Nos últimos nove meses, um número astronômico de informações pessoais de consumidores brasileiros e do exterior foram roubados ou indevidamente acessados do banco de dados de empresas que atuam no país. Somente o Ministério Público do Distrito Federal e Territórios (MPDFT) apura os vazamentos de 574 milhões de dados. Segundo o órgão, o número pode ser ainda maior.
Desde julho de 2018, o MPDFT instaurou quatro inquéritos civis públicos para investigar o uso indevido de 1,9 milhão de dados da Netshoes, 34,8 milhões da Federação das Indústrias do Estado de São Paulo (Fiesp), 500 milhões da rede hoteleira Starwood Hotels and Resorts, uma subsidiária da multinacional Marriott International, e 32 milhões da Sky Brasil.
O órgão também abriu dois procedimentos administrativos sigilosos contra a C&A, após um ataque ao sistema que teria atingido 2 milhões de clientes, e contra o site MyHeritage, com estimativa de 3,3 milhões de vítimas. Por fim, ajuizou ação civil pública pedindo reparação coletiva por danos morais ao Banco Inter, no valor de R$ 1,5 milhão, pela falta de proteção a 19 mil contas correntes.
Incômodo sem origem
O acesso às informações não representa um risco apenas às contas bancárias ou à privacidade das pessoas: pode se transformar em ferramenta de importunação sem que o cliente tome conhecimento da razão. A jornalista Mônica Marques, 30, (foto em destaque) acredita ter sido uma vítima.
Há cerca de seis meses, ela entrou em contato com uma instituição financeira para tratar do ágio de um carro comprado pela mãe. O veículo ainda estava no nome do proprietário anterior, com quem Mônica não tinha qualquer proximidade. Depois da ligação, o telemarketing de uma loja de departamentos passou a ligar incessantemente atrás do antigo dono do carro. Ela não acredita ser coincidência.
“Acredito que o banco tenha fornecido meus dados como contato para a empresa, como se fossem do antigo proprietário. As ligações eram constantes e sempre tentando falar com ele a respeito de um débito”, reclama a jornalista.
Ela reforçou sua desconfiança quando outros cobradores passaram a ligar atrás da mesma pessoa. “O meu número é antigo e eu não tenho qualquer ligação com o indivíduo. Como essas outras empresas passaram a saber que, de alguma forma, eu poderia ser uma ponte a quem procuravam?”, questiona.
Depois do episódio, Mônica passou a achar que talvez seu pai tenha sido vítima do mesmo tipo de problema. “Pouco antes de ele se aposentar, após ter dado entrada nos trâmites, ele começou a receber ligações oferecendo empréstimos consignados”, conta. Para ela, houve compartilhamento irregular, pois “era uma informação que apenas a família e o advogado detinham na época”.
Indícios
O professor do departamento de engenharia elétrica da Universidade de Brasília (UnB) Rafael Timóteo de Sousa Júnior, especialista em segurança digital, afirma que as situações passadas por Mônica são indícios de vazamento. Segundo ele, contudo, é sempre difícil identificar a origem do problema, porque os efeitos provocados pelo crime acontecem de forma diluída. O especialista alerta que o contexto dos vazamentos também tornam o assunto mais delicado.
No caso dos vazamentos de mais de 500 milhões de dados da rede hoteleira Marriot, por exemplo, informações sobre hospedagem de autoridades, adidos militares e diplomatas foram comprometidas, segundo a apuração do MPDFT. “Podia haver um policial em investigação que não poderia ser desmascarado. Existem situações legítimas em que informações não podem ser reveladas. Nesse tipo de contexto, o problema chega a atingir a esfera governamental”, alerta o especialista.
Sem consideração
A advogada Vanessa Vitória Oliveira, 23 anos, também foi vítima de um vazamento. Ela descobriu o fato porque há cerca de dois meses recebeu um e-mail de uma revendedora de artigos esportivos. Suas informações pessoais haviam sido acessadas indevidamente por terceiros a partir do banco de dados da empresa.
“Desde então, o número de ligações indesejadas de gente querendo oferecer coisas aumentou”, conta. Vanessa foi um dos quase 2 milhões de clientes que tiveram os dados revelados pela Netshoes, especializada em comércio eletrônico. Ela reclama do tratamento que recebeu da empresa após o comunicado. “Sequer tiveram o cuidado de entrar em contato particularmente para prestar auxílio”, diz.
Ela avisa que se notar qualquer atividade suspeita em seu cartão de crédito ou notar a manipulação de qualquer conta sua, vai acionar a empresa na Justiça. “O que me preocupa mais é que ela integra uma plataforma de lojas enorme e acredito que um vazamento assim pode prejudicar demais milhares de pessoas”, expõe.
Representante da Max Kolbe Advogados e especialista nesse tipo de causa, Ana Victoria Moraes e Silva aconselha a quem se sentir prejudicado ou importunado procurar a Justiça. “Às vezes, a pessoa se sente intimidada pelo trabalho que pode dar, mas se não forem acionadas, as empresas não serão penalizadas”, adverte.
Para a advogada, é importante criar o costume de reclamar e tomar medidas legais contra o compartilhamento indevido para forçar as próprias companhias a melhorarem sua segurança. “É preciso criar o costume para as políticas internas das empresas serem revistas e o consumidor não ficar em desvantagem.”
Legislação
A Lei Geral de Proteção de Dados (LGPD) foi sancionada em agosto de 2018, mas só entrará em vigor a partir de 2020. Pelo texto, órgãos públicos e empresas privadas só poderão coletar e utilizar dados com o consentimento da pessoa, que poderá pedir a interrupção da coleta de informações, a portabilidade e, até, a exclusão dos dados. Já a Medida Provisória nº 869/2018 está em processo de audiência pública no Senado Federal. Ela sugere alterações na LGPD e cria a Autoridade Nacional de Proteção de Dados (ANPD).
A Unidade Especial de Proteção de Dados e de Inteligência Artificial (Espec) do MPDFT é comandada pelo promotor de Justiça Frederico Meinberg. Ele tem sido o responsável pela condução dos casos, mas não quis se pronunciar sobre as apurações.
Em 8 de abril, o promotor apresentou projeto ao Ministério da Justiça para criação do programa nacional de adequação das empresas e do poder público à LGPD. Caso seja aprovado, o plano será capitaneado pelo Ministério Público com recursos da ordem de R$ 4,3 milhões, oriundos do Fundo de Direitos Difusos (FDD).
O que responderam as empresas
A C&A informou que, em 2018, detectou um “movimento de ciberataque em parte do seu sistema de vale-presente/troca” e tomou as medidas necessárias. “A empresa reitera seu compromisso com uma atuação pautada pela ética e respeito à legislação e informa que mantém seus investimentos em segurança da informação”, respondeu, por meio de nota.
A Netshoes disse que “continuará a tomar todas as medidas de segurança necessárias para proteger os dados do cliente contra acesso não autorizado ou divulgação.” Uma das ações do MPDFT gerou um acordo de compensação financeira com a empresa, que pagou R$ 500 mil e teve seu inquérito suspenso até a quitação do débito.
A Fiesp defendeu que os dados acessados indevidamente foram “apenas cadastrais, sem informações sensíveis e nem senhas. “O caso segue em apuração e a Fiesp está prestando todos os esclarecimentos solicitados. Reforçamos o compromisso de zelar pela segurança de seus ambientes”, alegou.
O Banco Inter, o site MyHeritage, a Sky Brasil e a rede Marriott não enviaram posicionamento até a publicação desta matéria.