Después de recibir comentarios de Experian sobre una fuga masiva de datos en Brasil, la organización de derechos del consumidor del estado de São Paulo, Procon, calificó las explicaciones de la empresa como «insuficientes» y dijo que es probable que el incidente haya comenzado en el entorno de la empresa.
Procon ha notificado información crediticia multinacional luego de que surgiera la filtración de la divulgación de datos personales de más de 220 millones de ciudadanos y empresas, que se ofrecen a la venta en la web oscura. La firma de seguridad PSafe descubrió el incidente, que reveló todo tipo de datos personales, incluida información de Mosaic, un modelo de segmentación de consumidores utilizado por Serasa, la filial brasileña de Experian.
Luego de que surgiera la fuga en enero, Procon notificó al buró de crédito y le pidió a la empresa que confirmara el incidente, explicara las razones que causaron la fuga, las medidas tomadas para contenerla y cómo repararían el daño. A los consumidores afectados y las medidas tomadas para evitar que esto vuelva a suceder.
«No se ha descartado ninguna hipótesis», dijo el CEO de Brocon, Fernando Kibes. «En este momento consideramos más probable que la filtración provenga de empresas y no de piratas informáticos», y agregó que las notas de Experian plantean más preguntas que respuestas. Las explicaciones recibidas de la empresa serán analizadas por la Junta Directiva de la Autoridad de Derechos del Consumidor, y se puede imponer una multa si surgen violaciones.
Según Procon, Experian ha informado que todas sus actividades que involucran datos personales cumplen con las regulaciones brasileñas de protección de datos y que el procesamiento de estos datos puede servir legalmente para varios propósitos. La Comisión de Derechos del Consumidor dijo que esta parte de la respuesta no fue suficiente, porque “no existe una base legal para procesar y usar los datos de manera aleatoria”, y eso incluye los datos de personas fallecidas que también fueron divulgados en la filtración.
Además, Procon indicó que Serasa Experian no especificó las medidas técnicas y organizativas adoptadas para implementar su política de protección de datos. Además, la empresa reforzó lo que dijo en un comunicado emitido la semana pasada en su respuesta a la notificación, que no hay evidencia de que los datos crediticios se obtuvieron ilegalmente de su filial brasileña. La compañía también ha argumentado que no hay evidencia de que sus sistemas tecnológicos se hayan visto comprometidos.
Con respecto a la política de Serasa Experian para mitigar los riesgos que pueden ocurrir en tales circunstancias, Procon dijo que la compañía solo declaró que actualmente se está ejecutando un «programa integral de seguridad de la información». En cuanto a la reparación de daños al consumidor, Serasa Experian declaró que su sitio web contiene instrucciones sobre qué hacer en caso de fraude. La posición de Procon es que esta es una medida preventiva, no una medida compensatoria.
ZDNet se puso en contacto con Serasa Experian y no respondió a las solicitudes de comentarios sobre la respuesta de Procon a sus observaciones. Las solicitudes de respuesta de la agencia vienen de la mano de los llamados del Instituto Brasileño de Protección al Consumidor (IDEC) para tomar medidas urgentes para investigar y sancionar a los responsables de divulgar datos poblacionales, así como para mejorar la información ciudadana y la transparencia.
«Solucionador de problemas. Gurú de los zombis. Entusiasta de Internet. Defensor de los viajes sin disculpas. Organizador. Lector. Aficionado al alcohol».