Senacon e Procon-SP notificam Serasa sobre vazamento de 220 milhões de CPFs
Vazamento de dados expôs 223 milhões de CPFs e 40 milhões de CNPJs; Serasa Experian nega ser a fonte das informações
Vazamento de dados expôs 223 milhões de CPFs e 40 milhões de CNPJs; Serasa Experian nega ser a fonte das informações
O vazamento que expôs 223 milhões de CPFs e 40 milhões de CNPJs é alvo de pelo menos duas investigações: a Senacon (Secretaria Nacional do Consumidor) confirma ao Tecnoblog que notificou a Serasa Experian para que explique seu possível envolvimento – a empresa nega ser a fonte das informações. Ela também será notificada pelo Procon-SP.
“O Procon vai notificar a Serasa Experian, a fim de que justifique o porquê desse vazamento dos dados”, diz o diretor executivo Fernando Capez. “Hoje, nós podemos aplicar a LGPD e as sanções previstas no Código de Defesa do Consumidor. O Procon, portanto, aguarda resposta da Serasa para que sejam aplicadas as punições compatíveis.”
As penalidades do CDC chegam a até R$ 10 milhões. Capez lembra que a Lei Geral de Proteção de Dados prevê multas mais pesadas, de até R$ 50 milhões, mas que só entram em vigor em agosto deste ano.
O Tecnoblog entrou em contato com a ANPD (Autoridade Nacional de Proteção de Dados), mas não obteve resposta. O órgão é o responsável por investigar e futuramente multar empresas e entidades públicas que desrespeitem a LGPD.
O MPF-SP (Ministério Público Federal em São Paulo) conta ao Tecnoblog que já recebeu ao menos uma representação a respeito do vazamento de 220 milhões de CPFs. Nela, um cidadão solicita que o caso seja investigado. O registro ainda está em processamento e será distribuído a um(a) procurador(a) da República “para análise e definição dos próximos passos”.
Por sua vez, o MPDFT (Ministério Público do Distrito Federal e Territórios) afirma que está analisando o caso, mas “por enquanto não pode se pronunciar”. No ano passado, a entidade entrou com ação civil pública para que a Serasa Experian fosse proibida de vender dados pessoais como CPF, endereço, telefone, localização e poder aquisitivo. Uma liminar obrigou a empresa a interromper esse serviço.
A Secretária Nacional do Consumidor, Juliana Oliveira Domingues, explica em comunicado ao Tecnoblog que o órgão instaurou procedimento de averiguação preliminar para “apurar a materialidade e autoria do suposto vazamento de dados de cerca de 220 milhões de brasileiros”.
Além disso, a Senacon criou um núcleo de proteção de dados para estabelecer relação direta com a ANPD. Juliana afirma que essa relatoria específica para tratar de dados pessoais “visa endereçar o grande número de reclamações de consumidores relacionadas ao uso indevido de dados pessoais”.
A Serasa Experian terá quinze dias para responder aos questionamentos da Senacon, ligada ao Ministério da Justiça. São estas as perguntas:
Em nota, a Serasa afirma ter feito uma investigação aprofundada e nega ser a fonte dos dados. Segundo a empresa, as informações “incluem elementos que nem mesmo temos em nossos sistemas”; além disso, ela diz que os dados que realmente possui não correspondem com o que vazou.
Este é o comunicado na íntegra:
Tem havido notícias na mídia de que um hacker está oferecendo ilegalmente dados sobre cidadãos brasileiros na web. Embora o hacker afirme que parte dos dados veio da Serasa, com base em nossa análise detalhada até este ponto, concluímos que a Serasa não é a fonte. Também não vemos evidências de que nossos sistemas tenham sido comprometidos.
Fizemos uma investigação aprofundada que indica que não há correspondência entre os campos das pastas disponíveis na web com os campos de nossos sistemas onde o Score Serasa é carregado, nem com o Mosaic. Além disso, os dados que vimos incluem elementos que nem mesmo temos em nossos sistemas e os dados que alegam ser atribuídos à Serasa não correspondem aos dados em nossos arquivos.
Concluímos que esta é uma alegação infundada.
Continuamos monitorando ativamente a situação e em contato com os reguladores para auxiliá-los em quaisquer dúvidas que possam ter em relação a esse assunto. Temos um forte compromisso de proteger a privacidade dos dados pessoais que tratamos e acreditamos que temos os sistemas de segurança necessários para isso.