O Instituto Brasileiro de Defesa da Proteção de Dados Pessoais, Compliance e Segurança da Informação (SIGILO) entrou em uma ação na Justiça Federal contra à Serasa Experian por causa da falha de segurança que expôs cerca de 220 milhões de CPFs e 40 milhões de CNPJs brasileiros em janeiro. De acordo com a ação, a ONG Sigilo pede uma multa de R$ 220 milhões à Serasa pelo vazamento.

De acordo com a Sigilo, a Serasa Experian seria responsável pela fragilidade dos dados da população brasileira, o que cabe uma indenização por danos morais e materiais coletivos. A multa pedida, no entanto, não voltará para a proponente da ação, mas será revertida ao Fundo Especial de Direitos Difusos (FID), uma instituição criada com a Constituição de 1989 e que busca atuar como reparador de prejuízos causados à sociedade.

Ainda de acordo com a Sigilo, além da multa, a ação também solicita uma indenização no valor de R$ 15 mil a cada um dos titulares de dados afetados por esse vazamento, além de obrigar a Serasa a identificar e comunicar todas às pessoas, físicas ou jurídicas, que foram afetadas pelo vazamento. A petição ainda prevê uma multa diária de R$ 10 mil pelo não cumprimento dos avisos.

48h para esclarecimentos

Ainda mais importante do que a multa e a notificação dos afetados, a ação também solicita que a Serasa Experian divulgue em um prazo de 48 horas quais foram os incidentes de segurança de informação que resultaram no vazamento dos dados da população.

Este esclarecimento pode ser feito pelos veículos oficiais da empresa nas redes sociais, além disso, a Serasa deve se comprometer a adotar medidas tecnológicas para reparar os dados vazados da internet, a fim de cessar os prejuízos.

Entenda o caso

Na semana de 20 de janeiro, diversas empresas de segurança digital identificaram o vazamento de milhões de CPFs e CNPjs na internet. A origem dos dados, até então desconhecida, estaria relacionada a cadastros sensíveis, como contas de telefonia, registros no DETRAN, scores de crédito, registros fiscais entre outros.

A liberação destes dados aconteceu de maneira assíncrona em dois momentos, por meio da deep web. Primeiro, foram divulgados arquivos contendo apenas os CPFs da população. Em seguida, surgiram outros bancos de dados com os CNPJs.

De acordo com aqueles que tiveram contato com o material, o arquivo vazado tem cerca de 14 GB e continha aproximadamente 220 milhões de dados referentes ao ano fiscal de 2019. A raiz destes dados seria intitulada como “Serasa Experian”.

Apesar dos indícios, a empresa de análise e indicação de crédito nega que tenha relação com o vazamento. Além do instituto Sigilo, outras entidades como o Procon também cobram um posicionamento da empresa.

Como saber se tive meus dados vazados?

Infelizmente, ainda não há uma maneira 100% segura para averiguar se os seus dados foram vazados. Com o vazamento, não foram poucos os sites que surgiram oferecendo alternativas para identificar a integridade dos seus dados. Até o momento, nenhum destes possui certificação ou aval do governo e entidades responsáveis para este tipo de checagem.

Na dúvida, não divulgue os seus dados. E é justamente por isto que o posicionamento da Serasa é tão importante. Mesmo se a empresa não for a responsável pela fragilidade que resultou na exposição da população, é importante garantir que isto não acontecerá novamente.

O número de dados vazados é maior que o de CPFs ativos no Brasil. Isto significa que além de grande parte da população, provavelmente pessoas que já morreram também foram expostas.

Governo também culpa na exposição dos dados

Embora seja simbólica, a ação que pede multa e esclarecimentos da Serasa Experian pelo vazamento pode demorar ou mesmo não reparar totalmente o estrago causado. A verdade é que o Brasil possui uma série de elementos que fragilizam os dados dos cidadãos.

Entre tantos elementos estruturais, como a falta de uma entidade competente para fiscalizar a aplicação da LGPD, um dos que mais ferem a segurança dos nossos dados é o sistema de Cadastro Positivo.

Proposto pelo até então Deputado Federal Guilherme Afif Domingos, em 2003, o projeto de Lei do Cadastro Positivo determinou a criação de um banco de dados para análise de crédito da população.

Após diversas idas e vindas, o projeto foi aprovado em 2011 com uma falha gravíssima no que tange a segurança de dados, determinado como automática a inserção de todos os cidadãos economicamente ativos no banco.

Ao contrário do que se fazia até então, em que apenas aqueles cidadãos negativados (devedores), tinha seus dados incluídos, o sistema de crédito brasileiro passou a armazenar um número muito maior de informações.

Para agravar a situação, a lei tornou opcional a saída do cidadão deste banco por meio de um sistema de solicitação que poucos brasileiros tomam conhecimento. Neste caso, o correto seria o contrário, um banco de dados de análise de crédito positivada em que o cidadão solicita a inclusão.

Para que serve o cadastro positivo?

Tanto a Serasa Experian, SPC e outras entidades semelhantes atuam basicamente da mesma maneira, fornecendo análise de crédito para empresas e entidades financeiras. Por meio do acesso aos seus dados, estas entidades identificam se você é um bom ou mau pagador, garantindo vantagens como mais crédito no mercado, juros menores para financiamentos etc.

Para saber mais, ou mesmo solicitar a exclusão dos seus dados no cadastro positivo o método mais fácil é por meio da Central de Atendimentos da Serasa Experian, através do número 0800-7766606. A retirada deve acontecer em até dois dias úteis.

Imagem: Markus Spiske/Unsplash