Opinião & Análise

Marco Civil da Internet

O internet banking também coleta e compartilha seus dados

É necessário cobrar as instituições financeiras para que sejam claras, precisas e transparentes

Direito ao esquecimento
Crédito Pexels

Não é só o Facebook que anda coletando e repassando seus dados. Uma análise das políticas de privacidade de cinco bancos brasileiros acessadas em 7 de março de 2017 – Banco do Brasil, Itaú Unibanco S/A, Caixa Econômica Federal, Bradesco e Santander – mostra que ocorrem abusos na coleta dos dados, que se dá para finalidades não explicitadas, além de excessos no compartilhamento. Esses fatos mostram que o consentimento dado pelo usuário por meio das políticas de privacidade do internet banking não é suficiente para garantir a proteção dos dados do titular.

No plano normativo, o indivíduo tem garantida a proteção de seus dados pessoais tanto na Constituição Federal, quanto no Marco Civil da Internet (Lei nº 12.965/2014) e em seu decreto regulamentador (Decreto nº 8.771/2016), entretanto não é o que ocorre na prática.

+JOTA: Faça o cadastro e leia até dez conteúdos de graça por mês!

Para que não restem dúvidas, o Decreto nº 8.771/2016 define dado pessoal como aquele relacionado à pessoa natural identificada ou identificável, abrangendo números identificativos, dados locacionais ou identificadores eletrônicos, quando estes estiverem relacionados à pessoa (art. 14, inciso I). O conceito também foi determinado pelo Regulamento Geral sobre a Proteção de Dados, de 2016, do Parlamento Europeu e do Conselho, em seu art. 4º, item 1, que entrará em vigor em 25/5/2018: “informação relativa a uma pessoa singular identificada ou identificável (‘titular dos dados’); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrônica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, econômica, cultural ou social dessa pessoa singular”.

É comum observar confusão conceitual nas políticas de privacidade dos bancos, como na da Caixa Econômica Federal, em que se afirma que modelo de hardware do celular, computador ou tablet, informações sobre a rede utilizada e número de telefone, endereço de Protocolo de Internet (IP), localização geográfica e outros não são dados pessoais. E na do Santander, em que informações pessoais são nome, RG, CPF, endereço físico e eletrônico, número do cartão de crédito e situação financeira e patrimonial.

A seguir tem-se um resumo dos dados passíveis de serem coletados (a divisão dos quadros 1, 2 e 3 foi baseada na política de privacidade da Caixa Econômica Federal por ter sido considerada uma forma didática de explicitar o que se pretende). Atente-se para o fato de que em muitos trechos das políticas de privacidade consta que os dados “podem ser coletados”, deixando o indivíduo sem saber precisamente quais de seus dados são de fato coletados, violando o art. 7º, VIII, do MCI, que exige informações claras e completas sobre coleta, uso, armazenamento, tratamento e proteção dos dados pessoais. Para os dados que nem ao menos são mencionados nas políticas de privacidade utilizou-se a sigla “N/A”; para indicar que ocorre coleta ou sua possibilidade utilizou-se a palavra “sim”.

Quadro 1 – Dados referentes à pessoa e sua coleta

Dados referentes à pessoa

Caixa Econômica Federal

Banco do Brasil

Itaú Unibanco S/A

Bradesco

Santander

Nome

sim

N/A

sim

N/A

sim

Telefone

sim

N/A

N/A

N/A

sim

E-mail

sim

N/A

sim

N/A

sim

Endereço

N/A

N/A

sim

N/A

sim

RG

N/A

N/A

N/A

N/A

sim

CPF

N/A

N/A

sim

N/A

sim

Número do cartão de crédito

N/A

N/A

N/A

N/A

sim

Situação financeira e patrimonial

N/A

N/A

N/A

N/A

sim

Quadro 2 – Dados referentes ao uso do dispositivo e sua coleta

Dados referentes ao uso do dispositivo

Caixa Econômica Federal

Banco do Brasil

Itaú Unibanco S/A

Bradesco

Santander

Localização

sim

N/A

sim

sim

N/A

Informações de identificador de SMS

sim

N/A

N/A

N/A

N/A

Mídias

sim

N/A

N/A

N/A

N/A

Informações de conexão Wi-Fi

sim

N/A

N/A

N/A

N/A

Informações sobre a rede

sim

N/A

N/A

N/A

N/A

Tipo de navegador e sua versão

sim

N/A

sim

sim

N/A

Idioma utilizado no dispositivo ou navegador

sim

N/A

N/A

sim

N/A

Java

sim

N/A

sim

N/A

N/A

Reprodutor de Flash

sim

N/A

sim

N/A

N/A

Endereço de Media Access Control

sim

N/A

N/A

N/A

N/A

Endereço de IP

sim

N/A

sim

sim

N/A

Cookies

sim

sim

sim

sim

sim

Versão do aplicativo da instituição bancária

sim

N/A

N/A

N/A

N/A

Duração do acesso

sim

N/A

N/A

N/A

N/A

Termos digitados no site

N/A

N/A

N/A

sim

N/A

Como o aplicativo é utilizado

sim

N/A

N/A

N/A

N/A

Data e hora de uso do site ou aplicativo

N/A

N/A

sim

Sim

N/A

Quais as páginas acessadas antes e depois de visitar o site

sim

N/A

N/A

sim (somente depois)

N/A

Quais as páginas visualizadas dentro do site

sim

N/A

sim

sim

N/A

Quantidade de cliques e tentativas no site e no aplicativo

sim

N/A

sim

sim

N/A

Padrões de acesso

N/A

N/A

N/A

N/A

sim

Preferências

N/A

N/A

N/A

N/A

sim

Quadro 3 – Dados referentes ao dispositivo e sua coleta

Dados referentes ao dispositivo

Caixa Econômica Federal

Banco do Brasil

Itaú Unibanco S/A

Bradesco

Santander

Modelo de hardware

sim

N/A

N/A

sim

N/A

Sistema operacional e sua versão

sim

N/A

sim

sim

N/A

Resolução de tela

sim

N/A

sim

sim

N/A

ID do dispositivo

sim

N/A

sim

sim

N/A

Todas as políticas de privacidade mencionam a coleta dos cookies e deixam claro que é possível ao usuário desabilitá-los assim que desejar. O fato de o Banco do Brasil ter a maior parte dos campos com N/A não significa que sua política de privacidade é segura ao titular dos dados, pelo contrário, é genérica em vários pontos, inclusive quanto aos dados que a instituição coleta.

Além de coletar todos esses dados, as instituições financeiras também os tratam sem o consentimento expresso do titular (exigência do art. 7º, inciso IX, do MCI). Entre as variadas finalidades constantes das políticas de privacidade das instituições financeiras, merece destaque a categoria que abrange oferta de publicidade direcionada (Caixa Econômica Federal, Santander), oferta de serviços e estratégias (Itaú Unibanco S/A), oferta de serviços personalizados (Bradesco) – o Banco do Brasil só não foi citado em detalhes aqui por sua política ser demasiadamente vaga quanto à finalidade da coleta: fins estatísticos e de relacionamento.

A partir dos dados coletados, os bancos traçam perfis e padrões de comportamento com o uso de inteligência artificial – esta técnica não é proibida no ordenamento jurídico brasileiro, porém pode gerar significativa discriminação e deveria ser pensada com responsabilidade pelas instituições financeiras. Por exemplo, se um indivíduo acessa o internet banking frequentemente de bairros com perfil socioeconômico elevado por meio de um dispositivo considerado de alto valor, a inteligência artificial pode interpretar que o poder de compra desse indivíduo é alto, gerando consequentemente ofertas diferentes em relação a um indivíduo que só acessa de bairros com perfil socioeconômico baixo, de um dispositivo de marca popular. Contudo, é possível que quem acessa dos bairros com perfil socioeconômico elevado seja um indivíduo que mora na periferia e somente acessa o internet banking quando está usando o Wi-Fi de seus patrões nos referidos bairros, e a inteligência artificial pode não ser capaz de interpretar tais variantes.

Os bancos não só tratam seus dados, como também os compartilham, mesmo que você não tenha consentido livre e expressamente como exigido no MCI (art. 7º, inciso VII) e não tenha sido informado. A Caixa Econômica Federal expõe, na Cláusula 1, 1.1 – Como nós Utilizamos as suas Informações, que pode usar ou compartilhar as informações coletadas para qualquer finalidade lícita com: a) afiliadas, das quais podem também receber dados; b) prestadores de serviço, como agências de marketing; ou c) terceiros, por razões legais. Menciona ainda que pode compartilhar com terceiros e parceiros contratados para obter tendências sobre o uso. O Banco do Brasil informa que somente repassará os dados a terceiros se o usuário expressamente autorizar ou a lei o exigir, porém não detalha como isso ocorreria; esclarece que exigirá, caso contrate organizações para serviço de apoio, que estas sigam as diretrizes estabelecidas em sua política de privacidade. A política de privacidade do Banco Itaú é clara ao informar, na Cláusula 4.2.3, que não repassa os dados a terceiros; compartilhará somente com o consentimento do usuário – sem explicar como o consentimento ocorreria – ou por força de ordem judicial ou lei.

Todavia, afirma, na Cláusula 4.2.4, que é possível repassar os registros de navegação a parceiros ou contratados para que realizem serviço ao site ou aplicativo, ressaltando que isso não se dará de forma individualizada para que não ocorra identificação do usuário. No banco Bradesco, é possível o compartilhamento dos dados com empresas contratadas para as mesmas finalidades da coleta inicial. No item g da política é mencionado que se exige dessas empresas o cumprimento das diretrizes de segurança e privacidade nela constantes, além de exigências legais. A política de privacidade do Santander expõe que terão acesso aos dados os profissionais autorizados para tal; e também seus parceiros comerciais ou prestadores de serviços; parceiros do Santander; outras instituições financeiras, desde que seguindo a legislação – autorização que pode ser cancelada pelo usuário a qualquer momento, sem pormenorizar como isso ocorreria; órgãos de proteção e defesa de crédito e prestadores que defendam os direitos e créditos da instituição quando autorizados; controladores, empresas controladas, coligadas ou associadas de outra forma; e a autoridade competente quando lhe for obrigado.

Mesmo que neste momento o leitor decida verificar as políticas de privacidade, saiba que elas podem mudar a qualquer momento, violando o direito constante do art. 7º, inciso XI, do MCI, que exige publicidade e clareza de eventuais políticas de uso dos provedores de aplicações de internet. Somente a Caixa Econômica Federal menciona que informa o usuário de eventuais alterações ocorridas na política de privacidade detalhando que, se as alterações forem significativas, o aviso se dará por declaração no site do banco ou por notificação no aplicativo. Banco do Brasil, Bradesco e Santander recomendam, respectivamente, a periódica verificação, a leitura a cada acesso e a verificação de suas políticas de privacidade antes da utilização dos serviços. E apenas o Banco do Brasil e o Santander informam os motivos de eventuais alterações. Somente Caixa Econômica Federal, Bradesco e Santander mencionam a data da última modificação em suas políticas e nenhum banco faz um comparativo com versões anteriores ou destaca os trechos que sofreram mudanças, deixando a cargo do usuário a descoberta das alterações a cada acesso.

Construídas de modo inadequado pelas instituições financeiras, percebe-se, portanto, que as políticas de privacidade de todos os bancos transgridem de forma mais ou menos ampla determinados pontos do Marco Civil da Internet e/ou do Decreto nº 8.771/2016. Violam o princípio da proteção dos dados pessoais constante do art. 3º, inciso III, do MCI e o direito à proteção de dados mencionada no art. 11, caput, do MCI, além dos dispositivos já mencionados.

Nota-se que a participação do titular dos dados no tratamento destes é insignificante. Ou o usuário concorda com tudo – abusos na coleta, excessos no compartilhamento e finalidades não explicitadas – ou tem seu acesso ao internet banking impedido. Em realidade, o consentimento não atinge nem o nível mínimo de participação do usuário, ou seja, não chega nem a ser informado, visto que as políticas de privacidade, onde constam informações sobre o tratamento, foram apenas disponibilizadas no rodapé dos sites, isto é, nenhum usuário foi diretamente informado sobre tal, o que demonstra insuficiência para a garantia da proteção dos dados pessoais, pois é necessário, conforme versa o art. 7º, inciso IX, do MCI, consentimento expresso do titular e ainda que essa cláusula seja destacada nos contratos.

Para que nós, usuários do internet banking, tomemos conhecimento de quais de nossos dados realmente são coletados e com qual finalidade, e se são compartilhados, com quem e para quê, é necessário cobrar as instituições financeiras para que sejam claras, precisas, transparentes e completas em suas políticas de privacidade, respeitando as normas e os princípios que regem a matéria.


Faça o cadastro gratuito e leia até 10 matérias por mês. Faça uma assinatura e tenha acesso ilimitado agora

Cadastro Gratuito

Cadastre-se e leia 10 matérias/mês de graça e receba conteúdo especializado

Cadastro Gratuito