A Serasa Experian afirma que está investigando o vazamento de dados de mais de 220 milhões de brasileiros. Segundo a empresa, está sendo conduzindo uma investigação aprofundada na empresa e, dizendo ser o “possível de afirmar nesse momento”, volta a alegar que não há nenhuma indicação de qualquer invasão em seus sistemas e também nenhum indício de que os seus cadastros negativo ou positivo tenham sido comprometidos.A Serasa manifestou seu posicionamento após receber notificação do Procon-SP que, além de explicações sobre o megavazamento de dados, também pediu que a empresa informasse os motivos que causaram o problema, quais providências tomou para contê-lo, de que forma iria reparar os danos decorrentes do vazamento desses dados e o que fará para evitar que a falha não volte a acontecer.
As respostas da Serasa
Apesar de a Serasa informar que toda operação realizada com dados pessoais observa o disposto na Lei Geral de Proteção de Dados Pessoais (LGPD) e que o tratamento desses dados, nos conformes legais, pode ter diversas finalidades, para o Procon-SP a resposta foi insuficiente já que não há base legal para tratamento e uso de dados de forma indiscriminada, inclusive de pessoas falecidas.
A Serasa não especificou quais são as medidas técnicas e organizacionais adotadas para implementar a sua política de proteção de dados. Ela limitou-se a descrever a observância de princípios gerais, tais como: “transparência de dados” e “treinamento de funcionários”.
Quanto ao questionamento sobre qual a sua política de mitigação de riscos que possam ocorrer nestas circunstâncias, a empresa limitou-se a citar que mantém um “abrangente programa de segurança da informação”. Sobre a reparação de danos, a empresa afirmou que mantém em seu site orientações contra fraude. Para o Procon-SP, trata-se mais de uma medida preventiva do que reparadora.
Na avaliação do diretor executivo do Procon-SP, Fernando Capez, as explicações da Serasa foram muito genéricas e geraram mais dúvidas do que esclarecimentos. “Não descartamos nenhuma hipótese e consideramos nesse instante, como mais provável, que o vazamento tenha vindo de dentro das empresas, e não de hackers”.
As respostas serão analisadas pela diretoria de fiscalização do Procon-SP que poderá aplicar multa conforme prevê o Código de Proteção e Defesa do Consumidor.
Condenação
Na semana passada, o Instituto Brasileiro de Defesa da Proteção de Dados Pessoais, Compliance e Segurança da Informação Sigilo entrou com uma ação na 22ª Vara Cível Federal de São Paulo, contra a Serasa Experian.
O Instituto pede indenização por danos morais e materiais coletivos no valor de R$ 200 milhões, que serão revertidos ao fundo especial de direitos difusos. Além disso, a entidade defende que a Serasa seja obrigada a arcar com uma indenização no valor de R$ 15 mil a cada um dos titulares de dados afetados por esse vazamento e comunicar a todos os titulares que tiveram os dados expostos por meio de cartas com aviso de recebimento, sob pena de multa diária de R$ 10 mil.
A medida judicial foi movida após a denúncia feita pela empresa PSafe de que o bureau de crédito teria sido o responsável vazamento de dados que expôs 223 milhões de CPFs e 40 milhões de CNPJs. A ANPD já investiga o caso.
Caso Enel
O Procon-SP também pediu explicações à distribuidora de energia elétrica Enel sobre o vazamento de dados cadastrais de consumidores do município de Osasco (SP) no ano passado. Foram solicitadas informações sobre medidas de proteção dos dados e de situações acidentais e ilícitas, sobre treinamento dos colaboradores, entre outros procedimentos para aplicação da LGPD.
Ao Procon, a concessionária informa que o incidente de segurança ocorreu em razão do acesso e extração indevida de uma planilha com dados de parte dos consumidores do município paulista. Alegou ainda que as apurações e investigações não foram concluídas e que até o momento não foi possível identificar a origem nem a forma como se deu o acesso indevido aos dados.
Fonte: teletime.com.br