Na última semana de janeiro tivemos a notícia de um grande vazamento de dados de mais de 220 milhões de brasileiros. A situação é bastante grave, pois esse conjunto de informações pessoais expostas gratuitamente na internet está associado a uma base ainda maior de informações pagas que incluem foto de rosto, endereço, telefone, e-mail, score de crédito e renda, por exemplo.
O Tecnoblog publicou a notícia no dia 22/01, depois de fazer várias pesquisas com ajuda do site DataBreaches.net, descobrindo, assim, detalhes do que está sendo comercializado na internet.
São dois vazamentos iniciais e relacionados. Primeiramente, houve uma divulgação indevida que incluía nome completo, CPF, data de nascimento e gênero. Dados que estão disponíveis para download gratuito em um fórum conhecido por divulgar informações do tipo, na internet aberta.
O segundo vazamento trouxe maiores informações das mesmas pessoas e teria sido compilado em agosto de 2019. Foi divulgado pelo mesmo usuário no fórum e inclui os CPFs na mesma ordem. A diferença é que, neste caso, a prévia é gratuita e o pacote com as minúcias custa entre US$ 0,075 a US$ 1 por CPF. O pagamento é feito em bitcoin.
São 37 bases de dados que fornecem nome, CPF, RG, estado civil, lista de parentes, endereço completo (com latitude e longitude), nível de escolaridade, salário, renda, poder aquisitivo, status na Receita Federal e INSS, além de 40 milhões de CNPJs.
Em relação aos CNPJs, a gama de informações não é tão ampla, mas a quantidade ainda impressiona. Além do número de registro, foram disponibilizados telefone, representante legal, e-mail de contato, endereço, CNAE, capital social, classe de operação, score de crédito, cheques sem fundo e informações de tributação sobre o Simples Nacional.
A propósito, no dia 25 de janeiro noticiou-se um terceiro vazamento – aparentemente sem relação com dois primeiros - no qual foram publicadas informações detalhadas a respeito de 140 milhões de veículos registrados nos órgãos estaduais de trânsito. Ele veio acompanhado de uma base de dados distribuída de forma gratuita na surface web; as informações são sobre a marca, o modelo, chassi e placa dos automóveis.
E, como se não bastasse, no dia 10 de fevereiro, um quarto vazamento de dados foi descoberto no Brasil. Desta vez, mais de 100 milhões de números de celular foram expostos na dark web. As informações são da empresa de cibersegurança PSafe e foram reveladas pelo site NeoFeed.
Ainda não há conhecimento sobre a origem do vazamento dos dados dos veículos e, segundo o hacker que está vendendo as informações sobre os celulares, o vazamento teve origem nas bases de clientes das operadoras Vivo e Claro. Todas as empresas de telefonia já foram notificadas pelo Procon-SP, mas ainda não há nenhuma comprovação sobre esta alegação.
De onde veio o vazamento de dados pessoais de mais de 220 milhões de brasileiros?
De acordo com o site The Hack, um dos diretórios da amostra dos vazamentos analisada é chamada de “Mosaic”, nome da solução da Serasa Experian que segmenta a população brasileira em 11 grupos e 40 segmentos diferentes.
Também foram encontrados documentos em PDF com o material de comunicação oficial das soluções da Serasa para pessoas jurídicas.
“Esses PDFs incluem guias legítimos que ajudam a entender o cálculo de score de crédito, as segmentações do Mosaic e os Modelos de Afinidades (ou seja, os perfis de consumo dentro e fora da internet para cada membro de cada segmento).” Site The Hack
Em um arquivo CSV (tipo de arquivo de texto fundamental para transferência de informações entre aplicativos diferentes, como uma plataforma CRM e o Microsoft Excel), são encontradas segmentações como “Experientes Urbanos de Vida Confortável”, “Assalariados de Meia-Idade das Grandes Cidades”, “No Coração da Periferia” e “Massa Trabalhadora Urbana”.
O vazamento, portanto, veio com o nome “Serasa Experian”. Além disso, como mencionado, tem uma das bases de dados do Mosaic, serviço da Serasa Experian que classifica os consumidores em 11 grupos e 40 segmentos, a fim de fazer anúncios segmentados e prospecção de clientes.
Também há outras bases de dados vazadas que possuem modelos de afinidade e propensão oferecidos pela Serasa, sem mencionar a lista de scores de crédito, produto pelo qual a Serasa é mais conhecida.
Nota da Serasa Experian
A empresa nega ser a fonte do vazamento e diz não ter havido nenhuma evidência de que seus sistemas tenham sido comprometidos.
Informa também que realizou uma investigação aprofundada que mostra não haver correspondência entre os campos das pastas disponíveis na web com os campos de seus sistemas onde o Score Serasa é carregado, nem com o “Mosaic”.
Por fim, nega compilar alguns dos dados vazados, desincumbindo-se de qualquer responsabilidade.
Você pode se interessar:
A implementação da Autoridade Nacional de Proteção de Dados Crimes cibernéticos O Caso Cyrela: condenação por ofensa à LGPD?
A LGPD no dia a dia das instituições de ensino As sanções administrativas previstas na LGPD Unicamp anuncia política de privacidade de dados O caso Aída Curi e o direito ao esquecimento O direito ao esquecimento
A LGPD já está em vigência. E agora?
Havendo indícios de atos administrativos que ofendam a LGPD, é preciso, inicialmente, que se identifiquem os sujeitos envolvidos na infração, diferenciando o agente interno do – quando houver - agente externo.
O agente interno é aquele que possui acesso aos dados por serem controladores, operadores ou encarregados. O agente externo, por sua vez, será aquele estranho à relação de tratamento de dados – como, por exemplo, um hacker.
A LGPD, perceba, abrange a atuação dos sujeitos internos; a atuação dos agentes externos está definida no Código Penal Brasileiro e também em leis específicas.
É fato que a Lei Geral de Proteção de Dados entrou em vigor no dia 18 de setembro de 2020, mas os artigos relativos às sanções às transgressões dessa norma específica estarão em vigor somente a partir de 01º de agosto de 2021.
O que não impede a aplicação de sanções administrativas, civis ou penais definidas anteriormente em outras leis, como no Código de Defesa do Consumidor, por exemplo. Inclusive, são os Procons estaduais que têm agido mais prontamente frente ao vazamento de números de celulares denunciado no dia 10 deste mês, como já mencionado.
Ou seja, os responsáveis pelos vazamentos, mediante os devidos procedimentos, podem ser responsabilizados e punidos, mas essa eventual punição não terá previsão na LGPD, mas em outros instrumentos legais.
Saiba mais sobre as sanções administrativas que estarão em vigor em agosto no nosso texto As sanções administrativas previstas na LGPD.
E a Autoridade Nacional de Proteção de Dados?
É preocupante que os controladores apontados como prováveis fontes dos vazamentos não apenas deixaram de comunicar o fato na forma prevista no artigo 48 da LGPD, como continuam negando sua ocorrência. Qual será o papel da ANPD nisso tudo?
Embora as sanções administrativas ainda não estejam vigendo, a Autoridade Nacional de Proteção de Dados já está instituída e funcionando e a ela – além do MP e do Ministério da Justiça, por meio do Departamento de Proteção e Defesa do Consumidor - cabe tomar as iniciativas necessárias.
A Autoridade Nacional deve orientar, fiscalizar, advertir e, em último caso, penalizar quem descumprir a lei. No momento, terá a incumbência de instaurar as investigações e fazer a auditoria no Serasa Experian para descobrir a origem do vazamento, a forma como ocorreu, as medidas de contenção e possíveis consequências da violação.
Ela ainda não poderá multar os eventuais responsáveis, mas não fica impedida de apurar e proceder às investigações, instaurar inquéritos e cooperar com o Banco Central, por exemplo, para tomar as medidas cabíveis.
A OAB já solicitou urgência na análise do incidente, também sob investigação da Senacon (Secretaria Nacional do Consumidor), mas a ANPD ainda não se declarou publicamente. Apenas mencionou, no dia 27 de janeiro, estar apurando tecnicamente o caso.
Enfim, o tamanho do banco de dados e a sua natureza nos faz crer que este vazamento de dados pessoais é o maior problema do tipo que o Brasil já vivenciou.
Será uma prova de fogo para a LGPD e para a Autoridade Nacional, que, dentre outras providências, terá de nos informar quem teria motivos e legitimidade para ter tanta informação sobre tantas pessoas, dentre as quais, obviamente, estamos eu e você.
Leia também:
A proteção de dados como direito fundamental: uma decisão do STF
A LGPD, Lei Geral de Proteção de Dados, entrou em vigor
A LGPD já entrou em vigor? Entenda
O direito de imagem dos docentes e discentes nas aulas remotas
Como e por que se adequar à LGPD
O Encarregado de Proteção de Dados nas IES
O encarregado na LGPD
As exceções ao consentimento do aluno na LGPD
O Consentimento do aluno nos termos da LGPD
Gostou deste texto? Faça parte de nossa lista de e-mail para receber regularmente materiais como este. Fazendo seu cadastro você também pode receber mais informações sobre nossos cursos, que oferecem informações atualizadas e metodologias adaptadas aos participantes. Temos cursos regulares, já consagrados, dos quais já participaram mais de 800 profissionais das IES.
Também modelamos cursos in company sobre temas gerais relacionados ao Direito da Educação Superior, ou mais específicos. Conheça nossas opções e participe de nossos eventos.