Senacon e Procon-SP vão notificar Serasa sobre vazamento de dados; ANPD não se pronuncia
Vazamento de dados lista mais de 223 milhões de CPFs; outros órgãos brasileiros analisam o caso
A Secretaria Nacional do Consumidor (Senacon) e o Procon-SP revelaram ao Estadão nesta segunda-feira, 25, que vão notificar o Serasa pedindo explicações sobre o vazamento de dados que lista mais de 223 milhões de CPFs - o caso veio à tona na semana passada, após ser descoberto pelo dfndr lab, laboratório especializado em segurança digital da startup PSafe.
Apesar de ainda não ser possível saber a origem do vazamento, há indícios de que as informações pertençam à base de dados do Serasa Experian - o Estadão teve acesso a parte dos dados e encontrou documentos e menções ao birô de avaliação de crédito. Uma das bases de dados supostamente pertence ao Mosaic, serviço do Serasa. A empresa, entretanto, afirmou em comunicado nesta segunda que realizou uma investigação aprofundada e concluiu que o Serasa não é a fonte desses dados.
A Senacon afirma que instaurou um procedimento de averiguação preliminar para "avaliar a materialidade e autoria" do vazamento. O órgão deu um prazo de 15 dias para o Serasa Experian responder às seguintes perguntas: se a instituição reconhece que os dados vazaram de suas bases ou de operadores parceiros, por quanto tempo os dados ficaram expostos, quem teve acesso aos dados e que dados foram acessados.
Além disso, a Senacon questiona as medidas tomadas pela empresa para melhorar a segurança da privacidade dos titulares dos dados e também pede esclarecimento sobre seu modelo de negócios, para entender se algum serviço do Serasa envolve a disponibilização, o fornecimento ou o tratamento de dados.
O Procon-SP também busca entender o motivo do vazamento de dados. "As penas pesadas que podem chegar até R$ 50 milhões previstas na Lei Geral de Proteção de Dados só entram em vigor em agosto deste ano, mas o Procon pode aplicar as penalidades do Código de Defesa do Consumidor, que chegam até a R$ 10 milhões", explica Fernando Capez, diretor executivo do Procon-SP.
Em nota, o Serasa afirma que vai continuar "em contato com os reguladores para auxiliá-los em quaisquer dúvidas que possam ter em relação a esse assunto".
Caso é grave
Outros órgãos brasileiros estão de olho no episódio. O Ministério Público do Distrito Federal e Territórios (MPDFT) afirmou em nota que está analisando o caso, mas que por enquanto não pode se pronunciar. A assessoria de imprensa do Instituto de Defesa do Consumidor (Idec) também informou que o órgão está acompanhando o caso desde a semana passada, mas não deu mais detalhes.
Já a Autoridade Nacional de Proteção de Dados (ANPD), responsável pela aplicação da LGPD, ainda não se pronunciou sobre o caso. Procurada pelo Estadão, a agência não respondeu a pedidos de comentário até a publicação desta reportagem.
O vazamento de dados em questão pode ser o mais grave visto até hoje no Brasil, segundo especialistas. Além do vazamento de CPF, estão informações detalhadas de cidadãos brasileiros como nome, endereço, renda, imposto de renda, fotos de rosto, participantes do Bolsa Família, scores de crédito e muito mais - os dados foram compilados em agosto de 2019.
O volume de números de CPF é maior do que o da população brasileira porque foram incluídas na base informações de pessoas que já morreram. Além disso, mais de 40 milhões de números de CNPJ, com informações atrelados a eles, também foram disponibilizados. Tudo está à venda em fóruns na internet.