O vazamento que expôs 223 milhões de CPFs e 40 milhões de CNPJs é alvo de pelo menos duas investigações: a Senacon (Secretaria Nacional do Consumidor) confirma ao Tecnoblog que notificou a Serasa Experian para que explique seu possível envolvimento - a empresa nega ser a fonte das informações. Ela também será notificada pelo Procon-SP .
Procon-SP notifica Serasa; ANPD não se pronuncia
"O Procon vai notificar a Serasa Experian, a fim de que justifique o porquê desse vazamento dos dados", diz o diretor executivo Fernando Capez. "Hoje, nós podemos aplicar a LGPD e as sanções previstas no Código de Defesa do Consumidor (CDC). O Procon, portanto, aguarda resposta da Serasa para que sejam aplicadas as punições compatíveis".
As penalidades do CDC chegam a até R$ 10 milhões. Capez lembra que a Lei Geral de Proteção de Dados (LGPD) prevê multas mais pesadas, de até R$ 50 milhões, mas que só entram em vigor em agosto deste ano.
O Tecnoblog entrou em contato com a ANPD (Autoridade Nacional de Proteção de Dados), mas não obteve resposta. O órgão é o responsável por investigar e futuramente multar empresas e entidades públicas que desrespeitem a LGPD.
Ministério Público Federal deve investigar
O MPF-SP (Ministério Público Federal em São Paulo) conta ao Tecnoblog que já recebeu ao menos uma representação a respeito do vazamento de 220 milhões de CPFs . Nela, um cidadão solicita que o caso seja investigado. O registro ainda está em processamento e será distribuído a um(a) procurador(a) da República "para análise e definição dos próximos passos".
Por sua vez, o MPDFT (Ministério Público do Distrito Federal e Territórios) afirma que está analisando o caso, mas "por enquanto não pode se pronunciar". No ano passado, a entidade entrou com ação civil pública para que a Serasa Experian fosse proibida de vender dados pessoais como CPF, endereço, telefone, localização e poder aquisitivo. Uma liminar obrigou a empresa a interromper esse serviço.
Senacon faz perguntas à Serasa
Além disso, a Senacon criou um núcleo de proteção de dados para estabelecer relação direta com a ANPD. Juliana afirma que essa relatoria específica para tratar de dados pessoais "visa endereçar o grande número de reclamações de consumidores relacionadas ao uso indevido de dados pessoais".
A Serasa Experian terá quinze dias para responder aos questionamentos da Senacon, ligada ao Ministério da Justiça. São estas as perguntas:
- Se reconhece que os dados vazaram de suas bases ou de operadores que tratam dados a seu mando?
- Em caso positivo, por quanto tempo os dados ficaram expostos?
- Em caso positivo, quem teve acesso aos dados?
- Em caso positivo, que dados foram acessados?
- Em caso positivo, que medidas foram tomadas para melhorar a segurança da privacidade dos titulares desses dados.
- Em qualquer hipótese, a notificada prática, em seu modelo de negócios, qualquer serviço que envolva a disponibilização, o fornecimento ou o tratamento desses dados? Em caso positivo, em que termos?
- Ainda em consideração ao item anterior, há relação desta negociação com o vazamento? A notificada descarta peremptoriamente essa possibilidade?
Caso deve ser levado "às últimas consequências", diz Idec
Para Diogo Moyses, do Idec (Instituto Brasileiro de Defesa do Consumidor), "este caso pode se tornar uma prova de fogo para o ecossistema de proteção de dados, não só a ANPD, como também a relação com outros órgãos de defesa do consumidor e de investigação criminal".
Diogo, que é coordenador do programa de Telecomunicações e Direitos Digitais do Idec, também diz ao Tecnoblog: "pela importância do caso, pela amplitude e pela quantidade de dados vazados , este é um caso que deve ser levado às últimas consequências", sob risco de por em descrédito o ecossistema de proteção de dados "antes mesmo de ser implementado como um todo".
Serasa nega ser fonte do vazamento
Em nota, a Serasa afirma ter feito uma investigação aprofundada e nega ser a fonte dos dados. Segundo a empresa, as informações "incluem elementos que nem mesmo temos em nossos sistemas"; além disso, ela diz que os dados que realmente possui não correspondem com o que vazou.
Este é o comunicado na íntegra:
" Tem havido notícias na mídia de que um hacker está oferecendo ilegalmente dados sobre cidadãos brasileiros na web. Embora o hacker afirme que parte dos dados veio da Serasa, com base em nossa análise detalhada até este ponto, concluímos que a Serasa não é a fonte. Também não vemos evidências de que nossos sistemas tenham sido comprometidos.
Fizemos uma investigação aprofundada que indica que não há correspondência entre os campos das pastas disponíveis na web com os campos de nossos sistemas onde o Score Serasa é carregado, nem com o Mosaic. Além disso, os dados que vimos incluem elementos que nem mesmo temos em nossos sistemas e os dados que alegam ser atribuídos à Serasa não correspondem aos dados em nossos arquivos.
Concluímos que esta é uma alegação infundada.
Continuamos monitorando ativamente a situação e em contato com os reguladores para auxiliá-los em quaisquer dúvidas que possam ter em relação a esse assunto. Temos um forte compromisso de proteger a privacidade dos dados pessoais que tratamos e acreditamos que temos os sistemas de segurança necessários para isso".