2021 começou com um grande escândalo envolvendo o vazamento de dados de brasileiros. A dfndr lab (em minúsculo mesmo) da consultoria de segurança PS Safe, identificou um gigantesco banco de dados circulando pela dark web, com dados de 220 milhões brasileiros, possivelmente oriundos de sistemas da Serasa Experian. O Procon de São Paulo, então, abriu os olhos para o problema.

A complexidade das informações disponíveis permitiria a análise minuciosa de praticamente cada brasileiro vivo e muitos mortos, uma vez que o país tem atualmente, estima-se, apenas 209 milhões de habitantes. CPFs, CNPJs, endereços residenciais, comerciais, renda estimada, bens telefones e outros dados sensíveis podem ser utilizados para golpes de engenharia social, aqueles nos quais criminosos personalizam um ataque com informações da própria vítima, a levando a crer que está diante de um e-mail, SMS ou mensagem legítima já que o remetente informou corretamente dados sobre ela.

Uma ONG que atua em defesa da proteção dos dados pessoais chegou a pedir uma multa milionária para a Serasa após o vazamento, e o Procon-SP solicitou a abertura de inquérito policial, além de cobrar explicações à empresa. A resposta finalmente chegou, mas não parece elucidar muito sobre o caso.

Mais dúvidas do que respostas

Embora a Serasa Experian seja a maior suspeita pelo vazamento das informações, o Procon-SP informa que a empresa conduz uma investigação interna, e que seus indícios — até o momento — são que não partiram dela os dados vazados.

Apesar da resposta, O Procon-SP não está satisfeito. A Serasa fala em respeito à Lei Geral de Proteção de Dados Pessoais (LGPD), mas o órgão cobra maiores informações sobre como é promovida a transparência dos dados obtidos e como — e com quem — são compartilhados.

Já sobre eventuais medidas visando a proteção do consumidor, para o Procon-SP a comunicação institucional no site da empresa é meramente preventiva, e não reparadora. A empresa não estaria explicando como agiria caso informações do consumidor em seu poder realmente vazassem, como iria protegê-los ou indenizá-los.

Para Fernando Capez, diretor executivo do Procon de São Paulo, a Serasa Experian respondeu à notificação do órgão de forma genérica, e não está descartado que a empresa tenha sido fonte do vazamento. Agora o órgão reunirá seu conselho de fiscalização para determinar se aplicará multa ou não. Sem comprovação do suposto envolvimento da Serasa, porém, isso será difícil.

Seja como for, o estrago — envolvendo ou não a Serasa — está feito, uma vez que o vazamento provou trazer informações legítimas sobre os cidadãos brasileiros.

Imagem: dem10/Getty Images