Imagine checar a correspondência e notar ter recebido uma carta do Nubank. Escrito a mão, o texto fala sobre as vantagens de ser cliente da instituição e inclui até mesmo uma foto sorridente de alguns dos funcionários da empresa. Uma ação de marketing interessante, sem dúvida, mas há uma questão aqui: você não é cliente Nubank.
Pode parecer uma situação estranha, e efetivamente é, assim como mais um caso de spam, mas para a fintech, se trata de uma estratégia de divulgação e marketing bastante utilizada para angariar novos usuários para os cartões de crédito e outros serviços financeiros. No final da última semana, a prática ganhou certa notoriedade no Twitter depois que o jornalista Bruno Gâmbaro publicou a carta que recebeu na rede social, pedindo explicações públicas ao banco.
Em uma resposta já deletada, o Nubank usava emoticons e um GIF do personagem Joe, da série You, para afirmar ter acesso a bancos de dados e pedia que o possível novo cliente entrasse em contato por mensagem direta. O teor brincalhão, junto com a noção de que o Nubank possuiria acesso a dados que, em teoria, não deveria ter, chamou a atenção dos usuários e deixou muita gente assustada, enquanto tantos outros alegaram ter passado pelo mesmo problema — com direito até a relatos sobre pessoas falecidas há anos recebendo uma carta desse tipo.
–
Siga o Canaltech no Twitter e seja o primeiro a saber tudo o que acontece no mundo da tecnologia.
–
Basta uma pesquisa rápida em redes sociais para notar isso, bem como outras dinâmicas semelhantes. Cartões postais e adesivos também podem ser recebidos por não clientes como um mimo para que eles peçam seu “roxinho”, como o banco chama os próprios plásticos, em uma prática de divulgação que acontece, pelo menos, desde 2018. Até mesmo a nossa editora, Luciana Zaramela, já recebeu uma carta dessas, com direito à imagem dos funcionários e tudo, em um endereço para o qual havia se mudado recentemente, o que apenas torna a situação mais esquisita.
“Eu realmente adorei a comunicação usada na carta, a foto da equipe e tudo mais. O problema dessa ação é que ela cruza a linha da privacidade quanto entra em contato com a pessoa sem que isso fosse autorizado”, explica o jornalista. Ele afirma ter pedido mais explicações publicamente ao banco, enquanto sua postagem original viralizava e motivava a publicação de novos relatos. Ao longo do dia, o Nubank o respondeu de forma genérica, sem especificar exatamente a origem dos dados que levaram ao envio da correspondência.
A resposta para a grande pergunta feita pelos usuários mostra que sua privacidade não está assim tão protegida quanto você imaginava. Segundo o Nubank, também em postagem no Twitter, os dados dos potenciais clientes foram obtidos em “parceria com o Boa Vista”, uma empresa de consulta de crédito e consumidor positivo que fornece serviços de análise e acompanhamento de score, bem como alertas em caso de perda ou roubo de documentos pessoais. A mesma informação também foi passada a Gâmbaro, mas por mensagem direta e apenas no final do dia da publicação.
Achei a explicação em outro post deles pic.twitter.com/d8bXGlPhQY
— Dantas, James Dantas (@kbcao17) February 7, 2020
“Essa é uma prática comum, mas também muito mal vista”, comenta Daniel Barbosa, especialista em segurança da informação da ESET. Segundo ele, mesmo que os dados sejam obtidos de forma legítima, foi uma surpresa ver esse tipo de publicação sendo divulgada livremente aos clientes em uma rede social. “As leis ainda não fazem sanções a esse tipo de prática, mas não é comum ver uma empresa falando disso publicamente.”
O técnico em redes Mateus Gomes cita outra situação em que esse tipo de troca de informações fica evidente — o recebimento de ligações de telemarketing ou cobrança. “O atendente tem acesso a todas as informações pessoais do cidadão, enquanto o próprio não tem a menor noção de como a empresa obteve seus dados”, explica. Mais uma vez, se trata de uma situação comum e, como no caso do Nubank, parcerias entre instituições financeiras e empresas de relacionamento levam a isso.
Gomes também levanta outra questão relacionada ao compartilhamento de informações, que podem levar as informações de cidadãos às mãos erradas. “As informações privadas podem ser comercializadas no mercado negro, sendo utilizadas por atacantes maliciosos na elaboração de golpes cada vez mais personalizados”, explica. E quem acompanha o noticiário de tecnologia sabe que, quanto mais arrojada é a fraude, maior a chance de obter lucro com ela.
Barbosa também levanta essa hipótese de mau uso, mas afirma que, na maioria das vezes, os dados usados pelas empresas vêm de fontes legítimas, como sistemas de análise de crédito ou agências que realizam campanhas em redes sociais e vendem a base de dados para terceiros. “Independente da forma como os dados foram obtidos, esse uso indiscriminado não é adequado”, completa.
Regulação federal
Em uma tentativa de mudar esse cenário, o governo brasileiro criou a Lei Geral de Proteção de Dados. Inspirado nos exemplos da União Europeia e Estados Unidos, o estatuto foi sancionado em agosto de 2018 pelo então presidente Michel Temer, criando um conjunto de normas para regulamentar a atuação de companhias que lidem com os dados dos cidadãos, mecanismos de punição para mau uso e, principalmente, controle por parte dos próprios indivíduos. “O objetivo final é garantir maior privacidade no acesso às informações dos brasileiros”, explica Gomes.
O problema é que a LGPD, ainda que já sancionada, só começa a valer em agosto deste ano, com o intervalo sendo necessário para que empresas do setor pudessem se adequar às novas normas. Ou não, já que a ideia dos especialistas é que esse tipo de contato com quem não é cliente de uma determinada empresa deve continuar acontecendo.
“Na medida em que as sanções da LGPD começarem a ser aplicadas, as empresas do setor devem começar a ter mais cuidado com a venda desses dados a terceiros”, acredita Barbosa. Segundo ele, a legislação vem para inibir totalmente esse comportamento, mas na visão do especialista, ele não deve desaparecer “como mágica”.
Até que a Lei Geral de Proteção de Dados entre em vigor, entretanto, há pouco que as pessoas possam fazer para impedir a venda dos dados que já constam em bancos de dados comercializáveis por um simples fato — é muito difícil saber, exatamente, nas mãos de quem estão as informações. Depois que ela entrar em vigor, porém, esse uso será, pelo menos, dificultado.
Em uma das principais mudanças que aparecem nas normas, o acesso de terceiros aos dados de um indivíduo só pode ser realizado mediante autorização expressa. Além disso, é possível revogar a utilização das informações a qualquer momento, exigindo que elas sejam apagadas dos bancos de dados, mesmo que o aval tenha sido dado anteriormente.
- LGPD: o que mudou na redação final da lei?
- A sua empresa está pronta para a LGPD? Veja o que dizem os especialistas
Por enquanto, Barbosa indica o cuidado como melhor medida de proteção. Para o especialista, é preciso prestar atenção nos cadastros feitos online e, principalmente, com promoções ou links que sejam enviados por mensageiros instantâneos ou e-mails. “Tais ofertas, muitas vezes, são usadas como meio de coleta de informações para criação de um banco de dados. Tomar cuidado com o que é preenchido ajuda a evitar problemas”, completa.
Transparência
Em pronunciamento enviado ao Canaltech, o Nubank se desculpou pelo “tom inadequado” usado nas redes sociais e disse ter adotado medidas para que isso não ocorra novamente. “Estamos sempre trabalhando para sermos mais transparentes e humanos em nossa comunicação. O envio de cartas é mais um dos canais que usamos para nos comunicar com potenciais clientes.”
Ainda segundo o porta-voz, a instituição financeira não tem acesso ao endereço e nome das pessoas que não são clientes, mas faz parceria com empresas que “agregam bases de dados cadastrais” e são as responsáveis pelo envio das correspondências. Além da Boa Vista, citada em publicação no Twitter pela fintech, outras empresas do tipo não foram indicadas nominalmente.
Caso um potencial cliente não deseje receber cartas do Nubank, a instituição disponibiliza um site de transparência no qual é possível cadastrar o CPF para ser retirado do banco de dados. De acordo com a empresa, o número é utilizado apenas para esse fim e não fica armazenado nos cadastros.
O Canaltech também tentou contato com a Boa Vista, mas não obteve sucesso. A empresa não possui informações para imprensa em seu site e, por meio da central de relacionamento, a representante não soube informar o contato da assessoria de comunicação.
Trending no Canaltech:
- Mesmo morto, Karl Marx é “monitorado” por câmeras de segurança
- Um dos domínios mais perigosos da Internet é colocado à venda
- Detectadas misteriosas rajadas rápidas de rádio que se repetem a cada 16 dias
- MWC 2020: evento é cancelado devido aos riscos do coronavírus
- Coronavírus | Avanços nas descobertas podem auxiliar na criação de vacina
Fonte: Canaltech
