Procon-SP: respostas de empresas sobre possíveis vazamentos de dados são insuficientes


Órgão suspeita de vazamentos internos na Serasa Experian, que afirma não ter identificado qualquer invasão ou falha em seu banco de dados. Procon também reclama de resposta dada pela Enel a incidente registrado em novembro de 2020.

O Procon-SP divulgou hoje, 18, diferentes comunicados nos quais classifica como insuficientes das respostas que diferentes empresas deram a notificações recentes sobre possíveis vazamentos de dados de suas bases.

PUBLICIDADE

O órgão de defesa do consumidor avisou hoje que recebeu da Serasa Experian as respostas à notificação relacionada ao vazamento de dados 223 milhões de brasileiros. A empresa diz que não identificou nenhum vazamento de seus bancos de dados.

Para o Procon-SP, no entanto, a resposta da Serasa Experian à notificação enviada no final de janeiro. A fundação solicitou a confirmação do incidente, que a empresa informasse o que causou o problema, quais providências tomou para contê-lo, de que forma reparará os danos decorrentes do vazamento desses dados e o que fará para evitar que a falha não volte a acontecer.

Nas respostas, a Serasa Experian disse que respeita a Lei Geral de Proteção de Dados Pessoais, que está investigando se houve vazamento originado em suas bases, mas até agora não encontrou indícios de que invasões ou comprometimento de seus cadastros negativo ou positivo.

Para o Procon-SP, a empresa no entanto falha ao realizar tratamento de dados de forma indiscriminada, inclusive de pessoas falecidas. Também reclama da falta de explicações sobre quais são as medidas técnicas e organizacionais adotadas para implementar a sua política de proteção de dados.

Quanto ao questionamento sobre qual a sua política de mitigação de riscos que possam ocorrer nestas circunstâncias, a empresa limitou-se a citar que mantém um “abrangente programa de segurança da informação”.

Sobre a reparação de danos, a empresa afirmou que mantém em seu site orientações contra fraude. Para o Procon-SP, trata-se mais de uma medida preventiva do que reparadora.

Na avaliação do diretor executivo do Procon-SP, Fernando Capez, as explicações da Serasa foram muito genéricas e geraram mais dúvidas do que esclarecimentos. “Não descartamos nenhuma hipótese e consideramos nesse instante, como mais provável, que o vazamento tenha vindo de dentro das empresas e não de hackers”.

As respostas serão analisadas pela diretoria de fiscalização do Procon-SP que poderá aplicar multa conforme prevê o Código de Proteção e Defesa do Consumidor.

A Senacon, vinculada ao Ministério da Justiça, também recebeu respostas da Serasa Experian, mas não deu detalhes. Os documentos enviados pela empresas serão anaçisados pela equipe técnica da Senado, e podem resultar em novos pedidos de esclarecimentos. Caso haja indício de vazamento, a empresa pode ser responsabilizada pelo Código de Defesa do Consumidor, pelo Marco Civil da Internet, Lei do Cadastro Positivo e LGPD.

Caso Enel

Em novembro do ano passado, um vazamento de dados cadastrais de clientes de Osasco da distribuidora de energia Enel também motivou notificação do Procon-SP. Neste caso, a concessionária de energia reconhece o vazamento, e disse que foi causado por uma “extração indevida de uma planilha com dados de parte dos consumidores”.

A Enel afirma que a investigação interna ainda não foi concluída e que ainda não identificou a origem ou como houve acesso indevido aos dados.

Para o Procon-SP, a empresa não explicou os critérios adotados para permitir acesso de parceiros, colaboradores e estagiários aos dados pessoais mantidos em suas bases, nem quais políticas de segurança adota. O órgão diz que clientes buscando informações sobre o vazamento de seus dados não têm recebido orientação adequada das centrais de atendimento da distribuidora, e lembra que a LGPD prevê multas de até R$ 50 milhões para o caso de infrações.

O caso também será alvo de análise da diretoria de fiscalização, que poderá impor multa conforme o Código de Defesa do Consumidor.

Anterior Leilão da 5G não impede rede neutra, diz Baigorri
Próximos STF: Lei do DF que regula corte de telefone por falta de pagamento é inconstitucional