O Procon de São Paulo notificou nesta segunda-feira (1º) a Serasa Experian, solicitando explicações sobre uma pesquisa realizada pelo bureau de crédito que pedia, além de dados de agência bancária e conta corrente, a senha de internet banking dos participantes.
O pedido do órgão de defesa do consumidor foi encaminhado depois que a denúncia de uma usuária foi noticiada pelo site Tilt. De acordo com a publicação, no último dia 22 uma diretora de produtos de e-commerce expôs o caso no Twitter, manifestando indignação após aceitar participar de um estudo sobre análise de crédito no site da Serasa e identificar, no formulário de inscrição, uma lacuna para informar a senha do acesso bancário via internet.
“Não basta vazar os dados de geral, eles querem a senha do internet banking”, escreveu a usuária, referindo-se ao envolvimento do nome da companhia no caso do megavazamento de dados de mais de 223 milhões de brasileiros, revelado em janeiro. Segundo a empresa de cibersegurança CyberLabs (ex-PSafe), que descobriu o crime, o hacker responsável revelou ter roubado parte das informações das bases da Serasa; a empresa, porém, já negou ter sido fonte do vazamento, que segue sob investigação da Polícia Federal (PF).
A notificação do Procon-SP, que deve ser respondida no prazo máximo de 24 horas após seu recebimento, pede que a Serasa esclareça qual a finalidade do estudo – removido de seu site na última sexta-feira (26) -, a quem se destinou, em quais canais e por quanto tempo foi veiculado, quantos usuários forneceram as informações solicitadas e como estas foram tratadas, entre outros pontos, considerando não apenas o Código de Defesa do Consumidor (CDC), mas as determinações da Lei Geral de Proteção de Dados (LGPD), que vigora desde setembro.
Caso sejam identificadas irregularidades, a Serasa pode ser multada em até R$ 10 milhões.