Na semana passada, o dfndr lab, laboratório especializado em segurança digital da startup PSafe, revelou um vazamento de dados de proporções gigantescas: são listados mais de 223 milhões de CPFs. Junto deles estão informações detalhadas de cidadãos brasileiros: nome, endereço, renda, imposto de renda, fotos, participantes do Bolsa Família, scores de crédito e muito mais - os dados foram compilados em agosto de 2019. O volume de números de CPF é maior do que o da população brasileira, pois foram incluídas na base informações de pessoas que já morreram. Além disso, mais de 40 milhões de números de CNPJ, com informações atrelados a eles, também foram disponibilizados. Tudo está à venda em fóruns na internet.
Ainda não é possível saber a origem do vazamento, mas há indícios de que as informações pertençam à base de dados do Serasa - o Estadão teve acesso a parte dos dados e encontrou documentos e menções ao birô de avaliação de crédito. Uma das bases de dados supostamente pertence ao Mosaic, serviço do Serasa. Por enquanto, a empresa tem negado ser a origem do vazamento, e diz estar investigando o caso.
Diz a nota da empresa: "Estamos cientes de alegações de terceiros sobre dados disponibilizados na dark web. Conduzimos uma extensa investigação e neste momento nenhum dos dados que analisamos indicam que a Serasa seja a fonte. Muitos dos dados analisados incluem elementos que não temos em nosso sistema e os dados atribuídos à Serasa não correspondem aos dados em nossos arquivos."
Para Bruno Bioni, fundador e professor do Data Privacy Brasil, esse pode não ser apenas o maior, mas também o mais lesivo vazamento de dados do Brasil. Ele comparaao caso Equifax, birô de crédito americano que viu os dados de 145 milhões de pessoas vazarem em 2017, o que rendeu um acordo de US$ 650 milhões com a Federal Trade Comission (FTC), agência responsável nos EUA por representar o direito do consumidor em casos de vazamento de dados.
Bioni diz que o momento é de pensar em um plano de contingência - para ele, o caso será o primeiro grande teste da Autoridade Nacional de Proteção de Dados (ANPD). Embora as multas da Lei Geral de Proteção de Dados (LGPD) possam ser aplicadas apenas a partir de agosto, ele aponta caminhos de atuação da agência. Além disso, Bioni lembra que órgãos de proteção do consumidor, como a Secretaria Nacional do Consumidor (Senacon) podem atuar com base no Código de Defesa do Consumidor. Veja os principais momentos da conversa.
Em uma análise inicial, é possível dizer que trata-se do maior ou do mais importante vazamento de dados no Brasil?
Pelo que temos de informação, sim. Além disso, o conjunto de informações é grande e isso o torna o mais lesivo incidente de segurança do Brasil. A granularidade das informações revela muito sobre a população brasileira. CPFs, nomes, foto, renda e até scores de crédito estão lá. É um conjunto de informações muito rico sobre as pessoas. Isso torna o incidente de segurança mais crítico, mais lesivo, como a gente não havia visto até então no Brasil.
Diante de todas as informações que estão nesse pacote, o que pode acontecer com os cidadãos? Quais são os riscos a partir de agora?
Esse é um caso aparentemente similar ao vazamento de dados da Equifax, em 2017. Não temos a confirmação de que trata-se de uma base de dados do Serasa, mas é justamente um pacote com muitas informações. Quando você olha para essa riqueza de dados, fica muito fácil praticar aquilo que se chama de “roubo de identidade”. Muitas vezes, esses dados permitem fraudes na rede bancária e até em outras financeiras. Esse é um primeiro risco, mas há outros tipos de uso para esses dados que nem conseguimos imaginar.
O que o caso da Equifax pode nos ensinar?
Na época, houve uma movimentação quando ficou comprovado que a origem era de um birô de dados. Colocou-se logo na mesa um plano de contingência. A ideia era falar “olha, realmente é um grande incidente de segurança. A gente precisa mitigar os danos ao máximo”.Nos EUA, você pode consultar seu score de crédito, de forma gratuita, uma vez por ano. Quando isso aconteceu, eles falaram “o negócio é muito mais grave. A gente precisa saber se movimentações não fidedignas estão acontecendo”. O birô de dados teve que ampliar o número de consultas gratuitas. Aqui, precisamos ter uma discussão pública sobre qual o plano de contingência que será realizado para mitigar minimamente esses danos.
O Brasil tem plano de contingência para casos como esse?
A LGPD prevê isso. Esse seria um caso para justamente testar um plano. Esse não é mais um incidente de segurança como os que vimos nos últimos anos. Parece ser um incidente de segurança que atinge grande parte da população brasileira. É um incidente que tem uma riqueza muito grande nos dados. Ele demanda um plano de contingência e medidas que sejam mais robustas.
Caso o Serasa seja confirmado como a origem do vazamento, o que eles poderiam fazer?
Primeiro: apresentar plano de contingência para mostrar que estão sendo tomadas todas as medidas cabíveis- além disso, fazer essa discussão de forma pública, para que as próprias pessoas tenham ferramentas onde elas também consigam entender quais são os possíveis prejuízos que estão sofrendo. Por isso lembrei do caso Equifax. Lá, não bastou simplesmente ter uma conversa com uma autoridade de proteção de dados pessoais norte-americana, que é a FTC. Foi feito também um plano muito sofisticado para que as próprias pessoas pudessem vigiar eventuais usos inadequados dos dados vazados. No caso da Equifax, foi também provisionada uma quantidade bastante substancial, milhões de dólares, para já antecipar eventuais indenizações e reparações.
As multas da LGPD ainda não podem ser aplicadas. O que poderia ser aplicado de sanção contra o Serasa, caso seja confirmada a origem dos dados? Seria possível adiantar possíveis multas da LGPD?
Em hipótese nenhuma as multas da LGPD poderiam ser adiantadas - exceto se o Congresso aprovasse um projeto de lei. ANPD hoje não tem dentes para morder quando isso se faz necessário. Porém, a LGPD deixa claro que, em algumas situações, você pode ter violações múltiplas de direitos. Isso significa que a Senacon e outros órgãos de proteção do consumidor podem atuar. Eles podem atuar não apenas com base na LGPD, mas com base no Código de Defesa do Consumidor. E aí sim você pode verificar um cenário de imposições de multas.
A ANPD consegue fazer alguma coisa nesse momento?
Em tese, ela já está operando. Tem alguns diretores nomeados, alguns membros também do corpo técnico já nomeados, então ela pode atuar. Esse é um bom teste de fogo para ver se vai funcionar ou não. A ANPD pode atuar de maneira cooperativa com outros órgãos reguladores. Se esse é um caso não apenas de proteção de dados pessoais mas também de defesa do consumidor, ela poderia atuar em cooperação com a Senacon e com outras entidades de proteção e de defesa do consumidor. Ela pode atuar tecnicamente, verificando quais os melhores caminhos para formatar o plano de contingência. Em um segundo momento, ela pode desdobrar para punições e sanções. Ela não vai poder se valer da LGPD, mas ela pode atuar de maneira cooperativa com a Senacon, que pode utilizar o Código de Defesa do Consumidor para aplicar multas e sanções. E aí tem um cenário interessante: o Código de Defesa do Consumidor foi pensado para franquear proteção que visa a coletividade - aquilo que chamamos de interesses difusos e coletivos. Esse vazamento é um cenário no qual um interesse difuso e coletivo está sendo entrincheirado. Milhões de brasileiros tiveram seus dados vazados. Não só a Senacon, mas também Ministério Público, defensorias, Procons e associações, como o Idec, poderiam atuar para fazer a tutela desses direitos coletivos.
Além das ações coletivas, poderemos ter ações individuais nos próximos meses?
Não sei em que dimensão isso vai acontecer, mas é possível. Aí vai entrar uma discussão para ver qual vai ser o objeto dessas sanções. Se isso desdobra-se em dano moral, por exemplo. Essa é uma questão em aberto. Um incidente por um incidente, um vazamento por um vazamento, ele já gera um dano moral por si só? A gente ainda não sabe.
Ao contrário da lei europeia, a LGPD não determina um período específico no qual o incidente grave deva ser informado. Esses dados apareceram na internet pela primeira vez em 11 de janeiro. A comunicação do caso já deveria ter sido feita publicamente?
A LGPD usa um termo indeterminado para a comunicação: “de forma imediata”. O que é imediato? Depende da regulamentação da ANPD. A notificação pela LGPD só se torna obrigatória se o incidente causar risco de segurança. Nesse caso, é óbvio que causa. Mas a pergunta é interessante. Se a gente quer falar seriamente sobre incidente de segurança, em qual prazo deve ser reportado, quais incidentes de segurança devem ser reportados, a gente percebe o quão necessário é ter uma ANPD operante. A LGPD deixou nossas normas muito em aberto e para elas serem plenamente operantes elas precisam de uma regulamentação.
Os comentários são exclusivos para assinantes do Estadão.