ANPD quer descobrir de onde veio, afinal, o vazamento. Foto: flickr.com/photos/simon_elgood.

Tamanho da fonte: -A+A

A Autoridade Nacional de Proteção de Dados (ANPD) resolveu apurar tecnicamente o mistério do vazamento de mais de 220 milhões de CPFs descoberto pela PSafe no final de janeiro, que pode ser o maior da história do país.

Segundo o site Security Report, o anúncio veio após questionamentos de várias frentes cobrando alguma ação da ANPD. Entre elas, está um ofício da OAB Nacional pedindo adoção imediata de medidas para a apuração do fato.

Em nota, a ANPD informou que, desde que soube dos fatos noticiados, tomou providências para análises e atuará de forma ativa em relação a eventuais violações à Lei Geral de Proteção de Dados (LGPD). 

“Já recebeu as informações do Serasa e, na busca de mais esclarecimentos, oficiou outros órgãos para investigar e auxiliar na apuração e adoção de medidas de contenção e mitigação de riscos, como a Polícia Federal, a empresa PSafe, o Comitê Gestor da Internet no Brasil e o Gabinete de Segurança Institucional da Presidência da República”, publicou a instituição.

O órgão garante que vai promover, com os demais órgãos competentes, a responsabilização e a punição dos envolvidos.

Para Estela Aranha, presidente da Comissão de Proteção de Dados da Ordem dos Advogados do Brasil, Seção Rio de Janeiro, a primeira tarefa é investigar como o vazamento ocorreu e quem está por trás dele para responsabilizar o controlador do banco de dados. 

Emergencialmente, também seria preciso ter um plano de contingência com as medidas que precisam ser tomadas para reduzir os riscos para as pessoas cujas informações foram vazadas ou colocadas à venda.

Já Rafael Zanatta, diretor da Associação Data Privacy Brasil, diz que enquanto não forem encontrados os responsáveis não há nada que possa ser feito em relação às pessoas que tiveram dados expostos.

Ele entende que seria necessário “delimitar, por meio de auditoria da ANPD, os servidores da Serasa e as bases [vazadas] para responder qual o grau de similitude”.

Para além da ANPD, outros entes públicos, como o Congresso Nacional, também podem debater medidas para mitigar os efeitos do vazamento e evitar novos incidentes como este.

O caso veio a público no final de janeiro, quando o dfndr lab, laboratório de cibersegurança da PSafe, identificou que dados de mais de 220 milhões de pessoas têm sido comercializados ilegalmente em fóruns da dark web, mas não descobriu onde o vazamento aconteceu.

Na última semana, a empresa de segurança disse à CNN Brasil que o hacker que fez a captura das informações afirmou ter obtido os dados na base do Serasa Experian entre 2018 e 2020.

A Serasa foi notificada pelo Procon-SP e pela Secretaria Nacional do Consumidor (Senacon) para prestar esclarecimentos, mas afirma que não há correspondência entre os campos das pastas disponíveis na web com os campos dos seus sistemas.

Na última sexta-feira, 29, um hacker que tem acesso à dark web e a detalhes do vazamento reforçou ao site CISO Advisor que os dados não vieram da Serasa. Ele afirmou que as informações vazadas “vêm de uma empresa interligada com o governo”.

O Procon-SP também enviou um ofício à Polícia Civil de São Paulo pedindo que a Divisão de Crimes Cibernéticos instaure um inquérito para apurar o caso. As duas instituições devem trabalhar em colaboração para investigar o ocorrido. 

Caso enquadrado no Código de Defesa do Consumidor, o vazamento pode gerar uma multa entre R$ 704 e R$ 10 milhões. Segundo o Senacon, há também a possibilidade de enquadramento como violação ao Marco Civil da Internet.

Já as penas previstas na LGPD, que podem chegar a até R$ 50 milhões, só podem ser aplicadas a partir de agosto.