O órgão regulador de privacidade da Califórnia multou uma corretora de dados do Texas em US$ 45.000 e a proibiu de vender informações pessoais de californianos após ela ter vendido dados de pacientes com Alzheimer. A empresa texana Rickenbacher Data LLC, que opera sob o nome Datamasters, comprou e revendeu nomes, endereços, números de telefone e endereços de e-mail de pessoas que sofriam de graves problemas de saúde, de acordo com a Agência Privacy da Califórnia (CPPA).
A decisão final da CPPA contra a Datamasters afirma que a empresa mantinha um banco de dados contendo 435.245 endereços postais de pacientes com Alzheimer. Mas não parou por aí. Também estavam disponíveis registros de 2.317.141 pessoas cegas ou com deficiência visual e 133.142 pessoas com dependência química. Também vendeu registros de 857.449 pessoas com problemas de controle da bexiga.
Os dados relacionados à saúde não eram a única categoria com que a Datamasters negociava. A empresa também vendia informações relacionadas à etnia, incluindo as chamadas “listas hispânicas”, contendo mais de 20 milhões de nomes, bem como “listas de idosos” baseadas na idade e indicadores de vulnerabilidade financeira. Por exemplo, vendia registros de pessoas com hipotecas de juros altos.
E se os compradores quisessem dados sobre outras características e ações prováveis dos clientes, como quem era provavelmente liberal ou conservador, isso também poderia ser fornecido, graças a 3.370 “Modelos de Previsão do Consumidor” que abrangem preferências automotivas, atividade financeira, uso da mídia, filiação política e atividades sem fins lucrativos.
A Datamasters oferece a compra direta de registros de seu banco de dados nacional de consumidores, que, segundo ela, abrange 114 milhões de famílias e 231 milhões de indivíduos. Os clientes também podem adquirir atualizações por assinatura.
Os reguladores da Califórnia começaram a investigar a Datamasters após descobrirem que a empresa não se registrou como corretora de dados no estado, conforme exigido pela Lei de Exclusão da Califórnia. A lei exige que as corretoras de dados se registrem desde 31 de janeiro de 2025.
A empresa inicialmente negou que fizesse negócios na Califórnia ou tivesse dados sobre californianos. No entanto, essa alegação foi desmentida quando os reguladores encontraram uma planilha do Excel no site listando 204.218 registros de estudantes da Califórnia.
A Datamasters afirmou inicialmente que não tinha filtrado a sua base de dados nacional para remover os dados dos californianos. Depois de contratar um advogado, mudou a sua versão, afirmando que, na verdade, tinha filtrado os californianos do conjunto de dados. No entanto, isso não convenceu a CPPA.
O regulador reconheceu que a Datamasters tentou cumprir as leis de privacidade da Califórnia, mas que
“não possuía políticas e procedimentos escritos suficientes para garantir a conformidade com a Lei de Exclusão.”
A multa imposta à Datamasters também leva em consideração o fato de que ela não estava registrada no cadastro estadual de corretores de dados. Os corretores de dados que não se registram estão sujeitos a multas de US$ 200 por dia, e a não exclusão dos dados dos consumidores acarreta multas de US$ 200 por consumidor por dia.
A partir de 1º de janeiro de 2028, os corretores de dados registrados na Califórnia também serão obrigados a passar por auditorias de conformidade independentes realizadas por terceiros a cada três anos.
Por que vender dados extremamente confidenciais de clientes é tão perigoso
“A história nos ensina que certos tipos de listas podem ser perigosas.”
Michael Macko, chefe de fiscalização da CPPA, destacou.
Pesquisas revelaram que pacientes com Alzheimer são especialmente vulneráveis à exploração financeira. Se você acha que os golpistas não procuram essas listas, pense novamente; descobriu-se que criminosos acessaram dados de pelo menos três corretores de dados no passado. Embora não haja indícios de que a Datamasters tenha vendido dados conscientemente a golpistas, parece fácil para as pessoas comprarem listas de corretores de dados.
Também não é preciso ser PhD para perceber por que muitos desses registros (que, vale lembrar, a empresa mantém sobre pessoas em todo o país) podem ser especialmente sensíveis no atual clima político dos EUA.
Há também uma questão mais ampla relacionada à privacidade. Embora muitos americanos possam presumir que a Lei Federal de Portabilidade e Responsabilidade do Seguro Saúde (HIPAA) protege seus dados de saúde, ela se aplica apenas aos prestadores de serviços de saúde. Surpreendentemente, os corretores de dados estão fora de seu âmbito de atuação.
Então, o que você pode fazer para se proteger?
Sua primeira parada deve ser a lei de proteção de dados do seu estado. A Califórnia introduziu este ano o sistema Data Request and Opt-out Platform (DROP) ao abrigo da Lei Delete. Trata-se de um sistema de exclusão que permite aos residentes da Califórnia solicitar que todos os corretores de dados registrados no registro excluam os dados que possuem sobre eles.
Se você não mora em um estado que leva a sério os dados confidenciais, suas opções são mais limitadas. Você poderia se mudar — talvez para a Europa, onde as proteções de privacidade são consideravelmente mais fortes.
Não nos limitamos a informar sobre a privacidade dos dados - nós o ajudamos a remover suas informações pessoais
Os riscos de segurança cibernética nunca devem se espalhar além de uma manchete. Com o Malwarebytes Personal Data Removervocê pode fazer uma varredura para descobrir quais sites estão expondo suas informações pessoais e, em seguida, excluir esses dados confidenciais da Internet.
