Estratégia de prospecção do Nubank fere a LGPD

Estratégia de prospecção do Nubank fere a LGPD. Para conseguir novos clientes Nubank envia cartas escritas à mão, assinadas por funcionários, para mostrar os seus benefícios.

Uma estratégia adotada pelo Nubank para angariar novos clientes tem deixado algumas pessoas intrigadas, levantando discussões em relação à segurança dos dados pessoais. É que a empresa envia cartas escritas à mão, assinadas por funcionários, para mostrar os seus benefícios. Contudo, o advogado Rafael Maciel, especialista em Direito Digital e Proteção de Dados Pessoais, alerta que essa iniciativa fere a Lei Geral de Proteção de Dados (LGPD) por utilizar informações dos possíveis clientes obtidas de meios diversos para fins comerciais. 

Segundo o Jornal Jurid, a questão ganhou notoriedade depois que uma pessoa questionou no Twitter como o Nubank havia conseguido  o seu endereço para o envio da carta. De forma descontraída, a empresa disse que eles “consultam bancos de dados que unificam informações sobre consumidores brasileiros”. E, para amenizar a desconfiança, complementou: “Não se preocupe porque essas bases não possuem informações bancárias nem comprometem seu score de crédito”. 

Com essa estratégia, Maciel pontua que a empresa acaba confessando uma prática comum, mas que tende a acabar em razão da LGPD. “O fato de um dado pessoal ser público não significa que ele pode ser usado da forma que quiser. Se a fonte para colher tais informações for realmente o banco de dados do SPC/Serasa, esse fornecimento é para gestão de crédito e não para prospectar novos clientes, sobretudo por terceiros”, explica. 

Diante disso, ele destaca que há uma desobediência ao princípio da finalidade da LGPD. “Se o meu dado está com algum ente público, ele tem alguma finalidade e não pode ser cedido para finalidades comerciais”, diz o especialista. Ele ainda alerta sobre o impacto dessa legislação e a importância de respeitá-la. 
A LGPD afeta todos os setores da economia: de prestadores de serviços a grandes indústrias. Ou seja, todos que armazenam dados pessoais devem atentar-se à regulação. A partir do momento em que há utilização comercial, os cuidados com a legislação precisam ser observados”, finaliza.

Requisitos da LGPD

Sancionada pelo então presidente Michel Temer em 14 de agosto de 2018 a lei que definiu regras para a proteção de dados pessoais. O texto tinha a previsão de entrar em vigor em um ano e meio, mas devido ao atraso da definição da agência regulador ANPD – Agência Nacional de Proteção de Dados, foi adiada por 6 mneses, ficando o prazo de entrada em vigor para agosto de 2020.

A LGPD regulamenta o uso, a proteção e a transferência de dados pessoais como nome, endereço, e-mail, idade, estado civil e situação patrimonial.

A lei determina que o uso dos dados exige consentimento do titular, que deve ter acesso às informações mantidas por uma empresa. O tratamento das informações também será permitido se estiver dentro das hipóteses previstas na proposta, como obrigações legais, contratuais e proteção do crédito.

O texto da lei de proteção de dados pessoais tem como fundamentos:

  • I – o respeito à privacidade;
  • II – a autodeterminação informativa;
  • III – a liberdade de expressão, de informação, de comunicação e de opinião;
  • IV – a inviolabilidade da intimidade, da honra e da imagem;
  • V – o desenvolvimento econômico e tecnológico e a inovação;
  • VI – a livre iniciativa, a livre concorrência e a defesa do consumidor; e
  • VII – os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.

Para efeitos da lei no Art. 5º  considera-se:

  • XII – consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;

No Capítulo II Sessão I  é definido os Requisitos para o Tratamento de Dados Pessoais

  • Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
  • I – mediante o fornecimento de consentimento pelo titular;
  • II – para o cumprimento de obrigação legal ou regulatória pelo controlador;
  • III – pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;
  • IV – para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
  • V – quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
  • VI – para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
  • VII – para a proteção da vida ou da incolumidade física do titular ou de terceiro;
  • VIII – para a tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias;
  • IX – quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
  • X – para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

Mais detalhes sobre os requisitos da lei podem ser vistos em Diretrizes da Lei de Proteção de Dados Pessoais – LGPD

Fonte: Jornal Jurid & Blog Minuto da Segurança 


Veja também:

About mindsecblog 2774 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

3 Trackbacks / Pingbacks

  1. Google diz que usuários do gmail não podem esperar privacidade
  2. Ferramentas mais importantes de computação forense
  3. GhostCat: Nova vulnerabilidade de alto risco afeta servidores Apache Tomcat

Deixe sua opinião!