podapps logo

Eliminei mais de 200 cadastros na web. Seria o sucesso da LGPD?


📅

No Brasil foi um desastre.

Pega a pipoca e preste atenção.

Você já deve ter pensado em fazer a limpa na web – o que eu chamo de Detox Digital – mas se deparou com dificuldades que lhe fizeram desistir, certo?

Vem comigo que abaixo eu mostro a minha motivação para realizá-la.

Motivação

Era uma bela manhã de sol… brincadeira.

Fui notificado que o domínio do site podapps.tech ia expirar (em menos de 60 dias) e o prestador de serviço (Hostgator) não atendia minhas necessidades quanto ao desempenho e recursos, com isso resolvi mudar. E por redução de custo, resolvi trocar o domínio, deixando de ser .tech para se tornar o que você está lendo hoje, .net.

Método

Eu já mencionei no canal do PodApps e, também, já debatemos na Zona Segura, que possuo aliases para meu e-mail principal.

Então, a fim de identificar possíveis (futuros) vazamento de dados, cada cadastro possui um e-mail dedicado para o serviço, como, por exemplo, se eu fosse criar uma conta no Facebook, usaria [email protected], assim num possível vazamento ou venda de dados, seria fácil identificar o responsável.

Isso quer dizer que não poderia chegar e-mails que não fossem dele. Ou seja, se eu recebesse um e-mail do Twitter, significa que:

  1. O Facebook, agora Meta, não tem segurança suficiente ou permitiu que os dados vazassem;
  2. O Facebook até possui segurança adequada, mas vendeu para o Twitter uma base de dados, com isso os cadastros para captação de novos usuários;

Em ambas as possibilidades, infringiriam a LGPD1.

Dito isto, eu me encontrei em contagem regressiva para migração dos meus cadastros, já que o domínio expiraria e eu perderia acesso ao e-mail. Qualquer que fosse a tentativa de contato de um dos serviços, cairia num limbo.

Quantidade

Com a necessidade de atualizar os mais de 500 itens, aproveitei a situação para eliminar os registros que já não usava mais.

Foram 205(!) cadastros (apenas logins) deletados. Você deve estar pensando, como pode alguém ter tudo isso? Basta levarmos em consideração as redes sociais, temos:

  • Facebook
  • Twitter
  • Mastodon
  • Planetary
  • Telegram
  • WhatsApp
  • Signal
  • Snapchat
  • Instagram
  • Messenger
  • Flickr
  • Tumblr

Entre várias outras. Só nessa lista foram 12 que precisariam de atualização e/ou deleção. Logo, chegar a mais de 500 não é difícil.

Você deve pensar como foi me organizar pra que eu não deixasse nenhum registro passar batido, já que no momento da escrita dessa matéria o site/domínio podapps.tech já não é mais existente.

Se eu esqueci de algum, muito provavelmente, perdi o contato com o serviço ou em serviços mais estruturados, eu teria um monte de etapas pra conseguir meu acesso e atualizar meu cadastro.

Por segurança, exportei a lista de redirecionamentos criados na Hostgator. Depois foi fácil encontrá-los e saber exatamente quantos e quais eram. Usei a categorização do 1Password e a contagem de itens, anotei quantos eu tinha e quantos ficaram ao final. Apenas da categoria Logins. um a um, site por site, eu acessei e atualizei ou deletei.

Categorização e contagem de itens do 1Password – 29/09/2021

A deleção

Em sites que respeitam a GDPR há algum tempo, é possível deletar as contas sem dor de cabeça. Login > Profile (ou Settings, Account, etc). Logo ao carregar a página do seu perfil/conta, já é vemos um botão “Delete Account” ou “Delete Permanently Account“. Quando não está visível, role até o final da página que normalmente está ali, seja em formato de botão ou link.

Perceba que o processo mais burocrático para deletar uma conta foi a necessidade de digitar a senha para confirmação ou digitar DELETE, e na sequência, puff, conta deletada, usuário deslogado e impossível logar novamente com os dados anteriores. ZERO dor de cabeça.

Nem tudo são flores

Um serviço específico dos meus cadastros foi uma tragédia, e não duvido que haja outros serviços iguais, que se quer permitam descadastrar-se da newsletter, imagina excluir a conta. É o caso do 12min, serviço de audiolivros. Fique longe e não se cadastre nesse serviço, é capaz que não consiga nem processá-los. E se você já é usuário deles, boa sorte.

Tentativa de descadastramento de newsletter

É impossível sair da newsletter. O link acima é originado do “botão” Unsubscribe do corpo do e-mail deles e não foi possível se quer digitar meu e-mail para descadastrar-me e o campo está definido como “somente leitura”, veja abaixo a linha selecionada e definido como “readonly“.

Claro que outros serviços também deixaram a desejar na facilidade de deleção, talvez para desmotivar a exclusão da conta, porém, fui bastante persistente e fiz requisições pelo fale conosco do serviço.

Faça isso se o serviço não possuir um meio facilitado. É a melhor forma de formalizar, por meios oficiais da plataforma, a sua requisição. A maioria dos sites estão em conformidade com a GDPR2, na mesma linha, estão praticamente, aderentes à LGPD também, embora não mencionem “LGPD”.

Nem todos são assim

Alguns serviços que não possuem uma maneira facilitada de exclusão dos dados, deixam no aviso de privacidade os meios de fazê-lo.

Em um Aviso de Privacidade que se preze, deve-se dedicar um espaço para “Exclusão dos dados” e ali costumam informar qual procedimento adotaram.

Pode ser o preenchimento de formulário, um e-mail, carta diretamente para o DPO ou pode ser um ticket em sistemas de helpdesk.

Abaixo, uma galeria com várias dessas confirmações de deleção de conta com os diversos tipos.

Agora que você viu a parte boa, vem a parte brasileira.

Não sei dizer se por falta de crença na legislação, falta de padrões, falta de orientação da ANPD3 ou sei lá o quê, mas o que encontrei por aqui, foram poucas empresas que possuem um processo bem definido.

Alguns cadastros não precisariam ser deletados, mas só atualizados, conforme Artigo 18 – inciso III (LGPD).

trecho da Lei 13.709
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/Lei/L13709compilado.htm

Mas, por alguma razão, as empresas usam o e-mail como chave primária do cadastro, o que inviabiliza a alteração. Como única alternativa válida, excluí a conta e criei uma nova com o novo e-mail.

Quero começar com o mais absurdo e recente caso de tentativa de atualização de cadastro.

Cartório

Recentemente, precisei usar serviços de cartório e criei uma conta no site www.registrocivil.org.br, porém o cadastro foi feito com o domínio antigo (aquele .tech) e consequentemente eu precisaria atualizar o e-mail, pois qualquer notificação eu não receberia. Eis a conversa.

conversa com o Coordenador do Registro Civil

É claro que isso não iria acontecer. Solicitei a exclusão dos dados e aceitaram. Ou seja, é melhor excluir um dado do que atualizá-lo? Quão difícil é a atualização desse dado? Qual a necessidade de registro em cartório para mudança de e-mail? Segurança? E pra deletar uma conta, não precisa dessa segurança? Surreal!

Voltando para a saga

Vamos começar com os que não tive dificuldades em excluir a conta. Poucos foram excluídos pelo app no Smartphone, outros precisei solicitar via chat, outros via e-mail e outros só olhando o Aviso de Privacidade pra saber o procedimento adotado.

Varejo

Agora que já viu o que foi fácil, vamos às complicações brasileiras, começando com a varejista, Fast Shop, que solicitou mais informações e usou várias outras legislações para não excluir o cadastro. Esta conta foi usada pela última vez pra comprar um Nokia N8, há 11 anos. Vejam a íntegra da resposta abaixo.

Fast Shop

O jurídico da Fast Shop é bem engajado com as leis pra benefício próprio, né?

Já sem todos esses argumentos jurídicos e respeitando mais o cliente, a Suggar foi mais objetiva e optou por anonimizar o dado e, obviamente, resguardando o que é necessário perante as necessidades legais.

Suggar

conversa com a Suggar

O curioso com a Suggar é o remetente ser [email protected]. Meu palpite é que definiram o nome do departamento que cuidaria dos dados pessoais às pressas, mas esqueceram o que é dado sensível de fato.

A Lei Geral de Proteção de Dados, nomeia como sensível: dados de saúde, origem étnica, opiniões políticas, filosóficas ou religiosas, etc…

Não é necessário informar dados sensíveis para realizar uma compra no varejo. Se alguém lhe pedir isso, foge que é uma cilada Bino.

Seguindo no varejo, temos dois grandes players, que me irritaram bastante com o descaso. Submarino e Magazine Luiza. Ambos não possuem uma maneira simples, direta e fácil de deletar a conta, mas até aí, eu já estava acostumado com as burocracias brasileiras e preparado pra desafios, mas solicitar mais dados, ficar 2 dias sem resposta, receber retorno pra abrir outra requisição é demais, saca só:

Magazine Luiza

Submarino

Saraiva

A Saraiva (em recuperação judicial, até justifica o descaso com investimentos em proteção de dados) apresentou sua solução via Chat, já que no perfil não há nada para deleção, requisitei via e-mail.

Antes fechar o varejo, chamo a atenção para um layout padrão em dois varejistas e que não há possibilidade de exclusão dos dados, isso pode ser considerado uma denúncia, ok?

Polo Wear e Shopclub

Como vemos abaixo, você consegue atualizar poucas informações, não há opção de exclusão de conta no perfil e nem na “Política” de Privacidade.

E pra piorar ainda não há escolha quanto aos cookies que podemos rejeitar, é um aviso para aceitar persistente em todas as telas.

mensagem de cookies do site polo wear
mensagem de cookies – polowear.com.br

Estamos mal de varejo. Pra vender, procuram a melhor experiência para o cliente, mas pra te “esquecer”, nem a lei da jeito. Alô, ANPD! Ajuda aí.

Financeiro

Do varejo para o mercado cripto. Pra conseguir uma atualização de dados, geralmente é burocrático em qualquer lugar (caso não seja pessoalmente) afinal, mercado financeiro procura mitigar todos os riscos de fraude.

No Mercado Bitcoin consegui a atualização de dados, essa eu não queria/quero deletar a conta, mas pra atualizar precisei realizar uns procedimentos que me levantou um alerta.

Mercado Bitcoin

Como podem ver, eu precisei atualizar meu cadastro na Mercado Bitcoin e o procedimento no site já dizia que eu precisava gravar um video, com um papel escrito coisas, segurando meu documento e enviar via formulário no site deles.

Feito isso, o retorno do suporte foi a solicitação de uma foto do meu documento, sim, aquele já estava presente no vídeo. Ok, enviado.

Resposta 2 indica que eu deveria ter enviado o documento pelo e-mail que usaria na atualização (o e-mail “novo”), ok ok, falha minha dessa vez.

Resposta 3, tudo ok, atualizações ok. Tivemos uma comunicação bastante rápida, mas perceba um detalhe. 3 resposta == 3 analistas diferentes. Meu dado (video e documento) passou por 3 pessoas em um único atendimento.

Tudo bem, você deve imaginar que eu não deveria estar reclamando por isso. Mas daria pra privar mais o dado com uma pessoa exclusiva para o atendimento que atuasse até o final, mesmo que demorasse um pouco mais.

Banco Inter

Com o banco Inter, embora eu não tenha salvo evidências, não é possível utilizar um domínio diferente de @hotmail, @outlook, @gmail, @yahoo. Essas foram as palavras do suporte quando tentei atualizar meu e-mail e mesmo com todas as verificações e validações positivas, o retorno era “Não foi possível atualizar o dado cadastral” — sem mais informações.

Nubank

Sem problemas por aqui, fácil e rápido. Não precisei do suporte.

Itaú

Fácil e rápido também. Sem a necessidade de suporte.

C6 Bank

Idem aos acima. Sem suporte.

Corretoras de Criptomoedas (Exchanges)

Embora sejam burocráticas, e com muito mais validações e demora no retorno, obtive sucesso na atualização dos dados, mas sempre com o suporte. No meu caso, falo especificamente da Binance, Mercado Bitcoin e Uphold.

No tempo que eu definir

Vamos agora para a falta de padronização em períodos para exclusão de dado, cada um decide o tempo que quiser, 1 dia, 2 dias, 3, 7, 10, 30, vê aí.

Felizmente, todos deletaram no prazo correto. Alguns ainda mandavam e-mails durante o período estipulado para tentar me convencer a ficar, mas depois da expiração do prazo, nenhum e-mail mais.

Você viu até agora, meios de deleção de conta criados e definidos pelas próprias empresas. Sem padrão.

Novamente, uns por e-mail, outros por chat, outros por ferramenta de helpdesk, outros por formulários. Mas, esse mercado tem muitos serviços que, quem pode pagar, padroniza, automatiza, simplifica, otimiza e embeleza o processo de deleção dos dados.

OneTrust

Delboni Auriemo, Leroy Merlin e Ingresso.com usam a solução da OneTrust para este processo. É bem simples de solicitar e otimiza o processo dentro da empresa, consequentemente agiliza o processo de deleção.

Veja como os e-mails são padronizados

Eu preciso comentar duas situações que aconteceram. A primeira é com a deleção dos dados da rede Dasa, foi um pouco mais trabalhoso e eu perdi um prazo de resposta e precisei solicitar de novo. O outro foi com a Leroy Merlin e vou dedicar um espaço pra isso.

Leroy Merlin

Como vocês viram acima, solicitei a deleção da conta na Leroy. O motivo dessa deleção era, como mencionado no começo dessa matéria, não conseguir atualizar o e-mail, optei pela deleção e quando eu fosse comprar novamente, criaria um novo cadastro. Certo? Certo! Prosseguindo…

De fato eu precisei fazer uma nova compra após a exclusão da conta e realizei um novo cadastro, agora com o e-mail que eu gostaria, mas pra minha surpresa, após a compra e visualizar a página de pedidos apareceu uma compra anterior, identificando que a deleção não havia sido completa, talvez houvesse resquícios no Backup e que, por alguma razão, trouxe de volta quando realizado um novo cadastro. Algum vínculo com o número do CPF, talvez.

De todo modo, enviei um e-mail para o DPO da Leroy e isso me rendeu uma entrevista de emprego, veja:

Recebi uma resposta automática dizendo que eles haviam recebido meu contato e pra minha surpresa, ao invés de uma resposta formal, recebi uma proposta de emprego.

mensagem do LinkedIn
Mensagem enviada via inbox no LinkedIn

Atitude

Meu objetivo, não é e nunca foi prejudicar ninguém, a exposição do caso, inclusive, é pra demonstrar que ao propor auxílio, podem render bons frutos.

Então se você costuma criticar e reclamar de serviços, já tentou reportar os problemas pra eles? (Essa foi a primeira vez que rendeu uma proposta de emprego, mas confesso que já tive ótimas experiências com desenvolvedores de apps, só por reportar falhas e propor melhorias).

A idéia não é dar nenhuma lição de moral, longe disso. Vamos continuar com a saga, está terminando, juro.

Pra finalizar esta matéria, 2 empresas que responderam a solicitação de deleção dos dados, nunca mais deram um parecer, mas o dado foi deletado de fato. Eu imagino que, por ser deletado mesmo, talvez as respostas automatizadas não encontraram meu dado e não me enviam a confirmação. Quero acreditar nisso rs.

No Limbo

GDPR

A GDPR regulamentou empresas que tratam dados de cidadãos europeus e também deu base à nossa LGPD.

Não podemos negar o sucesso, e pensar que antes mesmo da GDPR não existia politica aviso de privacidade e muito menos a possibilidade de obrigar as empresas a deletar seus dados.

ANPD

Quero que a ANPD possa regulamentar, orientar, definir com mais agilidade. A ANPPD4 tem feito um excelente trabalho nos representando.

Você já viu que temos legislação pra isso e até nossa constituição fala de privacidade.

Conclusão

Há muitos outros serviços que ainda tenho conta e que deixam a desejar, fico na esperança de melhoria breve e sigo reportando.

Faça o Detox Digital. Condomínio, hospitais, laboratórios, lojas, shoppings, universidades, há muitos locais que provavelmente você já não frequente mais e seu dado está lá, pra quê, né?

Nada do que leu acima será pra sempre (eu espero). Eu quero que este post fique obsoleto e possamos lê-lo futuramente e pensar: “Nossa, olha como era ruim no Brasil, hoje é só apertar um botão”.

Não pense que é difícil ou que, por conta dos vazamentos que já ocorreram no início deste ano, será impossível ser esquecido na Web.

Privacidade não é sobre não ter nada pra esconder, mas sim o que quer mostrar, ter controle do seu dado, escolhe pra quem, quando, onde e como compartilhar suas informações.

Compartilhe

A saga foi longa, mas se você acompanhou até aqui, compartilha essa matéria com amigos, familiares, seu site, nas suas redes sociais e, assim, você ajuda este blog atingir mais pessoas e trabalharemos juntos pela conscientização de todos no Brasil e quiçá no mundo.


1Lei Geral de Proteção de Dados

2General Data Protection Regulation

3Autoridade Nacional de Proteção de Dados

4Associação Nacional dos Profissionais de Privacidade de Dados


Atualização em 17 de Agosto de 2022 às 11h44min

Fast Shop

Cá estou eu novamente. Você leu acima a tragédia que é a adequação à LGPD no Brasil e mais de 1 ano depois podemos acompanhar que nada mudou.

Acima eu mencionei que solicitei a exclusão do meu cadastro para a Fast Shop e por esses dias precisei realizar uma nova compra. O problema encontrado foi o mesmo da Leroy Merlin, tentei login, sem sucesso, criei o cadastro novamente, fiz a compra e ao clicar em Meus Pedidos, para minha surpresa (ou não), havia histórico de compras.

Pois bem, meu comportamento foi exatamente o mesmo de antes, tentar ajudar.

Pelas orientações do próprio site, bastava enviar um e-mail direto ao DPO (Data Protection Officer — Encarregado de Dados) em [email protected], porém, quem recebe, aparentemente é o SAC, que solicita mais dados e quando você responde ao SAC, surpresa! Eles não recebem seu e-mail.

Claro que isso não é conversa fiada, abaixo, segue evidências da tentativa de ajuda ㄟ(ツ)ㄏ

Max Milhas

Mais de 1 ano depois, também temos o retorno da Max Milhas, que acima havia sido categorizada como “No Limbo”.