Diante do vazamento de informações de 1.999.704 contas com informações de usuários cadastrados no site de compras Netshoes, o Ministério Público do Distrito Federal e Territórios (MPDFT) recomendou, nesta quinta-feira, 25, que a empresa entre em contato com todos os clientes afetados. Apesar de não terem sido reveladas informações como cartão de crédito ou senhas, o incidente de segurança comprometeu dados pessoais como nome, CPF, e-mail, data de nascimento e histórico de compras.
Consultado pela reportagem da TI INSIDE, o advogado Gustavo Artese, da Artese Advogados, especialista em Cyber Data & Privacy, diz que "sem em entrar em questões relativas à competência, a tendência é que o MPDF baseie a sua atuação nas disposições do Marco Civil da Internet voltadas à proteção de dados pessoais. O Marco Civil da Internet estabelece, claramente, em seus artigos 10 e 11, que o tratamento e a guarda de dados pessoais (e não somente de registros de conexão e de aplicação) devem preservar a intimidade e a vida privada dos internautas".
"Caso se entenda que houve infração a esses dispositivos – sendo importante ressaltar que, no meu entender, a simples quebra de sigilo não pode equivaler à configuração de uma infração – a Netshoes estaria sujeita a punições que vão desde a advertência até a multa máxima de 10% do faturamento do grupo econômico de que faz parte no Brasil", explica.
O MPDFT também recomendou que a Netshoes se abstenha de efetuar qualquer tipo de pagamento ao suposto autor do incidente de segurança, seja na forma de moeda real ou virtual. A empresa deverá apresentar, no prazo de três dias úteis, após o efetivo recebimento, informações sobre se pretende acatar a recomendação quais medidas serão implementadas.
Pessoas politicamente expostas
O incidente de segurança comprometeu os dados pessoais de centenas de servidores públicos politicamente expostos. Conforme a análise das informações há diversos clientes registrados com e-mails de órgãos públicos, como Tribunal de Contas da União (@tcu. gov.br), Câmara dos Deputados (@camara. leg.br), Tribunal de Justiça do Distrito Federal e Territórios (@tjdft. jus. br), Polícia Federal (@dpf. gov.br), Superior Tribunal de Justiça (@stj. jus. br), Supremo Tribunal Federal (@stf. jus. br), Ministério da Justiça (@mj. gov.br), Advocacia-Geral da União (@agu. gov.br) e Presidência da República (@presidencia. gov.br), dentre outros.
Em relação às pessoas cujos dados foram expostos, Artese explica que, a priori, o consumidor pode pleitear algum tipo de reparação. "O Marco Civil da Internet permite que esse pleito seja exercido tanto individual, quanto coletivamente. Obviamente, a existência de dano deve ser comprovada, o que tende a ser muito difícil nesses casos. Por outro lado, por sua natureza, esse tipo de dano pode vir a ser considerado como presumido".
O documento foi elaborado pela Comissão de Proteção dos Dados Pessoais e pela 1ª Promotoria de Justiça de Defesa do Consumidor (Prodecon). De acordo com o promotor de Justiça coordenador da Comissão, Frederico Meinberg, a atuação é necessária, "diante da gravidade dos fatos, do risco de prejuízos graves aos consumidores e da quantidade de titulares dos dados pessoais afetados", destacou.
Também se verificou que os códigos de referência das compras no site indicaram a aquisição de produtos de saúde, como monitor de pressão arterial, o que caracteriza dados pessoais sensíveis dos titulares. "O Ministério Público realizou levantamentos, por amostragem, que demonstraram a veracidade dos dados pessoais comprometidos e dos produtos adquiridos. Essas informações, nas mãos erradas, deixam as pessoas vulneráveis a diversas espécies de fraudes", explica Meinberg.
Sobre as informações vazadas que incluíam dados sobre produtos sobre saúde, o advogado esclarece que as "as Leis internacionais dão a dados pessoais de saúde tutela especial. São considerados dados mais sensíveis. Não há previsão legal expressa a esse respeito no Brasil. Pelo que li, o MPDF está indicando que determinados produtos (e.g. monitores de pressão arterial) estariam associados à saúde e que o registro de sua compra configurariam dados pessoais sensíveis.
"Ao meu ver, a compra de um monitor de saúde, per se, não pode ser configurada como dado pessoal de saúde". Uma das funções da proteção de dados é inibir que, a partir de informações ou inferências, haja discriminação de algum tipo. Na área de saúde isso é mais sensível, obviamente. Saber se eu comprei um monitor de saúde, isoladamente, não permite a alguém fazer inferências sobre a minha saúde. Posso tanto ser um superatleta, quanto um hipertenso – ou simplesmente posso estar comprando o produto para a minha namorada", ressalta Artese.
Falta de comunicação
Diante da gravidade dos fatos e da falta de comunicação clara da empresa aos clientes prejudicados, que apenas receberam e-mail genérico sobre segurança digital, o MPDFT instaurou inquérito civil público e expediu a recomendação. O objetivo é investigar as circunstâncias e causas do incidente de segurança e apurar as responsabilidades pelos danos causados.
Pioneirismo
A Comissão de Proteção dos Dados Pessoais do MPDFT é a primeira iniciativa brasileira que trata exclusivamente da proteção da privacidade e dos dados pessoais. Criada em novembro de 2017, tem como atribuições promover o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e medidas de segurança. Também recebe comunicações sobre ocorrências de incidentes de segurança (data breach notification). Diante da gravidade de possíveis incidentes, a Comissão pode sugerir ao responsável pelo tratamento dos dados a adoção de providências como a comunicação aos titulares, a ampla divulgação do fato em meios de comunicação e medidas para reverter ou mitigar os efeitos do incidente.
Gustavo Artese diz que a criação da Comissão de Proteção dos Dados Pessoais do MPDFT "me parece uma iniciativa louvável e séria do MPDFT. Ela não alterou as competências do Sistema Nacional de Defesa do Consumidor (nem poderia). Ou seja, MPs e órgãos de defesa do consumidor, podem e já podiam atuar, respeitados os limites de suas atribuições, em casos dessa natureza. O propósito do MPDFT, me parece, foi, identificando o vácuo de uma legislação geral e, principalmente, de uma autoridade de garantia, informar, organizar e aperfeiçoar a forma de atuação. O assunto é demasiadamente complexo para não ser tratado de forma organizada e sistemática. Quanto a serem criadas Comissões em outros Estados, trata-se de decisão local".
Questionado sobre como essa questão deverá ser analisada do ponto de vista Jurídico, pois ainda não foi aprovada a Lei de Dados Pessoais parada no Congresso, o especialista explica que ainda é cedo para dizer como o caso vai se desenvolver. "O que eu posso dizer, é que, é fundamental que uma Lei Geral de Proteção de Dados seja aprovada e, principalmente, que ela preveja uma Autoridade de Garantia (agência reguladora). Além de importante para as pessoas e para o nosso desenvolvimento econômico, o assunto é extremamente complexo (vide a questão dos monitores de pressão arterial). É indispensável que haja regulação específica e reguladores qualificados. Do contrário, nem bem teremos o direito à privacidade assegurado, nem bem teremos desenvolvimento econômico baseado no tratamento de dados pessoais".
Comunicado
Neste sábado, 27, a Netshoes enviou o seguinte comunicado:
A Netshoes comunica que, após minuciosa apuração interna – que contou com apoio de empresa especializada em segurança digital e comunicação à Polícia Federal desde o início do caso – chegou-se à conclusão, em linha com comunicados anteriores da companhia, de que não há qualquer indício de invasão à sua estrutura tecnológica.
Desde o primeiro momento em que foi noticiado o vazamento das informações – cuja origem segue sendo investigada -, todas as providências jurídicas e tecnológicas cabíveis foram tomadas. Durante todo o processo, o objetivo foi solucionar o crime virtual, não ceder a qualquer extorsão e proteger seus consumidores.
A empresa reforça que adota todas as medidas e melhores práticas de segurança da informação e que não negocia, nem nunca negociará, com criminosos.
E, por fim, a Netshoes informa que está em contato com o Ministério Público a fim de avaliar as medidas cabíveis dentro do prazo estabelecido e que confia nas autoridades competentes para a identificação do autor do ato ilícito.
Netshoes – janeiro de 2018
