Executando verificação de segurança...
10

LGPD - Vazamento de dados e o descaso da ANPD - Desabafo

No dia 17/10/2024 recebi um e-mail de uma empresa de assessoria condominial contendo um PDF com a prestação de contas de um condomínio que desconheço. O documento contém toda a movimentação financeira de um determinado mês do condomínio, incluindo extratos bancários, notas fiscais, dados dos prestadores de serviço etc. Além disso, mostra também o nome completo, o CPF e o endereço de todos os moradores. Levei um susto.

Pensei muito no que fazer a respeito. Queria que os moradores, vítimas do vazamento, de alguma forma fossem informados do que houve, conforme manda a LGPD. Queria também evitar que o caso fosse simplesmente abafado pela empresa. Eu poderia ir até o condomínio explicar a situação, pois tenho uma boa noção da onde seja. Porém, fiquei receoso de não entenderem minha intenção e eu acabar criando problema pra mim mesmo. Até explicar que focinho de porco não é tomada, eu teria uma dor de cabeça sem tamanho.

Então, no dia seguinte, 18/10/2024, fiz uma denúncia na ANPD relatando o caso e anexando os documentos. Minha esperança era que a empresa recebesse algum tipo de notificação do ocorrido, que a ANPD solicitasse:
1: que o documento fosse removido (uma vez que ainda tenho acesso pelo link);
2: que os moradores fossem notificados do vazamento;
3: que fossem tomadas providências para o erro não se repetir.
Site da ANPD: Saiba como fiscalizamos

Porém, para minha infelicidade e perda de esperança na humanidade, no dia 13/11/2024 a ANPD encerrou a denúncia com uma mensagem que parece ser uma resposta padrão. A resposta cita que o site da empresa tem uma política de privacidade e um e-mail de contato. Cita também que, caso eu me sinta prejudicado, eu devo primeiro entrar em contato com a empresa e, caso não fique satisfeito, abrir uma reclamação do tipo Petição de Titular na ANPD.

Eu não sou titular dos dados, portanto, segundo o próprio site da ANPD, tal reclamação não seria o caso. Além disso, a ANPD não tomou e não tomará nenhuma ação em relação ao vazamento.

Fiquei triste e decepcionado, além de inseguro quanto à eventuais vazamentos que envolvam os meus dados pessoais.

Enfim.. Só queria desabafar mesmo.

Resposta final da ANPD (dados da empresa ocultados):

Trata-se de requerimento em face de NOME_DA_EMPRESA. O(a) denunciante informa que recebeu e-mail da NOME_DA_EMPRESA com a prestação de contas de um condomínio desconhecido, contendo nome e o endereço de moradores, além de extratos bancários completos da pessoa física do condomínio e dados das empresas com quem o condomínio se relaciona.

Conforme relato, o requerimento foi analisado e classificado como "Compartilhamento indevido de dados pessoais e/ou sensíveis".

Como medida de orientação ao titular, acerca do exercício de direitos previstos na LGPD, informamos que, em busca no sítio eletrônico da controladora, foram encontradas informações acerca da política de privacidade e do canal de contato, quais sejam: LINK_POLITICA_PRIVACIDADE e E_MAIL_DA_EMPRESA. Assim, orienta-se que busque contato com o denunciado e apresente a sua demanda e, caso não obtenha resposta ou a resposta seja insatisfatória, comunique o fato à ANPD por meio de uma 'Petição de Titular', juntando, ao processo, comprovação da solicitação, como por exemplo, e-mails encaminhados.

Nos termos do Art. 17 do Regimento Interno da ANPD, combinado com o Art. 55-J, inc. V c/c § 6º da Lei Geral de Proteção de Dados Pessoais (LGPD), e com o art. 26 do Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador no âmbito da ANPD (Regulamento de Fiscalização), aprovado pela Resolução CD/ANPD 1, de 28 de outubro de 2021, este requerimento, suas informações e sua classificação foram incluídos no planejamento de fiscalização conforme arts. 20 a 23 do referido regulamento.

Consoante o art. 26 do Regulamento de Fiscalização, os requerimentos recebidos pela ANPD serão analisados de forma agregada e as eventuais providências delas decorrentes poderão ser adotadas de forma padronizada.

As situações consideradas urgentes poderão ser objeto de tratamento individual.

Carregando publicação patrocinada...
4

aproveitando seu desabafo, pra eu desabafar também. eu estou desesperançoso sobre a máquina pública como um todo. nao importa se federal, estadual ou municipal, tao pouco o viés político, a maquina funciona bem em benefício de uns e fecha os olhos para outros. um tempo atrás um rapaz coletou dados vazados dos brasileiros na dark web, e criou um site para você descobrir se seus dados estão lá. um certo ministro do STF correu para mandar a PF investigar, teve operação contra o rapaz, pois era possivel consultar o CPF deles. veja, a unica informação extraivel era se estava na dark web, o contrário do do que você reportou.

3
1

curiocurioso, parece que é sobre esse vazamento que você está comentando. Essas ferramentas de consulta de vazamentos sem um determinado critério para retornar uma resposta infelizmente podem se tornar indiscretas. Um exemplo é o que você mesmo cita em sua resposta, ou seja, qualquer curioso, com o "CPF deles" podia fazer a consulta. O real detentor do documento sequer fica sabendo que teve uma consulta de seus dados, quem foi, origem do acesso, quantas vezes foi consultado etc.. Não faço ideia do que a plataforma mostrava, porém, dependendo do conteúdo, poderia estar favorecendo ainda mais os vazamentos ou constrangimento. Por ser um cidadão conhecido (ver whois), poderia ser "consultado" para compartilhar o BD do megavazamento para fins ilícitos. Manter dados pessoais sem anuência do indivíduo afetado já é um detalhe que mostraria uma falha do serviço.

Quando tratar dados pessoais for condição para fornecimento de produto ou serviço ou para exercício de um direito, você deve ser avisado sobre isso e sobre os meios pelos quais pode exercer seus direitos como titular. E se as informações fornecidas tiverem conteúdo enganoso ou abusivo, ou não forem apresentadas previamente com transparência e clareza, o consentimento será considerado nulo.

Além disso, quando forem feitas mudanças, na finalidade de um tratamento, não compatíveis com o consentimento original, o gestor dos dados deverá informar isso previamente, e dar a opção de revogar o consentimento, se você discordar das alterações propostas. A oposição deverá ser feito mediante manifestação expressa, por meio de procedimento gratuito e facilitado.
Fonte

Cabe aos governos ter ciência do que foi exposto e jamais utilizarem tais informações em parte ou todo para emissão de autenticação para os cidadãos em serviços por ele oferecidos. Seria uma falha muito grave, por exemplo, autorizarem emissão de certificado digital ou abertura de contas simplesmente com a confirmação desses dados que "não são mais tão pessoais" desde que vazaram.

2

Cara, hoje em dia não dá pra confiar direito na polícia, quem dirá esses orgãos estatais.
Isso é só pra "inglês ver". Não tem nada de concreto na LGPD ou na sua agência que justifique seus gastos.

1

Estou iniciando os meus trabalhos com LGPD e tô vendo que é isso mesmo. Só para "inglês ver" ... Assim como são a maioria das leis e dos projetos brasileiros, desde o tempo imperial

1

LGPD e ANPD é só mais uma forma de arrancar dinheiro de nós, pobres mortais. Sou da área de segurança e nada disso funciona aqui no BR, nada mesmo

1

Parabéns pela denúncia e pelo relato. Acho que é o primeiro relato de denúncia que eu vejo. Eu achava que a ANPD era uma agência séria, mas nunca vi nada de relevante sobre esse setor. Agora, pelo menos sei que as denúncias não dão em nada.

1

O interessante do seu relato é que ainda não tinha me deparado com alguém que denunciou, sempre a esperança de alguma ação contra vazamento de dados é tão baixa que o pessoal nem vai atrás.

1

GabRF, não ficou muito claro se você recebeu um email por engano. Então, considerando que não reconheceu o remetente, não seria melhor apagar a mensagem por completo? Empresas sérias colocam uma longa mensagem no rodapé de seus emails informando o procedimento caso a mensagem seja entregue por engano para outro remetente.

Outro detalhe é sua postagem aqui compartilhar a mensagem que recebeu do órgão público. Será que isso é permitido tendo em vista que a comunicação foi privada?

Por favor, não considere mal minhas perguntas. Apenas fiquei curioso em alguns pontos de seu relato de uma situação bem complicada.

1

não ficou muito claro se você recebeu um email por engano

O documento não deveria ter sido enviado para mim. Se foi engano, má fé ou qualquer outra coisa eu não tenho como saber. Quando a pessoa é a titular do dado, o que não era o caso, a recomendação é seguir esse documento aqui: https://www.gov.br/anpd/pt-br/assuntos/noticias/meus-dados-vazaram-e-agora
Por não ter achado nada para o meu caso em específico, fiz o que julguei ser o correto, que era registrar na ANPD.

Empresas sérias colocam uma longa mensagem no rodapé de seus emails informando o procedimento caso a mensagem seja entregue por engano para outro remetente

A mensagem que recebi não tinha aviso algum. De toda forma, se não há lei ou contrato assinado por mim me proibindo de ver o e-mail, então eu posso ver. Eu não tinha como saber que não era para mim até ver o conteúdo.

Outro detalhe é sua postagem aqui compartilhar a mensagem que recebeu do órgão público. Será que isso é permitido tendo em vista que a comunicação foi privada?

Não existe absolutamente nada que me proíba de fazer isso que fiz. E a empresa que vazou os dados não pode nem reclamar uma vez que não foi citada.

Por favor, não considere mal minhas perguntas. Apenas fiquei curioso em alguns pontos de seu relato de uma situação bem complicada.

De forma alguma considerei mal. Da mesma forma espero que não quero que leve a mal a minha resposta.

1

GabRF, agora ficou claro e agradeço por ter tomado uma porção de seu tempo para compor esses esclarecimentos de um leitor que se interessou pelo assunto. Ao escrever um comentário, procurei colocar-me no seu lugar e realmente vi que era uma situação tipo "sinuca de bico" 8-). Meu sentimento, acho que só eu sinto isso e não estou generalizando, é que quem provoca uma esfera superior, solicitando que atuem com a prerrogativa que possuem (ou seja, instigando-os a trabalhar, servir o cidadão que paga impostos em dia), passa a ser o suspeito. Ou estão muito sobrecarregados ou...

1
1

A empresa que me mandou o PDF com os dados de terceiros etc é a empresa que me manda os boletos da taxa condominial da onde moro, então o remetente é conhecido.
Vem a mensagem "Você recebeu um documento". Eu abro o PDF, leio o código de barras e pronto. Tudo certo.
Porém, dessa vez, o PDF aberto tinha um conteúdo diferente. kkkkk

1

constantemente recebo ligações oferendo refinanciamento para o emprestimo que minha mãe tem descontado na sua aposentadoria. resolvi investigar quem são as empresas e a origem das fontes de informação... resumo da obra... os dados vazados do inss estão em muitas fontes algumas pagas outras gratuitas, das pagas a maioria com contas no Brasil (pode ser laranja) as empresas que usam esses dados alegam ser correspondentes bancarios e não sabem informar a origem dos dados. Solução, tive que só permitir ligações de numeros conhecidos...
esse é 1 caso tenho ao menos outros 3. em fim o Brasil não é para amadores