Em nota oficial, divulgada nesta quinta-feira, 18/02, a Fundação Procon/SP afirmou que as respostas dadas pela Serasa Experian à notificação por conta do possível vazamento de dados pessoais de 220 milhões de brasileiros em sua base foram 'genéricas' e geraram mais 'dúvidas'. Segundo a entidade, a Serasa não especificou quais são as medidas técnicas e organizacionais adotadas para implementar a sua política de proteção de dados. Ela limitou-se a descrever a observância de princípios gerais, tais como: "transparência de dados" e "treinamento de funcionários".
Sobre o vazamento, a Serasa Experian informou estar conduzindo uma investigação aprofundada e, o que é possível afirma nesse momento, é que não há nenhuma indicação de qualquer invasão em seus sistemas e também nenhum indício de que os seus cadastros negativo ou positivo tenham sido comprometidos. Quanto ao questionamento sobre qual a sua política de mitigação de riscos que possam ocorrer nestas circunstâncias, a empresa limitou-se a citar que mantém um "abrangente programa de segurança da informação".
Com relação à reparação de danos, a empresa afirmou que mantém em seu site orientações contra fraude, medida classificada pelo Procon-SP, mais como preventiva do que reparadora.Na avaliação do diretor executivo do Procon-SP, Fernando Capez, as explicações da Serasa foram muito genéricas e geraram mais dúvidas do que esclarecimentos.
"Não descartamos nenhuma hipótese e consideramos nesse instante, como mais provável, que o vazamento tenha vindo de dentro das empresas e não de hackers", afirmou o executivo. As respostas serão analisadas pela diretoria de fiscalização do Procon-SP que poderá aplicar multa conforme prevê o Código de Proteção e Defesa do Consumidor.
De acordo ainda com o Procon/SP, apesar de a empresa informar que toda operação realizada com dados pessoais observa o disposto na Lei Geral de Proteção de Dados Pessoais (LGPD) e que o tratamento desses dados, nos conformes legais, pode ter diversas finalidades, para o Procon-SP a resposta foi insuficiente já que não há base legal para tratamento e uso de dados de forma indiscriminada, inclusive de pessoas falecidas.
 |
 |
Ao complementar as informações solicitadas pela entidade de Defesa do Consumidor, a Serasa apresentou um paraecer técnico de empresa especializada de que os sistemas da empresa são seguros. Mas o Procon/SP diz que as respostas foram incompletas e pouco esclarecedoras.
Instituto vai recorrer da decisão que desobrigou a Serasa a comunicar vazamentos."Não queremos demonizar ninguém, mas vazamentos geram desconfiança", diz o presidente, Victor Gonçalves.
Ao participar de evento da associação nacional de encarregados de dados, ANPPD, a advogada Patricia Peck advertiu que a ANPD não tem a exclusividade para aplicar sanções. “o Código do Consumidor traz como crime não informar sobre dados tratados ou correções”.
Entidade sugere que os incidentes de segurança só devam ser notificados se envolver, por exemplo, informações que correspondam a mmais de 50% da base de dados.
