Na última quarta-feira (27), a ANPD (Autoridade Nacional de Proteção de Dados) se manifestou sobre o vazamento de dados envolvendo Serasa que afetou 223 milhões de CPFs e 40 milhões de CNPJs. Em comunicado, a ANPD diz que está apurando tecnicamente informações sobre o caso, e vai cooperar com os órgãos de investigação competentes para descobrir:
- a origem do vazamento;
- a forma em que ele ocorreu;
- as medidas de contenção e de mitigação adotadas em um plano de contingência;
- as possíveis consequências e os danos causados pela violação.
A partir disso, a ANPD vai sugerir as medidas cabíveis previstas na LGPD para “a responsabilização e a punição dos envolvidos”, junto aos demais órgãos competentes. Dessa forma, a LGPD prevê diversos tipos de punição, desde uma advertência até uma multa de 2% do faturamento anual da empresa, sendo limitada a R$ 50 milhões. Contudo, a ANPD ainda não tem o poder de multar: isso só será possível a partir de agosto de 2021.
Com o vazamento do Serasa, ocorreram vazamentos de CPFs que incluem foto de rosto, endereço, telefone, e-mail, score de crédito, salário, classe social e diversas outras informações de 37 categorias diferentes. Uma amostra desse arquivo era oferecida de graça em fóruns na internet aberta e na dark web. Além disso, uma base com 40 milhões de CNPJs trazia dados como score de crédito, dívidas e lista de sócios.
Como havia informações relacionadas à Serasa Experian nos dois vazamentos, a empresa foi notificada pela Senacon (Secretaria Nacional do Consumidor) e pelo Procon-SP para prestar esclarecimentos. Porém, ela garantiu várias vezes que não é a fonte dos dados, e afirmou estar “em contato com os reguladores para auxiliá-los em quaisquer dúvidas”.
O Serasa afirmou que realizou uma investigação aprofundada que indica que não há correspondência entre os campos das pastas disponíveis na web com os campos de dos sistemas onde o Score Serasa é carregado, nem com o Mosaic. Além disso, os dados incluem elementos que não existiam nos sistemas e os dados que alegam ser atribuídos à Serasa não correspondem aos dados em nossos arquivos.
Por fim, para especialistas do Idec (Instituto Brasileiro de Defesa do Consumidor), este caso pode se tornar uma prova de fogo para o ecossistema de proteção de dados, não só a ANPD, como também a relação com outros órgãos de defesa do consumidor e de investigação criminal.
Para Assessoria Jurídica e Adequação às leis de Proteção de Dados (Consultoria LGPD), contate agora os nossos Advogados
Para mais informações ou se tiver dúvidas sobre Direito Digital, em especial acerca dos temas: Proteção de Dados (Consultoria LGPD), Aspectos Regulatórios e Compliance de novas tecnologias, entre em contato pelo e-mail [email protected] ou fale com um Advogado online agora.
Conheça nossos Serviços em Privacidade e Proteção de Dados e Compliance Digital:
- Assessoria para Mapeamento de Dados (Data Mapping)
- Assessoria para Mapeamento de Legislação Setorial
- Gap Analysis – Análise de Risco
- Análise Regulatória da Coleta de Dados
- Revisão e Elaboração de Políticas de Privacidade
- Assessoria de Implementação de Garantia e Direitos de Usuários
- Revisão e Adequação de Contratos
- Assessoria jurídica para realização de transferência internacional de dados
- Política de Segurança da Informação (PSI)
- Plano de Respostas a Incidentes
- Relatório de Impacto a Proteção de Dados (DPIA – Data Protection Impact Assessment)
BL Consultoria e Advocacia Digital
Escritório jurídico voltado para o mundo conectado que busca auxiliar empresas e startups a desenvolverem seus projetos (Pesquisa, Desenvolvimento e Inovação) de forma ética e eficiente com atuação especializada em Direito Digital e Análise Regulatória para novas tecnologias. Estamos localizado em dois endereços: em São Paulo-SP, na Av. Paulista, 575 – conjunto 1903 – Bela Vista, CEP 01311-911 e em Campinas-SP, na Rua Antônio Lapa, 280 – 6o andar, Cambuí. Para mais informações ou consultoria jurídica com nossos advogados, agende uma reunião pelo link ou ligue +55 11 3090 5979.
