Início » Antivírus e Segurança » Senacon e Procon-SP notificam Serasa sobre vazamento de 220 milhões de CPFs

Senacon e Procon-SP notificam Serasa sobre vazamento de 220 milhões de CPFs

Vazamento de dados expôs 223 milhões de CPFs e 40 milhões de CNPJs; Serasa Experian nega ser a fonte das informações

Felipe VenturaPor

O vazamento que expôs 223 milhões de CPFs e 40 milhões de CNPJs é alvo de pelo menos duas investigações: a Senacon (Secretaria Nacional do Consumidor) confirma ao Tecnoblog que notificou a Serasa Experian para que explique seu possível envolvimento – a empresa nega ser a fonte das informações. Ela também será notificada pelo Procon-SP.

Serasa Experian (Imagem: Reprodução/Facebook)

Serasa Experian (Imagem: Reprodução/Facebook)

Procon-SP notifica Serasa; ANPD não se pronuncia

“O Procon vai notificar a Serasa Experian, a fim de que justifique o porquê desse vazamento dos dados”, diz o diretor executivo Fernando Capez. “Hoje, nós podemos aplicar a LGPD e as sanções previstas no Código de Defesa do Consumidor. O Procon, portanto, aguarda resposta da Serasa para que sejam aplicadas as punições compatíveis.”

As penalidades do CDC chegam a até R$ 10 milhões. Capez lembra que a Lei Geral de Proteção de Dados prevê multas mais pesadas, de até R$ 50 milhões, mas que só entram em vigor em agosto deste ano.

O Tecnoblog entrou em contato com a ANPD (Autoridade Nacional de Proteção de Dados), mas não obteve resposta. O órgão é o responsável por investigar e futuramente multar empresas e entidades públicas que desrespeitem a LGPD.

Ministério Público Federal deve investigar

O MPF-SP (Ministério Público Federal em São Paulo) conta ao Tecnoblog que já recebeu ao menos uma representação a respeito do vazamento de 220 milhões de CPFs. Nela, um cidadão solicita que o caso seja investigado. O registro ainda está em processamento e será distribuído a um(a) procurador(a) da República “para análise e definição dos próximos passos”.

Por sua vez, o MPDFT (Ministério Público do Distrito Federal e Territórios) afirma que está analisando o caso, mas “por enquanto não pode se pronunciar”. No ano passado, a entidade entrou com ação civil pública para que a Serasa Experian fosse proibida de vender dados pessoais como CPF, endereço, telefone, localização e poder aquisitivo. Uma liminar obrigou a empresa a interromper esse serviço.

Senacon faz perguntas à Serasa

Juliana Domingues, da Senacon (Imagem: Reprodução/TV Brasil)

Juliana Domingues, da Senacon (Imagem: Reprodução/TV Brasil)

A Secretária Nacional do Consumidor, Juliana Oliveira Domingues, explica em comunicado ao Tecnoblog que o órgão instaurou procedimento de averiguação preliminar para “apurar a materialidade e autoria do suposto vazamento de dados de cerca de 220 milhões de brasileiros”.

Além disso, a Senacon criou um núcleo de proteção de dados para estabelecer relação direta com a ANPD. Juliana afirma que essa relatoria específica para tratar de dados pessoais “visa endereçar o grande número de reclamações de consumidores relacionadas ao uso indevido de dados pessoais”.

A Serasa Experian terá quinze dias para responder aos questionamentos da Senacon, ligada ao Ministério da Justiça. São estas as perguntas:

  1. Se reconhece que os dados vazaram de suas bases ou de operadores que tratam dados a seu mando?
  2. Em caso positivo, por quanto tempo os dados ficaram expostos?
  3. Em caso positivo, quem teve acesso aos dados?
  4. Em caso positivo, que dados foram acessados?
  5. Em caso positivo, que medidas foram tomadas para melhorar a segurança da privacidade dos titulares desses dados.
  6. Em qualquer hipótese, a notificada prática, em seu modelo de negócios, qualquer serviço que envolva a disponibilização, o fornecimento ou o tratamento desses dados? Em caso positivo, em que termos?
  7. Ainda em consideração ao item anterior, há relação desta negociação com o vazamento? A notificada descarta peremptoriamente essa possibilidade?

Serasa nega ser fonte do vazamento

Em nota, a Serasa afirma ter feito uma investigação aprofundada e nega ser a fonte dos dados. Segundo a empresa, as informações “incluem elementos que nem mesmo temos em nossos sistemas”; além disso, ela diz que os dados que realmente possui não correspondem com o que vazou.

Este é o comunicado na íntegra:

Tem havido notícias na mídia de que um hacker está oferecendo ilegalmente dados sobre cidadãos brasileiros na web. Embora o hacker afirme que parte dos dados veio da Serasa, com base em nossa análise detalhada até este ponto, concluímos que a Serasa não é a fonte. Também não vemos evidências de que nossos sistemas tenham sido comprometidos.

Fizemos uma investigação aprofundada que indica que não há correspondência entre os campos das pastas disponíveis na web com os campos de nossos sistemas onde o Score Serasa é carregado, nem com o Mosaic. Além disso, os dados que vimos incluem elementos que nem mesmo temos em nossos sistemas e os dados que alegam ser atribuídos à Serasa não correspondem aos dados em nossos arquivos.

Concluímos que esta é uma alegação infundada.

Continuamos monitorando ativamente a situação e em contato com os reguladores para auxiliá-los em quaisquer dúvidas que possam ter em relação a esse assunto. Temos um forte compromisso de proteger a privacidade dos dados pessoais que tratamos e acreditamos que temos os sistemas de segurança necessários para isso.

Comentários da Comunidade

Participe da discussão
6 usuários participando

Os mais notáveis

Comentários com a maior pontuação

Caleb Enyawbruce (@Enyawbruce)

Ótima matéria. Colheram a fala de vários órgãos, o que enriqueceu muito o conteúdo. Deu gosto de ler

Felipe Aranda (@FMAranda)

Posso estar sendo leigo com meu comentário, mas e se a Serasa realmente não for a responsável? Ela é alvo de investigação por diversos órgãos, tem toda essa questão de alguns dados indicarem que fazem parte de ferramentas exclusivas dela, mas é comum essa prática da empresa soltar uma nota dizendo que nada disso tem relação com ela, para posteriormente ser provado o contrário?

@ksio89

Sim, lógico que a empresa nào vai admitir de cara. O Banco Inter também negou vazamento de dados a princípio, mas depois foi pressionado e reconheceu a falha.

Felipe Aranda (@FMAranda)

Entendi. É que é uma atitude besta, né. Serasa, culpada ou não, já tá lascada. Se for culpada, que lembrem dessa nota e faça ela responder e pagar por calúnia tbm, rs. Valeu!

Dark (@Darkalliance)

Poxa estou achando estranho todo esse silencio geral da mídia geral quanto a um caso gravíssimo como esse. Sei lá deveria se ter uma pressão enorme da mídia geral em cima desse caso para encontrar os envolvidos e quem realmente vazou esses dados

Douglas Knevitz (@Douglas_Knevitz)

Estranho porque?

Eles tem a própria agenda, pouco importa o que e bom/relevante para o povo.

Felipe Aranda (@FMAranda)

Exatamente. Isso pode vir a ser assunto só depois que as investigações culparem alguém. Assim, a população vai achar que está tudo resolvido e vida que segue. Que venha a próxima manchete.