Ilustração: Rodrigo Bento/The Intercept Brasil
SE VOCÊ É BRASILEIRO e tem um CPF, provavelmente seus dados pessoais estão à venda em fóruns na deep web para qualquer um que tenha bitcoins suficientes para comprá-los. Tem de tudo: informações de trabalho, salário, histórico de pagamentos, fotos, perfil em redes sociais, perfil de consumidor e mais um monte de coisas.
No maior vazamento de dados que se tem notícia por aqui, alguém teve acesso a uma base de dados de 222 milhões de brasileiros (incluindo mortos) e está ganhando dinheiro com a venda dessas informações. Elas incluem, além do que mencionei, também dados comportamentais das pessoas, classificadas em perfis que vão de “consumidores indisciplinados” a “aposentadoria dos sonhos”. Essas categorias são criadas pelo serviço Mosaic, da Serasa Experian, que faz a segmentação do público para fins de marketing. É por isso que se suspeita que tenha sido a empresa a origem do vazamento – ou de pelo menos parte dele. Ela nega.
Questionada, a Serasa me mandou a mesma nota protocolar que enviou a outros veículos: “conduzimos uma extensa investigação e neste momento nenhum dos dados que analisamos indicam que a Serasa seja a fonte. Muitos dos dados analisados incluem elementos que não temos em nosso sistema e os dados atribuídos à Serasa não correspondem aos dados em nossos arquivos”.
Ok. A minha pergunta, no entanto, não foi respondida: a base de dados inclui a classificação comportamental do serviço Mosaic, oferecido pela Serasa. Ainda assim, a Serasa nega que tenha sido a fonte. Que outras empresas e serviços, então, têm acesso à base de dados da Serasa? A Serasa comercializa ou cede essa base para terceiros?
A Serasa respondeu outra coisa: afirmou que não há correspondência entre as pastas na web e os campos de seus bancos de dados e que a base vazada inclui elementos que não estão em seu sistema. Mais tarde, enviou uma terceira nota afirmando que o vazamento ter tido como fonte a Serasa é “infundada”. A minha pergunta sobre quem teve acesso às informações do Mosaic não foi respondida.
Enquanto espero, vou contar como a gigante do crédito conseguiu acumular todas as informações possíveis sobre todos os brasileiros e transformar isso em um império de dados, com um apoio generoso dos governos Temer e Bolsonaro. Essa ajuda tem um nome: Cadastro Positivo.
Sem a sua ajuda o Intercept não existe
Atenção
Sem a sua ajuda o Intercept não existe
A SERASA EXPERIAN é uma das empresas que operam como data brokers – vendedores de dados – cujo modelo de negócio se baseia na coleta, análise e venda de informações sobre as pessoas. Você certamente a conhece por causa do cadastro negativo, aquele em que somos colocados se não pagarmos uma conta. Mas provavelmente não sabe que ela conhece muito mais segredos sobre você além dos seus boletos atrasados. Com diferentes bases de dados de diferentes fontes, cruzadas, a Serasa consegue fazer análises de crédito, de perfis de consumidores e traçar estratégias para expandir negócios de empresas. No ano final de 2020, a empresa foi investigada por colocar à venda um mailing com dados de 150 milhões de brasileiros. Cada pessoa custava R$ 0,98 na lista, que poderia ser personalizada com dados como localização, perfil financeiro, poder aquisitivo e classe social dos contatos à venda.
Desde 2019, o volume de informações que a Serasa e outros data brokers coletam saltou consideravelmente. Com a aprovação das mudanças no Cadastro Positivo, todos nós fomos obrigados a entrar no enorme catálogo de brasileiros que visa mostrar aos bancos e outros operadores de crédito quem são os bons – e os maus – pagadores do país. O Cadastro Positivo foi criado em 2011 por Dilma Rousseff – mas, na época, ele era no sistema opt in. Se você costumava ter as contas em dia, podia pedir para entrar, concordava em ceder seus dados bancários e de transações financeiras e isso, em tese, facilitaria o seu acesso a crédito (como se o superendividamento não fosse um problema no Brasil, mas essa é outra história). Mas o Cadastro Positivo voluntário teve pouca adesão (por que será?).
Em 2017, no entanto, um projeto de lei do Senado propôs mudar esse sistema: ele tornaria o cadastro compulsório – todos os brasileiros com CPF seriam automaticamente incluídos nele. Quem quisesse, precisaria pedir para sair. O projeto foi apoiado ostensivamente pelo governo Temer e pelos bancos, que argumentavam que ele ajudaria a reduzir os juros e facilitar o acesso a crédito. Na época de sua tramitação, o projeto já levantava críticas por concentrar muitos dados nas mãos de poucas empresas, os chamados birôs de crédito (o Serasa e o SPC estão entre eles) e por oferecer riscos potenciais à privacidade dos consumidores.
Mas a pressão do setor bancário foi forte: a Febraban, a federação que representa os bancos, condicionou a redução dos juros cobrados ao consumidor (e seus lucros) à aprovação do Cadastro Positivo. Também entrou com afinco na discussão da Lei Geral de Proteção de Dados, que seria estorvo para o Cadastro Positivo. Em uma carta aberta, a Febraban alegou que a LGPD iria, na prática, “extinguir” o cadastro de crédito e reduzir a oferta de dinheiro no mercado. No fim, a LGPD acabou aprovada e sancionada com a “proteção ao crédito” entre as finalidades previstas para uso de dados pessoais – algo único no mundo. Assim, os dados poderiam ser recolhidos sem o consentimento do usuário.
Em 2019, o caminho estava finalmente aberto para a sanção do Cadastro Positivo, assinado por Bolsonaro em abril de 2019. Naquele ano, o governo autorizou empresas a criarem o banco de dados com informações pessoais e hábitos de pagamento de todos os brasileiros, alimentado por faturas de cartão de crédito e contas, disponível para ser consultado por comércios e empresas financeiras. O histórico é usado para compor o score de crédito, a nota dada pelos birôs de crédito para classificar as pessoas como bons ou maus pagadores.
“A cada momento que o usuário pagar a prestação, essa conta e o score serão atualizados e vinculados ao seu histórico”, disse na época Vanessa Butalla, diretora jurídica da Serasa Experian, ao Estadão. “O cadastro pode beneficiar 130 milhões de pessoas, incluindo 22 milhões que estão hoje fora do mercado de crédito”, comemorou o secretário Especial de Produtividade, Emprego e Competitividade do Ministério da Economia, Carlos da Costa.
‘Me pergunto: quem teria motivos e legitimidade para ter tanta informação sobre tanta gente?’
Com a aprovação do Cadastro Positivo, o governo também deu o sinal verde para os birôs de crédito engordarem suas bases com todos os brasileiros. Em um decreto de julho de 2019, Bolsonaro criou as regras para atuação das empresas responsáveis por coletar e analisar os dados usados para criar o Cadastro Positivo. Patrimônio líquido de R$ 100 milhões e avisar as autoridades em casos de vazamentos são duas delas. Quatro data brokers se qualificaram para operar os bancos de dados: Serasa, SPC Brasil, Boa Vista e Quod, uma empresa criada pelos cinco principais bancos só para isso.
Apesar de a lei do Cadastro Positivo ser rígida sobre que tipo de informação pode ser vendida – só o score, ou seja, a nota final –, ter um cadastro com todos os brasileiros, que inclui o perfil de consumo, dá a essas empresas um poder imensurável sobre os cidadãos. Elas combinam o cadastro com outras informações, que podem incluir até perfis de redes sociais, e escolhem quem pode ou não alugar um apartamento, conseguir um empréstimo, passar em um processo seletivo. Também têm informações de consumo muito valiosas para qualquer departamento de marketing. E têm uma responsabilidade imensa, já que dados como endereço, salário, histórico de pagamentos podem ser devastadores nas mãos de criminosos.
Chegamos a 2021. E o que aconteceu? O megavazamento. Uma dessas bases de dados está à venda para possíveis criminosos. Na época da discussão do Cadastro Positivo, a possibilidade disso acontecer foi levantada mais de uma vez, mas o governo, os bancos e as empresas interessadas garantiriam que todo o sistema seria seguro. Não é, como provou o vazamento classificado por Bruno Bioni, diretor da ONG Data Privacy Brasil, como o “mais lesivo do Brasil“. Não se sabe exatamente de onde partiu o vazamento, mas está claríssimo que veio de alguma empresa que retém essa enormidade de informações.
Nenhum comentário:
Postar um comentário