Correios consertam falha que expunha dados pessoais em importações

Após reportagem do Tecnoblog, Correios mudam formulário de recibo de impostos, que deixa de conter nome, CPF e endereço do importador

Giovanni Santa Rosa
• Atualizado há 1 ano e 2 meses

O sistema Meu Correios foi alterado nesta sexta-feira (10) após o Tecnoblog revelar que era possível acessar indevidamente dados pessoais de outros clientes. Agora, o Demonstrativo de Impostos e Serviços de importações não traz mais nome completo do cliente, CPF e endereço. A empresa também comunicará a Autoridade Nacional de Proteção de Dados (ANPD) sobre o caso, seguindo o que manda a Lei Geral de Proteção de Dados (LGPD).

Recibo de impostos tinha informações pessoais

A falha foi descoberta pelos leitores Hugo e Roberto em meados de julho. Em um grupo sobre importações no Facebook, alguns membros costumam compartilhar quando suas encomendas são taxadas e nem sempre ocultam todos os dados pessoais nas fotos que publicam. Hugo, então, observou que era possível usar códigos de rastreamento para ter acesso a informações pessoais.

Tudo que o usuário precisava era logar no sistema Meu Correios, acessar a área Minhas Importações e digitar esse código. Caso a encomenda tivesse sido taxada, dava para baixar o Demonstrativo de Impostos e Serviços. Esse documento trazia o produto da nota fiscal, o valor dos impostos, o nome completo do cliente, seu CPF e endereço.

Demonstrativo de Impostos e Serviços da encomenda, com dados pessoais do cliente
DIS antes da alteração, com dados pessoais do cliente (Imagem: Reprodução/Correios)

O Tecnoblog procurou os Correios no dia 2 de setembro. Após a publicação da reportagem nesta sexta-feira (10), a empresa entrou em contato e comunicou uma mudança nos recibos: agora, eles deixam de conter dados pessoais do importador.

DIS depois da alteração, sem dados pessoais
DIS depois da alteração, agora sem campos de dados pessoais (Imagem: Reprodução/Correios)

Correios dizem que código é informação pessoal

A companhia de entregas destaca que o código de rastreamento da encomenda é uma informação pessoal e, como tal, não deve ser compartilhada pelo usuário. 

Além disso, a empresa alerta que o acesso indevido a documentos desse tipo pode ser enquadrado como desrespeito ao sigilo de correspondência, conforme o artigo 5º da Lei Postal.

ANPD será comunicada

Na nota compartilhada, os Correios também dizem já estar em contato com a Autoridade Nacional de Proteção de Dados (ANPD) “para comunicação do evento mediante rito e protocolo estabelecido”.

Conforme explicou ao Tecnoblog o advogado Adriano Mendes, especialista em direito digital, a Lei Geral de Proteção de Dados (LGPD) determina que falhas e vazamentos de dados sejam comunicados à Autoridade, que é responsável por fiscalizar o assunto.

Como os Correios são uma empresa pública, não há multas — segundo Mendes, isso não teria lógica, porque seria tirar do caixa do governo para colocar de novo no caixa do governo. 

Mesmo assim, a empresa pode receber uma advertência caso seja considerada culpada por não proteger a privacidade dos dados. A LGPD ainda prevê suspensão ou bloqueio das atividades, mas penalidades como essas são muito improváveis, já que causariam grandes transtornos e prejuízos.

Leia na íntegra a nota dos Correios

O acesso ao ambiente Minhas Importações é realizado mediante autenticação com login e senha, sendo que este acesso é fruto de cadastro no Meu Correios. Só é possível consultar a situação de encomendas a partir do código de rastreamento, que é informação pessoal do interessado, destinatário ou importador, e não deve ser compartilhado com terceiros. Além disso, não se deve realizar consulta de informação sobre objetos de terceiros, sob a pena de desrespeito ao sigilo de correspondência, conforme Art. 5º da Lei 6.538/78.

Em atendimento à exigência imposta pela Instrução Normativa 1.737/2017 da Receita Federal, quando da consulta de objetos internacionais, os Correios disponibilizam o Demonstrativo de Impostos e Serviços (DIS), relatório com informações consolidadas em relação à referida importação. A disponibilização da DIS é mais uma garantia para o importador de que está fazendo o recolhimento do imposto devido para a remessa esperada. No entanto, apesar da consulta só ser possível mediante cessão da informação de caráter pessoal, tempestivamente, fizemos ajustes no formulário retirando do documento as informações pessoais não legalmente obrigatórias.

Sob o aspecto da LGPD, os Correios já estão em contato com a ANPD para comunicação do evento mediante rito e protocolo estabelecido.

Leia | Como alterar os dados cadastrais do MEI

Relacionados

Escrito por

Giovanni Santa Rosa

Giovanni Santa Rosa

Repórter

Giovanni Santa Rosa é formado em jornalismo pela ECA-USP e cobre ciência e tecnologia desde 2012. Foi editor-assistente do Gizmodo Brasil e escreveu para o UOL Tilt e para o Jornal da USP. Cobriu o Snapdragon Tech Summit, em Maui (EUA), o Fórum Internacional de Software Livre, em Porto Alegre (RS), e a Campus Party, em São Paulo (SP). Atualmente, é autor no Tecnoblog.