223 milhões de CPFs: “Vazamento pode ser o mais lesivo do Brasil”, diz especialista

Vazaram informações detalhadas de cidadãos brasileiros, incluindo foto e Imposto de Renda. Tudo está à venda em fóruns na internet

Estadão Conteúdo

(Getty Images)
(Getty Images)

Publicidade

Na semana passada, a empresa de cibersegurança PSafe revelou um vazamento de dados gigantesco: são listados mais de 223 milhões de CPFs. Junto deles estão informações detalhadas de cidadãos brasileiros, incluindo foto e imposto de renda. Tudo está à venda em fóruns na internet.

Ainda não é possível saber a origem do vazamento, mas há indícios, segundo especialistas, de que as informações pertençam à base de dados da Serasa Experian. Em nota, a empresa diz que investigou o caso e que os dados analisados não indicam que ela seja a fonte. “Os dados atribuídos à Serasa não correspondem aos dados em nossos arquivos”, diz.

Na visão de Bruno Bioni, fundador do Data Privacy Brasil, instituição de pesquisa e ensino sobre privacidade e proteção de dados, esse pode não ser apenas o maior, mas também o mais lesivo vazamento de dados do Brasil.

Continua depois da publicidade

Em uma análise inicial, é possível dizer que trata-se do maior ou do mais importante vazamento de dados no Brasil?

O conjunto de informações é grande e revela muito sobre a população. CPFs, nomes, foto, renda e até scores de crédito estão lá. Isso o torna o incidente de segurança mais crítico e lesivo já visto no Brasil.

O que o caso da Equifax (ocorrido nos EUA em 2017) pode nos ensinar?

Continua depois da publicidade

Na época, houve uma movimentação quando ficou comprovado que a origem era de um birô de dados. Colocou-se logo na mesa um plano de contingência. Aqui, precisamos ter uma discussão pública sobre o assunto.

O Brasil tem plano de contingência para casos como esse?

A Lei Geral de Proteção de Dados (LGPD) prevê isso. Esse seria um caso para testar um plano. É um incidente que tem uma riqueza muito grande nos dados. Ele demanda um plano de contingência e medidas que sejam mais robustas.

Continua depois da publicidade

O que poderia ser aplicado de sanção contra o Serasa, caso seja confirmada a origem dos dados? Seria possível adiantar o prazo de multas da LGPD?

As multas da LGPD não poderiam ser adiantadas – exceto se o Congresso aprovasse um projeto de lei. A Autoridade Nacional de Proteção de Dados (ANPD) hoje não tem dentes para morder. Porém, a LGPD deixa claro que, em algumas situações, você pode ter violações múltiplas de direitos. Isso significa que a Secretaria Nacional do Consumidor (Senacon) e outros órgãos de proteção podem atuar com base no Código de Defesa do Consumidor (CDC).

A ANPD consegue fazer alguma coisa neste momento?

Continua depois da publicidade

Em tese, ela já está operando. Esse é teste de fogo para ver se vai funcionar ou não. A ANPD pode atuar de maneira cooperativa com outros órgãos reguladores, verificando quais os melhores caminhos para formatar o plano de contingência. Em um segundo momento, ela pode desdobrar para sanções. Ela não vai poder se valer da LGPD, mas ela pode atuar de maneira cooperativa com a Senacon, que pode utilizar o Código de Defesa do Consumidor para aplicar multas. O CDC foi pensado para franquear proteção coletiva. Esse vazamento é um cenário no qual um interesse difuso e coletivo foi entrincheirado.