MPDFT pede providências à Netshoes após vazamento de 2 milhões de dados de clientes

0

Diante do vazamento de informações de 1.999.704 contas com informações de usuários cadastrados no site de compras Netshoes, o Ministério Público do Distrito Federal e Territórios (MPDFT) recomendou, nesta quinta-feira, 25, que a empresa entre em contato com todos os clientes afetados. Apesar de não terem sido reveladas informações como cartão de crédito ou senhas, o incidente de segurança comprometeu dados pessoais como nome, CPF, e-mail, data de nascimento e histórico de compras.

Consultado pela reportagem da TI INSIDE,  o advogado Gustavo Artese, da Artese Advogados, especialista em Cyber Data & Privacy, diz que "sem em entrar em questões relativas à competência, a tendência é que o MPDF baseie a sua atuação nas disposições do Marco Civil da Internet voltadas à proteção de dados pessoais. O Marco Civil da Internet estabelece, claramente, em seus artigos 10 e 11, que o tratamento e a guarda de dados pessoais (e não somente de registros de conexão e de aplicação) devem preservar a intimidade e a vida privada dos internautas".

"Caso se entenda que houve infração a esses dispositivos – sendo importante ressaltar que, no meu entender, a simples quebra de sigilo não pode equivaler à configuração de uma infração – a Netshoes estaria sujeita a punições que vão desde a advertência até a multa máxima de 10% do faturamento do grupo econômico de que faz parte no Brasil", explica.

O MPDFT também recomendou que a Netshoes se abstenha de efetuar qualquer tipo de pagamento ao suposto autor do incidente de segurança, seja na forma de moeda real ou virtual. A empresa deverá apresentar, no prazo de três dias úteis, após o efetivo recebimento, informações sobre se pretende acatar a recomendação quais medidas serão implementadas.

Pessoas politicamente expostas

O incidente de segurança comprometeu os dados pessoais de centenas de servidores públicos politicamente expostos. Conforme a análise das informações há diversos clientes registrados com e-mails de órgãos públicos, como Tribunal de Contas da União (@tcu. gov.br), Câmara dos Deputados (@camara. leg.br), Tribunal de Justiça do Distrito Federal e Territórios (@tjdft. jus. br), Polícia Federal (@dpf. gov.br), Superior Tribunal de Justiça (@stj. jus. br), Supremo Tribunal Federal (@stf. jus. br), Ministério da Justiça (@mj. gov.br), Advocacia-Geral da União (@agu. gov.br) e Presidência da República (@presidencia. gov.br), dentre outros.

Em relação às pessoas cujos dados foram expostos, Artese explica que, a priori, o consumidor pode pleitear algum tipo de reparação. "O Marco Civil da Internet permite que esse pleito seja exercido tanto individual, quanto coletivamente. Obviamente, a existência de dano deve ser comprovada, o que tende a ser muito difícil nesses casos. Por outro lado, por sua natureza, esse tipo de dano pode vir a ser considerado como presumido".

O documento foi elaborado pela Comissão de Proteção dos Dados Pessoais e pela 1ª Promotoria de Justiça de Defesa do Consumidor (Prodecon). De acordo com o promotor de Justiça coordenador da Comissão, Frederico Meinberg, a atuação é necessária, "diante da gravidade dos fatos, do risco de prejuízos graves aos consumidores e da quantidade de titulares dos dados pessoais afetados", destacou.

Também se verificou que os códigos de referência das compras no site indicaram a aquisição de produtos de saúde, como monitor de pressão arterial, o que caracteriza dados pessoais sensíveis dos titulares. "O Ministério Público realizou levantamentos, por amostragem, que demonstraram a veracidade dos dados pessoais comprometidos e dos produtos adquiridos. Essas informações, nas mãos erradas, deixam as pessoas vulneráveis a diversas espécies de fraudes", explica Meinberg.

Sobre as informações vazadas que incluíam dados sobre produtos sobre saúde, o advogado esclarece que as "as Leis internacionais dão a dados pessoais de saúde tutela especial. São considerados dados mais sensíveis. Não há previsão legal expressa a esse respeito no Brasil. Pelo que li, o MPDF está indicando que determinados produtos (e.g. monitores de pressão arterial) estariam associados à saúde e que o registro de sua compra configurariam dados pessoais sensíveis.

"Ao meu ver, a compra de um monitor de saúde, per se, não pode ser configurada como dado pessoal de saúde". Uma das funções da proteção de dados é inibir que, a partir de informações ou inferências, haja discriminação de algum tipo. Na área de saúde isso é mais sensível, obviamente. Saber se eu comprei um monitor de saúde, isoladamente, não permite a alguém fazer inferências sobre a minha saúde. Posso tanto ser um superatleta, quanto um hipertenso – ou simplesmente posso estar comprando o produto para a minha namorada", ressalta Artese.

Falta de comunicação

Diante da gravidade dos fatos e da falta de comunicação clara da empresa aos clientes prejudicados, que apenas receberam e-mail genérico sobre segurança digital, o MPDFT instaurou inquérito civil público e expediu a recomendação. O objetivo é investigar as circunstâncias e causas do incidente de segurança e apurar as responsabilidades pelos danos causados.

Pioneirismo

A Comissão de Proteção dos Dados Pessoais do MPDFT é a primeira iniciativa brasileira que trata exclusivamente da proteção da privacidade e dos dados pessoais. Criada em novembro de 2017, tem como atribuições promover o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e medidas de segurança. Também recebe comunicações sobre ocorrências de incidentes de segurança (data breach notification). Diante da gravidade de possíveis incidentes, a Comissão pode sugerir ao responsável pelo tratamento dos dados a adoção de providências como a comunicação aos titulares, a ampla divulgação do fato em meios de comunicação e medidas para reverter ou mitigar os efeitos do incidente.

Gustavo Artese diz que a criação da Comissão de Proteção dos Dados Pessoais do MPDFT "me parece uma iniciativa louvável e séria do MPDFT. Ela não alterou as competências do Sistema Nacional de Defesa do Consumidor (nem poderia). Ou seja, MPs e órgãos de defesa do consumidor, podem e já podiam atuar, respeitados os limites de suas atribuições, em casos dessa natureza. O propósito do MPDFT, me parece, foi, identificando o vácuo de uma legislação geral e, principalmente, de uma autoridade de garantia, informar, organizar e aperfeiçoar a forma de atuação.  O assunto é demasiadamente complexo para não ser tratado de forma organizada e sistemática. Quanto a serem criadas Comissões em outros Estados, trata-se de decisão local".

Questionado sobre como essa questão deverá ser analisada do ponto de vista Jurídico, pois ainda não foi aprovada a Lei de Dados Pessoais parada no Congresso, o especialista explica que ainda é cedo para dizer como o caso vai se desenvolver. "O que eu posso dizer, é que, é fundamental que uma Lei Geral de Proteção de Dados seja aprovada e, principalmente, que ela preveja uma Autoridade de Garantia (agência reguladora). Além de importante para as pessoas e para o nosso desenvolvimento econômico, o assunto é extremamente complexo (vide a questão dos monitores de pressão arterial). É indispensável que haja regulação específica e reguladores qualificados. Do contrário, nem bem teremos o direito à privacidade assegurado, nem bem teremos desenvolvimento econômico baseado no tratamento de dados pessoais".

Comunicado

Neste sábado, 27, a Netshoes enviou o seguinte comunicado:

A Netshoes comunica que, após minuciosa apuração interna – que contou com apoio de empresa especializada em segurança digital e comunicação à Polícia Federal desde o início do caso – chegou-se à conclusão, em linha com comunicados anteriores da companhia, de que não há qualquer indício de invasão à sua estrutura tecnológica.

Desde o primeiro momento em que foi noticiado o vazamento das informações – cuja origem segue sendo investigada -, todas as providências jurídicas e tecnológicas cabíveis foram tomadas. Durante todo o processo, o objetivo foi solucionar o crime virtual, não ceder a qualquer extorsão e proteger seus consumidores.

A empresa reforça que adota todas as medidas e melhores práticas de segurança da informação e que não negocia, nem nunca negociará, com criminosos.

E, por fim, a Netshoes informa que está em contato com o Ministério Público a fim de avaliar as medidas cabíveis dentro do prazo estabelecido e que confia nas autoridades competentes para a identificação do autor do ato ilícito.

Netshoes – janeiro de 2018

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.