Receba nossas newsletters de graça
Quem decidir se registrar no site de apostas Pixbet precisa informar um CPF. Mas, na etapa seguinte, o nome completo e a data de nascimento do titular já são exibidos pelo site de forma automática, sem que essas informações tenham sido anteriormente fornecidas.
Essa dinâmica, na prática, tem implicações práticas que podem ser nocivas para usuários e que violam a Lei Geral de Proteção de Dados (LGPD).
Primeiro, porque tal ferramenta permite a consulta (e validação) de dados cadastrais por terceiros. Por exemplo, alguém que saiba seu CPF (encontrado na internet ou em vazamentos, por exemplo) e queira a data de nascimento e o nome completo para fazer algum cadastro fraudulento em seu nome teria acesso a essas informações facilmente.
Além disso, a falta de clareza no trato também levanta suspeita sobre a legalidade da obtenção desses dados – inclusive considerando que o site de apostas oferta desde cassino online até o "jogo do tigrinho", jogos de azar proibidos no país.
"Se eles só autenticam os dados para então fazer um cadastro, não seria problema, mas a questão é a sua origem", avalia o advogado Rafael Zanatta, diretor da Data Privacy Brasil, ONG que atua na proteção de dados e direitos digitais. "Nos termos e condições, eles não explicam nada."
Os termos da Pixbet não dizem como a casa de apostas cruza as informações cadastrais dos usuários, nem informa quem é o responsável pelo tratamento, qual a sua finalidade ou por quanto tempo ele é realizado, o que viola o direito do usuário ao "acesso facilitado às informações" de uso de seus dados previsto na LGPD.
É ✷ importante ✷ porque...
Quarto maior site de apostas do Brasil, a Pixbet não explica como tem acesso a informações cadastrais de brasileiros
Os termos de uso do site de apostas são genéricos e não esclarecem como a empresa acessa ou processa dados pessoais de apostadores, inclusive os financeiros
A Pixbet oferta jogos de azar proibidos no país
O que os termos de uso da Pixbet dizem sobre o uso de dados pessoais de apostadores
Em relação a privacidade, a Pixbet diz apenas que criptografa informações pessoais enviadas pelos usuários ao site. O único trecho que trata diretamente do uso desses dados nos termos de uso da casa de apostas é o seguinte:
"Gostaríamos que você soubesse que as suas informações pessoais não serão usadas em nenhum momento para fins diferentes dos necessários para o bom funcionamento do site, dos produtos e serviços que fornecemos. Qualquer acesso a essa mesma informação pela nossa parte é totalmente auditado e sempre feito exclusivamente por pessoal autorizado."
Receita Federal nega compartilhamento
Sem respostas aos e-mails enviados à Pixbet, a reportagem tentou entender como funciona a autenticação de dados pessoais da casa de apostas por meio do atendimento via chat de suporte do site.
Perguntada, a equipe da casa de apostas disse que "quando você informa o CPF no ato do cadastro as informações [nome e data de nascimento] são adicionadas automaticamente com base na Receita Federal" e que os dados são puxados diretamente do órgão.
A própria Receita, no entanto, disse ao Núcleo que "não compartilha informação com entidades privadas" e que "os dados utilizados pela empresa [Pixbet] não são da base da Receita Federal".
Perguntado de que maneira o site acessa informações do órgão, o suporte da Pixbet afirmou que isso são "informações confidenciais" e que a casa de apostas não tem acesso a dados pessoais "antes da inserção do CPF no cadastro".
ATÉ OS MORTOS APOSTAM. Hoje, o único meio legal para se autenticar cadastros usando uma base da Receita é por meio de um serviço oferecido pelo Serpro, a estatal de processamento de dados do governo federal, chamado Datavalid.
Essa autenticação oficial, no entanto, compara os registros de usuários à base governamental e retorna apenas valores percentuais ou de "verdadeiro" ou "falso" sem fornecer dados de cidadãos aos clientes, segundo informou a estatal ao Núcleo. A validação da Pixbet, por outro lado, retorna e exibe esses dados.
A reportagem também apurou que o sistema de autenticação da casa de apostas valida até mesmo o CPF de pessoas falecidas entre 2020 e 2021, o que sugere que a base usada pelo site traz informações anteriores às da portaria de 2022 que autorizou o Serpro a usar informações mantidas pela Receita em seus serviços.
A empresa pública, no entanto, não confirmou nem descartou se a Pixbet é sua cliente devido à sua "política de confidencialidade" com o setor privado.
O que o Serpro disse ao Núcleo
"É importante esclarecer que os serviços oferecidos pelo Datavalid e todos os demais produtos do Serpro não fornecem dados de cidadãos. O Datavalid é uma solução que valida em tempo real informações cadastrais, de identidade e dados financeiros de pessoas físicas e jurídicas. Ele compara as informações fornecidas com as bases de dados governamentais, fornecendo um retorno percentual ou um valor de verdadeiro/falso, mas não fornece, em hipótese alguma, dados. Portanto, nosso compromisso é com a validação de dados confiável e segura para melhoria dos serviços digitais e ambiente de negócio brasileiro. Mas sem perder de vista nosso compromisso maior com a privacidade e proteção de dados.
Sobre as outras perguntas, informo que no Serpro temos uma política de confidencialidade com o setor privado. Mantemos os detalhes contratuais reservados para proteger a segurança dos dados e a privacidade dos nossos clientes. Somos uma estatal e temos um compromisso com a transparência, mas também com a proteção dos interesses de nossos clientes. Fico à disposição para discutir outros aspectos do nosso trabalho que não comprometam essa confiança essencial."
PERIGOBET. Na avaliação do advogado Luã Cruz, especialista da equipe de telecomunicações e direitos digitais do Instituto Brasileiro de Defesa do Consumidor (Idec), já que as bets têm acesso a muitos dados específicos dos usuários, a falta de transparência com dados pessoais é "preocupante".
"Eles têm dados cadastrais, dados bancários, que devem fazer algum tipo de diligência, e dados de hábitos de aposta", avalia Cruz. "Isso dos hábitos é algo de saúde pública, então uma política de privacidade genérica é bem perigoso."
No caso da Pixbet, além dos riscos à LGPD, a incerteza sobre a origem da base dos dados cadastrais é ainda mais problemática, já que quem usa informações pessoais para fins comerciais deveria tratá-los de forma mais cuidadosa. "Ficamos no limbo e sequer sabemos como a empresa os conseguiu", lamenta.
Guilherme Lucio da Rocha
UMA ZONA CINZENTA
Hoje, não há sites de apostas esportivas autorizados a operar em território nacional. Em 2018, uma lei legalizou a jogatina, mas vedou sua exploração sem a prévia autorização do governo. A mesma norma, no entanto, estipulou que regras para o credenciamento de operadores deveriam ser criadas até o fim de 2022 – o ex-presidente Jair Bolsonaro (PL), contudo, deixou o prazo caducar.
Na prática, esse cenário criou uma zona cinzenta em que sites de apostas operam online e livremente, desde que tenham sede e licença no exterior, e não explorem apostas "formalmente" no país. Até hoje, parlamentares ainda discutem como regular o tema.
A falta de regulamentação desobriga esses sites "estrangeiros" de pagarem impostos ou prestarem contas às autoridades brasileiras, ainda que muitos operem daqui e usem empresas de fachada no exterior, como no caso da Pixbet, que está registrada na ilha caribenha de Curaçao, mas tem sede em Campina Grande, na Paraíba.
Segundo disse o Ministério da Fazenda, as regras em discussão hoje prevêem a observância rigorosa da LGPD às empresas de apostas que venham a ser credenciadas no país. A falta de normas para esse tipo de autorização, no entanto, impede a pasta de fiscalizar o setor.
Ao Núcleo, a Autoridade Nacional de Proteção de Dados (ANPD) disse que só analisa a conformidade de tratamento de dados mediante a abertura de um processo e que, até o momento, "não há nenhum processo de fiscalização em andamento ou finalizado em face da Pixbet".
O que a ANPD disse ao Núcleo
A ANPD somente faz análise de conformidade de tratamento de dados, incluindo a verificação de cumprimento de princípios - como é o caso da transparência -, mediante a abertura de processo específico de fiscalização. Até o momento, não há nenhum processo de fiscalização em andamento ou finalizado em face da Pixbet. Ainda, a Autoridade não foi notificada, e tampouco recebeu denúncia ou petição de titular, sobre possível irregularidade no tratamento de dados pela Pixbet.
O suposto compartilhamento de dados deve ser verificado junto à Receita Federal. Sugerimos um novo contato com a instituição, uma vez que eles possuem um normativo que permite esse tipo de consulta (Portaria nº 167/2022). A ANPD já analisou o tratamento de dados pessoais da Portaria nº 167/2022, tendo exarado e disponibilizado a Nota Técnica nº 68/2022/CGF/ANPD (disponível nos documentos e publicações da ANPD: https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/nt-68_2022_cgf_anpd.pdf).
Cabe reforçar ainda que, o suposto compartilhamento de dados deve ser verificado junto a Receita Federal (Controlador dos dados) e caso se verifique algum indício de irregularidade a ANPD deve ser notificada pela canal de denuncia disponível em: https://www.gov.br/anpd/pt-br/canais_atendimento/cidadao-titular-de-dados/denuncia-peticao-de-titular.
O que o Ministério da Fazenda respondeu ao Núcleo
Hoje, há operadores de apostas esportivas autorizados pelo Ministério da Fazenda a operarem em território nacional? Se sim, quais? Para operar, é necessária prévia autorização desta pasta? Atualmente, não há operadores de apostas esportivas autorizados pelo Ministério da Fazenda para operarem em território nacional. A lei de 2018 abriu a possibilidade para apostas por cota fixa, mas exigiu que o governo regulamentasse e credenciasse as empresas interessadas. Até o momento, essa regulamentação não foi concluída. Portanto, nenhuma empresa está oficialmente autorizada a atuar no Brasil nesta área.
Quem não recebeu a outorga do Ministério da Fazenda para operar sites de apostas esportivas no Brasil, mas ainda assim oferece prêmios e apostas com foco no público brasileiro e patrocina clubes e mídia em território nacional, opera de forma ilícita? Empresas que oferecem prêmios e apostas com foco no público brasileiro, patrocinam clubes e mídia em território nacional, mas não receberam outorga do Ministério da Fazenda, operam em uma zona cinzenta. Elas não são consideradas ilícitas, dado que a lei de 2018 permite apostas por cota fixa. No entanto, sem a regulamentação e credenciamento, elas também não estão formalmente autorizadas. A regulamentação proposta ao Congresso Nacional em julho está em debate entre os parlamentares. Esta regulamentação prevê a observância rigorosa da LGPD (Lei Geral de Proteção de Dados) para as empresas que venham a ser credenciadas no Brasil. Após o prazo para credenciamento, empresas que operarem sem a devida autorização serão consideradas ilegais. Além disso, o descumprimento da LGPD por parte dessas empresas constituirá outra ilegalidade.
Como fizemos isso
Ao investigar a página da Pixbet, constatamos que, ao contrário de outros sistemas, a página identificava automaticamente se um CPF existia ou não, mesmo os criados via geradores.
Quando usado um CPF de alguém, o registro do site preenchia automaticamente o nome completo e a data de nascimento dessa pessoa. Os termos de uso do site de apostas, no entanto, não esclareciam como esse cruzamento era feito.
Diante das respostas insatisfatórias do site de apostas, buscamos especialistas e órgãos oficiais, e testamos a autenticação da Pixbet até mesmo com o CPF de políticos falecidos em 2020 e 2021, o que sugeria que os dados usados estavam desatualizados.
