Como a LGPD pode ajudar a combater spam? (Primeira fase de uma 'experiência')
8 Jul 2021 · Tempo de leitura: 14 minuto(s)O problema
Um dos desafios mais antigos à nossa presença no mundo digital é o spam. São aqueles e-mails indesejados com promoções, “oportunidades imperdíveis”, notícias, cobranças e muito, mas muito lixo eletrônico. A maior parte das mensagens de spam é golpe: basta um clique errado e as consequências podem ser dramáticas.
Mas há entre essas mensagens algumas, bem poucas, de empresas legítimas, que por alguma razão conseguiram seu e-mail. Acreditando que “o que está na internet é público”, essas empresas fazem o possível para comprar gigantescas bases de dados de seus parceiros comerciais, muitas já com segmentação bem refinada, como “e-mails de funcionários do Banco do Brasil”, “e-mails de aposentados endividados” e outras categorias que não se sabe como foram criadas. Tais bases são verdadeiros ativos comerciais: sabe-se que são compradas e vendidas, e é bem possível que possam inclusive ser usadas para substituir moeda viva em certas transações (acordos comerciais, parcerias, pagamento de dívidas etc.).
De posse dessas bases de dados, e confiando em que essas bases de dados tenham sido classificadas e categorizadas de modo correto, empresas disparam campanhas massivas de publicidade a custo baixíssimo. O problema: o uso e compartilhamento indiscriminado dessas bases dificilmente conta com amparo legal, especialmente depois de ter entrado em vigor a Lei Geral de Proteção de Dados (LGPD).
A hipótese
Sabendo disso, é possível bolar uma estratégia para melhorar nossa presença no mundo digital. Toda empresa que opera com marketing digital, porque trata dados pessoais em enorme escala, deve ter um encarregado de dados. É obrigação imposta pela Lei Geral de Proteção de Dados (LGPD).
O que aconteceria se localizássemos os sites por trás dos e-mails que nos encaminham spam todos os dias? Será que a atividade dessas empresas está adequada às regras da LGPD? E se lhes encaminhássemos, massivamente, pedidos de confirmação de tratamento? E se, junto com esse pedido, encaminhássemos também pedidos de exclusão? E se, a cada pedido, exigíssemos também algum tipo de prova da exclusão solicitada?
Vale a pena fazer o teste.
Identificação e categorização de nomes de domínio
Entramos em contato com cinco pessoas, que se dispuseram, por meio de um pequeno contrato com cláusula de confidencialidade que proíbe divulgar qualquer detalhe sobre seus nomes ou sobre o conteúdo das mensagens que não sejam classificadas de comum acordo como spam, a franquear acesso às suas caixas postais.
Pactuado o acesso, a primeira etapa consistiu em analisar todas as mensagens das caixas de spam. Para cada mensagem, identificamos o nome de domínio associado ao remetente, e tentamos acessar os sites a eles associados.
Foram encontrados neste processo nomes de domínio que não apontavam para site algum.
Houve ainda outros sites cujos responsáveis estão protegidos por serviços de anonimização. Eles serão tratados numa fase posterior desse processo.
Felizmente no caso dessas cinco pessoas, a maioria dos nomes de domínios apontavam para sites legítimos. Foram encontrados sites de 122 (cento e vinte e duas) empresas das seguintes categorias:
- grandes empresas do varejo;
- lojas de departamentos;
- lojas de materiais de construção;
- mercados e supermercados;
- bancos;
- lojas de cosméticos;
- prefeituras e órgãos da administração direta municipal;
- instituições de pagamento;
- empresas de telecomunicações;
- concessionárias de veículos;
- farmácias e drogarias;
- operadoras de planos de saúde;
- sindicatos;
- empresas do ramo de energia e combustíveis;
- serviços de streaming;
- aplicativos diversos;
- muitos, mas muitos sites de escritórios de cobrança (“recuperação de crédito”).
As 122 empresas encontradas representam o acúmulo de todas as empresas remetentes de mensagens. Há entre elas grupos econômicos, subsidiárias, terceirizadas e toda sorte de relacionamento. Para essa “experiência”, entretanto, sempre que possível cada site será tratado de forma autônoma, como se fosse uma empresa independente.
Excluímos dessa base todos os sites de serviços internacionais, que pediriam um exame mais criterioso. As questões de privacidade relativas a estes sites poderão eventualmente ser tratadas numa fase posterior dessa “experiência”.
Em seguida, validamos site por site e aplicativo por aplicativo com as pessoas envolvidas, perguntando se haviam, em algum momento, cedido dados pessoais às empresas por eles responsáveis. Identificamos e retiramos da nossa “experiência” os casos de tratamento legítimo de dados que, por razões diversas, haviam sido classificados como spam.
Quanto aos escritórios de cobrança, checamos se as cinco pessoas envolvidas tinham qualquer dívida em aberto. Pesquisas junto a órgãos de proteção ao crédito e junto ao Registrato, do Banco Central do Brasil (clique neste link externo para conhecer esse serviço), indicavam que ou essas pessoas não tinham qualquer dívida, ou tinham empréstimos sem qualquer inadimplência.
Localização das políticas de privacidade, e identificação dos encarregados de dados
O passo seguinte foi a localização das políticas de privacidade. Caso existissem, seriam analisadas para entender por que meios os titulares de dados poderiam exercer seus direitos de confirmação de tratamento e de exclusão de dados.
A solicitação de confirmação de tratamento e de exclusão de dados precisaria ser encaminhada a um encarregado de dados. A LGPD diz que o encarregado é a pessoa indicada para atuar como canal de comunicação entre o controlador e os titulares de dados; também manda que a identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no site do controlador. O contato do encarregado, portanto, é outro elemento a localizar, junto com as políticas de privacidade.
Os resultados foram surpreendentes.
Mesmo sites de grandes empresas apresentam políticas de privacidade convolutas, complexas, de difícil compreensão. Houve casos, inclusive, de empresas de médio e grande porte cujos sites têm lojas virtuais e não dispõem de política de privacidade.
Viu-se também vários sites em que a política de privacidade orienta titulares a encaminhar suas solicitações aos serviços tradicionais de atendimento. Essa atribuição, além de não corresponder ao que manda a LGPD, sobrecarrega os atendentes dos SAC com mais uma tarefa, tarefa aliás para a qual não foram adequadamente treinados.
Houve ainda os casos de sites que, mesmo sendo de empresas legítimas, não dispõem de qualquer informação de contato. Nesses casos, tentamos rastrear os responsáveis por este nome de domínio usando o seguinte comando:
computador@maquinadeteste: ~$ whois
Sempre que encontrados, os e-mails de contato desses responsáveis foram anotados para encaminhamento de mensagens.
Encaminhamento de solicitações
A etapa inicial da “experiência” termina com o encaminhamento de uma mensagem solicitando confirmação de tratamento de dados e exclusão de dados pessoais. As mensagens enviadas, com os devidos ajustes a cada caso, foram construídas a partir do seguinte texto-base:
Caro(a) sr(a),
tenho recebido desta empresa várias mensagens como a que segue ao final desta correspondência.
Sua página na internet não tem política de privacidade, tampouco a indicação de um encarregado de dados. Por isso, usei um comando whois para localizar e-mail de responsável pelo site, a quem dirijo esta comunicação.
Acontece que não sou, nunca fui, nem pretendo ser cliente desta empresa.
Não sei como vocês conseguiram chegar a meu e-mail. Nunca consenti com esse uso de meu e-mail.
Portanto, no exercício dos meus direitos de titular de dados conferidos pela Lei Geral de Proteção de Dados, solicito desta empresa:
a) que confirme quais dados em seus bancos de dados estão associados ao e-mail (e-mail da pessoa);
b) que indique como conseguiu este e-mail, e quem o transmitiu a esta empresa;
c) que informe quais operações de tratamento são feitas usando meu e-mail (e-mail da pessoa), e com quais finalidades;
d) que explique se meu e-mail (e-mail da pessoa) foi envolvido em qualquer operação de compartilhamento de dados com terceiros, ou transferência internacional de dados.Todas estas respostas devem ser indicadas por esta empresa por meio de declaração clara e completa, que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento.
Prestadas estas informações, exijo que o e-mail (e-mail da pessoa), e quaisquer outros dados relacionados a ele e à minha pessoa, sejam completamente excluídos de seus bancos de dados, e que seja apresentada prova da exclusão solicitada.
Aguardo pronta resposta.
Atenciosamente,
(nome da pessoa)
As mensagens foram enviadas por meio dos e-mails das cinco pessoas participantes. Elas foram orientadas a usar adequadamente o modelo de mensagem acima, e acompanhadas de perto em cada novo envio para ajustar o modelo a cada uma das situações envolvidas.
Como houve casos em que a mesma empresa enviava spam para até cinco das cinco pessoas participantes, o número de solicitações enviadas foi muito maior que as 122 empresas encontradas: foram enviadas 348 solicitações.
No dia 08 de julho de 2021, quando se fechava a redação deste artigo, as respostas das empresas ainda não haviam chegado, mas ainda havia prazo legal para que fossem encaminhadas.
Resultados esperados a médio prazo
A expectativa é que seja encaminhada qualquer resposta aos e-mails das cinco pessoas participantes em até 15 (quinze) dias, seguindo o prazo do art. 19, II da LGPD. Como é da natureza dos pedidos, o que se espera ao final da “experiência” é a exclusão total dos dados das cinco pessoas participantes dos bancos de dados das empresas envolvidas.
Providências diversas serão tomadas, sempre a depender da resposta.
Caso as empresas apresentem adequadamente os dados de que dispõem, e apresentem também prova da exclusão, estas evidências serão guardadas no próprio e-mail para referência futura.
Não foi descartada da “experiência” a hipótese de as empresas não responderem nada. Neste caso, as cinco pessoas participantes já pretendem encaminhar reclamações à Autoridade Nacional de Proteção de Dados (ANPD), como autoriza a LGPD, e não descartam a hipótese de judicializar o que considerarem necessário.
Há também a possibilidade de as empresas não responderem adequadamente. Neste caso, mais tempo será dedicado a cada situação, sempre na tentativa de fazer valer os direitos de confirmação de tratamento e de exclusão de dados.
Resultados imediatos
Além desses resultados de médio prazo, há outros que já se pode verificar.
Desvio produtivo do consumidor
Um primeiro resultado foi evidenciar o tempo necessário para a operação.
Um analista experiente, apto a identificar rapidamente nomes de domínio e a vasculhar rapidamente sites em busca de políticas de privacidade e contatos de encarregados de dados, demorou 17 (dezessete) horas para preparar a lista de contatos referente à caixa postal mais afetada por spam , e 12 (doze) horas para fazer o mesmo processo na caixa postal menos afetada. Um usuário de e-mail sem treinamento poderá demorar duas a três vezes mais.
O envio das mensagens, considerando o corta-e-cola do texto padrão e as adaptações necessárias a cada caso, levou outras 10 (dez) horas. Novamente, este é o tempo empregue por uma analista treinado e experiente; um usuário comum de e-mail, sem treinamento, poderá demorar duas a três vezes mais.
Nas duas situações, ainda não foi computado nem o tempo gasto com a leitura das respostas, nem o tempo mobilizado pelos encaminhamentos que delas decorrerão.
Até o momento, pode-se computar, ainda sem o tempo das respostas, o seguinte dispêndio de tempo nessa primeira fase da “experiência”:
- entre 22 (vinte e duas) a 27 (vinte e sete) horas gastas por um analista treinado;
- conjecturando em torno da hipótese do dobro de tempo que um usuário sem treino levaria para os mesmos procedimentos, o tempo mobilizado subiria para algo entre 44 (quarenta e quatro) a 54 (cinquenta e quatro) horas;
- se partirmos da hipótese do triplo do tempo para um usuário sem treino, os mesmos procedimentos lhe tomariam entre 66 (sessenta e seis) a 81 (oitenta e uma) horas.
Se levarmos em conta a jornada de trabalho de 44 (quarenta e quatro) horas como parâmetro, um trabalhador afetado pela praga do spam perderia entre uma a duas semanas de trabalho se resolvesse dedicar-se a fazer essa “experiência” de detox digital.
Este é um caso bem nítido de desvio produtivo do consumidor.
Se o consumidor não ocupar seu tempo com essa tarefa, poderá inclusive ser confundido com devedores homônimos, ou que usam seus e-mails irregularmente.
Se o consumidor dedicar seu tempo a essa tarefa – digamos, enviando uma mensagem por dia – poderá demorar até um ano somente nessa fase inicial. Enquanto isso, existe a possibilidade de novos spam serem enviados, novos cadastros irregulares serem feitos etc.
Embora a participação individual das mensagens de cada empresa seja pequena, cada uma contribui com a soma dos tempos totais. O assunto poderá ser objeto de novas publicações.
Falhas na adequação à LGPD
A análise dos sites das 122 empresas envolvidas apresentou algumas situações que gostaríamos de comentar, sem dar nomes para não comprometer o anonimato necessário a essa “experiência”.
O caso mais gritante é o de uma empresa do ramo de combustíveis que apresenta uma política de privacidade fragmentada por segumentos, de difícil acesso por visitantes. Para piorar, como se trata de uma transnacional, essa mesma política remete a uma “política de seu país”, que não se encontra em lugar algum do site. Ao buscar contatos de encarregados de dados, é apresentado o contato de um encarregado de dados da empresa fora do Brasil, e também um link para reclamações junto à autoridade nacional de dados do país onde está sediada a matriz da empresa.
Houve também casos, inclusive já comentados por alto, de sites de grandes empresas do setor bancário que apresentam uma política de privacidade bem redigida, mas que orientam os titulares de dados a encaminhar suas solicitações ao serviço de atendimento ao consumidor. Tais empresas parecem ter sido mal orientadas, pois a LGPD é explícita: “a identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador” (art. 41, § 1º), e “as atividades do encarregado consistem em aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências” (art. 41. § 2º, I). Por maior boa vontade que um atendente de SAC tenha com titulares e suas solicitações, e por mais qualificado que tenha sido seu treinamento, esses atendentes são uma barreira desnecessária entre os titulares e os encarregados.
Houve ainda casos, infelizmente muitos, em que as políticas de privacidade protegem direitos dos consumidores com quem as empresas mantém relação contratual, mas nada dizem quanto aos direitos de titulares de dados que não sejam consumidores. Pior: houve casos em que tais empresas facultavam apenas a seus consumidores encaminhar solicitações referentes a seus dados. Na “experiência” que fizemos, nenhuma das cinco pessoas manteve qualquer relação com uma dessas empresas, e mesmo assim recebia mensagens como se fosse usuária de seus serviços. Noutro caso, referente a um banco, uma das pessoas recebeu vários e-mails com informações sobre a chave PIX de algum cliente que com certeza informou o e-mail errado à empresa. Para piorar, esse caso foi precisamente o de uma das empresas que não apresenta imediatamente os meios de contato do encarregado de dados, mas sim o encaminhamento ao SAC – e o menu telefônico apresenta apenas orientações aos clientes.
Por último, houve casos, infelizmente ainda muito frequentes, de empresas que tratam dados diretamente, mas nem apresentam política de privacidade em seus sites, nem apresentam contato do encarregado de dados.
Destacamos apenas os casos complicados porque os bons exemplos foram muito poucos. Existem, mas ainda são exceção, fruto do esforço dos profissionais do ramo da proteção de dados em apresentar boas soluções para garantir o tratamento adequado e legítimo de dados pessoais.
Conclusões provisórias
Os resultados imediatos já permitem chegar a conclusões provisórias dessa “experiência”.
A primeira: o spam pode, e a nosso ver deve, ser tratado no marco regulatório previsto pela LGPD, que mostra, assim, mais uma de suas potencialidades.
A segunda: o spam causa desvio produtivo do consumidor. Empresas poderão justificar seus próprios erros dizendo que “houve erro de algum consumidor nosso ao inserir dados em nossa plataforma”, por exemplo, mas é delas a responsabilidade de checar e validar constantemente suas próprias bases de dados. Ou o fazem, ou poderão sofrer num futuro próximo com penalidades impostas pela Autoridade Nacional de Proteção de Dados (ANPD), e mesmo com condenações judiciais. Deveria servir-lhes de alerta a condenação da construtora Cyrella, em setembro de 2020, a indenização de R$ 10 mil por danos morais causados por violação da LGPD, além de multa de R$ 300,00 por cada novo contato indevido; mas parece que o alerta encontrou ouvidos de mercador. (Em publicações futuras voltaremos ao tema da checagem e validação de dados de consumidores, e de seus efeitos jurídicos.)
A terceira: mesmo grandes empresas, muito reputadas no mercado, ainda têm falhas severas em suas políticas de privacidade e proteção de dados pessoais. Como a cultura de proteção de dados ainda é muito recente no Brasil, talvez ainda demore para que bons padrões e boas práticas a esse respeito sejam criados e difundidos, mas este é um caminho sem volta. Enquanto isso, tudo indica que a ANPD e o Judiciário ainda terão muito trabalho.
Como a “experiência” só será encerrada com a exclusão definitiva dos dados dessas cinco pessoas, em breve serão publicados novos resultados.