serasa
Ilustração: Rodrigo Bento/The Intercept Brasil

SE VOCÊ É BRASILEIRO e tem um CPF, provavelmente seus dados pessoais estão à venda em fóruns na deep web para qualquer um que tenha bitcoins suficientes para comprá-los. Tem de tudo: informações de trabalho, salário, histórico de pagamentos, fotos, perfil em redes sociais, perfil de consumidor e mais um monte de coisas.




No maior vazamento de dados que se tem notícia por aqui, alguém teve acesso a uma base de dados de 222 milhões de brasileiros (incluindo mortos) e está ganhando dinheiro com a venda dessas informações. Elas incluem, além do que mencionei, também dados comportamentais das pessoas, classificadas em perfis que vão de “consumidores indisciplinados” a “aposentadoria dos sonhos”. Essas categorias são criadas pelo serviço Mosaic, da Serasa Experian, que faz a segmentação do público para fins de marketing. É por isso que se suspeita que tenha sido a empresa a origem do vazamento – ou de pelo menos parte dele. Ela nega.

Questionada, a Serasa me mandou a mesma nota protocolar que enviou a outros veículos: “conduzimos uma extensa investigação e neste momento nenhum dos dados que analisamos indicam que a Serasa seja a fonte. Muitos dos dados analisados incluem elementos que não temos em nosso sistema e os dados atribuídos à Serasa não correspondem aos dados em nossos arquivos”.

Ok. A minha pergunta, no entanto, não foi respondida: a base de dados inclui a classificação comportamental do serviço Mosaic, oferecido pela Serasa. Ainda assim, a Serasa nega que tenha sido a fonte. Que outras empresas e serviços, então, têm acesso à base de dados da Serasa? A Serasa comercializa ou cede essa base para terceiros?

A Serasa respondeu outra coisa: afirmou que não há correspondência entre as pastas na web e os campos de seus bancos de dados e que a base vazada inclui elementos que não estão em seu sistema. Mais tarde, enviou uma terceira nota afirmando que o vazamento ter tido como fonte a Serasa é “infundada”. A minha pergunta sobre quem teve acesso às informações do Mosaic não foi respondida.

Enquanto espero, vou contar como a gigante do crédito conseguiu acumular todas as informações possíveis sobre todos os brasileiros e transformar isso em um império de dados, com um apoio generoso dos governos Temer e Bolsonaro. Essa ajuda tem um nome: Cadastro Positivo.

A SERASA EXPERIAN é uma das empresas que operam como data brokers – vendedores de dados – cujo modelo de negócio se baseia na coleta, análise e venda de informações sobre as pessoas. Você certamente a conhece por causa do cadastro negativo, aquele em que somos colocados se não pagarmos uma conta. Mas provavelmente não sabe que ela conhece muito mais segredos sobre você além dos seus boletos atrasados. Com diferentes bases de dados de diferentes fontes, cruzadas, a Serasa consegue fazer análises de crédito, de perfis de consumidores e traçar estratégias para expandir negócios de empresas. No ano final de 2020, a empresa foi investigada por colocar à venda um mailing com dados de 150 milhões de brasileiros. Cada pessoa custava R$ 0,98 na lista, que poderia ser personalizada com dados como localização, perfil financeiro, poder aquisitivo e classe social dos contatos à venda.

Desde 2019, o volume de informações que a Serasa e outros data brokers coletam saltou consideravelmente. Com a aprovação das mudanças no Cadastro Positivo, todos nós fomos obrigados a entrar no enorme catálogo de brasileiros que visa mostrar aos bancos e outros operadores de crédito quem são os bons – e os maus – pagadores do país. O Cadastro Positivo foi criado em 2011 por Dilma Rousseff – mas, na época, ele era no sistema opt in. Se você costumava ter as contas em dia, podia pedir para entrar, concordava em ceder seus dados bancários e de transações financeiras e isso, em tese, facilitaria o seu acesso a crédito (como se o superendividamento não fosse um problema no Brasil, mas essa é outra história). Mas o Cadastro Positivo voluntário teve pouca adesão (por que será?).

Em 2017, no entanto, um projeto de lei do Senado propôs mudar esse sistema: ele tornaria o cadastro compulsório – todos os brasileiros com CPF seriam automaticamente incluídos nele. Quem quisesse, precisaria pedir para sair. O projeto foi apoiado ostensivamente pelo governo Temer e pelos bancos, que argumentavam que ele ajudaria a reduzir os juros e facilitar o acesso a crédito. Na época de sua tramitação, o projeto já levantava críticas por concentrar muitos dados nas mãos de poucas empresas, os chamados birôs de crédito (o Serasa e o SPC estão entre eles) e por oferecer riscos potenciais à privacidade dos consumidores.

Mas a pressão do setor bancário foi forte: a Febraban, a federação que representa os bancos, condicionou a redução dos juros cobrados ao consumidor (e seus lucros) à aprovação do Cadastro Positivo. Também entrou com afinco na discussão da Lei Geral de Proteção de Dados, que seria estorvo para o Cadastro Positivo. Em uma carta aberta, a Febraban alegou que a LGPD iria, na prática, “extinguir” o cadastro de crédito e reduzir a oferta de dinheiro no mercado. No fim, a LGPD acabou aprovada e sancionada com a “proteção ao crédito” entre as finalidades previstas para uso de dados pessoais – algo único no mundo. Assim, os dados poderiam ser recolhidos sem o consentimento do usuário.

Em 2019, o caminho estava finalmente aberto para a sanção do Cadastro Positivo, assinado por Bolsonaro em abril de 2019. Naquele ano, o governo autorizou empresas a criarem o banco de dados com informações pessoais e hábitos de pagamento de todos os brasileiros, alimentado por faturas de cartão de crédito e contas, disponível para ser consultado por comércios e empresas financeiras. O histórico é usado para compor o score de crédito, a nota dada pelos birôs de crédito para classificar as pessoas como bons ou maus pagadores.

“A cada momento que o usuário pagar a prestação, essa conta e o score serão atualizados e vinculados ao seu histórico”, disse na época Vanessa Butalla, diretora jurídica da Serasa Experian, ao Estadão. “O cadastro pode beneficiar 130 milhões de pessoas, incluindo 22 milhões que estão hoje fora do mercado de crédito”, comemorou o secretário Especial de Produtividade, Emprego e Competitividade do Ministério da Economia, Carlos da Costa.

‘Me pergunto: quem teria motivos e legitimidade para ter tanta informação sobre tanta gente?’

Com a aprovação do Cadastro Positivo, o governo também deu o sinal verde para os birôs de crédito engordarem suas bases com todos os brasileiros. Em um decreto de julho de 2019, Bolsonaro criou as regras para atuação das empresas responsáveis por coletar e analisar os dados usados para criar o Cadastro Positivo. Patrimônio líquido de R$ 100 milhões e avisar as autoridades em casos de vazamentos são duas delas. Quatro data brokers se qualificaram para operar os bancos de dados: Serasa, SPC Brasil, Boa Vista e Quod, uma empresa criada pelos cinco principais bancos só para isso.

Apesar de a lei do Cadastro Positivo ser rígida sobre que tipo de informação pode ser vendida – só o score, ou seja, a nota final –, ter um cadastro com todos os brasileiros, que inclui o perfil de consumo, dá a essas empresas um poder imensurável sobre os cidadãos. Elas combinam o cadastro com outras informações, que podem incluir até perfis de redes sociais, e escolhem quem pode ou não alugar um apartamento, conseguir um empréstimo, passar em um processo seletivo. Também têm informações de consumo muito valiosas para qualquer departamento de marketing. E têm uma responsabilidade imensa, já que dados como endereço, salário, histórico de pagamentos podem ser devastadores nas mãos de criminosos.

Chegamos a 2021. E o que aconteceu? O megavazamento. Uma dessas bases de dados está à venda para possíveis criminosos. Na época da discussão do Cadastro Positivo, a possibilidade disso acontecer foi levantada mais de uma vez, mas o governo, os bancos e as empresas interessadas garantiriam que todo o sistema seria seguro. Não é, como provou o vazamento classificado por Bruno Bioni, diretor da ONG Data Privacy Brasil, como o “mais lesivo do Brasil“. Não se sabe exatamente de onde partiu o vazamento, mas está claríssimo que veio de alguma empresa que retém essa enormidade de informações.

“O tamanho do banco de dados e a natureza dele leva a crer que é o problema mais volumoso que já tivemos no Brasil”, me disse o advogado Danilo Doneda, doutor em Direito Civil e membro indicado pela Câmara dos Deputados para o Conselho Nacional de Proteção de Dados e Privacidade. “É uma quantidade imensa de pessoas e um detalhamento assustador”. Para ele, a vastidão dos dados leva a crer que o vazamento tenha partido de um data broker. “O problema não é somente quem vazou os dados”, diz Doneda. “Me pergunto: quem teria motivos e legitimidade para ter tanta informação sobre tanta gente?”

Sabe o que pode acontecer? Criminosos podem usar os seus dados para criar contas falsas. Pedir cartão de crédito em seu nome. Fazer compras. Também podem roubar suas contas: terão todos os dados para isso. Mesmo se você tiver autenticação em dois fatores, eles terão o seu celular – que pode ser clonado para que o SMS de confirmação seja interceptado. Também podem aplicar golpes usando suas informações pessoais – eles saberão tudo sobre você e podem ligar se passando por um atendente de uma empresa e terão todo o seu histórico para confirmar. Tudo isso sem mencionar o risco que correm pessoas públicas, políticos, ativistas e comunicadores ameaçados. Suas fotos, endereços, salários: está tudo exposto.

E essa nem foi a primeira vez. O Ministério Público do Distrito Federal e Territórios está investigando outro possível vazamento de dados do Cadastro Positivo – desta vez, do Boa Vista SCPC. Na base vazada há informações de pagamentos e dados pessoais dos clientes.

O pior de tudo é que nós fomos obrigados a entrar nesse banco de dados. Bancos e governos podem argumentar: mas você podia pedir para sair! Podia, sim. “O que você perde ao excluir sua conta da Serasa” é o nome da página que ensina o consumidor a fazer isso. Depois que você exclui, bem, é preciso ir a todos os outros três birôs, criar um cadastro – alguns, como o Quod, exigem até foto do seu documento e uma selfie sua – e só depois é possível pedir para sair. Sim, foi isso que você leu: é preciso fornecer informações pessoais e documentos para pedir que seus dados sejam excluídos dessas bases.

Agora, porém, mesmo que você queira sair, já é tarde: seus dados já foram vazados por incompetência de quem deveria cuidar deles.

Com o estrago feito, resta à Autoridade Nacional da Proteção de Dados, o órgão que, segundo a LGPD, deve atuar nesse tipo de caso, investigar os responsáveis. A boa notícia: a ANPD está (ao menos teoricamente) funcionando desde o fim do ano passado. A má notícia: demorou quase uma semana para que ela se manifestasse sobre o caso. A Secretaria Nacional do Consumidor, a Senacon, vinculada ao Ministério da Justiça, e o Procon-SP já anunciaram que notificariam a Serasa. Depois de dias sendo questionada por vários veículos, na quarta-feira, 27, a ANPD finalmente avisou que está “apurando tecnicamente” o caso. É a prova de fogo para a LGPD, que prevê punições para esse tipo de vazamento. “Se a lei de proteção de dados não ajuda a gente numa hora dessas, ela vai servir pra que?”, questiona Doneda.

Resumo da história: deixaram que algum incompetente reunisse uma quantidade de dados devastadora sobre nós, com um empurrarão do Cadastro Positivo, prometeram que cuidariam da sua privacidade e falharam miseravelmente, e agora está nas mãos desse mesmo governo agir para investigar e punir os responsáveis. Da próxima vez que sua privacidade for rifada por um suposto benefício, desconfie. Eles provavelmente estão mentindo para você.

O que fazer depois do estrago

O especialista em segurança da informação e líder de comunidade do Projeto Tor Gustavo Gus compara o vazamento à Chernobyl: os efeitos serão sentidos por muito, muito tempo. Dá para minimizar o dano? Difícil, mas dá. Pedimos a ele uma lista do que você pode fazer para se proteger:

  • Fique mais desconfiado – sua segurança depende disso. Informações que você achava que eram privadas não são mais. Seu CPF, por exemplo. Fique atento com contatos comerciais, mesmo que eles usem seus dados para confirmar sua suposta idoneidade.
  • Cuide de suas senhas – especialmente as que estão atreladas ao seu CPF. Procure os sites onde você informou esses dados, porque eles agora podem ser públicos, e troque todas as senhas.
  • Coloque autenticação de dois fatores em suas contas – no WhatsApp, por exemplo. Com isso, mesmo com sua senha ou CPF, é preciso digitar um código gerado no seu celular para acessar o serviço. Só isso não garante a segurança, mas é mais uma barreira para evitar ataques.
  • Esses cuidados devem ser mantidos por muito tempo – talvez anos. Uma vez cedidos, os dados não podem ser recuperados. E não se sabe quem teve acesso a essas informações.

Atualização: 28 de janeiro, 8h57
O texto foi atualizado para incluir a manifestação da ANPD sobre o caso.