Reportagem do jornal O Estado de S. Paulo, publicado 05/02/2021

O Instituto de Defesa do Consumidor (Idec) revelou com exclusividade ao Estadão nesta sexta-feira, 5, que encaminhou uma representação a diferentes autoridades federais cobrando “providências firmes e imediatas” em relação ao megavazamento que expôs 223 milhões de CPFs. Uma das demandas da entidade foi direcionada ao Congresso Nacional: o Idec pediu a criação de uma Comissão Parlamentar Mista de Inquérito (CPMI) para auxiliar e acompanhar as investigações. 

Cobranças também foram direcionadas à Autoridade Nacional de Proteção de Dados (ANPD), ao Banco Central, à Secretaria Nacional do Consumidor (Senacon), ao Ministério Público Federal e à Polícia Federal (PF). Apesar de a ANPD e a Senacon já terem se manifestado sobre o vazamento e a PF já ter anunciado investigação, o Idec pede por medidas mais efetivas. 

“Até o momento temos assistido a manifestações que são declarações de intenções. O consumidor está rendido: não sabe ainda de onde os dados vazaram e, mais do que isso, não tem informações claras do poder público com orientações para reforçar a proteção de dados, como os cuidados que deve-se ter neste momento”, afirma Diogo Moyses coordenador do programa de Telecomunicações e Direitos Digitais do Idec. 

Para a ANPD, que é responsável pela aplicação da Lei Geral de Proteção de Dados, o Idec pediu uma ampla divulgação do caso em meios de comunicação, a adoção de medidas para reverter ou mitigar os efeitos do incidente e também a coordenação da cooperação entre as autoridades competentes para ações relacionadas ao vazamento. 

Além disso, a ONG apontou a necessidade de envolvimento do Banco Central, já que ele é o regulador do Serasa - a empresa inicialmente foi apontada como uma possível origem do vazamento, mas nega que seja a fonte. 

Moyses reforça que é fundamental que o Congresso Nacional participe desta conversa. “Estamos falando do maior vazamento de dados da história do Brasil, que deve ter consequências por muitos anos”, afirma.

Manifestações

Nas últimas semanas, diferentes órgãos federais manifestaram-se sobre o megavazamento revelado em janeiro pelo dfndr lab, laboratório especializado em segurança digital da startup PSafe. Na segunda, 25, a Secretaria Nacional do Consumidor (Senacon) afirmou que instaurou um procedimento de averiguação preliminar para “avaliar a materialidade e autoria” do vazamento. O órgão deu um prazo de 15 dias para o Serasa Experian responder às seguintes perguntas: se a instituição reconhece que os dados vazaram de suas bases ou de operadores parceiros, por quanto tempo os dados ficaram expostos, quem teve acesso aos dados e que dados foram acessados.

Além disso, a Senacon questiona as medidas tomadas pela empresa para melhorar a segurança da privacidade dos titulares dos dados e também pede esclarecimento sobre seu modelo de negócios para entender se algum serviço do Serasa envolve a disponibilização, o fornecimento ou o tratamento de dados.

Na quinta, 28, o Procon-SP notificou o Serasa pedindo explicações sobre o caso. Já a Autoridade Nacional de Proteção de Dados (ANPD) se manifestou apenas na quarta, 27, oito dias após o caso vir a público. 

Em nota ao Estadão, a ANPD disse que “está apurando tecnicamente informações sobre o caso e atuará de maneira cooperativa com os órgãos de investigação competentes e oficiará para apurar a origem, a forma em que se deu o possível vazamento, as medidas de contenção e de mitigação adotadas em um plano de contingência, as possíveis consequências e os danos causados pela violação”. 

O órgão afirma ainda que “sugerirá as medidas cabíveis, previstas na Lei Geral de Proteção de Dados, para promover, com os demais órgãos competentes, a responsabilização e a punição dos envolvidos”.