O Facebook, mais uma vez, está às voltas com outra história de vazamento de dados. Desta vez, hackers roubaram e exibiram dados pessoais de 533 milhões de pessoas, sendo 8 milhões de brasileiros. Órgãos como o Procon São Paulo já começaram a pedir esclarecimentos sobre o incidente, mas é possível que eles estejam remando na direção errada.
De acordo com o órgão paulista de defesa do consumidor, o Procon notificou o Facebook e pediu esclarecimentos sobre a finalidade e a base legal para o tratamento dos dados pessoais de brasileiros, exigiu informações sobre a obtenção, descarte e tempo de armazenamento de dados, além de pedir dados adicionais sobre o compliance de proteção de dados da companhia a partir da Lei Geral de Proteção de Dados (LGPD).
O Facebook tem até o dia 9 para responder as questões do Procon.
Nota à imprensa mal explicada
Fora do país, o foco da investigação da imprensa especializada não é a adequação da empresa com normas de proteção de dados. Na verdade, os meios de comunicação teriam descoberto inconsistência na versão oficial da empresa – inclusive presente no comunicado oficial da empresa para a imprensa.
No comunicado oficial do Facebook, divulgado nesta terça-feira (6), a empresa minimizou o recente vazamento de dados revelado pelo site Business Insider e afirmou que as informações divulgados na internet foram roubados em um incidente ocorrido “antes de setembro de 2019”, segundo o release. Ou seja, seria notícia antiga.
“Esse recurso foi projetado para ajudar as pessoas a encontrarem facilmente seus amigos para que possam se conectar aos nossos serviços usando suas listas de contatos. Quando soubemos que agentes mal-intencionados estavam usando esse recurso em 2019, fizemos alterações no importador de contatos. Nesse caso, nós o atualizamos para evitar que agentes mal-intencionados usem software para imitar nosso aplicativo e fazer upload de um grande conjunto de números de telefone para ver quais correspondem aos usuários do Facebook”, afirmou Mike Clark, Diretor de Gerenciamento de Produto da empresa.
A Wired seguiu os passos do comunicado do Facebook e aposta na possibilidade do atual vazamento incluir dados coletados ilegalmente em épocas distintas. Para chegar a essa conclusão, o site verificou o link de uma matéria da CNET presente no comunicado e que, por sua vez, cita a reportagem do site TeleCrunch, justamente a autora da denúncia do incidente de 2019. A matéria conversou com o porta-voz do rede social, Jay Nancarrow, que afirma que os dados de 2019 foram “roubados” em 2018.
“Este conjunto de dados é antigo e parece ter informações obtidas antes de fazermos alterações no ano passado para remover a capacidade das pessoas de encontrar outras pessoas usando seus números de telefone”, disse o porta-voz. “O conjunto de dados foi retirado e não vimos nenhuma evidência de que as contas do Facebook foram comprometidas.”
Multa bilionária
Em reportagem, o TechCrunch também corrobora com a tese de uso ilegal de dados pessoais obtidos em épocas distintas. E para chegar a essa conclusão, a reportagem ouviu um representante da Comissão Irlandesa de Proteção de Dados (DPDC), principal supervisora de dados do Facebook na EU.
“O conjunto de dados recém-publicado parece incluir o conjunto de dados original de 2018 (pré-GDPR) e combinado com registros adicionais, que podem ser de um período posterior”, disse o vice-comissário do DPC, Graham Doyle, em um comunicado.
Por fim, a reportagem coloca em perspectiva um debate sobre uma possível punição ao Facebook com base no Regulamento Geral de Proteção de Dados (GDPR) da Europa.
A norma entrou em vigor em maio de 2018 e prevê multa de até 2% do faturamento anual global da companhia em caso de falha na notificação de violações. Além disso, existe outra multa de até 4% do faturamento anual por violações de conformidade mais grave.
Há quem diga que a punição prevista pelo GDPR seria inferior aos US$ 5 bilhões da Federal Trade Commission (FTC) por causa do caso Cambridge Analytica. Mas, no fundo, a conta não é essa: já existem dezenas ou até centenas de países que possuem leis locais de proteção de dados pessoais e poderiam aplicar uma punição.
+ Notícias
Quando a cobrança (ilegal) da vacina da Covid-19 resume o modelo de saúde pública dos EUA?