Bots no Telegram transformam dados pessoais de brasileiros em mercadoria digital

Uma investigação recente revelou que o Brasil está no centro de um mercado ilegal de dados pessoais operado dentro do Telegram. Segundo a organização Derechos Digitales, foram identificados 27 grupos e canais ativos no Brasil, Peru e Argentina dedicados à comercialização de informações sensíveis por meio de bots automatizados, com destaque para o cenário brasileiro. No país, o estudo encontrou dez grupos voltados à venda de dados e descreve um modelo em que consultas podem ser feitas em segundos a partir de CPF, nome ou telefone, com pagamento digital de baixo valor e funcionamento praticamente contínuo.

O mecanismo é simples e, por isso mesmo, assustador. Em muitos desses grupos, o usuário obtém uma amostra gratuita com dados básicos e, ao pagar, desbloqueia fichas mais completas contendo nome completo, RG, data de nascimento, endereços, renda estimada, histórico profissional, score de crédito, benefícios sociais e até registros de vacinação. A pesquisa indica ainda que os grupos brasileiros apresentam alto grau de automação, com bots atuando como administradores e respondendo a comandos sem necessidade de intervenção humana. Isso transforma o Telegram em algo próximo de um balcão clandestino de consultas pessoais, aberto 24 horas por dia.

O problema vai muito além da violação abstrata da privacidade. Quando dados pessoais circulam com esse nível de detalhe, eles viram matéria-prima para fraude, extorsão, perseguição, assédio e roubo de identidade. Esse risco não é teórico: a Serasa Experian informou que o Brasil registrou 1.119.316 tentativas de fraude evitadas em fevereiro de 2025, o equivalente a uma ocorrência a cada 2,2 segundos. No primeiro semestre de 2025, foram quase 7 milhões de tentativas, e mais da metade teve como alvo bancos e emissores de cartões. Em português claro: dado vazado barato é combustível para crime escalável.

O relatório da Derechos Digitales chama atenção para um ponto especialmente sensível: a estrutura dos arquivos comercializados sugere possível origem em bases institucionais ou em grandes bases integradas, devido à padronização dos campos e à presença de elementos típicos de bancos de dados estruturados. Essa hipótese ganha peso em um ambiente no qual o próprio poder público concentra enorme volume de informações pessoais. Não por acaso, a ANPD incluiu o tratamento de dados pessoais pelo Poder Público entre os temas prioritários de fiscalização para 2026 e 2027, ao lado de direitos dos titulares, proteção de crianças e adolescentes e uso de inteligência artificial no contexto de dados pessoais.

Do ponto de vista jurídico, a moldura normativa brasileira já existe, mas a aplicação prática ainda patina em terreno lamacento. A LGPD estabelece regras para o tratamento de dados pessoais, inclusive em meios digitais, e o art. 48 prevê a comunicação de incidentes de segurança à ANPD e aos titulares quando houver risco ou dano relevante. Em 2024, a ANPD aprovou a Resolução nº 15, que regulamentou essa comunicação, definiu critérios e prazos e determinou a manutenção do registro dos incidentes por pelo menos cinco anos. Em tese, o arcabouço está posto; na prática, o mercado clandestino mostra que governança fraca, controles insuficientes e fiscalização limitada ainda deixam brechas largas demais.

Há também precedentes concretos mostrando que o uso indevido de dados não é um fenômeno sem consequência. Em janeiro de 2025, a CGU divulgou sanções relacionadas a irregularidades envolvendo informações de clientes da Caixa Econômica Federal utilizadas para captação indevida em benefício privado, em caso que repercutiu com multa superior a R$ 3 milhões após atualização. Casos assim reforçam que dados pessoais têm valor econômico, podem ser explorados ilicitamente por agentes diversos e exigem respostas mais firmes tanto na prevenção quanto na responsabilização.

O retrato exposto pelos bots no Telegram é, no fundo, um sintoma de um problema maior: a fragilidade estrutural da proteção de dados na América Latina. A tecnologia apenas acelerou o velho comércio clandestino de informação, adicionando automação, escala e pagamento instantâneo. Para o cidadão, isso significa maior exposição; para as instituições, significa perda de confiança; para o Estado, um teste severo de capacidade regulatória. Privacidade de dados deixou de ser um tema de nicho jurídico ou corporativo. Hoje, ela é uma questão de segurança, cidadania e integridade institucional.

Fontes: Derechos Digitales; Convergência Digital; ANPD; Planalto; Serasa Experian; CGU.