Considerações sobre os incidentes de segurança do Nubank e Ifood
Por Manuela Dalpoz
Nas últimas semanas, episódios de vazamento de dados envolvendo o Nubank e Ifood trouxeram preocupação aos seus usuários, levantando questionamentos sobre o nível de responsabilidade assumido pelas empresas com relação a proteção de dados dos titulares.
Na semana passada, o programador Heitor Gouvêa[1] constatou que links de cobrança gerados pelos clientes do Nubank via QR Code estavam disponíveis para acesso no Google, o que permitia que qualquer pessoa pudesse visualizar dados pessoais e sensíveis do titular do link, como nome completo, CPF e informações de conta.
Com relação ao Ifood, uma falha na atualização do aplicativo ocorrida no dia 19 de junho deste ano fez com que alguns usuários tivessem acesso, de modo aleatório, a informações de outros clientes, como o endereço residencial, pedidos, e até mesmo histórico de conversas dentro do aplicativo[2].
Os acontecimentos recentes colocam em pauta reflexões acerca da maneira com o que as plataformas digitais lidam com as informações pessoais confiadas a elas, e quais os procedimentos utilizados para a proteção desses dados.
Dentre os diversos mecanismos de segurança existentes, a política de privacidade é um instrumento presente na maioria dos websites e aplicativos que lidam com dados pessoais e sensíveis dos usuários. O objetivo dessa política deve ser, principalmente, indicar aos indivíduos os procedimentos de tratamento de seus dados, além de informá-los sobre seus direitos e possíveis riscos inerentes ao próprio tratamento.
Apesar de ter potencial para ser um instrumento que assegura os direitos dos titulares e os protege de eventuais ameaças, as políticas de privacidade são frequentemente utilizadas de maneira inadequada.
Além do consentimento dos usuários com relação aos termos das políticas ser extremamente questionável, tanto pela sua característica take it or leave it[3], quanto pela anuência por meio de um modelo opt-out[4], as empresas também costumam elaborar um texto que pouco diz sobre a responsabilidade que assumem quanto a proteção de dados de seus clientes.
No caso do Nubank, a política de privacidade apresenta características preocupantes. Em primeiro lugar, o aplicativo de celular não disponibiliza a política completa, e o acesso integral ao documento só é possível por meio do website. Além disso, o Nubank informa em sua política que compartilha os dados de seus usuários com terceiros, sem, contudo, indicar a identidade e o nível de segurança assumido por eles com relação aos dados compartilhados.
Também é informado que a plataforma poderá divulgar depoimentos referentes ao Nubank que os usuários compartilharam em suas redes sociais (como Facebook, Instagram e Twitter), inclusive com o nome e foto de perfil da pessoa.
Em outras palavras, caso um cliente escreva um tweet sobre sua experiência com o Nubank, esse comentário poderá circular de maneira muito mais ampla do que era pretendido pelo autor, o que pode gerar uma série de incômodos, especialmente porque seu nome e foto estarão envolvidos.
A política de privacidade do Ifood, apesar de ser mais completa do que a do Nubank, também traz pontos alarmantes. Exemplo disso é a quantidade de tópicos referentes a mecanismos de publicidade comportamental[5].
A plataforma afirma que pode compartilhar informações dos usuários com empresas especializadas em marketing e análise de dados digitais, mas não revela a identidade dessas empresas e nem oferece garantias quanto a responsabilização em casos de incidentes de segurança.
Ambas as políticas também deixam de abordar outros aspectos importantes da proteção de dados, como as técnicas que são utilizadas no tratamento, os possíveis riscos a que os titulares estão sujeitos e a garantia de que os titulares serão comunicados em casos de vazamentos e demais incidentes, como os relatados anteriormente. Aliás, nenhum dos direitos dos titulares, que estão dispostos no art. 18 da Lei Geral de Proteção de Dados (LGPD) são tratados de maneira satisfatória, ou sequer mencionados.
É esperado que, uma vez que a Lei entre em vigor, as empresas adequem suas políticas de privacidade aos princípios e diretrizes da LGPD. Contudo, o fato da Lei ainda não estar vigente não justifica o descuido com os dados de pessoas físicas. Isso porque o sistema jurídico brasileiro já conta com uma série de leis e normas que asseguram a proteção de dados dos cidadãos.
Exemplos de tais normas são o Código de Defesa do Consumidor (CDC), o Decreto Nº 8.771/2016 (que regulamenta o Marco Civil da Internet), os arts. 11 e 12 do Código Civil, que tratam dos direitos da personalidade e o próprio art. 5º, X da Constituição Federal.
Com relação ao CDC, é válido citar que nenhuma das políticas mencionadas está de acordo com o art. 43 do Código, que dispõe que o consumidor poderá ter acesso aos dados pessoais arquivados sobre ele. As plataformas analisadas não informam aos seus clientes acerca desse direito, bem como não indicam de que maneira eles poderão solicitar acesso aos seus próprios dados.
É inegável a existência de diversas lacunas nas políticas de privacidade do Nubank e Ifood, fator que coloca em risco a proteção dos dados de seus clientes. Nesse sentido, é fundamental a reflexão acerca da utilidade prática que o modelo de política utilizado atualmente traz aos titulares de dados, considerando que o instrumento, além de não funcionar como fonte legítima para garantir o consentimento dos usuários, também falha em informá-los sobre o que é feito com seus dados, seus direitos e eventuais incidentes.
Se faz necessária reformulação da estrutura vigente das políticas de privacidade, de maneira com que esse instrumento passe a abarcar novas estratégias capazes de suprir as brechas evidenciadas. Certamente, uma doutrina consolidada a respeito do tema e a ampla discussão do assunto são essenciais para que seja institucionalizada uma cultura de zelo com relação aos dados dos indivíduos.
Manuela Dalpoz é graduanda em Direito pela Universidade de Brasília e Editora-Assistente da Revista dos Estudantes de Direito da Universidade de Brasília (RED|UnB).
REFERÊNCIAS BIBLIOGRÁFICAS:
[1] Disponível em: https://heitorgouvea.me/2020/06/23/Scraping-personal-data-exposure-in-the-web. Acesso em: 14 de julho de 2020.
[2] Disponível em: https://www1.folha.uol.com.br/mercado/2020/06/ifood-sofre-falha-e-expoe-dados-de-usuarios.shtml. Acesso em: 14 de julho de 2020.
[3] FRAZÃO, Ana. Objetivos e alcance da Lei Geral de Proteção de Dados. In: TEPEDINO, Gustavo; FRAZÃO, Ana; OLIVA, Milena. A Lei Geral de Proteção de Dados Pessoais e suas repercussões no Direito Brasileiro [livro eletrônico]. 1. ed. São Paulo: Thomson Reuters, 2019, cap. 4.
[4] MENDES, Laura Schertel. Privacidade, proteção de dados e defesa do consumidor: Linhas gerais de um novo direito fundamental. São Paulo: Saraiva, 2014.
[5] Ibid, p. 225.