Procon/SP: Serasa foi genérica e causou mais dúvidas sobre vazamento de dados
Em nota oficial, divulgada nesta quinta-feira, 18/02, a Fundação Procon/SP afirmou que as respostas dadas pela Serasa Experian à notificação por conta do possível vazamento de dados pessoais de 220 milhões de brasileiros em sua base foram ‘genéricas’ e geraram mais ‘dúvidas’. Segundo a entidade, a Serasa não especificou quais são as medidas técnicas e organizacionais adotadas para implementar a sua política de proteção de dados. Ela limitou-se a descrever a observância de princípios gerais, tais como: “transparência de dados” e “treinamento de funcionários”.
Sobre o vazamento, a Serasa Experian informou estar conduzindo uma investigação aprofundada e, o que é possível afirma nesse momento, é que não há nenhuma indicação de qualquer invasão em seus sistemas e também nenhum indício de que os seus cadastros negativo ou positivo tenham sido comprometidos. Quanto ao questionamento sobre qual a sua política de mitigação de riscos que possam ocorrer nestas circunstâncias, a empresa limitou-se a citar que mantém um “abrangente programa de segurança da informação”.
Com relação à reparação de danos, a empresa afirmou que mantém em seu site orientações contra fraude, medida classificada pelo Procon-SP, mais como preventiva do que reparadora.Na avaliação do diretor executivo do Procon-SP, Fernando Capez, as explicações da Serasa foram muito genéricas e geraram mais dúvidas do que esclarecimentos.
“Não descartamos nenhuma hipótese e consideramos nesse instante, como mais provável, que o vazamento tenha vindo de dentro das empresas e não de hackers”, afirmou o executivo. As respostas serão analisadas pela diretoria de fiscalização do Procon-SP que poderá aplicar multa conforme prevê o Código de Proteção e Defesa do Consumidor.
De acordo ainda com o Procon/SP, apesar de a empresa informar que toda operação realizada com dados pessoais observa o disposto na Lei Geral de Proteção de Dados Pessoais (LGPD) e que o tratamento desses dados, nos conformes legais, pode ter diversas finalidades, para o Procon-SP a resposta foi insuficiente já que não há base legal para tratamento e uso de dados de forma indiscriminada, inclusive de pessoas falecidas.