Senacon e Procon-SP notificam Serasa sobre vazamento de 220 milhões de CPFs

Vazamento de dados expôs 223 milhões de CPFs e 40 milhões de CNPJs; Serasa Experian nega ser a fonte das informações

Felipe Ventura
Por
• Atualizado há 1 ano e 11 meses
Serasa Experian (Imagem: Reprodução/Facebook)
Serasa Experian (Imagem: Reprodução/Facebook)

O vazamento que expôs 223 milhões de CPFs e 40 milhões de CNPJs é alvo de pelo menos duas investigações: a Senacon (Secretaria Nacional do Consumidor) confirma ao Tecnoblog que notificou a Serasa Experian para que explique seu possível envolvimento – a empresa nega ser a fonte das informações. Ela também será notificada pelo Procon-SP.

Procon-SP notifica Serasa; ANPD não se pronuncia

“O Procon vai notificar a Serasa Experian, a fim de que justifique o porquê desse vazamento dos dados”, diz o diretor executivo Fernando Capez. “Hoje, nós podemos aplicar a LGPD e as sanções previstas no Código de Defesa do Consumidor. O Procon, portanto, aguarda resposta da Serasa para que sejam aplicadas as punições compatíveis.”

As penalidades do CDC chegam a até R$ 10 milhões. Capez lembra que a Lei Geral de Proteção de Dados prevê multas mais pesadas, de até R$ 50 milhões, mas que só entram em vigor em agosto deste ano.

O Tecnoblog entrou em contato com a ANPD (Autoridade Nacional de Proteção de Dados), mas não obteve resposta. O órgão é o responsável por investigar e futuramente multar empresas e entidades públicas que desrespeitem a LGPD.

Ministério Público Federal deve investigar

O MPF-SP (Ministério Público Federal em São Paulo) conta ao Tecnoblog que já recebeu ao menos uma representação a respeito do vazamento de 220 milhões de CPFs. Nela, um cidadão solicita que o caso seja investigado. O registro ainda está em processamento e será distribuído a um(a) procurador(a) da República “para análise e definição dos próximos passos”.

Por sua vez, o MPDFT (Ministério Público do Distrito Federal e Territórios) afirma que está analisando o caso, mas “por enquanto não pode se pronunciar”. No ano passado, a entidade entrou com ação civil pública para que a Serasa Experian fosse proibida de vender dados pessoais como CPF, endereço, telefone, localização e poder aquisitivo. Uma liminar obrigou a empresa a interromper esse serviço.

Senacon faz perguntas à Serasa

Juliana Domingues, da Senacon (Imagem: Reprodução/TV Brasil)

Juliana Domingues, da Senacon (Imagem: Reprodução/TV Brasil)

A Secretária Nacional do Consumidor, Juliana Oliveira Domingues, explica em comunicado ao Tecnoblog que o órgão instaurou procedimento de averiguação preliminar para “apurar a materialidade e autoria do suposto vazamento de dados de cerca de 220 milhões de brasileiros”.

Além disso, a Senacon criou um núcleo de proteção de dados para estabelecer relação direta com a ANPD. Juliana afirma que essa relatoria específica para tratar de dados pessoais “visa endereçar o grande número de reclamações de consumidores relacionadas ao uso indevido de dados pessoais”.

A Serasa Experian terá quinze dias para responder aos questionamentos da Senacon, ligada ao Ministério da Justiça. São estas as perguntas:

  1. Se reconhece que os dados vazaram de suas bases ou de operadores que tratam dados a seu mando?
  2. Em caso positivo, por quanto tempo os dados ficaram expostos?
  3. Em caso positivo, quem teve acesso aos dados?
  4. Em caso positivo, que dados foram acessados?
  5. Em caso positivo, que medidas foram tomadas para melhorar a segurança da privacidade dos titulares desses dados.
  6. Em qualquer hipótese, a notificada prática, em seu modelo de negócios, qualquer serviço que envolva a disponibilização, o fornecimento ou o tratamento desses dados? Em caso positivo, em que termos?
  7. Ainda em consideração ao item anterior, há relação desta negociação com o vazamento? A notificada descarta peremptoriamente essa possibilidade?

Serasa nega ser fonte do vazamento

Em nota, a Serasa afirma ter feito uma investigação aprofundada e nega ser a fonte dos dados. Segundo a empresa, as informações “incluem elementos que nem mesmo temos em nossos sistemas”; além disso, ela diz que os dados que realmente possui não correspondem com o que vazou.

Este é o comunicado na íntegra:

Tem havido notícias na mídia de que um hacker está oferecendo ilegalmente dados sobre cidadãos brasileiros na web. Embora o hacker afirme que parte dos dados veio da Serasa, com base em nossa análise detalhada até este ponto, concluímos que a Serasa não é a fonte. Também não vemos evidências de que nossos sistemas tenham sido comprometidos.

Fizemos uma investigação aprofundada que indica que não há correspondência entre os campos das pastas disponíveis na web com os campos de nossos sistemas onde o Score Serasa é carregado, nem com o Mosaic. Além disso, os dados que vimos incluem elementos que nem mesmo temos em nossos sistemas e os dados que alegam ser atribuídos à Serasa não correspondem aos dados em nossos arquivos.

Concluímos que esta é uma alegação infundada.

Continuamos monitorando ativamente a situação e em contato com os reguladores para auxiliá-los em quaisquer dúvidas que possam ter em relação a esse assunto. Temos um forte compromisso de proteger a privacidade dos dados pessoais que tratamos e acreditamos que temos os sistemas de segurança necessários para isso.

Relacionados

Escrito por

Felipe Ventura

Felipe Ventura

Ex-editor

Felipe Ventura fez graduação em Economia pela FEA-USP, e trabalha com jornalismo desde 2009. No Tecnoblog, atuou entre 2017 e 2023 como editor de notícias, ajudando a cobrir os principais fatos de tecnologia. Sua paixão pela comunicação começou em um estágio na editora Axel Springer na Alemanha. Foi repórter e editor-assistente no Gizmodo Brasil.

Temas populares