O órgão regulador de privacidade da Califórnia multou uma corretora de dados do Texas em US$ 45.000 e a proibiu de vender informações pessoais de californianos após ela ter vendido dados de pacientes com Alzheimer. A empresa texana Rickenbacher Data LLC, que opera sob o nome Datamasters, comprou e revendeu nomes, endereços, números de telefone e endereços de e-mail de pessoas que sofriam de graves problemas de saúde, de acordo com a Agência Privacy da Califórnia (CPPA).
A decisão final da CPPA contra a Datamasters afirma que a empresa mantinha uma base de dados com 435.245 endereços postais de pacientes com Alzheimer. Mas não parou por aí. Também estavam disponíveis registos de 2.317.141 pessoas cegas ou com deficiência visual e 133.142 pessoas com dependência química. Também vendeu registos de 857.449 pessoas com problemas de controlo da bexiga.
Os dados relacionados à saúde não eram a única categoria com que a Datamasters negociava. A empresa também vendia informações relacionadas à etnia, incluindo as chamadas «listas hispânicas», contendo mais de 20 milhões de nomes, bem como «listas de idosos» baseadas na idade e indicadores de vulnerabilidade financeira. Por exemplo, vendia registos de pessoas com hipotecas de juros elevados.
E se os compradores quisessem dados sobre outras características e ações prováveis dos clientes, como quem era provavelmente liberal ou conservador, isso também seria possível, graças a 3.370 «Modelos de Previsão do Consumidor» que abrangem preferências automotivas, atividade financeira, uso de mídia, filiação política e atividade sem fins lucrativos.
A Datamasters oferece a compra direta de registos da sua base de dados nacional de consumidores, que afirma abranger 114 milhões de famílias e 231 milhões de indivíduos. Os clientes também podem comprar atualizações por assinatura.
Os reguladores da Califórnia começaram a investigar a Datamasters após descobrirem que a empresa não se registou como corretora de dados no estado, conforme exigido pela Lei de Eliminação de Dados da Califórnia. A lei exige que as corretoras de dados se registem desde 31 de janeiro de 2025.
A empresa inicialmente negou que fizesse negócios na Califórnia ou tivesse dados sobre californianos. No entanto, essa alegação caiu por terra quando os reguladores encontraram uma folha de cálculo Excel no site listando 204.218 registos de estudantes da Califórnia.
A Datamasters afirmou inicialmente que não tinha filtrado a sua base de dados nacional para remover os dados dos californianos. Depois de contratar um advogado, mudou a sua versão, afirmando que, na verdade, tinha filtrado os californianos do conjunto de dados. No entanto, isso não convenceu a CPPA.
O regulador reconheceu que a Datamasters tentou cumprir as leis de privacidade da Califórnia, mas que
«não dispunha de políticas e procedimentos escritos suficientes para garantir o cumprimento da Lei de Eliminação.»
A multa imposta à Datamasters também leva em consideração o facto de a empresa não ter se registrado no cadastro estadual de corretores de dados. Os corretores de dados que não se registram estão sujeitos a multas de US$ 200 por dia, e a não exclusão dos dados dos consumidores acarreta multas de US$ 200 por consumidor por dia.
A partir de 1 de janeiro de 2028, os corretores de dados registados na Califórnia também serão obrigados a submeter-se a auditorias de conformidade independentes realizadas por terceiros a cada três anos.
Por que vender dados extremamente confidenciais de clientes é tão perigoso
“A história ensina-nos que certos tipos de listas podem ser perigosas.”
Michael Macko, chefe de fiscalização da CPPA, destacou.
Pesquisas revelaram que pacientes com Alzheimer são especialmente vulneráveis à exploração financeira. Se você acha que os golpistas não procuram essas listas, pense novamente; descobriu-se que criminosos acessaram dados de pelo menos três corretores de dados no passado. Embora não haja indícios de que a Datamasters tenha vendido dados conscientemente a golpistas, parece fácil para as pessoas comprarem listas de corretores de dados.
Também não é preciso ser doutor para perceber por que muitos desses registos (que, vale lembrar, a empresa mantém sobre pessoas em todo o país) podem ser especialmente sensíveis no atual clima político dos EUA.
Há também uma questão mais ampla relacionada à privacidade. Embora muitos americanos possam presumir que a Lei Federal de Portabilidade e Responsabilidade do Seguro Saúde (HIPAA) protege os seus dados de saúde, ela se aplica apenas aos prestadores de serviços de saúde. Surpreendentemente, os corretores de dados estão fora do seu âmbito de aplicação.
Então, o que pode fazer para se proteger?
A sua primeira parada deve ser a lei de proteção de dados do seu estado. A Califórnia introduziu este ano o sistema Data Request and Opt-out Platform (DROP) ao abrigo da Delete Act. Trata-se de um sistema de exclusão voluntária para os residentes da Califórnia, que permite que todos os corretores de dados registrados excluam os dados que possuem sobre eles.
Se não vive num estado que leva a sério os dados confidenciais, as suas opções são mais limitadas. Pode mudar-se — talvez para a Europa, onde as proteções de privacidade são consideravelmente mais fortes.
Não nos limitamos a informar sobre a privacidade dos dados - ajudamo-lo a remover as suas informações pessoais
Os riscos de cibersegurança nunca devem passar de uma manchete. Com o Malwarebytes Personal Data Removerpode fazer uma análise para descobrir quais os sites que estão a expor as suas informações pessoais e, em seguida, eliminar esses dados sensíveis da Internet.
