Falhas de data brokers geraram US$21 bilhões em perdas por roubo de identidade

O data brokerismo pode ter causado perdas superiores a US$ 20,9 bilhões em vítimas de roubo de identidade, segundo um relatório conjunto do Comitê Conjunto de Justiça Doméstica (JEC) dos EUA. O estudo analisou grandes incidentes ocorridos na última década e busca quantificar danos ao consumidor.

A senadora Maggie Hassan, democrata de New Hampshire e vice-líder da JEC, solicitou informações a cinco grandes corretores de dados em agosto. Comscore, Findem, IQVIA Digital, Telesign e 6sense Insights foram chamados a esclarecer práticas de privacidade e acessibilidade de opções de exclusão.

A investigação foi acionada após reportagens do WIRED, The Markup e CalMatters, que apontaram páginas de opt-out ocultas por instruções de “no index” que impediam a visibilidade dessas opções aos mecanismos de busca.

Segundo o relatório, ferramentas de privacidade estavam dificultando a descoberta de opções de exclusão e deleção de dados, o que aumenta a vulnerabilidade dos consumidores a fraudes personalizadas.

Quatro das empresas passaram a adotar medidas para facilitar o opt-out, removendo código de não indexação, tornando links mais visíveis e oferecendo guias sobre direitos de privacidade.

Findem não respondeu aos relatos nem aos follow-ups da comissão; segundo apuração, a empresa não removeu o código de “no index” de sua página, alimentando questionamentos sobre a eficácia de seus canais de resposta.

IQVIA, 6sense e Comscore também não reagiram de imediato a pedidos de comentário. A Telesign informou que direciona consultas de imprensa por meio de um formulário que exige consentimento de marketing, o que não foi utilizado neste caso.

A Markup/CalMatters indicou que dezenas de corretores com registro na Califórnia utilizavam padrões de design que dificultavam a localização de páginas de opt-out, prática descrita pela JEC como prejudicial à proteção de dados.

Comscore afirmou ter revisado seu site e removido o código de “no index” de uma página de Direitos do Sujeito dos Dados, identificando a origem na versão de 2003. A empresa não explicou plenamente o motivo da inclusão.

Telesign confirmou que a indisponibilidade do formulário de opt-out estaria ligada a uma ferramenta de SEO de terceiros, que restringia a visibilidade, e disse ter corrigido ao reativar o index e incluir um link no rodapé.

6sense reconheceu o uso anterior de código de “no index” em sua Política de Privacidade, removendo-o após a investigação. A empresa também informou ter realizado auditorias independentes para checar a visibilidade das opções de exclusão.

IQVIA informou que substituiu a página de opt-out por outra, hospedada pela OneTrust, cerca de um mês após as reportagens, e que a nova página não traz o código de “no index”. A empresa citou ainda a função de visão de privacidade do Google como recurso alternativo.

O relatório aponta quatro incidentes relevantes na última década: Equifax (2017), Exactis (2018), National Public Data (2023) e TransUnion (2025). O número de residentes dos EUA afetados variou de 4,4 milhões a 270 milhões, dependendo do caso.

A estimativa de vítimas de furto de identidade em grandes violações fica em torno de 30%. O estudo usa dados do Bureau of Justice Statistics para indicar perdas financeiras entre 58% e 69% das vítimas, com prejuízo médio próximo de US$ 200 por vítima.

O relatório alerta que ações coletivas podem fazer o custo total superar a média, citando acordos como o de Equifax, que envolveu pagamentos de centenas de milhões de dólares e compensações de até US$ 20 mil por danos.

Hassan afirma que criminosos internacionais já exploram fraudes com maior sofisticação, e que corretores de dados não devem dificultar a proteção dos consumidores. A parlamentar diz ver avanço público como estímulo para melhorias.

Os resultados apresentados demonstram como dados sensíveis, coletados e comercializados em grande escala, expõem pessoas a golpes. O relatório registra que a pressão pública levou algumas empresas a ampliar o acesso a ferramentas de privacidade.