AIO APEX
Privacy & Data

A Indústria de Data Brokers Finalmente Enfrenta Regulamentação Real — O Que Isso Significa para Você

Compartilhar:
A Indústria de Data Brokers Finalmente Enfrenta Regulamentação Real — O Que Isso Significa para Você

A Indústria de US$ 300 Bilhões Que Negociou Sua Vida Sem Pedir

Data brokers — empresas que compram, agregam e vendem informações pessoais sem o conhecimento do titular — operam uma indústria de US$ 300 bilhões há décadas com praticamente nenhuma prestação de contas. Isso mudou em 2024 e 2025. O FTC promulgou sua primeira regra executável para data brokers, a California Delete Act (SB 362) entrou em vigor em janeiro de 2026, e reguladores da UE aplicaram uma multa de €150 milhões a uma rede de publicidade francesa por vender dados de localização sem consentimento do GDPR. A era do comércio de dados pessoais sem consequências está terminando — mas não rápido o suficiente, e não sem brechas.

O Que os Data Brokers Realmente Fazem com Suas Informações

O modelo de negócios é simples: coletar dados de todas as fontes disponíveis, combiná-los em perfis abrangentes e vender acesso a esses perfis para anunciantes, seguradoras, empregadores, forças policiais e campanhas políticas. As entradas são muito mais amplas do que a maioria das pessoas imagina.

  • Registros públicos: propriedade de imóveis, documentos judiciais, registro de eleitores, licenças profissionais
  • Programas de fidelidade: histórico de compras de cartões de recompensa de varejistas, que infere renda, status de saúde e estilo de vida
  • SDKs de aplicativos: aplicativos móveis incorporam código de terceiros que coleta dados de localização e identificadores de dispositivos — muitas vezes com consentimento enterrado em um termo de serviço de 40 páginas
  • Dados de transações de cartão de crédito: vendidos de forma agregada por processadores de pagamento, revelando padrões de gastos entre comerciantes
  • Sinais de localização: coordenadas GPS de aplicativos de clima, ferramentas de navegação e jogos móveis, com carimbo de data e hora e armazenados indefinidamente

Um perfil típico de data broker de um adulto americano contém: nome completo, endereços atuais e anteriores, números de telefone (incluindo não listados), renda familiar estimada, afiliação política derivada de registros de doações e condições de saúde inferidas a partir de compras de medicamentos prescritos, auxiliares de mobilidade ou produtos alimentícios específicos. Esses perfis são atualizados continuamente e vendidos a qualquer pessoa disposta a pagar.

Os Principais Players e Quem os Usa

O mercado de data brokers é dominado por um punhado de grandes empresas, cada uma com uma especialização diferente:

  • Acxiom / LiveRamp: A Acxiom mantém perfis de aproximadamente 2,5 bilhões de pessoas globalmente. A LiveRamp, sua subsidiária, é a plataforma dominante de "resolução de identidade" — ela vincula dados offline a IDs de anúncios digitais para que as marcas possam segmentar indivíduos em vários dispositivos. Principais clientes: empresas de bens de consumo embalados e anunciantes de varejo.
  • Experian: Mais conhecida como bureau de crédito, a divisão de serviços de marketing da Experian vende dados comportamentais e demográficos totalmente separados de seus arquivos de crédito. Ela fornece dados para campanhas de mala direta, modelos de subscrição de seguros e segmentação de produtos financeiros.
  • LexisNexis Risk Solutions: Focada em verificação de identidade, detecção de fraudes e verificações de antecedentes. Seus dados são usados por bancos, seguradoras e agências governamentais, incluindo forças policiais — um pipeline que atraiu escrutínio significativo da ACLU.
  • Oracle Data Cloud (agora parte do Oracle Advertising): Agrega dados de compras de varejistas e dados de consumo de mídia de editores. Atende principalmente campanhas publicitárias de grandes empresas. A Oracle anunciou planos de encerrar seu negócio de dados de terceiros em 2024 sob pressão regulatória, embora suas parcerias de dados primários continuem.
  • Epsilon: De propriedade do grupo francês de publicidade Publicis, a Epsilon opera o gráfico de identidade CORE ID e foca em dados de programas de fidelidade. A base de clientes inclui montadoras, serviços financeiros e empresas de telecomunicações.
  • Spokeo e BeenVerified: Brokers de "pesquisa de pessoas" voltados para o consumidor. Qualquer pessoa pode pagar US$ 20–30/mês para consultar endereços, números de telefone, parentes e histórico profissional de qualquer pessoa pelo nome. Esses serviços são frequentemente usados em casos de perseguição, um fato documentado em várias queixas de procuradores-gerais estaduais.

A California Delete Act (SB 362): A Lei de Privacidade Mais Significativa dos EUA Que Você Ainda Não Ouviu Falar

Assinada em outubro de 2023, a California Delete Act entrou em vigor em janeiro de 2026. Ela exige que todo data broker registrado na California Privacy Protection Agency (CPPA) honre as solicitações de exclusão enviadas por meio de um único mecanismo centralizado de opt-out — ou seja, os consumidores podem excluir seus dados de todos os brokers cobertos com uma única submissão, em vez de navegar por centenas de portais individuais de opt-out.

A lei se aplica a qualquer empresa que "coleta e vende conscientemente a terceiros as informações pessoais de um consumidor com quem a empresa não tem um relacionamento direto". Isso captura a maior parte da indústria. No entanto, as isenções são significativas:

  • Agências de relatórios de crédito que operam sob a Fair Credit Reporting Act (Equifax, Experian, TransUnion) são amplamente isentas
  • Empresas de verificação de antecedentes com fins comerciais legítimos — triagem de emprego, verificação de inquilinos — mantêm amplas isenções
  • Instituições financeiras cobertas pela Gramm-Leach-Bliley Act são isentas para dados usados em produtos financeiros

A CPPA é obrigada a construir o mecanismo centralizado de exclusão, com aplicação a partir de 2026. As multas por não conformidade chegam a US$ 200 por consumidor por dia, o que cria uma exposição financeira significativa para grandes brokers que possuem milhões de perfis.

Aplicação da FTC: O Caso Kochava e o Acordo X-Mode

A Federal Trade Commission passou anos emitindo relatórios sobre data brokers sem autoridade de aplicação. Isso mudou sob a autoridade de práticas injustas da Seção 5 do FTC Act, e a agência começou a tratar as vendas de dados de localização como inerentemente prejudiciais.

Em 2022, a FTC processou a Kochava, uma empresa de análise móvel, por vender dados precisos de localização que poderiam ser usados para identificar indivíduos visitando clínicas de aborto, centros de tratamento de dependência química e abrigos para vítimas de violência doméstica. O caso estabeleceu que vender dados sensíveis de localização sem consentimento constitui uma prática comercial "injusta", independentemente de os consumidores terem concordado tecnicamente com a coleta de dados nos termos de serviço de um aplicativo. O litígio continua em meados de 2026.

Em janeiro de 2024, a FTC fez um acordo com a X-Mode Social (renomeada como Outlogic) por US$ 4,95 milhões — o primeiro acordo com um data broker na história da FTC envolvendo dados de localização. A X-Mode vendeu dados precisos de localização para empreiteiros militares e agências governamentais dos EUA, incluindo dados que poderiam identificar locais religiosos, comícios políticos e instalações médicas. O acordo exigiu a exclusão de todos os dados e proibiu a empresa de vender informações sensíveis de localização sem consentimento explícito.

A FTC também propôs uma formulação formal de regras que classificaria dados de localização e dados de saúde como categoricamente "sensíveis", exigindo consentimento afirmativo de opt-in antes da coleta ou venda — um padrão muito mais alto do que a prática atual da indústria de opt-out-se-você-conseguir-encontrar.

Aplicação na UE: O Artigo 9 do GDPR Finalmente Tem Dentes

O Regulamento Geral de Proteção de Dados da UE proíbe nominalmente a venda de dados pessoais sensíveis sem consentimento explícito desde 2018. A aplicação foi lenta até 2024, quando os reguladores voltaram sua atenção para a cadeia de suprimentos de tecnologia de publicidade.

A autoridade francesa de proteção de dados (CNIL) impôs uma multa de €150 milhões a uma rede de publicidade francesa por vender dados de localização de aplicativos móveis a anunciantes sem obter consentimento em conformidade com o GDPR. O caso dependia da interpretação do Artigo 9 — que cobre dados de saúde, políticos, religiosos e biométricos — como aplicável a características inferidas derivadas de padrões de localização, não apenas a categorias sensíveis coletadas diretamente.

A Comissão de Proteção de Dados da Irlanda (DPC), que supervisiona a maioria das operações do Vale do Silício na UE devido às sedes irlandesas das empresas, abriu investigações sobre SDKs de publicidade móvel que operam na UE. Dado que a DPC da Irlanda tem sido historicamente criticada por aplicação lenta, as investigações representam uma escalada significativa. As multas do GDPR podem chegar a 4% da receita anual global, o que, para grandes data brokers, cria um risco financeiro existencial.

O Que Isso Significa na Prática Agora

A regulamentação está tendo um efeito mensurável, mas incompleto, na indústria. Os data brokers começaram a honrar as solicitações de exclusão de forma mais ativa — não por boa vontade, mas porque as auditorias da CPPA e o escrutínio da FTC tornam a não conformidade cara. Portais de opt-out que antes exigiam correspondência física e documentos notarizados agora estão acessíveis online.

No entanto, o problema estrutural fundamental persiste: a exclusão não é permanente. Os data brokers operam pipelines automatizados de re-raspagem que puxam continuamente de registros públicos, SDKs de aplicativos e parceiros de dados. Um perfil excluído hoje pode ser reconstruído em 30 a 90 dias a partir de novos pontos de dados. É por isso que os serviços de exclusão para consumidores exigem assinaturas contínuas, em vez de limpezas únicas.

Ferramentas para Realmente Remover Seus Dados

Três serviços dominam o mercado de remoção de dados do consumidor:

  • DeleteMe (US$ 129/ano para uma pessoa): Envia manualmente solicitações de opt-out para mais de 750 data brokers em nome dos usuários, com reenvio trimestral para capturar perfis que reaparecem. Cobre Spokeo, BeenVerified, Whitepages, Intelius e a maioria dos principais brokers de pesquisa de pessoas. Não cobre bureaus de crédito.
  • Privacy Bee (US$ 197/ano): Cobertura mais ampla que a DeleteMe, alegando mais de 200 sites de brokers adicionais. Inclui uma extensão de navegador que sinaliza solicitações de compartilhamento de dados em tempo real. A eficácia relatada é de aproximadamente 60–80% de sucesso na remoção — perfis em alguns brokers são tecnicamente impossíveis de excluir devido a isenções legais.
  • Kanary (US$ 99/ano): Foca na velocidade de remoção e fornece um painel mostrando quais brokers retornaram perfis e o status da remoção. Lista de brokers menor que a dos concorrentes, mas varredura inicial mais rápida.

Nenhum desses serviços pode remover seus dados de agências de relatórios de crédito, bancos de dados policiais, provedores de verificação de antecedentes que operam sob isenções da FCRA ou registros públicos governamentais (documentos judiciais, registros de propriedade, listas de eleitores). Para esses, você precisaria buscar o sigilo de registros por meio de processos legais — caros e específicos de cada jurisdição.

Para Onde a Indústria Está Migrando

Enfrentando pressão regulatória, os maiores data brokers não estão saindo do negócio — eles estão renomeando seus produtos como "preservadores de privacidade". Três estratégias dominam:

  • Segmentação por coorte: Em vez de vender perfis individuais, os brokers vendem acesso a segmentos de público definidos por comportamento — "pessoas que visitaram concessionárias de carros nos últimos 30 dias" — sem expor identificadores individuais. A Topics API do Google, que substituiu os cookies de terceiros no Chrome, é a versão mais visível dessa abordagem.
  • Parcerias de dados primários: Os brokers se posicionam como intermediários entre marcas com dados primários de clientes, facilitando a correspondência de público sem transferência de dados. A rede de dados de fidelidade da Epsilon e a plataforma de colaboração de dados da LiveRamp operam nesse modelo.
  • Clean rooms: Ambientes de computação que preservam a privacidade, onde duas empresas podem analisar públicos sobrepostos sem que nenhuma veja os dados brutos da outra. InfoSum e Habu (adquirida pela LiveRamp) são os principais fornecedores. Clean rooms são tecnicamente mais respeitadores da privacidade, mas ainda permitem os mesmos resultados de segmentação comportamental — eles obscurecem o mecanismo, não o resultado.

O Que Você Deve Fazer Agora

A regulamentação avança lentamente. As etapas práticas que você pode tomar hoje para reduzir sua exposição a data brokers:

  • Opte por não participar das vendas de dados da CCPA: Todo site em conformidade com a Califórnia deve oferecer um link "Não Venda ou Compartilhe Minhas Informações Pessoais". Use-o para todos os grandes varejistas, data brokers e plataformas com os quais você interage.
  • Assine um serviço de remoção: DeleteMe ou Privacy Bee não alcançarão 100% de remoção, mas reduzir a presença do seu perfil em sites de pesquisa de pessoas diminui significativamente a exposição a assédio direcionado, phishing e ataques de engenharia social.
  • Audite as permissões de localização: Revise todos os aplicativos no seu telefone e revogue o acesso à localização para qualquer aplicativo que não precise dela para funcionar. Desative a "localização precisa" para aplicativos onde a localização aproximada é suficiente. Isso corta o pipeline principal que os data brokers usam para inteligência de localização em tempo real.
  • Congele seus relatórios de crédito: Um congelamento de crédito na Equifax, Experian e TransUnion impede que novas contas sejam abertas em seu nome, mas também limita atualizações em dados de verificação
privacygdprdata-brokerspersonal-dataccpa
Compartilhar:
A Indústria de Data Brokers Finalmente Enfrenta Regulamentação Real — O Que Isso Significa para Você | AIO APEX