MP abre inquérito contra Netshoes após vazamento de dados de clientes

Diante do vazamento de informações de 1.999.704 contas com dados de usuários cadastrados no site de compras Netshoes, o Ministério Público do Distrito Federal e Territórios (MPDFT) instaurou inquérito civil público e recomendou que a empresa entre em contato com todos os clientes afetados.

Apesar de não terem sido reveladas informações relativas a cartão de crédito ou senhas, o incidente de segurança comprometeu dados pessoais como nome, CPF, e-mail, data de nascimento e histórico de compras, na avaliação dos promotores.

Segundo o órgão, a falha comprometeu os dados pessoais de centenas de servidores públicos politicamente expostos. Conforme a análise das informações, há diversos clientes registrados com e-mails de órgãos públicos, como Tribunal de Contas da União (@tcu.gov.br), Câmara dos Deputados (@camara.leg.br), Tribunal de Justiça do Distrito Federal e Territórios (@tjdft.jus.br), Polícia Federal (@dpf.gov.br), Superior Tribunal de Justiça (@stj.jus.br), Supremo Tribunal Federal (@stf.jus.br), Ministério da Justiça (@mj.gov.br), Advocacia-Geral da União (@agu.gov.br) e Presidência da República (@presidencia.gov.br), entre outros.

O MPDFT também recomendou que a Netshoes se abstenha de efetuar qualquer tipo de pagamento ao suposto autor do incidente de segurança, seja na forma de moeda real ou virtual. A empresa deverá apresentar, no prazo de três dias úteis, após o efetivo recebimento, informações sobre se pretende acatar a recomendação e quais medidas serão implementadas.

Prejuízos graves
O documento foi elaborado pela Comissão de Proteção dos Dados Pessoais e pela 1ª Promotoria de Justiça de Defesa do Consumidor (Prodecon). De acordo com o coordenador da Comissão, o promotor de Justiça Frederico Meinberg, a atuação é necessária, tendo em vista a “gravidade dos fatos, do risco de prejuízos graves aos consumidores e da quantidade de titulares dos dados pessoais afetados”, destacou.

Também verificou-se que os códigos de referência das compras no site indicaram a aquisição de produtos de saúde, como monitor de pressão arterial, o que caracteriza dados pessoais sensíveis dos titulares. “O Ministério Público realizou levantamentos, por amostragem, que demonstraram a veracidade dos dados pessoais comprometidos e dos produtos adquiridos. Essas informações, nas mãos erradas, deixam as pessoas vulneráveis a diversas espécies de fraudes”, explica Meinberg.

Diante da gravidade dos fatos e da falta de comunicação clara da empresa aos clientes prejudicados, que apenas receberam e-mail genérico sobre segurança digital, o MPDFT instaurou inquérito civil público e expediu a recomendação. O objetivo é investigar as circunstâncias e causas do incidente de segurança e apurar as responsabilidades pelos danos causados.

Proteção à privacidade
A Comissão de Proteção dos Dados Pessoais do MPDFT é a primeira iniciativa brasileira que trata exclusivamente da proteção da privacidade e dos dados pessoais. Criada em novembro de 2017, tem como atribuições promover o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e medidas de segurança.

Também recebe comunicações sobre ocorrências de incidentes de segurança (data breach notification). Considerando a gravidade de possíveis incidentes, a Comissão pode sugerir ao responsável pelo tratamento dos dados a adoção de providências como a comunicação aos titulares, a ampla divulgação do fato em meios de comunicação e medidas para reverter ou mitigar os efeitos do incidente.

O outro lado
Em nota, a Netshoes afirmou que não há qualquer indício de invasão à sua estrutura tecnológica. De acordo com a empresa, houve uma “minuciosa” apuração interna: “Desde o primeiro momento em que foi noticiado o vazamento das informações – cuja origem segue sendo investigada -, todas as providências jurídicas e tecnológicas cabíveis foram tomadas. Durante todo o processo, o objetivo foi solucionar o crime virtual, não ceder a qualquer extorsão e proteger seus consumidores.”

A empresa reforça que adota todas as medidas e melhores práticas de segurança da informação e que não negocia com criminosos. A Netshoes destacou ainda que está em contato com o Ministério Público a fim de avaliar as medidas cabíveis dentro do prazo estabelecido e que confia nas autoridades competentes para a identificação do autor do ato ilícito.