A frase “de CPF a signo chinês” se refere a uma expressão popular que ilustra a extensão e a profundidade dos dados pessoais que podem ser obtidos ou vazados na internet, inclusive informações triviais, a partir de um único dado básico como o CPF.
A expressão ganhou notoriedade em notícias recentes sobre incidentes de segurança cibernética e vazamentos de dados no Brasil, onde criminosos ou sites indevidos conseguiam expor um vasto conjunto de informações pessoais das vítimas.
Começamos este artigo compartilhando uma regra básica: somente boas práticas dos titulares de dados, isto é, pessoas físicas, podem proteger os seus dados pessoais na internet.
Um cadastramento dos nossos dados pessoais em local duvidoso, sendo numa plataforma digital ou cadastro físico de loja, poderá ter consequências inimagináveis e possível em nosso desfavor. Vamos relembrar o cenário atual.
A comercialização e o compartilhamento indevido de dados pessoais são condutas que configuram sérias violações à privacidade e à segurança dos cidadãos brasileiros. Com o avanço das tecnologias e a crescente digitalização das relações, tornou-se mais fácil coletar, armazenar e negociar informações sensíveis, como CPF, endereço, dados bancários e até mesmo preferências pessoais. No Brasil, esse cenário alarmante impulsionou debates e a criação de legislações específicas para a proteção dos dados pessoais, destacando-se a Lei Geral de Proteção de Dados (LGPD – Lei nº 13.709/2018).
A LGPD estabelece regras claras para o tratamento de dados pessoais, impondo limites à coleta, ao uso, ao armazenamento e ao compartilhamento dessas informações. Entre seus principais pilares, está a exigência de consentimento explícito do titular para que seus dados sejam tratados, bem como a obrigação de transparência por parte das empresas e organizações que manipulam essas informações. A venda ou o repasse não autorizado de dados, portanto, é classificado como INFRAÇÃO GRAVE, sujeitando os responsáveis a penalidades administrativas, como multas que podem chegar a R$ 50 milhões por infração, além de outras sanções civis e criminais.
Apesar do arcabouço legal, a prática da venda de dados pessoais ainda persiste, muitas vezes de forma clandestina, alimentando o mercado negro e favorecendo fraudes diversas. É fundamental que empresas adotem políticas robustas de Governança e Compliance, invistam na capacitação de seus colaboradores e promovam a cultura de proteção de dados. Para os titulares, é imprescindível redobrar a atenção ao compartilhar informações, fiscalizar a origem dos pedidos de consentimento e acionar as autoridades competentes ao identificar possíveis violações.
Importa ressaltar que a efetividade da LGPD depende não apenas da fiscalização do poder público, mas também do engajamento coletivo em prol de um ambiente digital mais seguro e transparente. Proteger dados pessoais é uma responsabilidade compartilhada, essencial para preservar direitos fundamentais e garantir a confiança nas relações digitais no Brasil.
O Mercado Negro dos Dados Pessoais: onde comprar e para quais fraudes são utilizados
Sabemos hoje que o mercado negro de dados pessoais é uma realidade alarmante no universo digital contemporâneo. Com o aumento de vazamentos de informações e a ampla circulação de dados sensíveis, criminosos virtuais encontram oportunidades para negociar informações de milhões de pessoas em fóruns clandestinos, redes sociais ocultas (dark web) e aplicativos de mensagens criptografadas. Nesses ambientes, dados como CPF, endereço, número de cartão de crédito, credenciais de acesso a e-mails e até informações aparentemente inofensivas, como preferências de consumo, são comercializados por valores que variam conforme a raridade e o potencial de uso dessas informações.
A aquisição desses dados ocorre, principalmente, em marketplaces ilegais hospedados na dark web, onde vendedores oferecem pacotes de informações segmentadas por país, perfil ou tipo de documento. O acesso a esses mercados exige anonimato, geralmente viabilizado por navegadores como o Tor, e pagamentos via criptomoedas, o que dificulta o rastreamento das transações. Além disso, redes de phishing e malwares também alimentam esse mercado, capturando dados diretamente dos dispositivos das vítimas.
Os dados pessoais adquiridos no mercado negro são utilizados em diversas modalidades de fraude. Entre as mais comuns estão: fraudes bancárias, abertura de contas falsas em instituições financeiras, solicitação de cartões de crédito e empréstimos em nome de terceiros, clonagem de cartões, golpes de engenharia social (como o envio de e-mails falsos para obtenção de informações adicionais) e até o sequestro de identidade em redes sociais.
Informações sensíveis podem ainda ser usadas para extorsão, chantagem ou para dar maior credibilidade a tentativas de invasão de sistemas corporativos.
Como exemplo recente, a plataforma de ingressos By Ticket permitia apenas com a inserção de um CPF o vazamento dos demais dados pessoais. (notícia de informação pública). Informações como endereço, nome da mãe, telefone e até o signo chinês.
Outro exemplo recente: o site Tudo Sobre Todos, já bloqueado a pedido da Justiça Federal. A determinação é da Justiça Federal, que veio a partir de um pedido da Advocacia-Geral da União. Esse site é acusado de comercializar dados pessoais de brasileiros sem base legal. A partir de uma pesquisa com base no nome ou no CPF da pessoa, ele faz uma devolutiva com os nomes de familiares, empresas, endereços e até nomes de vizinhos, por exemplo.
Atualmente, a lei brasileira já permite para casos desta natureza, pedidos de indenização. Uma opção será o dano moral para indivíduos que tiveram seus dados expostos. Eles podem buscar indenização por danos morais, pois a lei garante os direitos fundamentais de liberdade, intimidade e privacidade dos cidadãos.
No entanto, a Receita Federal do Brasil já se posicionou, em casos de venda ilegal de CPF pela internet, que a prática é um caso de polícia e pode ser considerada crime.
Considerações finais
Diante desse cenário, a conscientização sobre a importância da proteção de dados pessoais e a adoção de boas práticas de segurança digital tornam-se fundamentais para mitigar riscos. A implementação da Lei Geral de Proteção de Dados (LGPD) e o fortalecimento das políticas de privacidade são passos essenciais, mas é igualmente necessário que cada usuário se mantenha vigilante quanto ao uso e compartilhamento de suas informações no ambiente digital.
