, onde o fato ocorreu), a própria confirmou a existência do programa. Contudo, ela afirmou que tal compartilhamento deveria ser explicado individualmente para cada cliente — e ficaria à critério do consumidor aceitar o cadastro ou não.

“Eles [a camisaria] fizeram alguns cadastros sem a ciência do Cartão de TODOS. Então, eles entregaram esses dados, e depois tivemos um grande problema com isso”, explicou.

O que diz a lei

De acordo com Felipe Palhares, advogado especialista em direito digital e proteção de dados, este é um caso emblemático e que prova o quão despreparadas as empresas brasileiras ainda estão em relação à LGPD. “Um dos princípios norteadores da Lei Geral de Proteção de Dados Pessoais é o da transparência, o que significa que as empresas devem deixar bem claro, por meio de uma linguagem fácil e acessível, como os dados pessoais de seus clientes serão tratados, com quem serão compartilhados e para quais finalidades; indiferentemente de qual base legal fundamentará o tratamento de dados, algo que não foi observado no caso concreto”, explica.

“Também será preciso ter processos claros para a gestão dos consentimentos obtidos pela empresa, para que, caso surjam indagações sobre o tratamento com base no consentimento, a organização tenha condições de comprovar que obteve o consentimento lícito e de acordo com a legislação; o que, novamente, não se observa no relato do consumidor nesse caso, afora as particularidades que adentram na seara criminal de uma possível falsificação de assinatura”, continua Palhares.

Além da LGPD em si, o incidente fere uma norma muito mais antiga e conhecida: o Código de Defesa do Consumidor (CDC). “A abertura de um cadastro não solicitado pelo consumidor deve necessariamente ser informada a ele por escrito, como determina o artigo 43, parágrafo 3°, do CDC. Esse tipo de prática, de compartilhamento de dados indiscriminado com vários parceiros comerciais e sem a devida informação ao titular de dados, ainda é muito comum no mercado”, observa o advogado.

Porém, Palhares acredita que, com a chegada da nova lei, a percepção do público sobre o valor da privacidade dos seus dados também deva aumentar, o que “provavelmente resultará na ampliação do número de processos judiciais relativos à proteção de dados”.

LGPD: quando entra em vigor?

A ideia original era de que a LGPD entrasse em vigor já em agosto de 2020; porém, uma série de manobras políticas acabaram desfigurando o projeto original. Com a recente sanção da lei nº 14.010 (que altera, de forma temporária e emergencial, diversas normas jurídicas para dar um alívio econômico às empresas nacionais durante a crise da COVID-19), ficou decidido que as companhias só poderão ser penalizadas por incidentes de segurança da informação a partir de agosto de 2021.

Já o que acontecerá com o “restante” da lei ainda é uma incerteza. A Medida Provisória (MP) 959/2020 pretende prorrogar o texto inteiro para maio do ano que vem; porém, a própria está congelada, sem conseguir tramitar no Congresso. Sendo assim, é possível que a LGPD entre em vigor em agosto deste ano, mas, novamente, penalidades não poderão ser aplicadas ao longo dos 12 meses subsequentes.

De qualquer forma, é importante lembrar que o texto vem sendo usado como base para decisões judiciais (jurisprudência) e que outros órgãos reguladores ou entidades governamentais estão livres para penalizar empresas após as devidas investigações. O Ministério Público do Distrito Federal e Territórios (MPDFT) e o PROCON são alguns nomes que podem ser citados como protagonistas autônomos nessa luta pela privacidade dos brasileiros, já tendo autuado diversas corporações por irregularidades.

O que dizem as empresas?

O Canaltech tentou ouvir a Camisaria Colombo, mas a rede varejista não respondeu às nossas tentativas de contato. Já a assessoria de imprensa do clube Cartão de TODOS disse que a empresa prefere não se pronunciar sobre o caso por enquanto.