Em janeiro deste ano a empresa de cibersegurança PSafe revelou o maior vazamento de dados do país: fotos de rosto, nomes, endereços e até faixa salarial de 223,74 milhões de brasileiros foram expostos. Entre as vítimas estavam o Presidente da República, Jair Bolsonaro, o ministro do STF Ricardo Lewandowski e políticos como Rodrigo Maia e Davi Alcolumbre.

Logo se levantou a possibilidade de que a fonte do vazamento fosse a Serasa, já que entre os dados encontrados estão informações de um sistema interno da empresa chamado Mosaic, como o “score” de crédito de uma pessoa.

Na época a empresa negou a possibilidade: “Fizemos uma investigação aprofundada que indica que não há correspondência entre os campos das pastas disponíveis na web com os campos de nossos sistemas onde o score Serasa é carregado, nem com o Mosaic”, afirmou. Ainda assim em meados de fevereiro a Experian, dona da Serasa, ainda investigava o papel de sua subsidiária no vazamento.

No início deste ano, o Procon-SP notificou a Serasa pedindo explicações sobre sua participação no vazamento. A empresa já havia enviado uma resposta ao órgão em fevereiro, e no início deste mês enviou um complemento das informações.

Apesar da Serasa ter apresentado um parecer técnico de uma empresa especializada atestando que seus sistemas seriam seguros, o Procon-SP entende que, na prática, o birô de proteção ao crédito não conseguiu implementar medidas para cumprimento do Código de Defesa do Consumidor (CDC) e da Lei Geral de Proteção de Dados (LGPD).

Ou seja, mesmo que não seja a origem do vazamento, a Serasa falhou em cumprir as determinações legais para proteger os dados de seus usuários. “De acordo com as notícias, dados como nome, CPF, fotografia, salário, renda, nível de escolaridade, estado civil, score de crédito, endereço teriam sido violados e estariam sendo divulgados e comercializados na Internet”, diz um comunicado do Procon.

Segundo o Procon-SP, medidas de segurança implementadas pela Serasa não atendem ao Código de Defesa do Consumidor e à Lei Geral de Proteção de Dados (LGPD).
Segundo o Procon-SP, medidas de segurança implementadas pela Serasa não atendem ao Código de Defesa do Consumidor e à Lei Geral de Proteção de Dados (LGPD). Imagem: Shutterstock

O órgão pediu que a Serasa detalhasse alguns pontos como: finalidade e base legal para o tratamento de dados pessoais, necessidade de consentimento, medidas para atender às determinações da LGPD, política de descarte de dados e tempo de armazenamento. O Procon-SP considera que as respostas fornecidas pela empresa foram insuficientes e não esclareceram às indagações.

Também foram feitos questionamentos sobre as medidas para contenção do incidente e mitigação dos riscos e sobre a reparação dos danos decorrentes do vazamento e providências para evitar nova falha.

A Serasa apenas cita que mantém um “abrangente programa de segurança de informação”, sem detalhar qual a política para minimizar danos e afirma que mantém orientações contra fraude em seu site – o que seria mais uma medida preventiva e não reparadora.

Segundo o Procon, o complemento da resposta dada pela Serasa será encaminhado para a fiscalização, que irá analisar a conduta da empresa e poderá aplicar multa conforme prevê o Código de Proteção e Defesa do Consumidor.

Fonte: Procon/SP