Hygino Vasconcellos
Colaboração para o Tilt, em Chapecó (SC)
01/03/2021 15h05
Você forneceria a senha da sua conta do banco para participar de uma pesquisa online? A solicitação desse dado bancário como etapa para participação em estudo da Serasa resultou nesta segunda-feira (1º) em notificação do Procon-SP, que pede esclarecimentos para a empresa.
O órgão vai avaliar se a exigência (e possível uso) da senha do internet banking violou o Código de Defesa do Consumidor e a LGPD (Lei Geral de Proteção de Dados), que entrou em vigor em setembro do ano passado. A notificação do Procon-SP foi feita após contato de Tilt relatando o caso.
Se constatada alguma irregularidade, a Serasa poderá ser multada em até R$ 10 milhões, explicou o chefe de gabinete do Procon, Guilherme Farid.
“Não se mostra razoável realizar qualquer tipo de pesquisa que exija do consumidor a senha do internet banking. Essa me parece uma ponderação grave do ponto de vista de proteger o consumidor”, afirmou Farid. “Senha é pessoal, intransferível, particular. As próprias empresas financeiras cansam de dizer para não passar senhas.”
A Serasa tem até 24 horas para se manifestar.
Entenda o caso
A situação veio à tona em 22 de fevereiro, após a diretora de produtos de um e-commerce, Madelaine Silva, 33 anos, expor o pedido da senha do banco nas redes sociais.
“Não basta vazar os dados de geral, eles querem a senha do internet banking”, disse no Twitter, fazendo referência ao vazamento de dados de mais de 220 milhões de pessoas — ainda não se sabe a origem do vazamento. A Serasa nega ter sido a fonte dele. As investigações ainda estão sendo feitas.
Silva explica que tem costume de entrar no site da Serasa para monitorar o seu CPF, já que sofreu tentativas de golpes. No caso da pesquisa oferecida pela empresa, ela conta que chegou a digitar os números da agência e da conta, mas, quando se deparou com o pedido seguinte (a senha do internet banking), desistiu de continuar.
“Eu estava no site da Serasa, que era confiável para mim. Digitei sim para o que eles pediram. Quando solicitaram a senha, eu notei que era bem absurdo”, ressaltou. Eu até achei que tinha sido fisgada por um site falso.
” A Serasa confirmou a Tilt que a pesquisa online realmente solicitava a senha bancária como etapa para participação. Logo, não se tratou de invasão de site, como alguns internautas suspeitaram.
Em nota, enviada na semana passada, a empresa informou que a participação é “opcional” e que o “consumidor fornece apenas a senha do internet banking, que não permite a realização de qualquer transação bancária”. A finalidade da coleta dos dados — como a senha bancária — é parte exclusiva de um teste que a Serasa pretende fazer de uma nova “funcionalidade para tornar mais precisa a análise de crédito brasileiro”, respondeu a companhia.
Para Farid, a pesquisa revela falta de prudência do bureau de crédito. “Querendo ou não, o nome Serasa traz consigo uma credibilidade que a empresa construiu ao longo dos anos e, com isso, pode levar o consumidor, acreditando na boa-fé da empresa, a preencher esses dados”, afirmou o representante do Procon-SP.
A Serasa vai precisar esclarecer ao órgão informações como:
A finalidade da pesquisa realizada
Em quais meios ela foi veiculada
A quem ela foi direcionada
Quais critérios foram utilizados para definição do público-alvo
Para quantas pessoas o estudo foi direcionado
Dentro dos aspectos da LGPD, a empresa terá que esclarecer:
Quais informações foram fornecidas aos participantes antes da realização da pesquisa
Quais informações foram solicitadas no estudo
Por quanto tempo elas estiveram disponíveis ao público Quantos pessoas forneceram as informações solicitadas Quais dados foram obtidos e como foram tratados
Como a pesquisa funcionava
Apesar das explicações do Serasa, desde sexta-feira (26) o estudo se encontra fora do ar.
A opção para a pesquisa online constava na parte da “área do cliente” do site da empresa — espaço fechado que, para ter acesso, é preciso fazer um cadastro prévio. Nessa área é possível ver o score de crédito, se o nome do consumidor está “limpo” (sem nenhuma pendência financeira), verificar a situação do CPF junto à Receita Federal, entre outras funcionalidades.
No meio da página, a frase “contribua com um estudo da Serasa” com a descrição “estamos planejando uma possível nova funcionalidade para tornar mais precisa a análise de crédito brasileiro” aparecia em destaque. Ao clicar em “entenda mais”, o consumidor era direcionado para outra página. Ali eram solicitados CPF, agência do banco, conta com dígito e senha do internet banking.
Logo após, a mensagem “A senha fornecida é utilizada apenas para conexão com a conta bancária e leitura dos dados. Não existe qualquer permissão e possibilidade de realizar operações por você e/ou em seu nome” era informada. Na sequência, o cliente precisava confirmar ter lido o termo de consentimento.
No caso da executiva Madelaine Silva, a leitura desse termo não foi feita. Para ela, a confiança que tinha na Serasa foi o principal motivo para isso.
Em todo caso, especialistas em segurança online recomendam sempre que o usuário fique atento aos termos de uso, de privacidade e de consentimento. Assim, eles tomam conhecimento sobre o destino dos dados coletados. Se as empresas não forem claras nessa etapa, elas estarão violando a LGPD.
Tilt procurou novamente a Serasa na sexta passada para esclarecer a retirada do estudo do ar. A assessoria da empresa disse apenas que “o setor responsável deverá entrar em contato” com a reportagem, o que não aconteceu.
A empresa foi procurada novamente nesta segunda para comentar a notificação do Procon-SP, mas ela ainda não se manifestou. O texto será atualizado quando isso ocorrer.
