ANPD enfim se pronuncia sobre vazamento de 220 milhões de CPFs

A ANPD (Autoridade Nacional de Proteção de Dados) se manifestou nesta quarta-feira (27) sobre o vazamento que afetou 223 milhões de CPFs e 40 milhões de CNPJs. A entidade, criada para cumprir a LGPD (Lei Geral de Proteção de Dados Pessoais) e aplicar punições para quem expõe dados pessoais, afirma estar realizando uma investigação a respeito.

CPF (Imagem: Emerson Alecrim/Tecnoblog)

CPF (Imagem: Emerson Alecrim/Tecnoblog)

Em comunicado ao Tecnoblog, a ANPD diz que está apurando tecnicamente informações sobre o caso, e vai cooperar com os órgãos de investigação competentes para descobrir:

  • a origem do vazamento;
  • a forma em que ele ocorreu;
  • as medidas de contenção e de mitigação adotadas em um plano de contingência;
  • as possíveis consequências e os danos causados pela violação.

Feito isto, a ANPD vai sugerir as medidas cabíveis previstas na LGPD para “a responsabilização e a punição dos envolvidos”, junto aos demais órgãos competentes.

A lei de proteção de dados prevê diversos tipos de punição, desde uma advertência até uma multa de 2% do faturamento anual da empresa, limitada a R$ 50 milhões. Vale lembrar, no entanto, que a ANPD ainda não tem o poder de multar: isso só será possível a partir de agosto de 2021.

Diversos veículos da imprensa, incluindo o Tecnoblog, Estadão, Exame e El País, haviam entrado em contato com a ANPD desde pelo menos a última segunda-feira, mas a entidade não dava qualquer resposta.

Senacon e Procon-SP notificam Serasa

O vazamento de CPFs, cujos detalhes foram revelados com exclusividade pelo Tecnoblog, inclui foto de rosto, endereço, telefone, e-mail, score de crédito, salário, classe social e diversas outras informações de 37 categorias diferentes. Uma amostra desse arquivo era oferecida de graça em fóruns na internet aberta e na dark web. Além disso, uma base com 40 milhões de CNPJs trazia dados como score de crédito, dívidas e lista de sócios.

Como havia informações relacionadas à Serasa Experian nos dois vazamentos, a empresa foi notificada pela Senacon (Secretaria Nacional do Consumidor) e pelo Procon-SP para prestar esclarecimentos. Ela garantiu várias vezes que não é a fonte dos dados, e afirmou estar “em contato com os reguladores para auxiliá-los em quaisquer dúvidas”.

Em posicionamento, a Serasa diz:

Fizemos uma investigação aprofundada que indica que não há correspondência entre os campos das pastas disponíveis na web com os campos de nossos sistemas onde o Score Serasa é carregado, nem com o Mosaic. Além disso, os dados que vimos incluem elementos que nem mesmo temos em nossos sistemas e os dados que alegam ser atribuídos à Serasa não correspondem aos dados em nossos arquivos.

Este caso também está sendo analisado pelo MPDFT (Ministério Público do Distrito Federal e Territórios); enquanto o MPF-SP (Ministério Público Federal em São Paulo) confirma ter recebido representação a respeito do assunto, que será distribuído a um procurador em breve.

Caso deve ser levado “às últimas consequências”, diz Idec

Para Diogo Moyses, do Idec (Instituto Brasileiro de Defesa do Consumidor), “este caso pode se tornar uma prova de fogo para o ecossistema de proteção de dados, não só a ANPD, como também a relação com outros órgãos de defesa do consumidor e de investigação criminal”.

Diogo, que é coordenador do programa de Telecomunicações e Direitos Digitais do Idec, também diz ao Tecnoblog: “pela importância do caso, pela amplitude e pela quantidade de dados vazados, este é um caso que deve ser levado às últimas consequências”, sob risco de por em descrédito o ecossistema de proteção de dados “antes mesmo de ser implementado como um todo”.