MPDFT cobra esclarecimentos à Uber sobre vazamento de dados pessoais

A Comissão de Proteção dos Dados Pessoais do Ministério Público do Distrito Federal e Territórios (MPDFT) pediu esclarecimentos à Uber sobre o incidente de segurança (data breach) tornado público no final de 2017. De acordo com o órgão, informações de cerca de 57 milhões de contas de motoristas e clientes foram apropriadas a partir de vazamento da base de dados do aplicativo de transportes. Na semana passada, o mesmo pedido foi feito pelo órgão à Netshoes.

Para o MPDFT, faltam esclarecimentos sobre o possível comprometimento de dados pessoais de usuários brasileiros. Caso a empresa confirme a exposição de informações de motoristas e de clientes do Brasil, deverá descrever em detalhes a natureza do incidente, o total de pessoas afetadas, as localidades e os tipos de dados pessoais que foram comprometidos. A comissão também quer saber se alguma investigação interna foi realizada e se já existem conclusões.

Em ofício enviado, no dia 23 de janeiro, à direção-geral da Uber no Brasil, também foram requisitados explicações, de maneira mais ampla, sobre o incidente. O Ministério Público questiona, também, a veracidade da notícia de que o responsável pelo ataque teria entrado em contato com a Uber e que haveria sido efetuado pagamento com o objetivo de encobrir o gigantesco vazamento. O MPDFT pergunta também as medidas que foram ou serão adotadas para reverter ou reduzir os efeitos da falha e se os titulares foram comunicados.

Segundo o coordenador da comissão, promotor de Justiça Frederico Meinberg, com essa iniciativa o Ministério Público reconhece a necessidade de integração entre as várias autoridades, nacionais e internacionais, objetivando mitigar os danos causados pela epidemia mundial de vazamentos de dados pessoais.

Investigações
A gravidade do incidente de segurança chamou a atenção das autoridades de dados de vários países. Existe a confirmação de que autoridades do Reino Unido, Estados Unidos, Austrália e Filipinas, entre outros, abriram investigações para apurar o caso.

A Comissão do MPDFT irá pedir o compartilhamento de provas com as autoridades de dados do Reino Unido (Information Commissioner’s Office – ICO) e da Holanda. Esta responsável por conduzir a força-tarefa criada para investigar o incidente na Europa.

Na próxima semana, o chefe de segurança da informação da Uber irá depor perante o Senado dos Estados Unidos da América sobre o vazamento de dados.

A Comissão de Proteção dos Dados Pessoais do MPDFT é a primeira iniciativa brasileira que trata exclusivamente da proteção dos dados pessoais. Criada em novembro de 2017, tem como atribuições promover o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e medidas de segurança. Também recebe comunicações sobre ocorrências de incidentes de segurança (data breach notification).

Diante da gravidade de possíveis incidentes, a comissão pode sugerir ao responsável pelo tratamento dos dados a adoção de providências como a comunicação aos titulares, a ampla divulgação do fato em meios de comunicação e medidas para reverter ou mitigar os efeitos do incidente.

Ao Metrópoles, a Uber informou que já recebeu o ofício do MPDFT solicitando esclarecimentos e responderá aos questionamentos. (Com informações do MPDFT)