A Ordem dos Advogados do Brasil (OAB) pediu que a Autoridade Nacional de Proteção de Dados (ANPD) investigue o vazamento de dados de mais de 220 milhões de brasileiros. As informações foram disponibilizadas para venda na internet e o episódio, noticiado em veículos de comunicação. O pedido foi assinado pelo presidente Felipe Santa Cruz e o ouvidor-geral adjunto e conselheiro federal, Rodrigo Badaró, e endereçado ao presidente da ANPD, Waldemar Gonçalves Ortunho Júnior.
A OAB alerta para o fato de que bases de dados contendo informações cadastrais de cidadãos brasileiros “estão sendo oferecidas gratuitamente em um fórum obscuro da internet e incluem dezenas de informações pessoais, desde dados cadastrais, até informações econômicas, fiscais, previdenciárias, perfis em redes sociais, escore de crédito e fotografia pessoal”. Já o conjunto completo dos registros está sendo vendido em fóruns da rede.
Para a Ordem, o vazamento “submete praticamente toda a população brasileira a um cenário de grave risco pessoal e irreparável violação à privacidade e precisa ser investigado a fundo pelas autoridades competentes”, em particular a ANPD.
A OAB também ressalta que “ao tempo em que a lei estabelece aos agentes de tratamento o dever de zelar pela proteção dos dados pessoais, também lhes impõe a responsabilização decorrente do tratamento irregular e do dano causado ao cidadão titular dos dados”.
Rodrigo Badaró destacou que “a sociedade tem sido tolerante com as dificuldades estruturais da ANPD quanto ao início de seus trabalhos”, mas que o vazamento de dados configura “incontestável violação a preceitos constitucionais inscritos na forma dos direitos fundamentais de privacidade e de autodeterminação informativa”.
Responsabilidade pela apuração
A OAB ressalta que não houve notícia sobre medidas adotadas pela ANPD sobre o incidente. O ofício lembra que a Lei Geral de Proteção de Dados (No 13.709 de 2018) atribui à ANPD a responsabilidade de fiscalizar agente de tratamento, inclusive por meio de auditorias, e pede que o órgão tome providências.
Segundo a presidente da Comissão de Proteção de Dados da Ordem dos Advogados do Brasil – Seção Rio de Janeiro (OAB-RJ), Estela Aranha, este pode ser o maior vazamento de dados da história do país, não somente em número de pessoas mas também na diversidade de informações.
Estela diz que a primeira tarefa é investigar como o vazamento ocorreu e quem está por trás dele para responsabilizar o controlador do banco de dados. Ela acrescenta que, emergencialmente, é preciso ter também um plano de contingência, com as medidas que precisam ser tomadas para reduzir os riscos para as pessoas cujas informações foram vazadas ou colocadas à venda.
“A primeira é informar amplamente os titulares dos dados sobre os riscos envolvidos e quais medidas podem ser tomadas para mitigar possíveis danos. Outra é que deve recair sobre o controlador dos dados a responsabilidade por tais medidas”, explica a advogada.
Segundo Estela, nos Estados Unidos, houve um episódio de grande vazamento da empresa Equifax que terminou com um acordo para a criação de um fundo de US$ 420 milhões direcionados ao ressarcimento das perdas das vítimas.
Como a Autoridade Nacional de Proteção de Dados foi efetivamente instituída há alguns meses, Estela Aranha defende a busca de parceria desta com outras instituições, como a Polícia Federal e a Secretaria Nacional do Consumidor, do Ministério da Justiça.
Origem do vazamento
Não há comprovação de onde os dados teriam saído. Para o diretor da Associação Data Privacy Brasil, Rafael Zanatta, ou o responsável reuniu todas essas informações, ou elas foram obtidas de alguma base.
Há uma suspeita de que tais informações poderiam ter vindo da Serasa Experian, que trabalha com análise de crédito. A hipótese foi motivada pelo fato de terem sido encontradas semelhanças entre os dados vazados e os usados pela empresa. A Serasa negou que os dados tenham vazado de sua base.
Para Zanatta, a prioridade agora é investigar a origem para avaliar as formas de responsabilização de quem está por trás do vazamento, partindo dos indícios já existentes. Ele entende que seria necessário “delimitar, por meio de auditoria da ANPD, os servidores da Serasa e as bases [vazadas] para responder qual o grau de similitude”.
Zanatta explica que, no caso das pessoas que tiveram dados vazados ou comercializados, ainda não há nada que possa ser feito enquanto não forem encontrados os responsáveis, mas argumenta que é para além da ANPD e que outros entes públicos, como o Congresso Nacional, podem debater medidas para mitigar os efeitos do vazamento e evitar novos incidentes como este.
ANPD
A ANPD comunicou que, desde que tomou conhecimento do incidente, “destacou todo seu quadro técnico para analisar, com base na LGPD, os aspectos que cercam o ocorrido”. E que já recebeu informações do Serasa e oficiou a Polícia Federal, a empresa Psafe, que encontrou o vazamento, o Comitê Gestor da Internet no Brasil e o Gabinete de Segurança Institucional da Presidência da República.
Senacon
A Secretaria Nacional do Consumidor (Senacon) instaurou procedimento para averiguação do caso. A Serasa Experian foi notificada para informar se os dados saíram de sua base, ou de operadoras que tratam informações a seu mando, e por quanto tempo os dados ficaram expostos.
No inquérito, a Senacon quer saber também quem teve acesso aos dados vazados, quais informações foram acessadas e que medidas foram adotadas para melhorar a segurança e proteção da informação destes indivíduos. A Senacom deu 15 dias para que a Serasa respondesse aos questionamentos.
Com informações da OAB e da Agência Brasil
