ANPD enfim se pronuncia sobre vazamento de 220 milhões de CPFs
ANPD foi criada no âmbito da LGPD; entidade investiga vazamento de dados pessoais que afetou 223 milhões de brasileiros
ANPD foi criada no âmbito da LGPD; entidade investiga vazamento de dados pessoais que afetou 223 milhões de brasileiros
A ANPD (Autoridade Nacional de Proteção de Dados) se manifestou nesta quarta-feira (27) sobre o vazamento que afetou 223 milhões de CPFs e 40 milhões de CNPJs. A entidade, criada para cumprir a LGPD (Lei Geral de Proteção de Dados Pessoais) e aplicar punições para quem expõe dados pessoais, afirma estar realizando uma investigação a respeito.
Em comunicado ao Tecnoblog, a ANPD diz que está apurando tecnicamente informações sobre o caso, e vai cooperar com os órgãos de investigação competentes para descobrir:
Feito isto, a ANPD vai sugerir as medidas cabíveis previstas na LGPD para “a responsabilização e a punição dos envolvidos”, junto aos demais órgãos competentes.
A lei de proteção de dados prevê diversos tipos de punição, desde uma advertência até uma multa de 2% do faturamento anual da empresa, limitada a R$ 50 milhões. Vale lembrar, no entanto, que a ANPD ainda não tem o poder de multar: isso só será possível a partir de agosto de 2021.
Diversos veículos da imprensa, incluindo o Tecnoblog, Estadão, Exame e El País, haviam entrado em contato com a ANPD desde pelo menos a última segunda-feira, mas a entidade não dava qualquer resposta.
O vazamento de CPFs, cujos detalhes foram revelados com exclusividade pelo Tecnoblog, inclui foto de rosto, endereço, telefone, e-mail, score de crédito, salário, classe social e diversas outras informações de 37 categorias diferentes. Uma amostra desse arquivo era oferecida de graça em fóruns na internet aberta e na dark web. Além disso, uma base com 40 milhões de CNPJs trazia dados como score de crédito, dívidas e lista de sócios.
Como havia informações relacionadas à Serasa Experian nos dois vazamentos, a empresa foi notificada pela Senacon (Secretaria Nacional do Consumidor) e pelo Procon-SP para prestar esclarecimentos. Ela garantiu várias vezes que não é a fonte dos dados, e afirmou estar “em contato com os reguladores para auxiliá-los em quaisquer dúvidas”.
Em posicionamento, a Serasa diz:
Fizemos uma investigação aprofundada que indica que não há correspondência entre os campos das pastas disponíveis na web com os campos de nossos sistemas onde o Score Serasa é carregado, nem com o Mosaic. Além disso, os dados que vimos incluem elementos que nem mesmo temos em nossos sistemas e os dados que alegam ser atribuídos à Serasa não correspondem aos dados em nossos arquivos.
Este caso também está sendo analisado pelo MPDFT (Ministério Público do Distrito Federal e Territórios); enquanto o MPF-SP (Ministério Público Federal em São Paulo) confirma ter recebido representação a respeito do assunto, que será distribuído a um procurador em breve.
Para Diogo Moyses, do Idec (Instituto Brasileiro de Defesa do Consumidor), “este caso pode se tornar uma prova de fogo para o ecossistema de proteção de dados, não só a ANPD, como também a relação com outros órgãos de defesa do consumidor e de investigação criminal”.
Diogo, que é coordenador do programa de Telecomunicações e Direitos Digitais do Idec, também diz ao Tecnoblog: “pela importância do caso, pela amplitude e pela quantidade de dados vazados, este é um caso que deve ser levado às últimas consequências”, sob risco de por em descrédito o ecossistema de proteção de dados “antes mesmo de ser implementado como um todo”.
{{ excerpt | truncatewords: 55 }}
{% endif %}