Autenticação com serviços VK, Mail.ru e OK

Discussão
,
1

Desde o final de 2025, o VK passou para o domínio .ru e houve alterações no aplicativo utilizado para login no site. Nas configurações, foi adicionada a possibilidade de também conectar a autenticação via Mail.ru e OK. Em decorrência disso, estão sendo detalhadas as alterações juridicamente relevantes.

:red_circle: 1. Obrigação de fornecer documentos dentro de 3 dias úteis

Artigos:

  • No PDF (Odnoklassniki): art. 3.3.1
  • No contrato textual (Mail.ru): art. 3.3.1

“Dentro do prazo não superior a 3 (três) dias úteis a partir da recepção do pedido da Companhia, fornecer cópias autenticadas dos documentos que comprovem as informações fornecidas pelo Parceiro no momento da inscrição do aplicativo.”

:magnifying_glass_tilted_left: O que isso significa na prática:

  • Ao registrar o aplicativo (por exemplo, aqui), você fornece dados:
    • Para pessoa física: nome completo, dados do passaporte, informações de contato.
    • Para pessoa jurídica: nome, OGRN/INN, endereço, etc.
  • Se o VK/Mail.ru solicitar a confirmação desses dados (por exemplo, em caso de suspeita de fraude, cadastro em massa, violação das regras), você deve enviar digitalmente os documentos (RG, extrato do EGRYUL, poderes, etc.) dentro de 3 dias.
  • Risco: não cumprimento → suspensão ou bloqueio do acesso ao API e OAuth de forma unilateral (art. 3.2.2 de ambos os contratos), sem aviso prévio, apenas com notificação após.

:white_check_mark: Recomendação:

  • Prepare antecipadamente o conjunto de documentos.
  • Verifique que, ao registrar o aplicativo, você tenha informado dados atuais e verificáveis — caso contrário, a solicitação de confirmação é quase inevitável.

:red_circle: 2. Requisito de obter consentimento explícito dos usuários para a transferência de dados pessoais

Artigos:

  • OK PDF: art. 3.3.4
  • Mail.ru: art. 3.3.4

O Parceiro deve obter o consentimento dos usuários (incluindo conforme a Lei Federal nº 152) para a transferência de seus dados dos serviços da Companhia → consentimento explícito, com indicação de:

  • Volume dos dados solicitados (e-mail, nome, foto, etc.)
  • Finalidades da sua utilização
  • Link para sua política de privacidade

:warning: Criticamente importante:

  • Você não pode transferir automaticamente dados (por exemplo, e-mail) sem o consentimento explícito do usuário — mesmo que ele tenha clicado em “Entrar com OK/Mail”.
  • O consentimento deve ser apresentado como um checkbox separado antes ou junto do botão de login, com uma formulação clara, por exemplo:
  • “Eu concordo com a transferência de meus dados (nome, e-mail, foto do perfil) do Odnoklassniki/Mail.ru para o login no site example.com e processamento conforme a Política de Privacidade.”
  • Você não tem direito de solicitar dados excessivos (art. 3.3.5): por exemplo, solicitar data de nascimento se ela não for necessária para autenticação.

:red_circle: 3. Proibição de modificar logotipos, botões e elementos UI

Artigos:

  • OK: art. 3.3.3
  • Mail.ru: art. 3.3.3

Proibido:

  • Ocultar ou alterar logotipos (“Entrar com OK” → não pode ser renomeado como “Login Rápido”),
  • Remover links para OK/Mail,
  • Usar botões e imagens não oficiais.

:white_check_mark: Solução:

:red_circle: 4. Limitações no uso de dados dos usuários

Artigos:

  • OK: art. 3.3.6
  • Mail.ru: art. 3.3.6

Proibido:

  • Armazenar, processar ou transmitir dados dos usuários (e-mail, nome, etc.) obtidos via OAuth se isso não for necessário para autenticação e não estiver especificado no contrato.
  • Usar os dados para newsletters, análise, perfis publicitários — sem consentimento adicional.

:warning: Exemplo de risco:

Se você recebeu um e-mail via OAuth e imediatamente adicionou à newsletter — isso é uma violação.

:white_check_mark: Solução:

  • Separe claramente:
    • Dados para login (apenas para autenticação),
    • Dados para uso posterior (newsletters, perfil, etc.) → devem ser coletados separadamente, com consentimento específico.

:red_circle: 5. O contrato é “como está” — sem garantias ou responsabilidade

Artigo:

A Companhia não garante funcionamento contínuo, não assume responsabilidade por falhas, vazamentos, bloqueios, etc.

:shield: O que fazer:

  • Não dependa do OAuth como único método de login. Sempre mantenha um login alternativo (por exemplo, e-mail + senha).
  • Na interface, informe: “Login via OK temporariamente indisponível — tente mais tarde ou use outro método.”

:pushpin: Resumo: Pontos críticos que exigem sua atenção imediata
1 Preparar e, se necessário, enviar documentos autenticados 3 dias após o pedido Bloqueio do API/OAuth
2 Obter consentimento explícito dos usuários para transferência de dados pessoais antes da autenticação Multas conforme a Lei Federal nº 152, bloqueio por reclamações
3 Usar apenas botões e UI oficiais imediatamente Rejeição da credencial do aplicativo
4 Não usar dados além da autenticação permanentemente Bloqueio + reclamações dos reguladores
5 Seguir rigorosamente as instruções e regras oficiais permanentemente Risco de suspensão sem aviso prévio