Publicidade
Na semana passada, a empresa de cibersegurança PSafe revelou um vazamento de dados gigantesco: são listados mais de 223 milhões de CPFs. Junto deles estão informações detalhadas de cidadãos brasileiros, incluindo foto e imposto de renda. Tudo está à venda em fóruns na internet.
Ainda não é possível saber a origem do vazamento, mas há indícios, segundo especialistas, de que as informações pertençam à base de dados da Serasa Experian. Em nota, a empresa diz que investigou o caso e que os dados analisados não indicam que ela seja a fonte. “Os dados atribuídos à Serasa não correspondem aos dados em nossos arquivos”, diz.
Na visão de Bruno Bioni, fundador do Data Privacy Brasil, instituição de pesquisa e ensino sobre privacidade e proteção de dados, esse pode não ser apenas o maior, mas também o mais lesivo vazamento de dados do Brasil.
Continua depois da publicidade
Em uma análise inicial, é possível dizer que trata-se do maior ou do mais importante vazamento de dados no Brasil?
O conjunto de informações é grande e revela muito sobre a população. CPFs, nomes, foto, renda e até scores de crédito estão lá. Isso o torna o incidente de segurança mais crítico e lesivo já visto no Brasil.
O que o caso da Equifax (ocorrido nos EUA em 2017) pode nos ensinar?
Continua depois da publicidade
Na época, houve uma movimentação quando ficou comprovado que a origem era de um birô de dados. Colocou-se logo na mesa um plano de contingência. Aqui, precisamos ter uma discussão pública sobre o assunto.
O Brasil tem plano de contingência para casos como esse?
A Lei Geral de Proteção de Dados (LGPD) prevê isso. Esse seria um caso para testar um plano. É um incidente que tem uma riqueza muito grande nos dados. Ele demanda um plano de contingência e medidas que sejam mais robustas.
Continua depois da publicidade
O que poderia ser aplicado de sanção contra o Serasa, caso seja confirmada a origem dos dados? Seria possível adiantar o prazo de multas da LGPD?
As multas da LGPD não poderiam ser adiantadas – exceto se o Congresso aprovasse um projeto de lei. A Autoridade Nacional de Proteção de Dados (ANPD) hoje não tem dentes para morder. Porém, a LGPD deixa claro que, em algumas situações, você pode ter violações múltiplas de direitos. Isso significa que a Secretaria Nacional do Consumidor (Senacon) e outros órgãos de proteção podem atuar com base no Código de Defesa do Consumidor (CDC).
A ANPD consegue fazer alguma coisa neste momento?
Continua depois da publicidade
Em tese, ela já está operando. Esse é teste de fogo para ver se vai funcionar ou não. A ANPD pode atuar de maneira cooperativa com outros órgãos reguladores, verificando quais os melhores caminhos para formatar o plano de contingência. Em um segundo momento, ela pode desdobrar para sanções. Ela não vai poder se valer da LGPD, mas ela pode atuar de maneira cooperativa com a Senacon, que pode utilizar o Código de Defesa do Consumidor para aplicar multas. O CDC foi pensado para franquear proteção coletiva. Esse vazamento é um cenário no qual um interesse difuso e coletivo foi entrincheirado.