Megavazamento de dados da Ticketmaster

Megavazamento de dados da Ticketmaster: quais as consequências para a empresa e o consumidor no Brasil?

Multas para a empresa podem atingir até 2% do faturamento global anual; consumidores brasileiros podem se valer da LGPD

No sábado (1 de junho), a Live Nation, proprietária da Ticketmaster, confirmou a identificação de “atividade não autorizada” em seu banco de dados armazenado em nuvem de terceiros. Embora a dimensão do ataque hacker não tenha sido divulgada até o momento, é possível que 560 milhões de clientes tenham sido afetados de alguma forma.

O ataque hacker à Ticketmaster já foi detalhado pela empresa-mãe junto à Comissão de Valores Mobiliários dos Estados Unidos (SEC). Originalmente, o problema foi identificado no dia 20 de maio. Na última segunda-feira (27), dados possivelmente vazados de clientes da Ticketmaster foram anunciados em um fórum na dark web.

Dados sensíveis, como nomes, endereços, números de telefone e até detalhes parciais de cartão de crédito foram vazados em todo o mundo. O Procon também já notificou a empresa e quer saber se brasileiros foram atingidos.

“Estamos trabalhando para mitigar os riscos para nossos usuários e para a Empresa, e notificamos e cooperamos com as autoridades”, informou a Live Nation, que é responsável por uma das maiores plataformas de venda de ingressos online do mundo, para a SEC.

Quais as consequências para a Ticketmaster, considerada um dos maiores marketplaces de ingressos e líder do mercado de produtos de serviços e shows ao vivo? Para Alexander Coelho, sócio do Godke Advogados e especialista em Direito Digital e Proteção de Dados, o incidente revela falhas significativas na proteção de dados e na segurança cibernética da empresa, impactando a confiança dos consumidores e as obrigações legais da empresa.

“A Ticketmaster enfrenta danos reputacionais significativos, entre elas, a perda de confiança dos clientes e potenciais ações legais em várias jurisdições. Internacionalmente, a empresa está sujeita a diversas regulamentações de proteção de dados ao redor do mundo, incluindo o GDPR na Europa. As multas por não conformidade podem ser extremamente severas, chegando a 4% do faturamento global anual da empresa”, alerta o especialista.

O advogado ainda explica que, no Brasil, a Ticketmaster pode enfrentar investigações e sanções pela ANPD (Autoridade Nacional de Proteção de Dados) em conformidade com o previsto pela Lei Geral de Proteção de Dados, a LGPD. “Consumidores brasileiros têm o direito de ser notificados sobre o vazamento e podem buscar reparações por danos sofridos”, acrescenta.

Dentro deste cenário, o que um cliente da Ticketmaster deve proceder, caso consiga comprovar o vazamento de seus dados pessoais? “Se houver prejuízo identificado, é preciso fazer ocorrência policial e fazer reclamação no Procon do seu Estado”, explica Renata Abalém, especialista em Direito do Consumidor e Diretora Jurídica do Instituto de Defesa do Consumidor e do Contribuinte (IDC), orientando que dados sensíveis, como senhas, devem ser imediatamente trocados.

O episódio da Ticketmaster, na opinião dos especialistas, ensina sobre a importância de sistemas robustos de segurança cibernética e de uma cultura de privacidade dentro das organizações.

“Uma vez os dados vazados, não há como voltar ao ‘status quo’ anterior e nem como prever como e quando os mesmos serão usados ilicitamente. Evidentemente, não há como impedir o vazamento, até porque não somos nós os guardiões dos nossos próprios dados, e sim, as empresas e entidades às quais confiamos essas informações tão preciosas”, alertou Abalém.

“Empresas globais como a Ticketmaster devem ter uma vigilância contínua e proativa em suas práticas de proteção de dados para evitar tais incidentes. Talvez seja o momento da empresa precise aprender, da maneira mais difícil, que, na era digital, a confiança é construída na solidez da segurança de dados, e qualquer falha nesse pilar pode derrubar até mesmo os mais estabelecidos impérios”, concluiu Coelho.

Procon pede explicação

O Procon-SP notificou a Ticketmaster para que a empresa informe se o vazamento afetou clientes brasileiros e quantos consumidores podem ter sido atingidos. Além disso, a instituição pediu que a companhia esclareça como os dados são captados e armazenados e quais serão os procedimentos adotados.

Continua depois da publicidade

“A gente questiona e trabalha de forma integrada à Lei Geral de Proteção de Dados (LGPD) e dita a orientação aos consumidores conforme a resposta da notificação, como eventuais medidas administrativas cabíveis”, informou o diretor de Assuntos Jurídicos do Procon-SP, Robson Campos.

A LGPD, em vigor desde 2020, garante a proteção dos dados pessoais dos brasileiros, direito fundamental no país conforme a Constituição Federal. No entanto, o advogado do Instituto de Defesa do Consumidor (IDEC), Lucas Marcon, expressou a preocupação da organização como um todo no que diz respeito à jurisprudência do Supremo Tribunal de Justiça, que entendeu que o vazamento de dados por si só não tem capacidade de gerar dano moral indenizável.

“Muito embora tenha uma violação de um direito fundamental, isso em si não gera uma indenização por danos morais ou uma responsabilidade da empresa. Isso é uma coisa que o IDEC vê com muita preocupação, caso as pessoas, quando elas sofram com problemas daquele vazamento, não consigam comprovar”, explica Marcon .

Essa comprovação de danos, no entanto, é algo difícil de alcançar, já que os dados da população são coletados de forma massiva em diversos lugares, argumenta o professor de Direito Digital da Universidade de São Paulo, Eduardo Tomasevicius.

Segundo o professor, “quando se concebeu a LGPD, achava-se que era possível identificar a válvula ali, o dano aconteceu. Só que hoje, você não tem como identificar. Por quê? O tempo todo estão sendo coletados os dados [..] ou seja, são tantos dados coletados que você não sabe de onde veio”.

Embora isso não deva anular a cautela das empresas, na prática, quanto maior o número de dados vazados, menores as chances de alguém sofrer um dano. O gerente de projetos da Safernet Brasil Guilherme Alves explicou que em casos como o da Ticketmaster, que envolve o vazamento massivo de dados, a chance de algum dano imediato para uma pessoa específica ocorrer é pequena.

O que fazer?

Ainda assim, no caso da Ticketmaster a orientação da Safernet Brasil aos clientes brasileiros é que troquem senhas e dados de acesso à conta na plataforma, principalmente os cartões de crédito. Além disso, é possível notificar a instituição financeira sobre o possível vazamento de dados.

“Quando a gente fala de compras online, a orientação é sempre que as pessoas utilizem cartões de crédito virtuais, para que qualquer tipo de situação que ela possa ter, seja possível simplesmente excluir o cartão de crédito virtual, sem comprometer o cartão de crédito”, informou Alves.

A análise da Safernet Brasil, considerando outros casos como o da Ticketmaster, é de que estes bancos de dados acabam sendo comercializados, podendo servir para outros tipos de golpes criminosos no futuro. Segundo Alves, “quando há um vazamento massivo, pode ser que o dano para uma pessoa específica seja difícil de rastrear, mas isso não quer dizer que não haja a possibilidade de um dano futuro”.

A dificuldade no rastreio dos dados é a principal barreira para a comprovação dos danos, embora a LGPD determine a transparência. Por isso, outra recomendação é que os consumidores registrem uma reclamação na Autoridade Nacional de Proteção de Dados (ANPD), órgão criado para fiscalizar o cumprimento da LGPD.

Segundo Marcon, o IDEC tem mantido conversas com o órgão reiterando ações rápidas e efetivas, além de transparência em processos administrativos para que a população tenha noção das atualizações e do tempo de espera necessário. “Mas, infelizmente, o que a gente viu até hoje é uma omissão muito grande da autoridade”, criticou o advogado.

Em contrapartida, Tomasevicius vê o papel da ANPD como educacional e não punitivo, uma vez que o País possui uma cultura de divulgação de dados bastante forte. “A gente também tem que se preocupar em saber o que são feitos com os nossos dados, e aqui ninguém se preocupa, é muito fácil as pessoas ficarem entregando os dados sem questionar, querendo receber vantagens por conta disso […] então é uma injustiça até criticar a autoridade”, defende o professor.

Diante disso, o papel da ANPD para Tomasevicius deveria ser de fomento à educação digital e imposição de uma coleta e armazenamento menor de dados, evitando também o pedido de informações desnecessárias que não sirvam para um propósito específico. Um incentivo à cultura de minimização da coleta de dados poderia vir de encontro também ao questionamento sobre o uso das informações.

“Por exemplo, um antibiótico que custa R$ 300 fica R$ 150, significa que a farmácia está pagando pra você R$ 150 pra saber que você usa o medicamento, veja, é um valor elevado, ou seja, por que o laboratório paga esse valor pra você dizer isso pra ele? Isso não é questionado e é muito mais grave do que uma situação punitiva da ANPD”, disse o professor citando como exemplo os descontos significativos oferecidos pelas farmácias quando os clientes oferecem o CPF.

O que diz a Autoridade Nacional de Proteção de Dados?

A Autoridade Nacional de Proteção de Dados informou ter tomado conhecimento do caso através da imprensa.

“Ainda não houve comunicado formal pela empresa. Caso a empresa não comunique espontaneamente, a ANPD poderá provocar a empresa para que apresente o comunicado ou esclarecimentos, se houver indícios de que o incidente pode ocasionar riscos ou danos relevantes às pessoas afetadas”.

“Inicialmente, a lei manda que a própria Ticketmaster avalie se o incidente envolveu dados pessoais e se ele ocasiona risco ou danos relevantes às pessoas afetadas. Caso positivo, surge a obrigação de comunicar às pessoas afetadas e à ANPD”.

“A partir do comunicado encaminhado pela empresa, a equipe técnica verifica as informações recebidas para o correto direcionamento da fiscalização. As ações dependem dos riscos ou danos eventualmente decorrentes do incidente e, sobretudo, das medidas que a empresa já tenha tomado ou que pretende tomar”, informou a ANPD em nota.

Fontes:
Alexander Coelho - especialista em Direito Digital e Proteção de Dados.
Renata Abalem - advogada, Diretora Jurídica do Instituto de Defesa do Consumidor e do Contribuinte- IDC, Diretora da Câmara de Comércio Brasil Líbano, membro da Comissão de Direito do Consumidor da OAB/SP.
Infomoney