Senacon pede explicações a Rappi e Cadastro Positivo apresenta falhas

Sem categoria

Mais dois casos que envolvem vazamentos de dados no Brasil foram divulgados recentemente. Quanto mais a implantação da LGPD (Lei Geral de Proteção de Dados Pessoais) se aproxima, mais a fiscalização se torna incisiva e mais casos vem à tona.

Desta vez os denunciados foram a empresa de delivery Rappi, que precisará comprovar como trata os dados pessoais dos clientes e o Cadastro Positivo, que a pouco começou a funcionar no Brasil, e já apresenta falha que pode levar à exposição de dados do usuário.

Entenda melhor os dois casos ocorridos no texto abaixo.

Caso Rappi

Recentemente a Secretaria Nacional do Consumidor (Senacon), órgão vinculado ao Ministério da Justiça, notificou a empresa de delivery Rappi. O órgão governamental busca descobrir quais são as operações de tratamento executadas e se esse tratamento possui o consentimento dos titulares dos dados.

A notificação foi motivada por uma notícia publicada pela Reuters, na publicação a agência de notícias afirma que a Rappi está coletando dados sobre clientes e vendas, mas não transfere estes dados aos comerciantes vinculados ao seu sistema. A Rappi tem o prazo de 10 dias para responder os questionamentos.

A secretaria busca saber se há alguma violação ao Código de Defesa do Consumido (CDC) e se é necessário instaurar um processo administrativo sancionador. Confira alguns questionamentos que a Rappi deverá esclarecer:

“a) Essa entidade obtém o consentimento do consumidor para que possa fazer operações de tratamento de seus dados? Em caso positivo, para quais fins esse tratamento é realizado (publicidade direcionada de produtos e/ou serviços ou outros)?

Em caso positivo, explicitar de que forma esse consentimento é obtido, contextualizando a obtenção desse consentimento no procedimento de adesão do consumidor ao ecossistema do aplicativo, com exposição das janelas e caixas de diálogo em que são inseridos os termos desse consentimento.

Ainda, deverá a empresa demonstrar como esse consentimento se encontra em conformidade no que se refere ao Marco Civil da Internet, especialmente quanto aos arts. 7º, incs. VII, VIII, IX e XI e quanto ao modo pelo qual o consumidor é informado a respeito disso.

b) Ainda, em sendo o caso, quais operações de tratamento de dados essa entidade executa? Há fornecimento de dados de consumidores para outras entidades? Para quais finalidades e para quem essa entidade executa operações de tratamento de dados de consumidores? Por fim, demonstrar como se dá o atendimento do legítimo interesse nas operações de tratamento”.

Caso Cadastro Positivo

O Ministério Público do Distrito Federal (MPDFT) está investigando uma vulnerabilidade nas pesquisas do Cadastro Positivo que está expondo dados pessoais dos usuários.

O termo utilizado na investigação está sendo chamado de “possível vulnerabilidade exposta” que é usado quando há a possibilidade de obtenção de informações sensíveis por pessoas mal-intencionadas.

Ao consultar um CPF, a falha no sistema expõe junto o nome e sobrenome do titular do CPF consultado e a junção desses dois dados permite localizar usuários e obter mais informações sobre eles em diversos outros sites como Justiça Eleitoral e Receita Federal.

Em nosso país o Banco Central autoriza quatro birôs como gestores desse tipo de dados pessoais, são eles Serasa, Boa Vista SCPC, SPC Brasil e Quod. A Unidade Especial de Proteção de Dados e Inteligência Artificial (Espec) está monitorando as vulnerabilidades nessas plataformas.

Lembre-se que o Cadastro Positivo mostra informações que identificam o perfil de um pagador, dando a ele uma nota chamada de “score”, essa nota é calculada com base nas operações de crédito e outros fatores como empréstimos bancários, financiamentos imobiliários e contas do dia a dia como água e luz, por exemplo.

Na investigação o MPDFT reforça que o Boa Vista SPC é um gestor dos dados e conforme a Lei do Cadastro Positivo possui responsabilidade objetiva e solidária por eventuais danos materiais e morais que os usuários cadastrados em suas plataformas sofrerem.

A implantação da LGPD no Brasil acontecerá em agosto deste ano e as empresas que não estiveram alinhadas poderão sofrer sanções que podem chegar a 50 milhões de reais. Se você tem alguma dúvida sobre a Lei e como sua empresa deve se preparar para estar em compliance, entre em contato com nossa equipe comercial.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *