Topo

"Dados captados por farmácia são os que mais me preocupam"; entenda o risco

O cruzamento de dados de CPF com medicamentos comprados e a recorrência entregam parte da sua vida - EBC
O cruzamento de dados de CPF com medicamentos comprados e a recorrência entregam parte da sua vida Imagem: EBC

Bárbara Therrie

Colaboração para Tilt

09/06/2021 04h00

Você vai à farmácia comprar um remédio e o atendente pede seu CPF para checar se tem desconto. O que você faz? Possivelmente informa o número —não vai perder a oportunidade de economizar, claro. Embora pareça banal, mas por trás disso aparece uma espécie de chantagem feita para conseguir seus dados pessoais e este não é um debate abstrato: já existem empresas condenadas por usar maliciosamente nossas informações.

Esse foi um pedaço da conversa que Tilt levou para o primeiro dia de debates no TDC (The Developer's Conference), maior evento relacionado à tecnologia da informação no Brasil, na terça-feira (8). Durante participação no painel "Dado não é só senha: as novas fronteiras da privacidade", Carlos Affonso de Souza, diretor do ITS Rio (Instituto de Tecnologia e Sociedade), disse:

Isso gera um incentivo muito perverso, que é: se você não entregar o seu CPF, você talvez esteja perdendo dinheiro"

Por conta da LGPD (Lei Geral de Proteção de Dados Pessoais), as farmácias estão começando a se atentar a essa questão e algumas estão disponibilizando um termo de consentimento em que o cliente concorda que o seu CPF seja usado para saber se os produtos têm descontos. Mas precisa ficar claro onde os seus dados vão ser usados e com quem serão compartilhados. Com um banco de dados de RH? Ou com o seu plano de saúde? Com o Serasa? Ou serão apagados em seguida? Precisamos saber.

Mesmo com a adoção desse termo de responsabilidade, Souza se diz preocupado, porque as farmácias nem sempre esclarecem o que vai ser feito com o cruzamento de dados como CPF, medicamentos que foram comprados, a data em que a compra foi realizada, a periocidade em que essa compra se repete e com quem isso vai ser compartilhado. Eles podem saber quem tem doenças crônicas, quem pode estar grávida, quem tem algum problema de adição? Como essa informação será usada?

Na opinião de Souza, o brasileiro ainda não tem uma cultura de proteção de dados, acha que esse tipo de coisa é bobagem e que não vai causar danos: "Eu não tenho nada a esconder, minha vida é um livro aberto, façam o que quiser".

"Para essas pessoas, eu digo: então, abram suas pesquisas de busca no Google, vamos ver o que você andou procurando no último ano. Estou interessado especialmente em dúvidas de português, é com SS ou Ç? A pessoa não quer revelar isso porque demonstra um desconhecimento que pode até ser embaraçoso".

O especialista alerta para o fato de que nós nunca pensamos em nós mesmos como uma usina geradora de dados pessoais. "Mas é o que fazemos", diz Souza. "Passamos o dia inteiro explodindo dado pessoal para tudo que é canto quando navegamos na internet".

E não para por aí. Muita gente se engana ao pensar que dados pessoais estão ligados somente à tecnologia e à internet. A verdade é que eles estão à nossa volta a todo momento, quando vamos ao restaurante, ao supermercado, quando saímos de casa com o celular no bolso. Segundo Souza, "tudo é geração de dados", desde financeiros, a consumo e até de deslocamento.

Ainda de acordo com o especialista, precisamos nos preocupar com dados pessoais por uma questão de segurança. Do outro lado sempre terá alguém coletando essas informações, que com maior ou menor ciência nossa, estará acessando esses dados e utilizará para diferentes finalidades.

"Se todo mundo tiver acesso a todos os nossos dados pessoais, essas pessoas podem ser passar por nós, podem contrair empréstimos, podem se comunicar com pessoas que são próximas. Isso é porteira aberta para uma série de fraudes e golpes", diz.

Com tantos dados à solta, é importante saber o que está assegurado pela LGPD (Lei Geral de Proteção de Dados Pessoais). O primeiro ponto a entender é que dado pessoal é aquilo que identifica ou pode identificar uma pessoa, como nome, CPF, endereço, nome dos pais.

A LGPD não trata de dados anonimizados e nem de dados de pessoas jurídicas —dados como segredo de negócios ou o sigilo bancário da empresa estão protegidos por outras leis. Isso quer dizer que todo o volume de dados que você gera pode ser usado e vendido por empresas, cruzado com outros, tratado e analisado, sem necessidade de serem apagados, desde que não esteja associado à sua identidade ou "salvo quando o processo de anonimização ao qual foram submetidos for revertido".

Souza lembra que há casos concretos de que dados anonimizados foram identificados. Nos Estados Unidos, conseguiram reidentificar dados de corridas de táxis.

"Pediram para a associação que guarda o registro de todas as corridas de táxis e limousines de Nova York, a tabela dos deslocamentos, e fizeram estudos sobre o trânsito na cidade. Essa tabela veio sem qualquer identificação de quem era o motorista e de quem foi o passageiro. Tinha dia, hora, latitude e longitude do percurso. Tinha uma coluna muito interessante, deu ou não deu gorjeta. E três números de referência do registro desse carro. Com esses dados, o camarada pegou a tabela e começou a reidentificar as corridas, feito um doido. Foi nos sites de notícias, os paraparazzi que tiram foto de celebridade, e procurou fotos de celebridade entrando em táxis. Marcava o local, via se batia com a latitude e longitude e procurava saber onde as celebridades moravam. Ele fez um mapeamento de corridas e entendeu qual ator ou atriz de Hollywood estava pagando gorjeta. Ele conseguiu expor as pessoas."