A Autoridade Nacional de Proteção de Dados (ANPD) – uma espécie de agência reguladora e responsável pela aplicação da LGPD (Lei Geral de Proteção de Dados) – se manifestou sobre o megavazamento de dados de mais de 223 milhões de CPFs e de outras informações confidenciais, caso apontado por especialistas como o incidente mais nocivo de segurança digital do Brasil.
Oito dias após o vazamento, a ANPD disse que “está apurando tecnicamente informações sobre o caso e atuará de maneira cooperativa com os órgãos de investigação competentes e oficiará para apurar a origem, a forma em que se deu o possível vazamento, as medidas de contenção e de mitigação adotadas em um plano de contingência, as possíveis consequências e os danos causados pela violação”.
O órgão diz, ainda, que “sugerirá as medidas cabíveis, previstas na Lei Geral de Proteção de Dados, para promover, com os demais órgãos competentes, a responsabilização e a punição dos envolvidos”.
Vale lembrar, porém, que, apesar de a LGPD prever diversos tipos de punição, desde advertências até uma multa de 2% do faturamento anual da empresa, a ANPD ainda não tem o poder de multar: isso só será possível a partir de agosto de 2021.
Informações detalhadas agravam o incidente
Além dos CPFs, houve vazamento de diversas informações detalhadas de cidadãos brasileiros como nome, foto, endereço, renda, imposto renda, inscrição no Bolsa Família e outros programas sociais, scores de créditos e outros.
O vazamento também inclui CPF de pessoas que já morreram. Além disso, mais de 40 milhões de números de CNPJ, com informações atrelados a eles, também foram disponibilizados. Todos esses dados estão à venda em fóruns ilegais da internet.
Serasa se posiciona após notificação da Senacon e do Procon-SP
Como em ambos vazamentos havia informações relacionadas à Serasa Experian, a empresa foi notificada pela Senacon (Secretaria Nacional do Consumidor) e pelo Procon-SP para prestar esclarecimentos.
O Serasa garantiu algumas vezes que não é a fonte dos dados, e disse estar “em contato com os reguladores para auxiliá-los em quaisquer dúvidas”. Confira o pronunciamento da empresa:
“Fizemos uma investigação aprofundada que indica que não há correspondência entre os campos das pastas disponíveis na web com os campos de nossos sistemas onde o Score Serasa é carregado, nem com o Mosaic. Além disso, os dados que vimos incluem elementos que nem mesmo temos em nossos sistemas e os dados que alegam ser atribuídos à Serasa não correspondem aos dados em nossos arquivos.”
+ Notícias
Você sabe o custo de cada gigabyte consumido no Brasil?
Novas metas para telecomunicações obrigam investimentos em fibra ótica