Início » Antivírus e Segurança » ANPD enfim se pronuncia sobre vazamento de 220 milhões de CPFs

ANPD enfim se pronuncia sobre vazamento de 220 milhões de CPFs

ANPD foi criada no âmbito da LGPD; entidade investiga vazamento de dados pessoais que afetou 223 milhões de brasileiros

Felipe Ventura Por

A ANPD (Autoridade Nacional de Proteção de Dados) se manifestou nesta quarta-feira (27) sobre o vazamento que afetou 223 milhões de CPFs e 40 milhões de CNPJs. A entidade, criada para cumprir a LGPD (Lei Geral de Proteção de Dados Pessoais) e aplicar punições para quem expõe dados pessoais, afirma estar realizando uma investigação a respeito.

CPF (Imagem: Emerson Alecrim/Tecnoblog)

CPF (Imagem: Emerson Alecrim/Tecnoblog)

Em comunicado ao Tecnoblog, a ANPD diz que está apurando tecnicamente informações sobre o caso, e vai cooperar com os órgãos de investigação competentes para descobrir:

  • a origem do vazamento;
  • a forma em que ele ocorreu;
  • as medidas de contenção e de mitigação adotadas em um plano de contingência;
  • as possíveis consequências e os danos causados pela violação.

Feito isto, a ANPD vai sugerir as medidas cabíveis previstas na LGPD para “a responsabilização e a punição dos envolvidos”, junto aos demais órgãos competentes.

A lei de proteção de dados prevê diversos tipos de punição, desde uma advertência até uma multa de 2% do faturamento anual da empresa, limitada a R$ 50 milhões. Vale lembrar, no entanto, que a ANPD ainda não tem o poder de multar: isso só será possível a partir de agosto de 2021.

Diversos veículos da imprensa, incluindo o Tecnoblog, Estadão, Exame e El País, haviam entrado em contato com a ANPD desde pelo menos a última segunda-feira, mas a entidade não dava qualquer resposta.

Senacon e Procon-SP notificam Serasa

O vazamento de CPFs, cujos detalhes foram revelados com exclusividade pelo Tecnoblog, inclui foto de rosto, endereço, telefone, e-mail, score de crédito, salário, classe social e diversas outras informações de 37 categorias diferentes. Uma amostra desse arquivo era oferecida de graça em fóruns na internet aberta e na dark web. Além disso, uma base com 40 milhões de CNPJs trazia dados como score de crédito, dívidas e lista de sócios.

Como havia informações relacionadas à Serasa Experian nos dois vazamentos, a empresa foi notificada pela Senacon (Secretaria Nacional do Consumidor) e pelo Procon-SP para prestar esclarecimentos. Ela garantiu várias vezes que não é a fonte dos dados, e afirmou estar “em contato com os reguladores para auxiliá-los em quaisquer dúvidas”.

Em posicionamento, a Serasa diz:

Fizemos uma investigação aprofundada que indica que não há correspondência entre os campos das pastas disponíveis na web com os campos de nossos sistemas onde o Score Serasa é carregado, nem com o Mosaic. Além disso, os dados que vimos incluem elementos que nem mesmo temos em nossos sistemas e os dados que alegam ser atribuídos à Serasa não correspondem aos dados em nossos arquivos.

Este caso também está sendo analisado pelo MPDFT (Ministério Público do Distrito Federal e Territórios); enquanto o MPF-SP (Ministério Público Federal em São Paulo) confirma ter recebido representação a respeito do assunto, que será distribuído a um procurador em breve.

Caso deve ser levado “às últimas consequências”, diz Idec

Para Diogo Moyses, do Idec (Instituto Brasileiro de Defesa do Consumidor), “este caso pode se tornar uma prova de fogo para o ecossistema de proteção de dados, não só a ANPD, como também a relação com outros órgãos de defesa do consumidor e de investigação criminal”.

Diogo, que é coordenador do programa de Telecomunicações e Direitos Digitais do Idec, também diz ao Tecnoblog: “pela importância do caso, pela amplitude e pela quantidade de dados vazados, este é um caso que deve ser levado às últimas consequências”, sob risco de por em descrédito o ecossistema de proteção de dados “antes mesmo de ser implementado como um todo”.

Comentários da Comunidade

Participe da discussão
7 usuários participando

Os mais notáveis

Comentários com a maior pontuação

Rodrigo Dias (@rodrigodias)

Uma hipótese que poderíamos considerar seria no fato dos servidores dos órgãos não terem aplicado a segurança de dados devida (Muitos sites por exemplo, nem tinham HTTPS no domínio).

Outra hipótese seria no app da Caixa que criaram para o auxílio, conseguiram derrubar alguns meses atrás por causa de DDoS.

Não podemos descartar essa possibilidade. Porque pra conseguir os dados de todos nós, além de quem já faleceu, é muito estranho

 • 令和 • Ward'z de Souza 🇯🇵🎌🦊🔥 - Risonho e Límpido (@Wardz_de_souzA)

“Em comunicado ao Tecnoblog, a ANPD diz que está apurando tecnicamente informações sobre o caso, e vai cooperar com os órgãos de investigação competentes […]; Feito isto, a ANPD vai sugerir as medidas cabíveis previstas na LGPD para “a responsabilização e a punição dos envolvidos”, junto aos demais órgãos competentes.”

Aparentemente não vai ficar tão impune quanto imaginei.

Rodrigo Dias (@rodrigodias)

Se conseguiram solicitar o pedido de auxilio no nome de famosos, imagina pra nós meros mortais.

Eu (@Keaton)

Para que serve aplicar uma multa de 2% do faturamento se vão limitar em 50 milhões? Uma empresa que fature 100 bilhões vai pagar o mesmo que fature 1 bilhão…

Mickey Sigrist (@Mickey)

Não querendo ser pessimista mas, analisando com base nas demais agências “reguladoras” que o Brasil possui, chuto que no fim das contas não dará em muita coisa. A ANPD só poderá começar a aplicar punições em agosto de 2021, ainda temos 7 meses até lá, sendo que o vazamento já ocorreu. Além disso, sabemos que se houver um culpado condenado, esse irá recorrer infinitamente na justiça e no fim das contas a punição poderá ser convertida em acordos que não punem de fato (estilo o que a Anatel adora fazer).

Não confio que a ANPD conseguirá ser diferente da maioria das agências que pouco protegem os interesses de quem deveria ser protegido. Espero que ela me prove o contrário.