20 de Fevereiro, 2024

ANPD publica nota técnica sobre oferta de serviços de crédito a partir de dados do INSS

2023 09 29 10 11

A ANPD publicou nota técnica a fim de investigar o compartilhamento de dados pessoais dos beneficiários do INSS para oferta de empréstimo consignado e outros serviços de crédito por instituições financeiras e correspondentes bancários. Entre janeiro de 2021 e outubro de 2023, a CGF (Cadastro Geral da Fazenda) recebeu 117 reclamações relacionadas ao compartilhamento indevido de dados pessoais de beneficiários do INSS por instituições financeiras. Os principais tipos de reclamação foram contatos não solicitados, dificuldade em eliminar dados, compartilhamento indevido e acesso indevido a dados pessoais. Dentre as instituições atingidas pela nota, destacam-se o Banco Itaú e o Banco Pan, seguidos pelo Banco Santander e Banco Bradesco.

Os titulares relatam receber contatos não solicitados de Instituições Financeiras, que oferecem empréstimos consignados e outros serviços, mesmo antes de estarem cientes do benefício do INSS. Em algumas situações, essas instituições têm inclusive acesso a informações pessoais, como nome, CPF e valor do benefício. 

O INSS declarou que as Instituições Financeiras só acessam os dados dos beneficiários após autorização expressa do titular. Essa autorização é obtida pela Instituição Financeira através de um documento escrito, o Termo de Autorização, que é enviado ao Dataprev para gerar um token de acesso. O INSS afirmou que a responsabilidade por essa ação recai sobre a Instituição Financeira, conforme estabelecido nos contratos e acordos entre as partes envolvidas. Logo, o INSS também indica que não compartilha os dados de contato de seus beneficiários com instituições financeiras, ou seja, nenhum telefone ou endereço é repassado aos bancos pagadores durante a concessão e o envio dos créditos correspondentes aos benefícios.

Portanto, a ANPD encaminhou solicitações para as Instituições Financeiras envolvidas, nas quais formulou cinco conjuntos de perguntas específicas envolvendo questões sobre: (a) o compartilhamento de dados dos beneficiários entre o INSS e as IFs; (b) o fluxo dos dados dos beneficiários dentro da IF; (c) a oferta de serviços de crédito pela IF; (d) o compartilhamento de dados entre a IF e os correspondentes bancários; e (e) os detalhes contratuais dos empréstimos em consignação iniciados pelos correspondentes bancários.

Em análise da relação entre a instituição financeira e os correspondentes bancários, a ANPD enfatiza que as instituições, no papel de controladoras, têm a responsabilidade de supervisionar os correspondentes bancários, assegurando a integridade das transações e o cumprimento da legislação. Portanto, os correspondentes bancários atuam de acordo com as diretrizes estabelecidas pelas instituições financeiras, sendo considerados operadores no tratamento de dados pessoais para oferta de serviços de crédito. 

Ainda com base na análise realizada pela ANPD, percebe-se que os indivíduos que recebem ofertas de serviços de crédito não consentiram com o uso de seus dados. Em muitas situações os titulares não são informados sobre o tratamento de dados, desconhecendo sua origem e propósito, e se sentem incomodados com contatos indesejados. Ou ainda, o consentimento para o tratamento de dados era solicitado apenas depois dos dados serem efetivamente utilizados.

A decisão é importante pois demonstra uma disposição da ANPD em supervisionar os serviços das instituições financeiras. Além disso, fixa diretrizes importantes sobre o uso do consentimento nas relações bancárias.

Nota Técnica no 2/2024/FIS/CGF/ANPD.

Quer ficar por dentro das ultimas notícias na área?

Assine nossa newsletter semanal e acompanhe as notícias mais relevantes em segurança da informação e proteção de dados.

Posts recentes

Vulnerabilidades críticas em plugins do WordPress expõem mais de 4 milhões de sites

Duas graves vulnerabilidades foram identificadas em plugins amplamente utilizados no WordPress, expondo milhões de sites a riscos de invasão e controle malicioso. Uma das falhas, rastreada como CVE-2024-10924 (pontuação CVSS: 9.8), foi encontrada no plugin Really Simple Security (antigamente Really Simple SSL). A vulnerabilidade, presente nas versões 9.0.0 a 9.1.1.1 do plugin, permite que atacantes […]

Ler Mais
Falha na segurança e violação da LGPD levam à condenação de bancos

A 2ª Turma Recursal dos Juizados Especiais do Tribunal de Justiça do Paraná manteve a condenação do Banco Bradesco S.A. e do Itaú Unibanco S.A. por falhas na segurança de dados e por violação à Lei Geral de Proteção de Dados (LGPD) em um caso de fraude financeira envolvendo empréstimos consignados. Um cliente foi vítima […]

Ler Mais
Banco condenado por descontos indevidos e falhas na proteção de dados pessoais

O Tribunal de Justiça do Estado de São Paulo negou o recurso do Banco Itaú Consignado S.A. em um processo envolvendo descontos indevidos no benefício previdenciário de um consumidor. A decisão manteve a condenação da instituição ao pagamento de R$ 5.000 por danos morais e à devolução em dobro dos valores descontados irregularmente. No caso, […]

Ler Mais
Av. Senador Alberto Pasqualini, n. 180, sala 2 - Três de Maio/RS
contato@brownpipe.com.br
Comercial: (55) 999164209 - WhatsApp e Signal 

CONECTE-SE CONOSCO
Fique atualizado com as notícias mais relevantes em segurança da informação e proteção de dados. Inscreva-se na nossa newsletter semanal! 
Políticas BrownPipe *
Termos de privacidade
linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram