Pessoas que estão em busca de recolocação profissional viraram alvo de golpistas que, por meio de falsas vagas de empregos, miram o roubo de dados pessoais e o sequestro de redes sociais.
Foi o que aconteceu com o executivo de finanças Rodrigo Barbosa, que estava em transição de carreira.
“Um sujeito com forte sotaque inglês me ligou com uma oportunidade de trabalho. Excelente salário, possibilidade de crescimento e até mudança para o exterior. Marcou reunião pelo Skype, repetiu os aspectos positivos da vaga e, ao final, enviou um link para eu me cadastrar e compartilhar o código de segurança gerado. Encerrei a ligação na hora”, diz.
Barbosa afirma que o suposto recrutador ainda tentou retomar o contato, mas que ele deixou claro que não tinha mais interesse.
“Ele chegou a dizer que eu precisaria pagar R$ 500 para cobertura de despesas preliminares, sem explicar quais eram exatamente. Quando perguntei como ele havia me encontrado, disse apenas que havia sido pelo LinkedIn e rapidamente mudou de assunto.”
O golpe do código de segurança é utilizado para sequestrar as redes sociais do usuário.
Ao repassar essa combinação, acreditando se tratar de uma identificação relacionada ao processo seletivo, a pessoa permite que o golpista assuma o controle do seu perfil e o use para tentar enganar os contatos do titular com falsos pedidos de dinheiro, por exemplo.
Outra ação bastante comum é o “phishing”, em que o golpista envia ao destinatário um email falso se passando por uma empresa real. O link malicioso redireciona a vítima a uma réplica do site verdadeiro de modo a induzi-la a fazer login e, assim, ter suas credenciais e dados roubados.
“Golpes de ‘phishing’ dão aos cibercriminosos a oportunidade de usar a reputação de marcas confiáveis para dar aos usuários uma falsa sensação de segurança e assim roubar informações pessoais ou comerciais para obter ganhos financeiros”, diz Omer Dembinsky, gerente do grupo de pesquisa de dados da Check Point Software, fornecedora de soluções de segurança cibernética.
Ele orienta os consumidores a agirem com cautela e a ficarem atentos a sinais indicadores do email falso, como gramática ruim, erros de ortografia ou nomes de domínio estranhos. “Em caso de dúvida, vá para o próprio site da marca em vez de clicar em qualquer link.”
Uma maneira de o candidato se proteger quanto ao vazamento é se amparar na LGDP (Lei Geral de Proteção de Dados). Em vigor desde 2020, tem como um dos seus princípios a transparência, garantindo ao cidadão acesso a “informações claras, precisas e facilmente acessíveis” no que diz respeito ao tratamento que plataformas e empresas dão aos seus dados pessoais.
No caso de quem está buscando emprego, o ponto de atenção são sites de recrutamento e bancos de talento online, que pedem informações como CPF e celular.
Cabe ainda à empresa ou à plataforma explicitar que fim dará a essas informações, informar onde elas estão armazenadas, por quanto tempo, sob a responsabilidade de quem e quais as medidas tomadas para evitar vazamentos e acesso por pessoas não autorizadas.
No entanto, essa clareza nem sempre ocorre. É comum encontrar uma linguagem jurídica rebuscada de difícil compreensão em seções sobre privacidade e proteção de dados dos sites. Os usuários ainda encontram outra dificuldade, a ausência de comunicação direta por parte das empresas nos casos de vazamento.
Isabelly Leão, advogada especialista em privacidade e proteção de dados, afirma que, nesses casos, a plataforma deve comunicar seus usuários de forma direta. “Em um email de notificação, a empresa deve narrar o incidente de segurança e demonstrar que está tomando (ou tomou) todas as medidas necessárias para causar o menor dano possível.”
“[Em caso de vazamento] O titular dos dados pode oferecer a denúncia diretamente à ANPD [Autoridade Nacional de Proteção de Dados] e a empresa também pode ser denunciada por um de seus colaboradores”, diz Isabelly. A ANPD tem um canal exclusivo para receber as denúncias pelo site anpd.gov.br.
Já a solicitação de exclusão de dados pessoais das plataformas pode ser demorada.
Isso acontece porque, em muitos casos, as informações podem ter sido baixadas por recrutadores externos, o que obriga a pessoa a entrar em contato com cada um deles para que seu pedido seja atendido.
Diante desse cenário, Isabelly recomenda procurar o encarregado pelos dados da empresa principal e assim obter todas informações que necessita. De acordo com ela, cabe a esse profissional enviar um documento assinado e datado por ele, afirmando que informações não estão mais na base de dados.
“O problema é que nem sempre esse acesso está sinalizado de forma clara nos sites das organizações”, diz a advogada.
O que empresa de RH pode e não pode fazer com dados de usuários
Companhia pode manter currículo/dados do candidato por tempo indeterminado mesmo após o encerramento do processo seletivo? Não. Ao iniciar o processo seletivo, a empresa deve informar os candidatos por quanto tempo ficarão em posse desses currículos. É uma medida de prevenção não apenas para o titular dos dados, mas também para a própria empresa
RH pode fazer a coleta de dados sensíveis dos usuários? Sim, a LGPD não proíbe. A coleta do dado sensível vai depender da finalidade para a qual ele será utilizado. Um exemplo é um casting de modelos que precisa de informações sobre origem racial ou étnica para selecionar profissionais de acordo com o evento a ser realizado
O candidato pode cobrar informações do RH sobre o tratamento e a proteção de dados quando não há informação sobre isso na plataforma? Sim. O candidato, ou seja, o titular do dado, pode solicitar informações sobre política de privacidade e tratamento de dados pessoais. É um direito previsto na LGPD
Em relação a vazamentos de dados, que medidas judiciais o candidato pode tomar? Essa é uma situação ainda em debate no Brasil, porque há divergências no Judiciário sobre o tema. O titular que tiver seu dado vazado pode, por lei, entrar na Justiça, porém o Judiciário vai exigir que ele prove o prejuízo (moral ou financeiro) e dano passível de reparação
O candidato pode revogar a sua permissão e pedir para a empresa de recrutamento a exclusão dos seus dados? Como ele pode ter certeza de que isso foi feito? Sim. É um dos direitos previstos pela LGPD. O encarregado dos dados da empresa vai enviar um documento assinado e datado por ele, afirmando que os dados pessoais do usuário não estão mais na base de dados do controlador
Esse documento protege o usuário de vazamentos? Se a empresa sofrer um ataque hacker, o documento não vai proteger os dados do titular (caso não tenham sido excluídos), que ainda podem ser acessados. Esse documento, por outro lado, vai servir de prova para responsabilizar o controlador e o encarregado responsável por eventuais danos.
Fonte: Redação Folha de S. Paulo