Senacom abre investigação por vazamento de dados pessoais na TIM

25/10/2019 mindsecblog LGPD & PRIVACY, Notícias 6

Senacom abre investigação por vazamento de dados pessoais na TIM. Os supostos vazamentos teriam ocorrido no serviço TIM Negocia.

Em 16 de outubro, o Senacon – Secretaria Nacional do Consumidor, do ministério da Justiça e Segurança Pública, instaurou processo administrativo para apurar a acusação contra a operadora TIM pelos supostos vazamentos de dados e valores de dívidas dos consumidores .

Segundo o Departamento de Proteção e Defesa do Consumidor – DPDC – os indícios são de ofensa aos princípios da vulnerabilidade, transparência, confiança, educação, informação, harmonização de interesse e da boa-fé, além dos direitos de liberdade de escolha, informação adequada, proteção contra práticas abusivas e efetiva prevenção e reparação de danos.

O DPDC teve conhecimento por meio da mídia de suposto vazamento de dados sensíveis. De acordo com a notícia, do TecMundo, que embasou a instauração processo, não se sabe por quanto tempo os hackers tiveram acesso ao sistema e nem qual o volume de dados de clientes eles realmente conseguiram visualizar ao longo desse tempo.

A operadora TIM possui um serviço chamado Negocia onde por meio dele, clientes podem checar dívidas e negociar formas de pagamento com a operadora. De acordo o site TecMundo,de abril deste ano, uma brecha no TIM Negocia permitia que cibercriminosos acompanhassem dados pessoais e valores de dívidas de milhares de clientes da TIM.

Um dos pontos mais sensíveis do caso é quantidade de informação vazada e a quantidade de clientes afetados. O TecMundo afirma ter recebido uma amostra de 48 mil clientes [29 mil, segundo a TIM], com nomes, CPF, data de nascimento, valor da dívida e número da TIM. Porém, os dados no sistema são rotativos e atualizados mensalmente, por isto não se sabe por quanto tempo os hackers tiveram acesso ao sistema e nem quantos clientes eles realmente conseguiram visualizar ao longo desse tempo.

A falha no TIM Negocia permitia que cibercriminosos acompanhassem, além dos dados, o atendimento realizado pela própria operadora. Ou seja: o que era conversado em chat, como dúvidas sobre dívidas, também poderia ser puxado via token vazado.

A operadora afirmou que a plataforma Tim Negocia permite que consumidores consultem e quitem eventuais pendências financeiras. Com conhecimento da possível brecha, a empresa retirou a plataforma e o site do ar por prevenção e como medida de proteção de dados dos clientes.

Após a instauração dos processos pelo Senacom, a empresa será intimada para se manifestar e requerer a produção de provas. A empresa poderá ser multada em aproximadamente R$ 10 milhões caso os indícios sejam confirmados.

Segundo a TIM, “há graves inconsistências na matéria veiculada pelo site TecMundo, que trata de um suposto vazamento de dados da plataforma TIM NEGOCIA“. Mesmo assim, a TIM confirma que dados de clientes foram vazados: “Ao contrário do que cita a reportagem, foram impactados 29 mil clientes, e não 48 mil“.

LGPD

Em menos de um ano entrará em vigor a LGPD – Lei Geral de Proteção de Dados (13.709/18), que dispõe exatamente acerca da proteção dos dados dos cidadãos brasileiros. A lei buscou fixar normas para o tratamento de dados pessoais por empresas e órgãos públicos.

Nessa linha, a notícia de instauração de processo administrativo contra a TIM por vazamento de dados, segundo posicionamento da advogada Natália Brotto, divulgada no site Migalhas demonstra “a criação de uma cultura de proteção de dados, o que se verifica claramente pela preocupação cada vez maior não apenas do consumidor, titular dos dados, mas das autoridades e entidades que buscam resguardar os interesses e direitos do consumidor“.

A advogada avalia que a abertura de processos administrativos, investigações, imposições de multa e, inclusive, ajuizamento de ações individuais dão uma amostra do risco que será suportado pelas empresas que não se preocuparem com a adequação à LPGD.

Natália Brotto explica ainda que a LGPD em inúmeros artigos cita a necessidade de coordenação da ANPD – Agência Nacional de Proteção de Dados (ainda em processo de criação) com outros órgãos e entidades públicas cujas competências podem estar relacionadas ao tema.

“Nesse sentido, parece-nos que haverá sim uma competência simultânea, não apenas do Senacom mas de outros órgãos e entidades juntamente com a ANPD. Veja que a LGPD sequer entrou em vigor e já existem aplicações de multas e sanções por outros órgãos em relação ao tema da proteção de dados, não nos parecesse que a referida atuação será suprimida após a criação da ANPD, pelo contrário, creio que a referida atuação será ainda mais intensificada.“

A advogada, especialista em Direito Constitucional e Direito Contratual, salienta que também em relação aos direitos dos titulares, especificados no art. 18º da lei, o §8º do mesmo artigo determina de maneira expressa que os titulares poderão realizar reclamações em relação aos seus dados não apenas perante a ANPD mas perante os organismos de Defesa do Consumidor: “Na prática isso significa que o titular poderá reclamar perante a ANPD, Senacom ou mesmo qualquer Procom.”

Por enquanto, não há informações da Senacom acerca do alcance do vazamento da TIM, caso confirmado – tanto em número de titulares, quanto aos dados vazados e gravidade. Assim, pondera Natália, é difícil mensurar os valores das possíveis penalidades, “mas caso se confirme uma grande extensão de vazamento, bem como um alto grau de dano aos titulares, a multa [R$ 10 milhões] parece condizer com os padrões aplicados nos EUA e Europa“.

Vale anotar que nos termos do que determina a LGPD as sanções devem ser mensuradas levando-se em consideração uma série de parâmetros, como a gravidade e a natureza das infrações e dos direitos pessoais afetados, a boa-fé do infrator, sua condição econômica, o grau do dano, entre outros.