Após 2 anos de investigação, Experian é autuada por tratamento abusivo de dados pessoais
O Information Commissioner’s Office (ICO), o órgão fiscalizador das normas do GDPR do Reino Unido, emitiu na última semana uma notificação de execução contra a empresa Experian. A notificação ordena que a agência referência em crédito realize “mudanças estruturais” na forma como trata os dados pessoais de clientes relacionados ao marketing direto da empresa no Reino Unido.
A investigação contra as CRAs
A medida foi consequência de uma investigação que se iniciou em 2018 sobre como as principais empresas de ranking de crédito do Reino Unido estavam negociando, enriquecendo e aprimorando os dados pessoais de seus clientes sem seu conhecimento ou consentimento.
As chamadas CRAs (Credit Reference Agencies), as empresas Experian, Equifax e TransUnion, utilizam dados pessoais de seus clientes em negócios “offline” para fins de marketing direto.
As consequências dessas tratativas são sérias e ferem gravemente as diretrizes e princípios das regulamentações de proteção de dados. Produtos foram usados por organizações comerciais terceirizadas para captação de novos clientes, houve a identificação dos titulares com maior probabilidade de pagar pelos produtos e a construção de perfis individuais em torno das informações das pessoas foram alguns dos resultados. Esses serviços também eram usados por partidos políticos e instituições de caridade.
Falhas de conformidade em todo o setor
Em relatório publicado acerca do caso, o ICO afirma, ainda, que encontrou “falhas significativas de proteção de dados” em cada CRA. “Alguns dos CRAs também usavam perfis para gerar informações novas ou até então desconhecidas sobre pessoas, o que muitas vezes é invasivo e fere o direito à privacidade”, continua o documento.
Ademais, dentre outras falhas sistemáticas, as informações de privacidade incluídas nos sites das investigadas sobre suas atividades de tratamento de dados “não explicavam claramente o que eles estavam fazendo com os dados das pessoas” e houve a utilização equivocada de bases legais para o tratamento de dados pessoais, afirmou o ICO.
Produtos e serviços foram retirados do ar
Após falhas nas tratativas de dados pessoais serem apontadas pelo ICO, as empresas Equifax e a TransUnion retiraram alguns de seus produtos e serviços do ar.
Nesse sentido, o órgão decidiu por não tomar nenhuma medida contra elas. “Sinto-me encorajado pela disposição da Equifax e da TransUnion de mudar suas práticas e colocar os direitos legais das pessoas em primeiro lugar”, disse Elizabeth Denham, integrante comissária informacional do ICO. “Agora espero que o setor de corretagem de dados como um todo assuma os mesmos compromissos.”
Sobre a notificação de execução
Ao explicar sua decisão de não impor uma multa, o ICO esclareceu que um aviso de execução “seria a primeira maneira eficaz e proporcional de cumprir a lei frente à situação. É uma ferramenta regulatória poderosa para exigir que uma organização pare de processar dados pessoais de uma determinada maneira.”
Especificamente, o aviso de execução “exige que a Experian informe às pessoas que ela retém seus dados pessoais internamente e como os utiliza ou pretende utilizá-los para fins de marketing”. Por exemplo, ele deve parar de filtrar os clientes em potencial das listas de marketing com base na situação financeira”,
A Experian deve atender às solicitações do ICO até julho de 2021. Se, ainda assim, se recusar no cumprimento das ações impostas pelo relatório, a empresa pode enfrentar uma multa de até £ 20 milhões ou 4% do faturamento anual total da organização em todo o mundo.
Aplicação ao cenário brasileiro
O caso em tela é, definitivamente, um ponto de atenção à todas as empresas que utilizam softwares de varredura sistêmica de dados considerados públicos.
“Embora essas empresas afirmem que podem processar os dados das pessoas com ou sem consentimento, o relatório do ICO deixou claro que mesmo com o consentimento, o repasse de dados a terceiros costuma ser inválido em algumas circunstâncias ”, declarou a empresa Privacy International.
“Portanto, o anúncio do ICO hoje sobre três dos maiores e mais conhecidos corretores de dados abre um importante precedente” .
“Todo país com leis de proteção de dados precisa olhar para esse setor. Cada regulador precisa se perguntar o que está fazendo para proteger as pessoas de seus dados serem explorados de maneira abusiva por ‘agências de referência de crédito’ como a Experian.” continua a empresa.
Dessa forma, é fundamental que todas as empresas signatárias desses serviços avaliem de perto a forma com que as companhias atuam, suas políticas de privacidade e, principalmente, se atentem ao compartilhamento de dados pessoais de clientes e ao nível de transparência com que tratam demandas de proteção de dados pessoais.