Katiele Daiana da Silva Rehbein[1]
Altamir Diniz de Barros[2]
Resumo: O presente artigo traz o resultado de um estudo bibliográfico, embasado com a metodologia dedutiva, ao passo que o estudo parte de uma abordagem geral, ou seja, da explicitação da Lei Geral de Proteção de Dados e posteriormente dos dados pessoais sensíveis, para, a partir dessa abordagem mais ampla, investigar a venda de dados que seriam sigilosos do INSS para um rol de empresas que vendem empréstimos consignados para os aposentados e pensionistas, e, ainda, tem-se que o artigo utiliza do método monográfico como procedimento, possuindo como objetivo geral examinar a venda de dados do INSS para a oferta de empréstimos consignados. Desse modo, alude-se que há a necessidade de explanação de questões que envolvem o problema que viabiliza o estudo, uma vez que não se encontram bibliografias com autores de renome que dissertem sobre a temática, também por ser tema recente, somente artigos fidedignos que não reduzem o valor da pesquisa. Portanto, a pergunta problema parte do seguinte: a venda de dados, que são considerados sensíveis pela legislação brasileira, para a oferta de empréstimos consignados aos aposentados e pensionistas do INSS estão em consonância com a legislação vigente? Depois de estudada a abordagem teórica da temática em evidência, concluiu-se que a pergunta acima citada possui resposta negativa, o que aduz a um gravíssimo rompimento na barreira dos direitos personalíssimos dos aposentados.
Palavras-chave: Dados Previdenciários; Dados Sensíveis; Lei Geral de Proteção de Dados;
Abstract: The present article brings the result of a bibliographic study, based on the deductive methodology, whereas the study starts from a more general approach, that is, the clarification of the General Data Protection Law and later the sensitive personal data, to, From this broader approach, investigating the sale of data that would be confidential from the INSS to a list of companies that sell payroll loans to retirees and pensioners, and the article uses the monographic method as a procedure, having The overall objective is to examine the sale of INSS data for the provision of payroll loans. Thus, it is mentioned that there is a need for explanation of issues that involve the problem that enables the study, since there are no bibliographies with renowned authors who talk about the theme, also because it is a recent theme, only reliable articles that do not reduce the value of present research. Therefore, the problem question starts from the following: is the sale of data, which are considered sensitive by Brazilian law, for the provision of payroll-deductible loans to INSS retirees and pensioners in line with current legislation? After studying the theoretical approach of the subject in evidence, it was concluded that the above question has a positive answer, which leads to a very serious breach in the barrier of the very personal rights of retirees.
Keywords: Social Security Data; Sensitive Data; General Data Protection Act.
Sumário: Introdução; 1 A Lei Geral de Proteção dos Dados Pessoais – Lei 13.709 de 2018; 2 Os Dados Pessoais Sensíveis; 3 A Venda de Dados Sensíveis e o INSS; Conclusão; Referências.
Introdução
Vive-se em um mundo onde a intimidade e privacidade parecem cada vez mais distantes. Empresas buscam incansavelmente contatos atrás de bons resultados. As exposições diárias a inúmeros formulários de cadastros para captação de dados estão legalmente amparadas pela Lei de Geral de Proteção dos Dados, existe a escolha pessoal e o consentimento do indivíduo em fornecer seus próprios dados. Porém, o perigo das ameaças diárias à privacidade aparece de onde menos o cidadão espera.
Dados pessoais sensíveis cadastrados em órgãos públicos aparecem milagrosamente em lista de clientes em potencial para empresas do ramo financeiro, os aposentados, viram alvos fáceis para a venda de crédito consignado, e corretoras possuem facilmente acesso ao banco de dados sensíveis completo do INSS, como se fosse uma grande cesta de ofertas aberta para novas presas dos juros bancários.
Sendo assim, preponderantemente, uma pesquisa sobre esse tema, suas peculiaridades, pode favorecer não apenas a apuração de conhecimentos mais amplos concernente à temática, tal como contribuir para a qualificação de políticas de segurança dos dados dos cidadãos.
Nesta senda, tem-se que a presente pesquisa tem por finalidade apresentar o resultado de uma pesquisa bibliográfica acerca da venda de dados previdenciários para oferta de empréstimos consignados e os dados sensíveis, sendo o objetivo principal do estudo examinar a tutela jurídica desse acontecimento.
Alude-se que não há livros e autores de renome que dissertam acerca da temática. As informações se baseiam, hegemonicamente, em matérias de cunho jornalístico e alguns artigos científicos fidedignos, não acarretando descrédito ao estudo, visando uma maior abrangência da temática. Desse modo, a pesquisa se justifica na necessidade de esclarecimentos de aspectos de extrema valia que envolvem o problema que viabiliza o estudo, o qual atina seu cerne no questionamento seguinte: a venda de dados, que são considerados sensíveis pela legislação brasileira, para a oferta de empréstimos consignados aos aposentados e pensionistas do INSS estão em consonância com a legislação vigente?
Buscando resposta à problemática, a pesquisa se estruturou por abordagem dedutiva, ao passo que o estudo parte de uma abordagem geral, ou seja, da conceituação e especificação da Lei Geral de Proteção dos Dados Pessoais, Lei 13.709 de 2018 e dos dados pessoais sensíveis para, partindo dessa abordagem mais abrangente, investigar a venda de dados que seriam sigilosos, para uso previamente discutível com o tutelado, para o oferecimento de empréstimos do tipo consignado aos beneficiários do INSS.
Nesse contexto, se dispõe que a pesquisa se estruturou em três partes. A primeira traz em seu bojo a conceituação e caracterização da Lei Geral de Proteção de Dados Pessoais, Lei 13.709 de 2018, em segundo momento passa a ser exposto os entendimentos dos dados pessoais sensíveis, para, por fim, averiguar a venda de dados sensíveis para a oferta de empréstimos consignados aos aposentados e pensionistas do INSS.
1 A Lei Geral de Proteção dos Dados Pessoais – Lei 13.709 de 2018
Com o avanço tecnológico e o impacto social concernente, constantemente surgem novas questões éticas, motivando a atualização ou criação de leis que circundam a problemática.
No ano de 2014, no Brasil, uma empresa de telecomunicação, Velox, foi acusada de vender ilegalmente os dados pessoais de seus clientes a terceiros. Em 2015, uma empresa de consultoria britânica acessou os dados pessoais de oitenta e sete milhões de usuários da rede social Facebook para fazer uma análise comportamental dos eleitores dos Estados Unidos (EUA) (ZANATTA, 2015, p. 447).
A Constituição Federal de 1988 reconhece os direitos fundamentais da intimidade, à vida privada e à liberdade de expressão (BRASIL, 1988), isto é, assegura a privacidade dos dados do sujeito e seu direito de instrumentalizá-los.
Nos casos acima citados, Velox e Facebook, os indivíduos não detém um controle ou gerência de seus próprios dados pessoais. Os mesmos podem vir a ser utilizados com fins que os titulares não possuam conhecimento, como a venda de dados, análises comportamentais, dentre outros (ZANATTA, 2015, p. 447- 448).
Nesse aporte, com a observância da proporção da influência e do valor econômico dos dados pessoais no meio social, em consonância com as suas implicações éticas (ZANATTA, 2015, p. 447- 448), que foi criada a Lei número 13.709, de 14 de agosto de 2018, ou seja, a Lei Geral de Proteção dos Dados Pessoais (LGPDP).
A Lei Geral de Proteção dos Dados Pessoais, como regra, trata da proteção de dados, sendo este um dos objetivos primordiais da legislação. Dessa forma, tem-se a proteção dos dados de pessoas naturais, tanto por meio físico quando digital, reconhecida a finalidade da tutela desses dados e informações para a proteção dos direitos, como os da intimidade, privacidade, honra, imagem, liberdade de expressão e comunicação, autodeterminação informativa e livre desenvolvimento da personalidade e etc. (BRASIL, 2018), conforme os artigos 1º e 2º:
“Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Art. 2º A disciplina da proteção de dados pessoais tem como fundamentos:
I – o respeito à privacidade;
II – a autodeterminação informativa;
III – a liberdade de expressão, de informação, de comunicação e de opinião;
IV – a inviolabilidade da intimidade, da honra e da imagem;
V – o desenvolvimento econômico e tecnológico e a inovação;
VI – a livre iniciativa, a livre concorrência e a defesa do consumidor; e
VII – os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais” (BRASIL, 2018).
A lei assegura as situações que se referem exclusivamente operações de tratamento de dados, dispostos no artigo 5º, inciso X, isto é, as que são concernentes a coleta de dados, forma de produção e recepção, ainda a “classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração” (BRASIL, 2018).
Nota-se que pelo rol descritivo do que se tem por tratamento de dados, que várias atividades que envolvem os dados pessoais sofrerão a limitação e pleito da lei. Contudo, existem algumas exceções concernentes à aplicabilidade da Lei Geral de Proteção de Dados, elencadas taxativamente no texto do artigo 4º (BRASIL, 2018).
“Art. 4º Esta Lei não se aplica ao tratamento de dados pessoais:
I – realizado por pessoa natural para fins exclusivamente particulares e não econômicos;
II – realizado para fins exclusivamente:
- a) jornalístico e artísticos; ou
- b) acadêmicos, aplicando-se a esta hipótese os arts. 7º e 11 desta Lei;
III – realizado para fins exclusivos de:
- a) segurança pública;
- b) defesa nacional;
- c) segurança do Estado; ou
- d) atividades de investigação e repressão de infrações penais; ou
IV – provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto nesta Lei” […] (BRASIL, 2018) (grifo nosso).
Conforme explicitado, na hipótese prevista no item III, a Lei Geral de Proteção Dados faz remissão à carência de aprovação de uma legislação específica, que deverá antecipar medidas proporcionais e rigorosamente necessárias ao entendimento de interesse público, devendo ser considerado o princípio do devido processo legal, além dos demais que se encontram positivados na LGPD (MULHOLLAND, 2018, p. 163).
Nesse aporte, espera-se que a legislação iminente seja ainda mais rigorosa no que tange a proteção dos dados sensíveis dos indivíduos que a ela estarão sujeitas, levando em consideração que o tratamento desses dados está correlacionado aos escopos de tutela do próprio Estado e também dos interesses públicos. Visando também uma tratativa limitada desses dados, para que, desse modo, seja evitado o uso indiscriminado, que não atendem os propósitos e fundamentos do Estado Democrático de Direito (MULHOLLAND, 2018, p. 163).
Sendo assim, a previsão dos princípios que são aplicáveis ao tratamento desses dados pessoais, encontra-se positivada no artigo 6º da Lei Geral de Proteção Dados, in verbis:
“Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:
I – finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
II – adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
III – necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
IV – livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
V – qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
VI – transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
VII – segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
VIII – prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
IX – não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
X – responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas” (BRASIL, 2018) (grifo nosso).
Consoante exposto, observa-se que os princípios previstos na lei, possuem o intento de restringir a atividade de tratamento de dados pessoais, reivindicando que haja o seu devido cumprimento para que, dessa forma, seja admitida a licitude da atividade.
Dos princípios elencados no artigo 6º da Lei Geral de Proteção de Dados, dois são de maior relevância quando da tratativa dos dados sensíveis, quais sejam, o princípio da não discriminação e o princípio da finalidade (DONEDA, 2005, p. 216).
Por princípio da finalidade, os dados devem ser tratados para os propósitos que foram determinados, devendo ser informado previamente ao seu titular, de modo explícito e sem que seja possível a posterior aplicação para outros fins. Para Doneda (2005, p. 216), esse princípio tem grande relevância Prática, uma vez que funda-se na restrição e transferência dos dados pessoais a terceiros, ademais, é possível a determinação de um critério “para valorar a razoabilidade a razoabilidade da utilização de determinados dados para uma certa finalidade (fora da qual haveria abusividade)”.
Ainda, com base no princípio em epígrafe, tem-se que o tratamento de dados e especialmente o modus operandi da coleta destes, não pode ser adotada como uma “rede jogada ao mar para pescar qualquer peixe”. Em contrapartida, as razões de coleta, primordialmente quando auferem aos dados sensíveis, devem ser objetivas e ainda limitadas (MORAES, 2008, p. 9).
A ponderação dessa objetividade será determinada justamente pela finalidade de cunho legítimo do tratamento, que fica condicionada a “à comunicação preventiva ao interessado sobre como serão usadas as informações coletadas; e para algumas categorias de dados especialmente sensíveis estabelece que a única finalidade admissível é o interesse da pessoa considerada” (RODOTÀ, 2008, p. 87).
Mulholland (2018, p. 164) dispõe que frente ao princípio da não discriminação, fica vedada a utilização desses dados para fins que sejam discriminatórios, ilícitos ou abusivos. O legislador, ao trazer o uso discriminatório às qualidades de ilicitude e abusividade, parece identificar a possibilidade de tratamento distinto, desde que seja lícito e não abusivo. Ou seja, aparentemente, seria genuíno ao operador de dados realizar tratamentos que visem segregação, no que se refere a diferenciação, sem que, com isso leve os resultados excludentes que poderiam ser considerados ilícitos (MULHOLLAND, 2018, p. 164).
À título exemplificativo, seria legítimo se um operador de dados que esteja sucedendo a precificação de um determinado serviço de seguros de automóveis, tratar de modo diferenciado os dados das mulheres entre 35 e 45 anos e que fossem mães, com o intuito de oferecer um valor que seja reflexo de riscos de danos usualmente ocasionados ou sofridos por esse grupo específico de pessoas (MULHOLLAND, 2018, p. 164).
Em suma, há a probabilidade de tratamentos discriminatórios de dados pessoais, desde que não sejam rotulados pela ilicitude e abusividade, o que se encontra estipulado tanto pelas normativas de cunho penal, quanto do direito civil, como também pelos princípios da boa-fé objetiva (MORAES, 2008, p. 9).
O que se coloca em pauta é se essa tratativa segregada pode ser utilizada também quando levado em consideração os dados pessoais sensíveis, na medida em que eles possuem características de cunho personalíssimo, que devem ser tuteladas prioritariamente. Uma vez que a coleta de dados sensíveis e de perfis sociais e individuais pode levar à discriminação, logo, a privacidade deve ser tida como uma tutela de escolhas de vida contra qualquer forma de controle público e estigma social, como a reivindicação dos limites que asseguram o direito de cada sujeito a não ser simplificado, objetivado e avaliado fora de contexto (RODOTÀ, 2008, p.12).
Consoante o exposto, faz-se necessária a conceituação e restrições normatizadas concernentes aos dados sensíveis para seu tratamento.
2 Os Dados Pessoais Sensíveis
Para a finalidade de padronização das atividades de tratamento de dados, a Lei Geral de Proteção de Dados, LGPD, qualifica a tutela de modo diferente no que tange os dados pessoais e os dados pessoais sensíveis.
Para os fins da Lei Geral de Proteção de Dados, dado pessoal é composto por informações concernentes a pessoa natural identificada ou identificável, consoante o artigo 5º, inciso I, e dado pessoal sensível se alude à “origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural” (BRASIL, 2018), conforme o artigo 5º, inciso II da lei em epígrafe.
Apesar da lei ser específica e trazer uma conceituação mais abrangente de dados pessoais sensíveis, a sua tratativa no mundo jurídico é conhecida pela legislação brasileira desde a promulgação da Lei 12.414 de 2011, a Lei de Cadastro Positivo, que na letra do seu artigo 3º, parágrafo 3º, inciso II, dispõe da proibição de anotações em bancos de dados utilizados para análise de crédito de “informações sensíveis, assim consideradas aquelas pertinentes à origem social e étnica, à saúde, à informação genética, à orientação sexual e às convicções políticas, religiosas e filosóficas” (BRASIL, 2011).
Cumpre dizer que para os fins de análise e concessão de crédito, princípio da finalidade, estão vedadas as inclusões nas bases de dados de quaisquer informações de cunho personalíssimo e que não esteja relacionado à finalidade específica com a análise de crédito, com o intuito de evitar o tratamento de modo discriminatório, ou seja, o princípio da não discriminação (MULHOLLAND, 2018, p. 165 – 166).
O princípio da não discriminação é dos mais relevantes, no que refere ao tratamento de dados sensíveis. E é nesse ponto primordial quando diante do uso ilimitado de dados sensíveis potencialmente lesivo, em consequência de sua capacidade distintiva, seja por entes privados ou entes públicos. Alguns casos mais emblemáticos evidenciam a problemática enfrentada relativamente ao tratamento indevido (MORAES, 2008, p. 10).
Rodotà alude que a constituição de perfis fundados em dados pessoais sensíveis pode gerar discriminação, seja porque os dados pessoais que não são sensíveis podem tornar-se sensíveis se colaborarem para a elaboração de um determinado perfil, ou porque a própria esfera de modo individualista pode ser irreparada quando se pertence a um grupo do qual tenha sido feita uma análise de conotação negativa (RODOTÀ; 2008, p. 56). Ainda para o autor, “para garantir plenitude à esfera pública, determinam-se rigorosas condições de circulação destas informações, que recebem um fortíssimo estatuto “privado”, que se manifesta sobretudo pela proibição de sua coleta por parte de determinados sujeitos (por exemplo, empregadores) e pela exclusão de legitimidade de certas formas de coleta e circulação” (RODOTÀ: 2008, p. 64).
As mesmas tendências são seguidas pela Lei Geral de Proteção de Dados que estabelecem um limite específico para o tratamento de dados sensíveis, que aparece com uma grande influência do Direito Comunitário de países da Europa, a partir da Diretiva de Proteção de Dados de 1995 até o Regulamento Geral de Proteção de Dados da União Europeia (GDPR), que está em vigor desde maio de 2018.
A LGPD segue as mesmas diretrizes no quesito de tratamento de dados sensíveis que a lei europeia. No GPDR, em seu artigo 9 (1) e (2), restringe de forma severa o processamento de dados pessoais. Porém, esta proibição ocorre em dez etapas, que atuam desde informações de interesse vitais do indivíduo até informações substanciais de interesse público, e não fazem menção específica de quais seriam as hipóteses consideradas (MULHOLLAND, 2018, p. 167).
Para proteger de forma intensa os dados sensíveis dos titulares, o regulamento geral sobre a proteção de dados, qualifica e restringe mais o consentimento do titular dos dados, exigindo uma manifestação livre, explícita, inequívoca, informada e específica (MULHOLLAND, 2018, p. 167), devido a uma proteção específica dos dados pessoais que seja “especialmente sensíveis do ponto de vista dos direitos e liberdades fundamentais, dado que o contexto do tratamento desses dados poderá implicar riscos significativos para os direitos e liberdades fundamentais” (GPDR, 1995, s.p).
Além disso, no comentário número 71, fica especificado que “o responsável pelo tratamento deverá (…) proteger os dados pessoais de modo a que sejam tidos em conta os potenciais riscos para os interesses e direitos do titular dos dados e de forma a prevenir, por exemplo, efeitos discriminatórios contra pessoas singulares em razão da sua origem racial ou étnica, opinião política, religião ou convicções, filiação sindical, estado genético ou de saúde ou orientação sexual, ou a impedir que as medidas venham a ter tais efeitos” (GPDR, 1995, s.p).
Desde a sua implementação a LGPD possui uma intensa fundamentação no consentimento do titular de dados, autorizando o tratamento dos dados pessoais. Somente havendo permissão para tratamento de dados pessoais mediante manifestação livre do titular, informada e inequívoca, sendo que o próprio autoriza o tratamento de seus dados para um determinado fim, conforme artigo 5º, inciso XII (BRASIL, 2018).
Ademais, a lei restringe importante pontos quanto ao tratamento de dados sensíveis, e quanto ao consentimento do titular, somente pode realizado de forma específica e destacada, para fins singulares também, conforme artigo 11, inciso I.
Desta forma qualifica-se o consentimento do titular, já que estamos diante de um “contratante vulnerável”, caracterizado pela ausência de liberdade substancial no momento da determinação da vontade (RODOTÀ, 2008, p. 90).
Porém, também é possível o tratamento de dados sensíveis do titular sem o seu consentimento, quando está ação for indispensável e necessária à execução, pela administração e políticas públicas previstas em leis ou regulamentos, conforme artigo 11, inciso II, b, LGPD. Entre outras formas sempre remetendo ao interesse público (RODOTÀ, 2008, p. 90).
Sendo este último caso dispensável o consentimento do titular dos dados sensíveis, tanto genérico quanto específico, já que perante à lei e aos interesses públicos, esta permissão não se faz necessária. Pode-se indagar críticas a este posicionamento legislativo, considerando que o sigilo de dados pessoais sensíveis e fundamental para o os Direitos Fundamentais do cidadão, como igualdade, liberdade e privacidade.
3 A Venda de Dados Sensíveis e o INSS
Em recentes notícias propagadas pelos meios de veiculação de informações, tem-se que os bancos acessam os dados do Instituto Nacional do Seguro Social, INSS, e bombardeiam os idosos com ofertas para empréstimo consignado (PEREIRA, 2019, s.p).
Desse modo, tem-se que enquanto não entram em vigor leis mais rígidas concernentes ao oferecimento do crédito consignado, o assédio por parte dos bancos e das financeiras a idosos aposentados e pensionistas continua a ocorrer, com a oferta do empréstimo.
No final de 2018, 28 de dezembro, a instrução normativa nº 100 do Instituto Nacional do Seguro Social determinou que os bancos só podem entrar em contato com os aposentados e pensionistas do INSS para a oferta de crédito consignado depois de 180 dias da concessão do benefício, normativa esta que entrou em vigor no dia 31 de março deste ano (PEREIRA, 2019, s.p).
Em nota enviada ao Jornal “O Município” da cidade de Brusque em Santa Catarina, o INSS dispõe que “nenhum órgão, empresa ou pessoa física, tem autorização para efetuar qualquer atividade de marketing ativo, oferta comercial, propostas ou firmar contrato de empréstimo pessoal com pagamento mediante desconto direto no benefício em nome do INSS” (INSS, 2019, s.p).
O presidente do INSS, que assumiu o cargo em janeiro deste ano, reconhece que há uma falha no sistema, ou seja, há o vazamento de dados utilizados para a concessão de crédito consignado. Renato Rodrigues Vieira, que é procurador, alude que o órgão criou uma força-tarefa para apontar e punir os responsáveis pelos vazamentos de dados (O SUL, 2019, s.p). Neste tocante, “o INSS informa que, em parceria com a Dataprev, começou há algumas semanas um processo para identificar todas as fragilidades dos fluxos internos de informação e procedimentos. O objetivo é identificar vazamento de informações sigilosas de segurados, que acarretam em assédio comercial e seu uso indevido” (INSS, 2019, s.p.).
A Dataprev, Empresa Pública de Tecnologia e Informações da Previdência, responsável pela segurança de dados previdenciários foi notificada pelo Instituto de Defesa do Consumidor (IDEC), solicitando o cancelamento das licitações para contratações de serviços de reconhecimento facial e impressão digital até que sejam resolvidos os vazamentos de dados sensíveis (VAZ, 2019, s.p.).
Segundo o órgão, essa prática de vazamento de dados não é algo de agora e sim ocorre há anos como fraude para assédio de ofertas de crédito consignado. Trinta e cinco milhões de brasileiros têm seus dados pessoais administrados pela empresa, de acordo com o Instituto de Defesa do Consumidor (VAZ, 2019, s.p.).
O objetivo destas contratações de novas tecnologias é não haver a obrigatoriedade de o beneficiário comparecer nas agências bancárias e Previdência Social para realizar a prova de vida, ajudando assim àqueles com dificuldades de locomoção. Mesmo vendo a implementação da tecnologia como benéfica ao previdenciário, o Idec alega que o alto risco de vazamento de dados sensíveis inviabiliza o processo de licitação (IDEC, 2019, s.p). Conforme argumenta Diogo Moyses, coordenador do programa de Telecomunicações e Direitos Digitais do Idec. “Não é razoável que se implemente uma tecnologia que utilize dados sensíveis sem que o cidadão tenha segurança de que esses dados serão tratados de forma segura e não serão vazados para empresas que possuem práticas abusivas ou mesmo ilegais. É uma questão de responsabilidade com os dados dos consumidores que, tudo indica, está sendo desprezada” (IDEC, 2019, s.p.).
Uma reportagem do site BandnewsFM aponta a venda ilegal de lista de aposentados e histórico de crédito de consignado, trazendo o caso da beneficiária Lia, que não havia nem começado a receber o benefício e já estava na lista de ofertas de crédito dos bancos. A beneficiária trouxe à baila que “estava no interior em um velório e começaram a me ligar de números diferentes, SMS, mandando negócios de empréstimo. Está liberado seu empréstimo. Aí eu liguei para a minha amiga contadora, pedi para ela ver direitinho. Achei que saiu o benefício” (BANDNEWSFM, 2019, s.p.).
Segundo matéria investigativa do site Gaúcha ZH, Dados pessoais de idosos estão à venda em grupos de aplicativos de mensagens, evidenciando que a compra de contatos por um mercado paralelo é uma forma rápida de conseguir novos contratos. A reportagem entrou em seis grupos de conversas de corretores, sendo possível ver como as transações são feitas. “Super promoção. Saiu listagem Siape (servidores federais) folha de maio de 2019. São mais de dois milhões de registros. De R$ 350 por apenas R$ 149,99. Mas é só hoje”, anunciou um telefone do Espírito Santo no grupo Tops Consignados (GAUCHAZH, 2019, s.p.). Segundo a reportagem, encontram-se nos grupos, também, corretores que não compactuam com estas ações ilegais, chamando colegas de “pilantras”, “fraudadores”, “caloteiros”, entre outros (GAUCHAZH, 2019, s.p.).
Apesar das denúncias feitas no ano de 2019, o processo de venda e manipulação de dados sensíveis do INSS não é um fato tão recente assim. O jornalista Lúcio Vaz, do jornal Gazeta do Povo relata no ano de 2017 o acesso de financeiras ao banco de dados do INSS com intuito de oferecer empréstimos à aposentados. Segundo relatos feitos à reportagem por funcionários de corretoras mostram como são produzidas as listas de contatos, com o nome, CPF, endereço, telefone, número e valor do benefício do segurado. Estas empresas usam brechas na segurança dos bancos de dados, ou compram em mercados negros de dados (VAZ, 2019, s.p.).
Na mesma matéria, o jornalista faz contato pessoalmente com uma corretora de Brasília. Segundo a gerente da empresa “qualquer pessoa que trabalha no ramo tem acesso a informações. Comprar não é ilegal. Quem vende e como consegue, eu não sei”, e após a insistência do jornalista nas irregularidades, complementa: “Se eles estão vendendo, se está na internet… A gente recebe mailings de tudo que é jeito, por e-mail, dentro do próprio banco” (VAZ, 2019, s.p).
Em conversa com funcionário de outra empresa corretora, percebe-se como são organizadas as listas por data de início da aposentadoria, “um dos campos é data de início do benefício. Por exemplo, de 1º de maio a 31 de maio. Eu quero clientes que não tenham nenhuma parcela ativa.” O que explica o contato com o cliente mesmo antes da divulgação do benefício, “a partir do momento em que a pessoa se aposenta, até antes mesmo do próprio aposentado, ele já está mandando carta, mensagem” (VAZ, 2019, s.p).
Percebe-se o fácil acesso a dados pessoais e, mormente, sensíveis, dos aposentados via banco de dados do INSS. Empresas de crédito possuem várias alternativas para conseguirem os dados de novos contatos, apresentando um mercado de compra e venda que funciona de modo livre e a parte das leis. Mostrando haver uma afronta descabida aos direitos personalíssimos dos aposentados.
Conclusão
Consoante explanado, no ano de 2018 criou-se a Lei Geral de Proteção dos Dados Pessoais, com o intuito de proteger dados físicos e virtuais dos cidadãos brasileiros. Sendo protegido por lei a intimidade, privacidade, honra, imagem, liberdade de expressão e comunicação, autodeterminação informativa e livre desenvolvimento da personalidade e etc. (BRASIL, 2018), conforme os artigos 1º e 2º.
Os dados pessoais sensíveis são conforme a LGPD a “origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural” (BRASIL, 2018), conforme o artigo 5º, inciso II da lei em epígrafe. Desde a sua implementação a Lei possui importante fundamentação sobre consentimento do titular autorizando o tratamento dos seus dados pessoais, podendo ocorrer somente mediante manifestação livre, informada e inequívoca. Sendo dispensável somente em caso de solicitação pela administração e políticas públicas previstas em leis ou regulamentos.
Dito isto, o presente artigo apresenta uma grande manobra ilegal, um intenso mercado de compra e venda de informações, que ocorre paralelamente a Lei de Geral de Proteção dos Dados Pessoais e favorece empresas financeiras para a abordagem massiva de divulgação de operações de crédito consignado, neste caso com o público específico dos recém aposentados.
O caso de venda de dados pessoais sensíveis que se encontram no sistema do INSS, demonstra uma ausência de controle e segurança nos bancos de dados, e, também, a ação planejada do comércio ilegal de informações. É nítido o descaramento sobre a pressão imposta de empresas financeiras sobre pessoas recém aposentadas, acontecendo em muitos casos, da corretora ser informada da liberação do benefício antes do que o próprio beneficiário. Um comércio negro, mas que não age totalmente na escuridão. A fácil busca por oferta de dados pessoais expõe um grande problema a ser resolvido por órgãos responsáveis e leis de proteção aos dados pessoais, principalmente no que se refere aos dados de cunho personalíssimo.
Referências
BANDNEWS FM. Após dados pessoais, BandNews FM revela venda de lista de aposentados e histórico de consignado. 2019. Disponível em: http://www.bandnewsfm.com.br/2019/04/20/apos-revelar-venda-de-dados-pessoais-bandnews-fm-mostra-negociacao-de-lista-de-aposentados-e-historico-de-consignado/. Acesso em: 03 de outubro de 2019.
BRASIL. Constituição (1988). Constituição da República Federativa do Brasil. Brasília, DF: Senado, 1988.
BRASIL. Lei nº 12.414, de 2011. Disponível em: https://www.bcb.gov.br/nor/relcidfin/docs/art11_cadastro_positivo.pdf Acesso em: 03 de outubro de 2019.
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm. Acesso em: 03 de outubro de 2019.
BRASIL. Lei nº 13.853, de 8 de julho de 2019. Disponível em: http://www.planalto.gov.br/ccivil_03/_Ato2019-2022/2019/Lei/L13853.htm#art1. Acesso em: 03 de outubro de 2019.
DONEDA, Danilo. Da privacidade à proteção de dados. Rio de Janeiro: Editora Renovar, 2005.
GAUCHAZH. Dados pessoais de idosos estão à venda em grupos de WhatsApp. 2019. Disponível em: https://gauchazh.clicrbs.com.br/grupo-de-investigacao/noticia/2019/06/dados-pessoais-de-idosos-estao-a-venda-em-grupos-de-whatsapp-cjx128aim00gj01mvcvnwua9n.html. Acesso em: 03 de outubro de 2019.
GAZETA DO POVO. Financeiras acessam dados sigilosos de aposentados para empurrar empréstimos. 2019. Disponível em: https://www.gazetadopovo.com.br/vozes/lucio-vaz/financeiras-acessam-dados-sigilosos-de-aposentados-para-empurrar-emprestimos/. Acesso em: 03 de outubro de 2019.
MORAES, Maria Celina Bodin de. Apresentação. In: RODOTÁ, Stefano. A vida na sociedade de vigilância: privacidade hoje. Rio de Janeiro: Renovar, 2008.
MULHOLLAND, Caitlin. Dados pessoais sensíveis e a tutela de direitos fundamentais: análise à luz da lei geral de proteção de dados. Disponível em: file:///C:/Users/altamir/Downloads/1603-4931-1-PB%20.pdf. Acesso em: 03 de outubro de 2019.
O SUL. O INSS admitiu que os dados de recém-aposentados podem ter vazado. 2019. Disponível em: http://www.osul.com.br/o-inss-admitiu-que-os-dados-de-recem-aposentados-podem-ter-vazado/. Acesso em: 03 de outubro de 2019.
PEREIRA, Brenda. Bancos têm acesso aos dados do INSS e bombardeiam moradores de Brusque e região com ofertas. 2019. Disponível em: https://omunicipio.com.br/bancos-tem-acesso-aos-dados-do-inss-e-bombardeiam-moradores-de-brusque-e-regiao-com-ofertas/. Acesso em: 03 de outubro de 2019.
RODOTÀ, Stefano. A vida na sociedade de vigilância: privacidade hoje, Rio de Janeiro: Renovar, 2008.
ZANATTA, Rafael. A Proteção de Dados entre Leis, Códigos e Programação: os limites do Marco Civil da Internet. Em: De Lucca, N., Simão Filho, A., Lima, C. Direito e Internet III: Marco Civil da Internet. São Paulo: Quartier Latin, 2015.
[1]Pós-Graduanda do curso de Direito Ambiental do Centro Universitário Internacional (UNINTER); Bacharel em Direito pela Faculdade Antonio Meneghetti (AMF); Acadêmica do Técnico em Meio Ambiente pelo Instituto Federal de Educação, Ciência e Tecnologia Sul-rio-grandense (IFSul);
[2] Bacharel em Direito pela Faculdade Antonio Meneghetti (AMF);