Megavazamento de 223 milhões de CPFs será investigado em inquérito da recém-criada agência de proteção de dados
ANPD diz que vai apurar veracidade, fonte e forma que informações foram vazadas. Na ‘deep web’, hacker oferece perfis completos em troca de bitcoins
A Autoridade Nacional de Proteção de Dados (ANPD) informou que abriu um inquérito para investigar a veracidade, origem e forma que aconteceu o megavazamento que expôs dados pessoais e financeiros de 223 milhões de brasileiros ―muitos deles já mortos. O caso é a primeira prova de fogo da ANPD, recém-criada a partir da entrada em vigor da Lei Geral de Proteção de Dados (LGPD), em agosto do ano passado. O megavazamento tornado público na semana passada pela empresa de segurança digital PSafe pode ser o maior na história do país e um dos maiores do mundo.
“A ANPD está apurando tecnicamente informações sobre o caso e atuará de maneira cooperativa com os órgãos de investigação competentes para apurar a origem; a forma em que se deu o possível vazamento; as medidas de contenção e de mitigação adotadas em um plano de contingência; as possíveis consequências e os danos causados pela violação”, diz o comunicado enviado ao EL PAÍS. “Concluída esta etapa, a ANPD sugerirá as medidas cabíveis, previstas na Lei Geral de Proteção de Dados (LGPD), para promover, com os demais órgãos competentes, a responsabilização e a punição dos envolvidos”, conclui.
Segundo Rafael Zanatta, advogado e diretor da Associação Data Privacy Brasil, que estuda a privacidade dos dados no país, a LGPD lida com casos como esse de uma perspectiva administrativa e não criminal. “Não há tipos penais ou crime envolvido, mas há uma violação de direitos”, afirma. “Para o responsável pelas informações que foram vazadas, abre-se a possibilidade de sanções como advertência, multas e, em casos, graves, de suspensão das atividades de tratamento de dados”, diz. De acordo com o advogado, o Código de Defesa do Consumidor prevê crimes contra a ordem econômica, mas foi criado nos anos 1990 e não foi desenhado para lidar com incidentes de segurança como esse. Ele afirma que em tese é possível uma colaboração da ANPD com outros órgãos como Polícia Federal e Ministério Público que queiram identificar o autor do vazamento de dados, mas que não lhe parece um bom caminho em termos de funções institucionais. Para ele, a ANPD tem uma missão e outros órgãos que queiram entrar no caso, outra.
Nesta quinta-feira, o Conselho Federal da Ordem dos Advogados do Brasil (OAB) cobrou a abertura de investigação do megavazamento por parte da ANPD. Para a OAB, o vazamento “submete praticamente toda a população brasileira a um cenário de grave risco pessoal e irreparável violação à privacidade e precisa ser investigado a fundo pelas autoridades competentes”, em particular a ANPD. A OAB também ressalta que “ao tempo em que a lei estabelece aos agentes de tratamento o dever de zelar pela proteção dos dados pessoais, também lhes impõe a responsabilização decorrente do tratamento irregular e do dano causado ao cidadão titular dos dados”.
A lista com milhões de nomes completos, CPFs e datas de nascimento —de pessoas vivas e mortas— estava disponível para download gratuito a partir de um fórum de discussão na deep web —cópias do arquivo original foram feitas e podiam ser encontradas por qualquer um a partir de buscadores de internet. Em troca de bitcoins, o perfil anônimo responsável pelo vazamento dizia ser possível obter ainda retratos, endereço, telefone, declaração do Imposto de Renda, listas de familiares, renda mensal, score de crédito e muito mais dos alvos em questão. Na terça-feira, após a repercussão do caso, o material foi retirado do ar no fórum de livre acesso com qualquer navegador, mas continua em negociação na deep web.
Na lista há dados de gente famosa e autoridades públicas. De acordo com a PSafe, cibercriminosos também tiveram acesso a informações detalhadas sobre mais de 104 milhões de veículos e dados sigilosos de 40 milhões de empresas. O hacker que colocou os dados na internet diz que roubou a base da Serasa/Experian, mas a empresa nega.
Mais informações
