A OAB (Ordem dos Advogados do Brasil) Nacional enviou, nesta quinta-feira (28), um ofício à ANPD (Autoridade Nacional de Proteção de Dados) solicitando medidas imediatas para apurar o recente megavazamento de dados.
O vazamento foi descoberto pelo laboratório de cibersegurança dfndr lab, da Psafe. Segundo a companhia, foram expostas informações de mais de 220 milhões de brasileiros -mais do que a população do Brasil, de aproximadamente 212 milhões de pessoas, o que indica que a divulgação indevida inclui dados de pessoas que já morreram e de CPFs inativos.
No ofício, a OAB afirma que o vazamento submete praticamente toda a população brasileira a um cenário de grave risco pessoal e irreparável violação à privacidade. A entidade afirma que a ação precisa ser investigada pelas autoridades competentes, em particular a ANPD.
"Ao tempo em que a lei estabelece aos agentes de tratamento o dever de zelar pela proteção dos dados pessoais, também lhes impõe a responsabilização decorrente do tratamento irregular e do dano causado ao cidadão titular dos dados", afirmou a Ordem no ofício.
Em requerimento inicial, enviado pelo ouvidor-geral adjunto e conselheiro federal, Rodrigo Badaró, ao presidente da OAB, Felipe Santa Cruz, Badaró afirmou que a sociedade tem sido tolerante com as dificuldades estruturais da ANPD quanto ao início de seus trabalhos, mas afirma que o vazamento viola direitos fundamentais de privacidade.
Em nota, a ANPD afirmou que desde que tomou conhecimento do vazamento de dados, destacou todo o seu quadro técnico para analisar os aspectos do ocorrido com base na LGPD.
"A ANPD já recebeu informações do Serasa e, na busca por mais esclarecimentos, oficiou a Polícia Federal, a empresa Psafe, o Comitê Gestor da Internet no Brasil e o Gabinete de Segurança Institucional da Presidência da República", afirmou o órgão.
Pelo tamanho da base e pelos dados expostos, há especulação no mercado de que a origem das informações teria sido a Serasa Experian, empresa que tem acesso a informações semelhantes às vazadas, como nome, CPF, data de nascimento, entre outras informações.
O vazamento também teria exposto informações detalhadas sobre 104 milhões de veículos, contendo número do chassi, placa do automóvel, município, cor, marca, modelo, ano de fabricação, cilindradas e o tipo de combustível utilizado.
Ainda teriam sido vazados dados de 40 milhões de empresas, como CNPJ, razão social, nome fantasia e data de fundação.
Tanto a Senacon (Secretaria Nacional do Consumidor) quanto o Procon-SP notificaram o birô de crédito, pedindo explicações sobre o vazamento de dados.
O Procon-SP afirmou que além de solicitar a confirmação do vazamento de informações, também pediu à Serasa que informasse os motivos que causaram o problema e quais providências tomou para contê-lo. A empresa também deve informar o que fará para reparar os danos decorrentes do incidente e o que fará para que a falha volte a acontecer.
"Vamos aguardar a resposta da empresa para analisar e avaliar as penalidades compatíveis", disse o diretor executivo do Procon-SP, Fernando Capez.
Em nota, o DPDC (Departamento de Proteção e Defesa do Consumidor) do Ministério da Justiça, ligado à Senacon, afirmou que além de notificar a Serasa instaurou uma investigação preliminar sobre o vazamento de dados.
A secretaria também disse que criou, por meio do CNDC (Conselho Nacional de Defesa do Consumidor) um núcleo de proteção de dados com o compromisso de estabelecer relação direta com a ANPD.
"A criação de uma relatoria específica para tratar de dados pessoais dentro do Conselho visa endereçar o grande número de reclamações de consumidores relacionadas ao uso indevido de dados pessoais. O caso Experian é apenas mais um entre as dezenas de casos envolvendo compartilhamento de dados de consumidores no país e está não agenda de prioridades da Secretaria", afirmou a secretaria em nota.
Em nota, a Serasa afirmou que, de acordo com uma análise detalhada que a empresa fez em sua base, concluiu não ser a fonte do vazamento de dados. A empresa disse, ainda, que não houve evidências de que os sistemas tenham sido comprometidos.
"Fizemos uma investigação aprofundada que indica que não há correspondência entre os campos das pastas disponíveis na web com os campos de nossos sistemas onde o Score Serasa é carregado, nem com o Mosaic", afirmou a Serasa, em nota.
"Além disso, os dados que vimos incluem elementos que nem mesmo temos em nossos sistemas e os dados que alegam ser atribuídos à Serasa não correspondem aos dados em nossos arquivos. Concluímos que esta é uma alegação infundada", completou a empresa.
O birô de crédito ainda afirmou que continua monitorando ativamente a situação e que está em contato com os reguladores para auxiliá-los em qualquer dúvidas que possam ter sobre o assunto.
"Temos um forte compromisso de proteger a privacidade dos dados pessoais que tratamos e acreditamos que temos os sistemas de segurança necessários para isso."
