O acordo entre MPDFT e Netshoes foi fechado após o vazamento de dados de quase 2 milhões de clientes em 2018. Foto: Pexels.

O Ministério Público do Distrito Federal e Territórios (MPDFT) firmou um termo de ajustamento de conduta (TAC) com a empresa Netshoes. O acordo foi proposto pela Unidade Especial de Proteção de Dados e Inteligência Artificial (Espec) do MPDFT após o vazamento de dados de quase 2 milhões de clientes em 2018.

A empresa deverá pagar indenização de R$ 500 mil, que serão recolhidos mediante depósitos no Fundo de Defesa de Direitos Difusos (FDD). O inquérito civil aberto para investigar o caso ficará suspenso até a quitação do valor integral da indenização.

Segundo o acordo, a Netshoes também se compromete a implantar medidas adicionais ao seu Programa de Proteção de Dados, a realizar esforços de orientação de consumidores, a aumentar o nível de conhecimento sobre os riscos cibernéticos e medidas de proteção de seus dados pessoais, por meio de campanha de conscientização, e a disseminar ao mercado as melhores práticas para privacidade e proteção de dados pessoais. 

Caso as obrigações sejam descumpridas, o Ministério Público proporá ação de reparação pelos danos morais coletivos.

Em janeiro de 2018, diante do vazamento de informações de 1.999.704 contas com informações de usuários cadastrados no site de compras Netshoes, o MPDFT recomendou que a empresa entrasse em contato com todos os clientes afetados. 

Apesar de não terem sido reveladas informações como cartão de crédito ou senhas, o incidente de segurança comprometeu dados pessoais como nome, CPF, e-mail, data de nascimento e histórico de compras. Em março, a empresa fez os contatos com os clientes atingidos.

"A assinatura do presente Termo de Ajustamento de Conduta demonstra ser possível a resolução de conflito de forma consensual, com o devido ressarcimento da coletividade ante ao dano moral sofrido, sem, contudo, onerar excessivamente a empresa que colaborou com as investigações do MP", diz o promotor de Justiça Frederico Meinberg Ceroy, coordenador da Espec.

O acordo foi informado à Securities and Exchange Commission (SEC), reguladora do mercado de ações norte-americano. 

Em dezembro, a Justiça homologou um acordo similar entre o Ministério Público do Distrito Federal e Territórios (MPDFT) e o Banco Inter. O texto determinou o pagamento de R$ 1,5 milhão pelo Banco Inter como forma de reparar os danos morais coletivos de caráter nacional decorrentes do vazamento de dados de mais de 19 mil correntistas.

Desse valor, R$ 1 milhão foi destinado a instituições públicas que combatem crimes cibernéticos, indicadas pelo MPDFT. O restante é focado em beneficiar instituições de caridade. 

O mercado brasileiro passa por uma fase de intensas divulgações relativas a vazamentos e exposição de dados.

Há uma semana, a CheckMeuCarro, empresa que vende relatórios sobre a situação de veículos emplacados no Brasil, deixou aberto um banco de dados com aproximadamente 191 milhões de registros de CPF (Cadastro de Pessoa Física) e outros 35 milhões de registros de CNPJ (Cadastro Nacional de Pessoa Jurídica).

A exposição foi divulgada pelo Blog de Altieres Rohr, no G1, que recebeu as informações de um especialista que pediu para não ser identificado.

Em dezembro, a Tivit teve um acesso não autorizado a arquivos da companhia que resultou em um vazamento das credenciais de acesso de clientes como Braskem, Banco Original, Zurich, Votorantim, Sebrae, SAP, Brookfield Energia, entre outros.

No começo de 2019, uma publicação no site de compartilhamento de texto Pastebin apontou para uma nova divulgação relacionada ao vazamento de dados da Tivit, dessa vez com dados relacionados aos clientes Bradesco, CEF, Votorantim Energia, Tecnisa, Zurich, Faber, Banco Original, CIP, Klabin e Açominas.

Também em dezembro, foram publicados no Pastebin dados que teriam sido vazados do Sicredi. O arquivo apresentou o que seria uma pequena mostra do que os autores da publicação afirmam ser um vazamento de 1,2 TB de dados.

As informações publicadas incluem uma série de nomes com datas de abertura de contas, e, de forma mais preocupante, o que parecem ser registros de procedimentos realizados com clientes, com a rotina de aprovação de funcionários.

Em novembro, o MPDFT instaurou inquérito civil público para investigar um suposto incidente de segurança envolvendo o banco de dados da Federação das Indústrias do Estado de São Paulo (Fiesp).