Dotz e dados: As surpresas e dificuldades para excluir um cadastro via internet

Um monte de bolinhas laranjas com o símbolo da Dotz amontoadas na tela..

Juliano1 tinha uma conta na Dotz, um serviço de pontos/cashback, e decidiu que não a queria mais. Ao tentar cancelá-la, caiu em um labirinto kafkaniano, repleto de perguntas esquisitas elaboradas a partir de dados seus que ele jamais compartilhou com a Dotz. “E pior: disseram que eu ERREI as respostas sobre minha vida”, contou, incrédulo.

O Manual do Usuário teve acesso à conversa de Juliano com o atendimento da Dotz, feito via mensagens diretas (DMs) no Twitter. As perguntas feitas para comprovar a identidade dele, todas de múltipla escolha com cinco alternativas cada, foram as seguintes:

  1. Qual destes e-mails lhe parece mais familiar?
  2. Qual é o nome do seu(sua) irmão(ã)?
  3. Em qual destas cidades você já morou?
  4. De qual estado você tem ou já teve um telefone?
  5. Qual é o mês de nascimento da sua mãe?
  6. Qual destas empresas você trabalha ou já trabalhou como CLT?

Ao errar as perguntas sobre sua própria vida, o atendimento da Dotz se negou a excluir a conta dele e gerou uma solicitação, com um número de protocolo, “para que o seu caso seja resolvido”.

Três prints com a conversa entre Juliano e a Dotz, nas DMs do Twitter, com dados pessoais ocultados.
Toque para ampliar. Imagem: Twitter/Reprodução.

Posteriormente Juliano perdeu o acesso à conta na Dotz — os dados de login não funcionam mais —, mas não sabe dizer se ela foi de fato excluída. Dias depois do diálogo surreal no Twitter, ele recebeu um e-mail da Dotz, em que a empresa pediu “sinceras desculpas por eventuais transtornos causados” e confirmou que seu cadastro foi cancelado com êxito.

A situação é curiosa e, em alguma medida, revoltante. Afinal, a Lei Geral de Proteção de Dados (LGPD) não foi criada para dar às pessoas mais poder sobre seus próprios dados? E de onde a Dotz tirou tantos dados tão íntimos, que o próprio titular jamais cedeu a ela e que, aparentemente, estão equivocados?

Ao ser questionado sobre o episódio, Christian Perrone, pesquisador sênior da área de direito e tecnologia do ITS-Rio, disse que o procedimento feito pela Dotz existe para garantir que o solicitante/usuário seja realmente quem diz ser. Afinal, se outra pessoa estivesse tentando se passar por Juliano para cancelar sua conta ou tomar outra atitude à sua revelia, esse mecanismo de autenticação poderia barrar a tentativa de fraude.

“Em linhas bem gerais, não é impossível nem improvável que exista esse tipo de questionamento, de autenticação”, explica Christian. “A grande questão ali se relaciona, mais que tudo, ao modo como foi feito esse processo. Eu sempre digo que o melhor na terminação de relações é que o procedimento que facilitou o seu início seja muito próximo do procedimento que você está terminando. Então, se foi fácil para você começar o seu relacionamento, deveria ser fácil de você terminar esse relacionamento com a empresa.”

Questionada por e-mail, a assessoria da Dotz enviou o seguinte posicionamento:

A Dotz informa que as perguntas realizadas ao cliente em questão fazem parte do processo de Identidade Positiva, que é o procedimento para o atendimento via redes sociais. Essa é uma prática mercadológica que a empresa utiliza, por meio de um “bureau”, que gera perguntas não tradicionais, com o objetivo de contornar a ação de potenciais fraudadores.

A empresa ressalta ainda que está em conformidade com a Lei Geral de Proteção de Dados e possui um processo de atendimento transparente.

E… parece que é o caso. “Para responder no sentido estrito, é muito provável — eu não posso falar sobre procedimentos internos, as políticas internas da Dotz —, mas é muito provável que esse tipo de sistemática esteja ainda dentro das possibilidades legais”, disse Christian, partindo da premissa de que os dados do usuário tenham sido usados exclusivamente para o procedimento de autenticação e exclusão da conta.

Entretanto, estar em conformidade com a LGPD não significa que o procedimento é perfeito, ou seja, que não pode ser aperfeiçoado. O desconforto do usuário e seu fracasso em confirmar dados seus são indicativos de que esse talvez não seja o melhor sistema, argumenta o especialista. “Para gerar uma maior proteção de dados, você está pedindo mais dados? Talvez a questão de minimização de dados possa ser invocada aqui.”

A minimização é um dos princípios consagrados na LGPD que cabem na análise desse caso. Outros dois, observa, são os da necessidade e da adequação.

Os dados de Juliano, usados para confirmar sua identidade, não vieram da Dotz, como a declaração da empresa esclareceu. Eles vêm de birôs. Sim, tipo a Serasa. Existem bureaus de dados, e mesmo os de crédito também podem ser usados para confirmar identidades.

“A gente às vezes nem percebe porque, primeiro, não estávamos acostumados a pensar na proteção de dados. Essa cultura está se desenvolvendo agora, o que acho muito positivo”, diz Christian. “E, segundo, porque está na infraestrutura das nossas relações comerciais.” Às vezes entramos em batalhas já perdidas de pronto.

Nesse aspecto, o especialista do ITS-Rio identifica outro ponto frágil no caso: a falta de transparência. “O melhor teria sido uma explicação de como seria o procedimento de autenticação, de uma maneira um pouquinho mais elaborada, ou que tivesse um elemento que a pessoa que tivesse interessada em saber porque estavam sendo utilizados aqueles dados pudesse encontrar aquela informação”, explica. “Poderia ser aquilo que chamamos de ‘informação por camadas’, ‘olha, nós utilizamos um birô externo, então essas perguntas podem parecer estranhas, mas elas se relacionam a tal e tal coisa de você, e a gente só quer fazer isso.’”

Outra medida possível para mitigar, talvez a mais óbvia, seria oferecer um fluxo de cancelamento da conta mais óbvio, por exemplo na forma de uma opção no site da Dotz. DM no Twitter, convenhamos, é um lugar estranho para levar a cabo tal procedimento.

Juliano afirma que não encontrou a opção de cancelar sua conta no site da Dotz, o que o levou ao atendimento no Twitter. Talvez seja um caminho mais cômodo, mas ao exigir uma comprovação de identidade complexa — e falha, como o caso ilustra —, será que essa comodidade excessiva não acaba gerando mais problemas do que… comodidade?

Para Christian, há uma expectativa por soluções facilitadas. Para oferecê-las, porém, é preciso ajustar procedimentos: “A empresa poderia, por exemplo, gerar um token para a pessoa voltar e efetivamente pedir o cancelamento. Para abrir a conta, você deve ter dado algum dado, um e-mail ou um número de telefone, se não ambos, então poderia existir essa interação.”

“Eu acho que o processo de gerar uma cultura de proteção de dados no Brasil ele vai envolver uma série de percalços”, prossegue. “Nesse caso, aparentemente nós estamos vendo uma dessas situações em que você precisa moderar uma série de interesses e direitos envolvidos.”

Estar nesse processo, obviamente, não exime as empresas de responsabilidade, mas as coisas não se resolvem da noite para o dia. “Eu gosto daquela brincadeira”, ilustra Christian, “que ‘é no correr da estrada que as melancias se ajeitam’. Imagino assim esse processo.”

O que fazer?

Quem se sentir lesado em uma situação similar à que Juliano passou com a Dotz tem três caminhos para tentar resolvê-la:

  • Acionar o encarregado de proteção de dados. Essa figura, criada pela LGPD, é alguém, um funcionário, responsável por intermediar a relação entre clientes e empresa no que toca à proteção de dados. “Se a empresa não tiver [o encarregado], ela já não está de acordo com a LGPD”, explica Christian.
  • Denunciar o caso à Autoridade Nacional de Proteção de Dados (ANPD).
  • Recorrer à Justiça, via Juizado Especial Cível (JEC) ou a justiça comum, em casos de maior complexidade.

Além disso, existem órgãos específicos a depender do tipo da demanda. Se a reclamação for de uma empresa de telefonia, por exemplo, a Anatel é um caminho. Se envolver relação de consumo, tem o Procon e a plataforma Consumidor.gov.br, da Senacon. “Mas, primordialmente, temos o encarregado, a ANPD e o judiciário como principais elementos de frente para lidar com seus direitos relacionados à proteção de dados pessoais”, finaliza Christian.

Foto do topo: Dotz/Divulgação.

  1. Nome fictício, usado a pedido do leitor.

Deixe um comentário

Seu e-mail não será publicado. Dúvidas? Consulte a documentação dos comentários.

24 comentários

        1. Provavelmente é possível fazer por outros canais de atendimento, como por telefone, por outras redes sociais ou por e-mail.

  1. Estou tentando comprar um negócio no mercado livre e esqueci minha senha. Pra fazer uma senha nova pediram foto da minha identidade, minha foto, faixa salarial… depois disso parei e mandei um e-mail enfurecido para o dpo rsrs

    1. Não tinha uma história que o Mercado Livre tava criando uma conta bancária ou cartão de crédito, não lembro, para novos cadastros sem as pessoas saberem? Como você estava sem acesso, devem ter tentado pegar seus dados pra fazer também.

  2. Esse tipo de questionário é antigo e é vendido como serviço por algumas, pra não dizer diversas, empresas de big data.

    Normalmente esse tipo de empresa de big data presta serviços pra negócios tendo como efeito colateral a ‘herança’ da base desse negócio.

    Exemplo:

    Uma empresa que presta o mesmo tipo de serviço pra um grande ecommerce A e outro ecommerce B acaba ‘herdando’ as bases de ambos e usando ela de forma ‘anonimizada’ entre x clientes, ou seja, ela não compartilha a base entre clientes mas usa todas pra enriquecer sua própria base.

    Outro ponto é:

    Todas essas grandes empresas de big data (onde estão incluídas as que vendem serviços de análise de crédito, antifraude etc.) tem pareceres de grandes escritórios de advocacia que garante pra eles que não há qualquer problema em fazer isso tudo POIS a lei proíbe que você use esses dados pra prejudicar o consumidor, e na leitura dessas grandes bancas não é o que acontece: os dados são armazenados e usados pra PROTEGER o consumidor.

    Esse é o resumo.

  3. Eu me sinto como um palhaço tentando perder o mínimo possível em uma sequência de batalhas onde tentam me vencer pelo cansaço e falta de paciência. Exemplo: Faz alguns dias que pedi a mudança do plano controle para o pré pago. E a operadora cancelou o meu número. 🤡

  4. Entrei em contato com a Dotz na DM do Twitter dia 15 desse mês pra encerrar minha conta, a resposta no dia 19 foi: “É uma pena que não queria manter sua conta conosco! Para que possamos te ajudar nessa questão, precisamos que envie o seu número de CPF, e-mail e telefone celular e para isso precisamos realizar um procedimento de identificação e você precisa estar on-line.

    Peço que escolha o melhor dia e horário para realizarmos. Nosso atendimento ocorre de segunda a sexta das 08:00 ás 20:00 horas. Aguardamos o seu retorno”

    Acabei desistindo.

  5. Eu acho assustador o fato da Dotz achar ok fazer o cancelamento usando esse método…no Twitter? Até porque a pessoa pode responder e ser hackeada daí o criminoso ficar com os dados pessoais sobre ela, uma vez que ela deu as respostas.

  6. Há um tempo atrás eu resolvi eliminar todos os meus cadastros inativos (salvos no gerenciador de senhas) + os que não pretendia mais usar. Isso envolve TODOS os cadastros, bancos, sites nacionais e internacionais, newsletters, corretoras nacionais e internacionais, e afins…

    Como eu também tenho um blog/podcast, estou escrevendo uma matéria contando toda essa saga. Em resumo, posso dizer que todas as requisições à todos os serviços internacionais, foram prontamente atendidas, quando não era por chat/e-mail, havia um botão “Delete Account”/”Delete Permanently Account” na página de perfil da conta, já os serviços brasileiros foi, literalmente, uma saga. Fora o fato de não haver padrões (muito por culpa da ANPD). Uns pediram 2 dias uteis, outros 7, outros 15, outros 30 (sem contar os que precisam manter os dados anonimizamos por X anos por cumprimento legal). Uns foram via chat, outros via e-mail (que levava dias para responder), outros via página de perfil (raridade).

    Enfim, uma verdadeira zona, como todo serviço brasileiro comumente é. Houve até, falha em apagamento de dados, pois eu deletei o cadastro numa varejista e depois de dias criei novamente e pra minha surpresa, lá estava meu histórico de compras (Isso me rendeu até uma entrevista de emprego, pois reportei ao DPO).

    Vou contar no detalhe nessa matéria que estou escrevendo, mas sei muito bem o que o “Juliano” passou.

      1. Oi André, a matéria ainda não foi ao ar, estou editando pra não ficar gigantesca e também não suprimir coisas importantes. Mas se quiser acompanhar as que já existem por lá, é o https://podapps.net e você clica em blog que terão todas as matérias que já redigi ou traduzi para o pt-br.

    1. Vai ser interessante ver esse texto. Podia fazer uma parceria com o Ghedin e linkar aqui no MdU de alguma forma ou mesmo publicar aqui, porque é deveras relevante. Aliás, a ideia é boa. Colocando aqui na lista de tarefas para 2022.

      1. Olha, seria uma honra haha. Não tenho o mesmo viés do Ghedin, pois evito falar de tecnologiaS, mantenho o foco sempre em matérias sobre privacidade e proteção de dados… dicas, matérias traduzidas, apps e tal, mas seria uma honra aparecer por aqui sim rs. Não a toa eu sou leitor assíduo do MdU.

    2. Cara, eu fiz isso de apagar TODAS as contas inativas no meio deste ano e posso dizer que, faça das tuas palavras as minhas. É uma zona isso aqui…

      Teve um caso, de uma empresa que se propõe a servir como meio de cadastros para atletas participarem de competições (sou ciclista), que não havia uma forma fácil de excluir a conta, não havia um botão “apagar conta”. Já não gostei disso, mas ok…
      Entrei em contato com a empresa e pedi a exclusão da conta e dos meus dados. Uns dias depois eles responderam dizendo que haviam feito, mas ao entrar no site deles, eu permanecia logado e ainda havia metade dos meus dados disponíveis (alguns campos contavam com “null”).
      Enviei outro e-mail, eles conferiram lá e dessa vez disseram que minha conta tinha sido apagada de vez, mas ao acessar pela URL específica do meu usuário, ainda constava o meu nome (Diego, sem sobrenome) e um outro dado que não lembro qual era, mas era meio que irrelevante, como cidade ou algo assim.
      Acabei desistindo de enviar outro e-mail pedindo para eles apagarem os últimos dados remanescentes…

      E houveram outros casos também… empresas de cartão de crédito que foi um parto, bancos (olá Santander, é contigo mesmo, desgraça!) que mesmo já tendo a conta fechada ainda continuo recebendo e-mails de promoções e SMSs dizendo que um DDA foi emitido contra mim, entre outros casos bizarros.

      E cara, quando tu publicar no teu blog avisa aqui no MdU, ou faz como o Emanuel disse, tenta falar com o Rodrigo e fazer uma parceria com ele para a publicação aqui no MdU também. Vou gostar muito de ler.

      1. Opa, eu tenho um processo rolando contra uma empresa que ocorreu exatamente isso. Foram uma série de acontecimentos sem solução que me levaram à essa atitude, mas a advogada deles mandou um documento dizendo ser a comprovação da exclusão do meu cadastro e nesse documento constava “Alterado de Gustavo para ‘vazio’, alterado de Saez para ‘vazio'”, mantiveram meu e-mail cadastrado e telefone (o que me torna identificável – infringe a LGPD).
        Ai eu pensei: Ou eles não sabem o que fazem ou eles enganaram a advogada e ela me encaminhou o documento sem entender o que fizeram ou ambos sabem o que fazem e acharam que eu não tinha conhecimento técnico ou não iria ver os documentos enviados ou não iria entender o que estava documentado. De todo modo. Ajuizei uma ação contra eles e está nas mãos da nossa justiça há 2 anos… vamos ver no que vai dar (pretendo escrever sobre isso quando houver a resolução… ou eu vou incentivar a buscar seus direitos ou vou reclamar da justiça kkkkkkkkk)

        Mas de todo modo, eu falei pro André, essa matéria está em construção, mas se quiser ver outras matérias, pode ver em https://podapps.net
        É um blog/podcast destinado à privacidade e proteção de dados…

        Mas se seria uma honra aparecer aqui no MdU rs

    3. Faço coro com o pessoal aqui, também gostaria de ler. Apesar de ultimamente achar que esse negócio de privacidade está cada vez mais raro na internet, gosto de ler e saber a respeito.
      Li uma matéria na Revista Gama que uma pessoa contava como tentou se remover da internet (até nos resultados do google!) e eu achei bem interessante. Mas levando em conta esses vazamentos de dados recentes, parece uma batalha perdida.
      Acho que até comentei aqui uma vez que eu gostaria muito de apertar um botão e apagar toda a minha virtual (e eu nem tenho tanta, risos).

      1. Andrea, deixo aqui meu convite para que acompanhe meu blog também, devo terminar esse fds e solto na segunda-feira.

        Mas comentando seu comentário rs, eu não acho que está raro, pelo contrário, depende por onde andas… se seu mundo digital está no circulo de Meta (antigo Facebook Empresa) e Google, não a toa você continuará se deparando com escândalos, vazamentos, inseguranças, rastreamentos e etc.

        Como eu estou nessa desde 2015, eu conheço muita ferramenta e alternativas para estes serviços, e desde 2018, vejo um crescimento grande em relação a novos serviços + softwares surgindo evidenciando suas preocupações com a privacidade. O meu blog chama-se PodApps por nascer como um simples podcast que falasse de Apps que respeitasse sua privacidade… nos primeiros episódios eu já falava que era contra Google e Facebook. Então, te contradizendo (e não se ofenda com isso, é motivo de alegria, na verdade rs) não está raro \õ/

        Eu não uso o Google desde 2015 também, passei a usar o DuckDuckGo desde então… mas como você disse sobre sumir até dos resultados do Google, fiz uma pesquisa aqui no bom(?) e velho Google sobre “Gustavo Saez” e me trouxe 2 resultados (aonde eu me encontro):
        1. minha mochila aqui no MdU (antigo até, já até mudei de mochila kkkk
        2. Um Memoji com página de perfil para o Professor do iPhone, aonde já escrevi umas matérias sobre privacidade.

        nada além disso. Antes, trazia twitter, integram, Facebook, várias imagens e hoje não tem mais nada disso. Até mesmo buscando pelo meu usuário do twitter: gustavosaez, não apareceu resultados, então acredito que esse “detox digital” tem funcionado.

        Claro, não foi da noite pro dia que o Google parou de “me indexar”, eu não tenho Facebook há 4 anos, pelo menos. Embora eu ainda tenha, não uso Intagram como todos usam. Então, embora tenha demorado, funcionou.

        Também pode haver a via mais “rápida”, ajuizar ação para que o Google te tire da internet, ele deve parar de indexar você e seus dados.

        E se você não tem tanta, acho que é muito mais fácil e rápido de “sumir” do que eu fui hahaha

        Ahh outra coisa, quem sai de Facebook e Google, precisa dar um tempo para adaptação, pois a vida pode ser, inicialmente, um pouco mais complicada. É uma vida sem rastreadores (caso use algum anti-tracker e adblocker), é uma vida que os serviços não te conhecem… então pode ser mais difícil no começo, mas depois que acostuma, tudo fica tranquilo.

O site recebe uma comissão quando você clica nos links abaixo antes de fazer suas compras. Você não paga nada a mais por isso.

Nossas indicações literárias »

Manual do Usuário