O perigo do vazamento da dados de 200 milhões de pessoas

Mais de 220 milhões de brasileiros tiveram seus dados pessoais expostos, os quais estão associados a uma base ainda maior, supostamente atribuída ao Serasa Experian em reportagem do site Tecnoblog.

Houve dois casos diferentes, porém relacionados. No primeiro, constam apenas nome completo, CPF, data de nascimento e sexo, compilados em um arquivo de 14 GB disponível na internet. O outro vazamento foi maior, pois além dos dados já mencionados temos ainda contatos, características do domicílio, escolaridade, trabalho, renda, benefícios, impostos, dívidas, etc. A prévia é gratuita, mas o pacote completo custa até US$ 1 por CPF, conforme a quantidade adquirida.

Mas por que esse vazamento é denominado Serasa Experian? Uma das bases traz dados do Mosaic, que classifica os consumidores em 11 grupos e 40 segmentos para a elaboração de anúncios específicos. Outras duas bases imitam modelos de afinidade e propensão, que avaliam a chance de comprar um produto ou contratar um serviço, como seguro, previdência privada e cartão de crédito, sem falar na lista de scores de crédito.

Para evitar casos semelhantes, o advogado Adriano Mendes, mesmo reconhecendo não ser possível saber a origem do vazamento, ressalta a importância de checar as transações bancárias, pois os mal-intencionados se aproveitam dos dados e conseguem acesso a diversos sistemas para trocar senha ou e-mail de recuperação de conta.

As sanções previstas pela Lei Geral de Proteção de Dados Pessoais (LGPD) variam de advertência a multa de 2% sobre o faturamento anual de até R$ 50 milhões. Mas cabe à ANPD (Autoridade Nacional de Proteção de Dados) aplicá-las a partir de agosto de 2021, motivo pelo qual o órgão não tem sido eficiente, segundo Luiz Augusto Filizzola D'Urso, presidente da Comissão Nacional de Cibercrimes da ABRACRIM (Associação Brasileira dos Advogados Criminalistas).

Nesse caso, resta notificar as empresas suspeitas do vazamento conforme é orientado por Mendes, caso a pessoa física tenha o CPF fraudado e possa comprovar o juízo, deve solicitar uma indenização por danos morais. Em nota oficial, a Serasa informou que os seus sistemas não correspondem aos campos das pastas disponíveis na web, e que não tem posse dos dados expostos.