Correios consertam falha que expunha dados pessoais em importações
Após reportagem do Tecnoblog, Correios mudam formulário de recibo de impostos, que deixa de conter nome, CPF e endereço do importador
Após reportagem do Tecnoblog, Correios mudam formulário de recibo de impostos, que deixa de conter nome, CPF e endereço do importador
O sistema Meu Correios foi alterado nesta sexta-feira (10) após o Tecnoblog revelar que era possível acessar indevidamente dados pessoais de outros clientes. Agora, o Demonstrativo de Impostos e Serviços de importações não traz mais nome completo do cliente, CPF e endereço. A empresa também comunicará a Autoridade Nacional de Proteção de Dados (ANPD) sobre o caso, seguindo o que manda a Lei Geral de Proteção de Dados (LGPD).
A falha foi descoberta pelos leitores Hugo e Roberto em meados de julho. Em um grupo sobre importações no Facebook, alguns membros costumam compartilhar quando suas encomendas são taxadas e nem sempre ocultam todos os dados pessoais nas fotos que publicam. Hugo, então, observou que era possível usar códigos de rastreamento para ter acesso a informações pessoais.
Tudo que o usuário precisava era logar no sistema Meu Correios, acessar a área Minhas Importações e digitar esse código. Caso a encomenda tivesse sido taxada, dava para baixar o Demonstrativo de Impostos e Serviços. Esse documento trazia o produto da nota fiscal, o valor dos impostos, o nome completo do cliente, seu CPF e endereço.
O Tecnoblog procurou os Correios no dia 2 de setembro. Após a publicação da reportagem nesta sexta-feira (10), a empresa entrou em contato e comunicou uma mudança nos recibos: agora, eles deixam de conter dados pessoais do importador.
A companhia de entregas destaca que o código de rastreamento da encomenda é uma informação pessoal e, como tal, não deve ser compartilhada pelo usuário.
Além disso, a empresa alerta que o acesso indevido a documentos desse tipo pode ser enquadrado como desrespeito ao sigilo de correspondência, conforme o artigo 5º da Lei Postal.
Na nota compartilhada, os Correios também dizem já estar em contato com a Autoridade Nacional de Proteção de Dados (ANPD) “para comunicação do evento mediante rito e protocolo estabelecido”.
Conforme explicou ao Tecnoblog o advogado Adriano Mendes, especialista em direito digital, a Lei Geral de Proteção de Dados (LGPD) determina que falhas e vazamentos de dados sejam comunicados à Autoridade, que é responsável por fiscalizar o assunto.
Como os Correios são uma empresa pública, não há multas — segundo Mendes, isso não teria lógica, porque seria tirar do caixa do governo para colocar de novo no caixa do governo.
Mesmo assim, a empresa pode receber uma advertência caso seja considerada culpada por não proteger a privacidade dos dados. A LGPD ainda prevê suspensão ou bloqueio das atividades, mas penalidades como essas são muito improváveis, já que causariam grandes transtornos e prejuízos.
O acesso ao ambiente Minhas Importações é realizado mediante autenticação com login e senha, sendo que este acesso é fruto de cadastro no Meu Correios. Só é possível consultar a situação de encomendas a partir do código de rastreamento, que é informação pessoal do interessado, destinatário ou importador, e não deve ser compartilhado com terceiros. Além disso, não se deve realizar consulta de informação sobre objetos de terceiros, sob a pena de desrespeito ao sigilo de correspondência, conforme Art. 5º da Lei 6.538/78.
Em atendimento à exigência imposta pela Instrução Normativa 1.737/2017 da Receita Federal, quando da consulta de objetos internacionais, os Correios disponibilizam o Demonstrativo de Impostos e Serviços (DIS), relatório com informações consolidadas em relação à referida importação. A disponibilização da DIS é mais uma garantia para o importador de que está fazendo o recolhimento do imposto devido para a remessa esperada. No entanto, apesar da consulta só ser possível mediante cessão da informação de caráter pessoal, tempestivamente, fizemos ajustes no formulário retirando do documento as informações pessoais não legalmente obrigatórias.
Sob o aspecto da LGPD, os Correios já estão em contato com a ANPD para comunicação do evento mediante rito e protocolo estabelecido.