Saiba mais sobre o megavazamento de dados de 223 milhões de brasileiros
O Procon de São Paulo afirmou nesta quinta-feira (18) que a Serasa Experian respondeu os questionamentos realizados em 28 de janeiro sobre o megavazamento dos dados pessoais de mais de 223 milhões de brasileiros.
O órgão de defesa ao consumidor queria saber se o vazamento partiu da Serasa, quais providências seriam tomadas, o que a companhia faria para reparar os danos e qual é a finalidade para o tratamento de dados pessoais .
O vazamento referente a dados de agosto de 2019, e descoberto em janeiro, inclui dados como nome, CPF, fotografia, salário, renda, nível de escolaridade, estado civil, pontuação de crédito, endereço, entre outras informações.
A Serasa nega que tenha sido a fonte do incidente. Na resposta ao Procon-SP, a companhia disse que suas operações com dados pessoais respeitam as diretrizes da Lei Geral de Proteção de Dados (LGPD).
A empresa afirmou que ainda investiga o caso e que, até esse momento, "não há nenhuma indicação de qualquer invasão em seus sistemas".
A Serasa disse que o tratamento dos dados, ou seja, a manipulação das informações (como coleta, transferência, utilização ou cruzamento) "pode ter diversas finalidades".
Para o Procon-SP, a resposta foi insuficiente "já que não há base legal para tratamento e uso de dados de forma indiscriminada, inclusive de pessoas falecidas".
Em comunicado, o órgão afirmou que a Serasa não especificou as medidas técnicas e organizacionais adotadas para implementar a sua política de proteção de dados.
Na avaliação do diretor executivo do Procon-SP, Fernando Capez, as explicações da Serasa foram muito genéricas e geraram mais dúvidas do que esclarecimentos.
“Não descartamos nenhuma hipótese e consideramos nesse instante, como mais provável, que o vazamento tenha vindo de dentro das empresas e não de hackers”, disse Capez.
Em nota ao G1, a Serasa declarou que conduz uma "detalhada investigação" sobre a possível venda ilegal na internet de dados do marketing da Serasa Experian e que irá compartilhar novas informações "conforme apropriado".
A empresa afirma ainda que, até o momento, "não há evidências de que dados de crédito positivos ou negativos tenham sido obtidos ilegalmente na Serasa". Veja íntegra mais abaixo.
Análise
O Procon-SP disse que as respostas da Serasa serão analisadas pela diretoria de fiscalização do órgão e que poderá aplicar multa conforme prevê o Código de Proteção e Defesa do Consumidor.
As penas previstas no Código de Defesa do Consumidor podem chegar a R$ 10 milhões.
Já as sanções previstas pela Lei Geral de Proteção de Dados (LGPD) podem chegar a R$ 50 milhões, mas só podem ser aplicadas a partir de agosto.
Íntegra Serasa
"A Serasa Experian informa que está prestando todos os devidos esclarecimentos às autoridades competentes.
A companhia continua conduzindo uma detalhada investigação forense sobre as recentes notícias na mídia sobre dados que estão sendo oferecidos ilegalmente para venda na internet, alguns dos quais se alega serem dados de marketing da Serasa Experian.
Compartilharemos novas atualizações conforme apropriado e até o momento sabemos o seguinte:
• Os dados até então disponibilizados incluem fotos, cadastros de INSS, registros de veículos e informações de login em mídias sociais, os quais a Serasa não coleta, nem possui.
• Não há evidências de que dados de crédito positivos ou negativos tenham sido obtidos ilegalmente na Serasa.
• Apesar das investigações detalhadas conduzidas até o momento, não há evidências de que nossos sistemas tenham sido comprometidos.
Proteger a segurança dos dados é nossa prioridade número um e é uma obrigação que levamos extremamente a sério."