Dia desses eu fiz uma compra em um site que oferecia um desconto na primeira compra (o que é bem comum, por sinal) e fiquei pensando aqui com meus botões: que tipo de informações eles guardam e comparam pra saber se eu já fiz uma compra no site no passado? Afinal de contas, imagino que a loja não deseja que o consumidor faça múltiplos cadastros pra ficar obtendo o mesmo desconto infinitamente.
Indo mais além: se eu solicitar a exclusão de todos os meus dados do site através da LGPD, e resolver comprar de novo, em tese a loja deveria me dar o desconto novamente, certo? Não estou dizendo que é correto fazer isso e recomendando que alguém o faça, mas vocês considerariam isso como imoral?
9 comentários
Opa, engenheiro de dados aqui!
Existem muitas formas de identificar um cliente dependendo da natureza do negócio. No varejo, era só CPF. Para negócios digitais, existem identificadores de acesso do Google Analytics (estes são únicos para dispositivo, se não me engano – mas essa parte não é minha especialidade) e identificadores digitais, como email, IP, nome de usuário ou coisas do tipo.
Aí que tá, a LGPD é uma “via de mão dupla”, a empresa também tem uma responsabilidade para com os seus dados sensíveis, isso faz com que muitas empresas usem
hashsno lugar dessas informações, então o seu cpf passa por uma camada de criptografia e é salvo como uma sequência não sensível que te identifica. Essa também não é uma área que atuo muito, mas creio que essahashnão precise ser excluída.Dessa forma, à medida que mais empresas se adequem às novas normas, imagino que esse truque de deletar os dados para conseguir o desconto novamente deve parar de funcionar, porque a hash gerada pelo seu cpf (que é única) já vai estar na base identificando suas compras antigas.
Então, por ser programador, eu pensei sobre essa questão do hash (ou qualquer tipo de identificador anonimizado). E é justamente essa minha dúvida, mesmo sendo um dado anônimo, se eu solicito a exclusão dos meus dados pela LGPD, todos as informações relacionados a mim não deveriam ser excluídas? Se uma loja consegue identificar que eu já fiz uma compra lá no passado, mesmo pedindo para deletar meu perfil, isso não seria uma violação?
Ao meu entendimento, não. Reforço, mais uma vez, que não é minha área de especialidade, mas, até onde sei, dados anonimizados fogem à aplicação da LGPD, que visa excluir aqueles dados sensíveis e pessoais que poderiam ser utilizados para te identificar. Para identificar você, o agente malicioso precisaria quebrar a criptografia, então pode ser argumentado (precisamos lembrar que essa área trata mais com advogados do que com programadores – então existe aquela habitual flexibilidade) que a empresa não infringiu a lei, mesmo que seja, teoricamente, possível te identificar.
No mais: você pode ser esquecido da base, mas a sua compra não vai.
A depender da estrutura das tabelas de operações, o truque pode funcionar mesmo após seu cpf se transformar em hash: algumas empresas têm tabelas de usuários, com um ID de usuário, que identifica a compra. A deleção dos seus dados provavelmente deixaria certos campos como
null, aí quando vc fizesse uma nova compra, seria criada uma nova linha nessa tabela. Em outras, o CPF/Hash é utilizado diretamente. Ou seja, existem muitas variáveis…Quando estava em vias de voltar do Apple Music para o Spotify, pesquisei sobre a forma de resetar o algoritmo de indicações do serviço sueco. A única forma efetiva que encontrei na época foi solicitando exclusão completa da conta e dados, o que ocorre de fato trinta dias após a solicitação. (retornando antes, a conta antiga é reativada)
Feito isso, migrei para o Spotify criando uma nova conta com o mesmo e-mail da conta antiga. Para surpresa, eu era um “novo usuário” e ganhei os três meses gratuitos concedidos aos novatos. Foi em 2020.
Não sei se é imoral, mas deve ser por isso que sempre há um prazo para exclusão.
“se eu solicitar a exclusão de todos os meus dados do site através da LGPD, e resolver comprar de novo, em tese a loja deveria me dar o desconto novamente, certo?”
Não. Eles deletarem seus dados de cadastro não significa que tenham que simplesmente ignorar a compra que vc fez com eles (não dá pra deletar a nota fiscal emitida em seu nome, por exemplo, governo nem lgpd permite isso).
“vocês considerariam isso como imoral?”
A pessoa que não considerar essa artimanha imoral é má. E não duvide, porque haverá gente defendendo esse estelionato. A lei de gerson nesse país é infalível.
Algumas é pelo CPF, outras pelo e-mail de cadastro.
Tem lojas que não há sequer uma verificação, apenas aplicar o cupom e funciona. Em alguns casos eles checam se o CPF já está na base. Já criei conta com outro e-mail, mas o mesmo CPF, e deu certo.
Agora sobre isso de exclusão via LGDP, é um caminho mais complicado para um mero desconto, né?
Sobre a questão do desconto, é bastante relativo. Mesmo se for um desconto de 10%, em uma compra alta, como um eletrodoméstico ou um equipamento eletrônico, já gera uma economia significativa.
Claro, desconto é sempre bom.
O que eu me referi foi a usar a LGPD, que seria um caminho mais difícil, comparado ao caminho mais simples que seria criar uma outra conta com outro e-mail, ou outro CPF.
Ah sim, certo. No pior dos casos, ainda é mais fácil pedir pra outra pessoa criar uma conta pra aproveitar o desconto. Não é todo dia que a gente faz uma compra grande afinal.
Eu lembro de um caso que aconteceu comigo, faz algum tempo, que eu fui fazer dessa maneira (usar uma conta nova de outra pessoa) e o site invalidou o desconto porque ele identificou que o cartão de crédito era o mesmo que eu usei na minha conta. Infelizmente não vou conseguir lembrar qual foi o site onde isso aconteceu.