A privacidade digital tornou-se um dos principais campos de batalha da tecnologia contemporânea. Entre a inteligência artificial, o big data e a publicidade personalizada, uma indústria pouco visível para a maioria dos usuários concentra enormes quantidades de informações pessoais: os data brokers.
Embora a atividade não seja nova, em 2025 alcançou um nível de sofisticação e relevância que os coloca no centro de debates sobre cibersegurança, regulamentação internacional e economia de dados.
### Um setor opaco, mas multimilionário
Os data brokers são empresas que coletam, processam e vendem dados pessoais provenientes de fontes variadas como registros públicos, transações comerciais, históricos de navegação, redes sociais e aplicativos móveis. Nos EUA, estima-se que mais de 4.000 intermediários de dados operem, com grandes nomes como Acxiom, CoreLogic e Experian gerando bilhões de dólares anualmente por meio da venda de informações. Na Europa, os números são menores devido ao RGPD, mas os mesmos atores globais permanecem ativos.
A preocupação reside na amplitude dos perfis que geram, abrangendo desde endereços e números de telefone até padrões de mobilidade, histórico de crédito, e até mesmo previsões de risco à saúde.
### Dos fins comerciais ao risco de segurança
Teoricamente, o objetivo da indústria é otimizar campanhas publicitárias ou prever tendências de consumo. No entanto, na prática, isso pode levar à discriminação, manipulação política e à exposição a ciberataques. Um exemplo claro são os sites de busca de pessoas, que possibilitam o acesso a informações extremamente sensíveis, servindo como uma catalogação perfeita para ações de phishing e roubo de identidade.
Além disso, muitas bases de dados dos data brokers acabam filtradas na dark web, expondo dados que alimentam tanto algoritmos publicitários quanto campanhas de malware.
### Métodos de coleta: além do óbvio
Os data brokers não dependem apenas de fontes públicas. Suas técnicas de coleta incluem SDKs em aplicativos móveis, programas de fidelização, cookies e fingerprinting, bem como modelos preditivos baseados em IA que inferem dados que o usuário nunca forneceu diretamente.
Com a ascensão da IA generativa, abre-se um novo desafio: data brokers que alimentam seus modelos com informações rasgadas da internet, sem qualquer consentimento.
### Estruturas legais: Europa versus EUA
O Regulamento Geral de Proteção de Dados (RGPD) europeu oferece um marco robusto que exige consentimento explícito e direitos ao esquecimento. Contudo, sua aplicação em grandes data brokers é limitada, já que muitos operam fora da Europa. Nos EUA, o cenário é fragmentado, com estados como a Califórnia adotando a CCPA, que impõe regulamentações para que os data brokers se registrem e permitam exclusões. A partir de 2026, uma lista de exclusão permanente deverá ter um impacto significativo, embora a falta de uma lei federal ainda permita que a maioria da indústria opere com pouca supervisão.
### Opt-out e serviços de supressão de dados
Para usuários e administradores de sistemas, a questão se torna prática: como limitar a exposição de dados? Há abordagens como o opt-out manual, que exige um processo trabalhosa, e serviços automatizados que realizam o processo em massa. Além disso, é essencial distinguir entre supressão e exclusão de dados, sendo a supressão uma opção mais sustentável no combate à redistribuição.
### Implicações para a cibersegurança
Para profissionais de segurança, a indústria dos data brokers apresenta desafios como a ampliação da superfície de ataque, ataques baseados em IA e vazamentos internos invisíveis, exigindo uma gestão rigorosa de fornecedores e avaliação de riscos de terceiros.
### Estratégias de mitigação
A defesa em camadas é recomendada, promovendo auditorias periódicas e a utilização de políticas corporativas de privacidade, além da contratação de serviços de supressão para proteger identidades digitais sensíveis.
### O negócio por trás: quem compra esses dados?
Os compradores de dados não se limitam a anunciantes, mas incluem entidades financeiras, seguradoras, partidos políticos, empresas de adtech e até mesmo atores maliciosos.
### Rumo a um futuro regulado… ou fragmentado
O dilema é claro: regular demais pode sufocar a inovação, enquanto a falta de regulamentação acarreta desconfiança e riscos. Europa se destaca com o RGPD, mas sua aplicação frente a gigantes estadunidenses é limitada. Os EUA, com seu mosaico de regulamentações, e a China, com controle estatal rigoroso, mostram que a governança de dados ainda é um caminho a ser percorrido globalmente, desafiando empresas e usuários a se adaptarem a múltiplos marcos regulatórios simultaneamente.
