Des centaines et des centaines de Brésiliens manifestent sur le principal site Internet de consommateurs du pays, Reclame Aqui, dénonçant qu'un bulletin de versement bancaire d'une valeur de 52 reais (9,4 dollars) ait été émis sans leur consentement. L'émetteur est le siège brésilien du Haut-Commissariat des Nations Unies pour les réfugiés, HCR Brésil. Selon de nombreuses plaintes, les personnes concernées ont détecté la newsletter exclusivement via le système DDA de leur compte bancaire. Le prélèvement automatique autorisé (ADD) permet de recevoir et de visualiser numériquement tous les tickets de paiement enregistrés au nom du titulaire. En février de cette année, 73 millions de citoyens brésiliens ont utilisé le DDA, selon les données de Núclea, une entreprise qui dispose de la plateforme d'enregistrement centralisé des relevés bancaires émis dans le pays.
Sur le site Reclame Aqui, un citoyen écrit de Primavera do Leste, dans le Mato Grosso : « J'ai reçu un bulletin bancaire dans le DDA d'une valeur de 52 reais émis par l'entité du HCR, sans avoir autorisé, contracté ou consenti à aucun don, contribution ou lien associatif. Je précise que je n'ai jamais exprimé ma volonté par quelque moyen que ce soit (téléphonique, numérique ou physique) de contribuer ou d'adhérer à une entité liée à ce CNPJ (le numéro d'identification fiscale des personnes morales au Brésil). souligner que les dons nécessitent un consentement exprès, qui dans ce cas est totalement inexistant. Cette pratique constitue une demande de paiement inappropriée.
À Reclame Aqui, les citoyens protestent également contre l'utilisation de leurs données personnelles, données qu'ils affirment n'avoir jamais fournies au HCR Brésil. « J'ai reçu une newsletter payante que je n'ai pas autorisée ! Je proteste contre l'utilisation de mes données sans autorisation. Je ne veux pas faire de don sans mon consentement », écrit une personne de San Pablo. Un homme qui dit s'appeler Timóteo, originaire du Minas Gerais, déclare : « Je ne connais pas cette entité et je ne suis pas en mesure de faire des dons en raison de mon faible salaire ». À Reclame Aqui, des gens de tout le Brésil, y compris des personnes âgées et handicapées, manifestent. Une dame écrit de São José dos Campos, dans l'État de São Paulo, au nom de sa mère : « Je demande de toute urgence l'annulation de ces bulletins de versement. Le préjudice moral causé à une vieille femme désespérée qui veut se battre avec la banque qui a permis que cela se produise n'est pas quelque chose que l'ONU aime entendre. De Duque de Caxias, dans l'État de Rio de Janeiro, une femme écrit : « Je suis une femme âgée avec un handicap visuel et j'ai reçu une newsletter qui ne m'appartient pas. Je vous demande de l'annuler et de ne plus m'en envoyer. »
Cependant, nombreux sont ceux qui ont protesté sur Reclame Aqui, affirmant que le paiement avait été perçu ou payé par erreur. De San Pablo, une femme écrit : « J'ai reçu deux bulletins de versement, qui ont été débités sans raison sur mon compte courant. Quand je m'en suis rendu compte, j'ai appelé le HCR, mais ils ne répondent pas au téléphone. De Taboão da Serra, dans l'État de São Paulo, un autre citoyen écrit : « Comme je payais plusieurs factures, j'ai accidentellement fini par payer le bulletin de 52 réals de cette entreprise. Je demande qu'il me soit restitué ».
La question générale de la protection des données au Brésil a fait l'objet de nombreuses controverses cette année en raison du récent scandale de l'Institut national de sécurité sociale (INSS), l'un des plus graves de ces dernières années en termes de protection des données et de droits des consommateurs. Pendant des années, des millions de bénéficiaires de la sécurité sociale ont été inscrits à leur insu et sans leur consentement auprès d'organisations syndicales ou associatives, avec pour conséquence l'application de prélèvements mensuels automatiques directement sur leurs pensions et prestations sociales. Les syndicats et associations ont obtenu des données personnelles auprès des bénéficiaires de l’INSS. Sur la base de ces informations, une affiliation a été simulée ou falsifiée au moyen de signatures apocryphes, d'enregistrements téléphoniques inexistants ou de déclarations unilatérales sans aucune preuve de consentement. Une fois l'affiliation saisie dans les systèmes, l'INSS appliquait automatiquement la retenue mensuelle, sans vérifier substantiellement le consentement réel du retraité. Selon les estimations de la police fédérale brésilienne, 6,3 milliards de reais (1,136 million de dollars) ont ainsi été volés aux citoyens. Ce qui aggrave encore la situation, c'est que parmi les victimes se trouvent des personnes âgées pauvres, des indigènes et des habitants des zones rurales, qui, seuls, n'auraient jamais pu dénoncer les abus et défendre leurs droits si le scandale n'avait pas éclaté au grand jour grâce au talent d'investigation de deux journalistes brésiliens du site Metropoles, Fabio Leite et Luiz Vassallo.
En janvier 2021, un autre épisode a mis en évidence la fragilité du Brésil dans la protection des données des citoyens, lorsqu'une méga-violation de données a été découverte, affectant 223 millions de citoyens brésiliens. Serasa Experian, la société responsable du stockage des données (c'est une société spécialisée dans l'analyse de crédit), a nié que la violation se soit produite dans ses systèmes. Cependant, l'entreprise a admis que les données auraient pu être obtenues auprès d'une autre source, comme une banque ou une compagnie de téléphone. Les données ont été vendues sur les forums du Dark Web pour 500 millions de reais (90,2 millions de dollars). « La commercialisation des données est une pratique illégale au Brésil. La LGPD, la loi qui réglemente le traitement des données personnelles, interdit la vente ou l'échange de données personnelles sans le consentement de l'intéressé », déclare sur son site Internet l'Institut furtif brésilien pour la défense de la protection des données personnelles, la conformité et la sécurité de l'information. L'année dernière, le Stealth Institute, en collaboration avec le Bureau du Procureur fédéral de São Paulo (MPF), a intenté une action en justice contre Serasa Experian, exigeant le paiement d'au moins 200 millions de reais (37,7 millions de dollars) d'amende. Le procès s'adresse également à l'Autorité nationale de protection des données (ANPD), accusée de négligence dans le contrôle.