A Claro repassou mais de cem dados de cada cliente pra Serasa, e a conta pode chegar a R$ 50 milhões

Mais de cem. Esse é o número de informações que a Claro repassou sobre cada um dos seus clientes para a Serasa, segundo a Autoridade Nacional de Proteção de Dados, a ANPD, que é o órgão do governo encarregado de fiscalizar o que as empresas fazem com os dados da gente. No dia 8 de junho, a agência abriu um processo para punir a operadora, e a Serasa entrou na fila para ser fiscalizada também.

A parceria entre as duas funcionava assim: a Claro entregava dados dos assinantes e a Serasa usava esse material para desenvolver metodologias de análise de crédito. Análise de crédito é o cálculo por trás daquela nota, o score, que diz para banco e loja se você é bom ou mau pagador. Na teoria, dado de telecom até ajuda a calibrar esse número, já que quem paga a conta do celular em dia tende a honrar o resto.

A ideia até faz sentido. O tamanho do repasse é que estourou o limite.

Cem dados por cliente é coisa demais pra calcular um score

Quem coloca o número na mesa é Fabrício Guimarães, superintendente de Fiscalização da ANPD: “a Claro compartilhou mais de cem dados de cada cliente com a Serasa”. Cem campos de informação sobre uma pessoa é um exagero. Nome, documento e endereço já seriam o básico. Para chegar a cem, entra padrão de consumo, perfil, comportamento, o tipo de coisa que ninguém imagina estar assinando junto com o plano de celular.

A LGPD, a Lei Geral de Proteção de Dados que vale desde 2020, tem um princípio simples no centro dela: a empresa só pode usar o mínimo de dado necessário para aquela finalidade. Chama-se princípio da necessidade. Despejar mais de cem campos do cliente para montar um score é o oposto disso, e foi esse exagero que a ANPD classificou como compartilhamento desproporcional.

A Claro não te avisou, e o canal de reclamação não funcionava

A agência apontou três irregularidades, e a primeira você já entendeu: dado demais. As outras duas doem mais no bolso e no direito do consumidor.

A segunda é falta de transparência. Os titulares, ou seja, você e eu, não foram informados de que os dados iriam parar na Serasa. Ninguém recebeu um aviso claro dizendo “olha, vou mandar seu perfil de consumo para uma empresa de crédito”. A terceira é que o encarregado de dados da Claro, a pessoa que a lei obriga a empresa a manter disponível justamente para você reclamar sobre seus dados, estava difícil de acessar. Ou seja, mandaram suas informações para fora sem avisar e ainda dificultaram o caminho de quem quisesse questionar.

Guimarães resumiu o recado da agência: “o compartilhamento de dados precisa ser transparente; os clientes têm que ser informados”. É o básico, e foi o básico que faltou.

A defesa da Claro tem um furo do tamanho do contrato

Procurada, a Claro afirmou respeitar a privacidade dos clientes e disse que o contrato com a Serasa seguia a LGPD e as orientações da ANPD. Segundo a empresa, os dados teriam sido usados apenas para estudos e análises internas, não viraram produto de mercado, e o acordo já foi encerrado.

O encerramento aconteceu depois que a ANPD bateu na porta. As duas só rasgaram o contrato quando a fiscalização apertou.

E tem a parte do “só estudos internos”. O próprio objetivo declarado da parceria era desenvolver metodologias de análise de crédito. Metodologia de crédito não é diário pessoal que fica numa gaveta, é a régua que define se você consegue financiamento, cartão e parcelamento. Dizer que algo que alimenta o cálculo do seu score ficou restrito a estudo interno é uma definição bem generosa de interno.

Não é a primeira vez que uma empresa grande trata o seu dado como se fosse dela. A Meta lançou um app de inteligência artificial que avisa seus contatos que você está usando e usa suas perguntas para alimentar anúncio, sem pedir licença. O roteiro se repete: a coleta vem fácil, o aviso vem capenga, e a explicação só aparece quando alguém de fora cobra.

Quanto a Claro pode pagar e o que você pode fazer

Se a ANPD confirmar as irregularidades no fim do processo, a punição segue o artigo 52 da LGPD: multa de até 2% do faturamento da empresa no Brasil, limitada a R$ 50 milhões por infração. Como são três irregularidades apontadas, a conta pode passar de um único teto. A Claro tem dez dias úteis, contados da notificação, para apresentar defesa. Ficar calada pode ser tratado como obstrução e render sanção extra.

Para você, que talvez esteja descobrindo agora que virou linha numa planilha da Serasa, a mesma LGPD que a Claro supostamente furou também te dá ferramenta. Você tem direito de pedir a qualquer empresa a lista dos dados que ela guarda sobre você, exigir correção do que estiver errado e pedir a exclusão do que não deveria estar ali. O caminho é o tal encarregado de dados, que toda empresa precisa divulgar no site, geralmente no rodapé ou na política de privacidade. Se ela enrolar, a reclamação sobe para a própria ANPD.

O caso da Claro é grande pelo número, mas o problema é de todo mundo. Toda vez que você assina um serviço sem ler as vinte páginas de termo, está dando uma procuração em branco. A novidade aqui não é uma empresa ter feito isso. É uma ter sido pega.