A MoIP, uma plataforma de pagamentos controlada pela Wirecard Brasil, por sua vez uma das empresas controladas pelo PagSeguro, enviou ontem a seus clientes um comunicado informando que houve “um acesso não autorizado” a dados cadastrais em um dos seus servidores. O comunicado não acrescenta detalhes sobre o incidente. O CISO Advisor não conseguiu contato com o PagSeguro pelo único canal de comunicação disponível no site, um telefone da região metropolitana de São Paulo. A Moip tinha 300 mil clientes um ano atrás segundo o portal eNotas.

A assessoria de imprensa da MoIP enviou às 19h27 um email dizendo que “A MoIP identificou acesso não autorizado a dados cadastrais em um dos seus servidores. Seguindo seu princípio de zelar pela privacidade e segurança dos dados, informou preventivamente os clientes afetados, em linha com o informado à ANPD. Ressaltamos que não houve qualquer acesso a informações sensíveis, tais como senhas, dados de cartões ou transações de clientes. Medidas adicionais de segurança já foram tomadas para evitar incidentes similares”.

O comunicado afirma que “(…) não houve qualquer acesso a informações sensíveis, tais como senhas, dados de cartões ou transações suas ou de seus clientes” mas acrescenta que “podem ter sido acessadas” as seguintes informações: dados cadastrais (nome, RG, CPF e nome da mãe), fotos de documentos do perfil do cliente, renda e patrimônio declarados.

O CISO Alex Amorim, presidente do Instituto Brasileiro de Segurança, Proteção e Privacidade de Dados – IBRASPD – acha que a inclusão de fotos na lista de dados não-sensíveis nesse comunicado “abre uma discussão na comunidade de privacidade sobre a necessidade de maior clareza na definição sobre fotos serem consideradas ou não dados pessoais sensíveis de acordo com sua finalidade”. Amorim observa que o artigo 5º da LGPD define como dado pessoal sensível: “dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”.

Numa enquete instantânea feita por hoje ele no Linkedin, 63% das 90 primeiras respostas indicaram que fotos devem ser consideradas dados pessoais sensíveis.

Analisando o comunicado, o jurista Marcelo Chiavassa, professor de Direito Digital da Universidade Presbiteriana Mackenzie, explica a terminologia utilizada, separando dados de informações: “Dado sensivel é aquele definido pela LGPD como tal. E ali não se encontram dados se cartão de crédito e senhas por exemplo. Mas esses dados podem ser informações sensíveis. É diferente: o que empresa está dizendo ali é que não foram acessadas informações sensíveis. E não podemos confundir esses dois conceitos: dados sensíveis são dados genéticos, dados biométricos, dados de saúde, religião e etnia, por exemplo. Isso é dado sensível definido pela LGPD. Mas dentre os dados que uma empresa pode ter podem estar alguns que contenham informações sensíveis, como os dados de cartão de crédito. Ele não é um dado sensível, mas é um dado que contém informações sensíveis e que podem trazer mais prejuízo a uma pessoa do que alguém simplesmente saber o nome dela. É isso o que eles estão sustentando: de que não houve, em tese, acesso o vazamento de informações sensíveis, ou seja, aquelas que podem nos prejudicar mais”.

https://www.cisoadvisor.com.br/moip-comunica-vazamento-de-dados-de-clientes/