Os órgãos de defesa do consumidor estão aumentando a pressão sobre empresas citadas por cibercriminosos como fontes de megavazamentos de dados. Ontem foi a vez do Procon de São Paulo pedir esclarecimentos às operadoras Claro, Oi, Tim e Vivo sobre a exposição de dados de mais de 102 milhões de celulares e também à empresa de segurança PSafe, que detectou os vazamentos. Na semana passada, o Departamento de Proteção e Defesa do Consumidor (DPDC) do Ministério da Justiça notificou as quatro operadoras e agora quer ter acesso aos dados vazados.
Ainda esta semana, o DPDC quer se reunir com a PSafe, que passou a se chamar Grupo CyberLabs na sexta-feira, após uma fusão com a startup brasileira de inteligência artificial CyberLabs.
“Como a empresa informou que os dados são vendidos na deep web imaginamos que eles tenham materiais sobre o vazamento”, disse Pedro Aurélio de Queiroz Pereira da Silva, diretor do DPDC, em entrevista ao Valor.
“Buscamos indícios de materialidade para investigar a existência do vazamento propriamente dito”, afirma.
O DPDC notificou as operadoras Claro, Oi, Tim e Vivo no dia 11 de fevereiro, pelos Correios, para esclarecer as notícias que circularam na imprensa sobre os vazamento de dados de celulares detectado pelo Grupo CyberLabs.
O Procon-SP também notificou as quatro operadoras ontem pedindo que confirmem se houve algum vazamento de dados pessoais de suas bases. O Grupo CyberLabs também foi notificado para explicar ao órgão de defesa como foi informado sobre o incidente e o que o motivou a torná-lo público.
Fernando Capez, diretor executivo do Procon-SP informa que o órgão também realiza uma investigação técnica para apurar se houve vazamentos propositais de dados. “Há uma suspeita de que pessoas de dentro das empresas fizeram vazamentos por motivos econômicos – para lucrar com os dados – ou para prejudicar as empresas”, afirma.
“Só a prova técnica vai comprovar de onde vieram os vazamentos.”
Em meados de janeiro, ao divulgar o vazamento de dados de mais de 223 milhões de brasileiros, incluindo informações de pessoas falecidas, e de 40 milhões de CNPJs, o grupo CyberLabs informou que as informações foram comprovadas após análise de pacotes de dados vendidos por cibercriminosos na deep web, ou dark web – redes de internet ocultas, invisíveis aos buscadores tradicionais. Segundo a empresa, o criminoso informou que os dados vinham da Serasa Experian.
A Serasa afirma que as alegações são infundadas. “Até o momento, não há nenhuma evidência de que dados tenham sido obtidos ilegalmente da Serasa e que também não há nenhuma evidência de que seus sistemas tenham sido comprometidos”, diz a empresa em comunicado. A empresa ressalta que “há dados disponíveis no megavazamento de janeiro “que a Serasa sequer possui, como fotos, cadastros de INSS, registros de veículos e informações de login em mídias sociais.”
A empresa prestou esclarecimentos ao Procon-SP, à Autoridade Nacional de Proteção de Dados (ANPD), órgão criado no fim de setembro para regulamentar a Lei Geral de Proteção de Dados (LGPD) e ainda deve enviar informações à Secretaria Nacional do Consumidor (Senacon).
Silva, do DPDC, participou de uma reunião com a Serasa, no dia 1º de fevereiro, na qual a empresa explicou que não é a fonte de vazamentos. “A empresa está bastante preocupada já que não se trata apenas da infração em si, mas de seu principal negócio”, diz Silva.
As explicações dadas na reunião também levantaram questões sobre o tratamento dos dados comercializados pela empresa. “O que vamos avaliar é até que ponto a Serasa pode comercializar informações segmentadas, como score de crédito, e se existe autorização dos usuários”, afirma o diretor do DPDC. “Isso envolve a destinação e o tratamento dos dados, não só em relação a vazamentos.”
A Serasa Experian ainda é alvo de uma ação civil iniciada na sexta-feira na 22ª Vara Cível Federal de São Paulo, que pede indenização de R$ 200 milhões por danos morais e materiais coletivos caso seja comprovado o vazamento de dados da empresa. A ação é de autoria de advogados do Instituto Brasileiro de Defesa da Proteção de Dados Pessoais, Compliance e Segurança da Informação (Sigilo).
“Não temos certeza de que os dados vazados vieram diretamente da Serasa, mas se há bases que pertencem à empresa, o controlador do dado é responsável antes durante e depois do tratamento das informações”, diz o advogado Victor Hugo Pereira Gonçalves, presidente do Sigilo.
“Entendemos que a propositura da ação judicial é precipitada”, disse a Serasa Experian em comunicado.
“Apresentaremos a defesa no prazo legal.”
O diretor do DPDC lembra que, embora as sanções previstas na LGPD entrem em vigor somente em agosto, o órgão pode aplicar as penalidades do Código de Defesa do Consumidor, que incluem multas de até R$ 10 milhões, e do Marco Civil da Internet, cujas sanções chegam a 10% do faturamento bruto do grupo econômico no Brasil. “Se confirmadas as informações sobre as origens dos vazamentos, a multa é pesada.”
Procurado pelo Valor, o Grupo CyberLabs, informou que “identificou os recentes incidentes de segurança a partir do uso de Inteligência Artificial aplicada à cibersegurança”. O Grupo também informou ter comunicado as autoridades e que vem colaborando com as investigações de casos de vazamentos de dados.
As operadoras Claro, Oi, Tim e Vivo informaram que não identificaram incidentes de vazamento em suas bases de dado.
Fonte: Valor Econômico
