Informações expostas faziam parte de um cadastro para que usuários participassem da votação do novo presidente do clube; time carioca pode ter problemas com a LGPD
Leticia Riente, editado por Daniel Junqueira 16/11/2020 15h09 do site Olhar Digital
Link original da Matéria: https://olhardigital.com.br/noticia/torcedores-do-vasco-tem-dados-pessoais-vazados/110245
Torcedores do Club de Regatas Vasco da Gama tiveram seus nomes completos, data de nascimento e CPF vazados após uma falha disponibilizada por meio de uma URL específica. As informações expostas seriam utilizadas para que os torcedores participassem das eleições do novo presidente do clube carioca, que ocorreu no sábado (14). O vazamento infringe a Lei Geral de Proteção de Dados (LGPD).
Todas as informações estavam hospedadas no site Eleja Online, que ofereceu a realização do cadastro durante a última semana. Mas a lacuna permitiu que pessoas de fora acessassem dados pessoais de milhares de usuários por meio de uma URL incluindo apenas o número da matrícula. No navegador, era exibido ID, nome completo, CPF, data de nascimento, número da matrícula e a categoria (geral, patrimonial, remido, benfeitor remido, etc.).
A plataforma utilizava o Cloudflare, que funciona como uma espécie de protetor de sites contra DDoS e outras ameaças, mas não havia outros meios ou defesas para prevenir ataques de força bruta. Atualmente, a página de cadastro está fora do ar.
Jorge Salgado foi eleito como novo presidente do clube, mas o candidato Leven Siano, que também buscava pelo cargo, ainda briga na Justiça para validar o resultado da eleição que ocorreu no último dia 7 e foi suspenso pelo Superior Tribunal de Justiça (STJ).
LGPD
Quando o torcedor visitava a página de cadastro, era exibida em tela um pop-up com a política de privacidade, que inclusive mencionava “o comprometimento da Assembleia Geral Ordinária do Club de Regatas Vasco da Gama com a transparência e com a proteção dos seus dados pessoais”. Mas o texto destaca que a LGPD ainda não estava em vigor, sendo que a norma passou a valer em setembro.
Além disso, o site afirmou que “garantimos que somente a Assembleia Geral do Club de Regatas Vasco da Gama tem acesso aos seus dados pessoais coletados por este website”, o que claramente não foi cumprido.
Ainda na política de privacidade, o usuário podia conferir o seguinte trecho: “o presidente da Assembleia Geral do Club de Regatas Vasco da Gama adotou todas as medidas de segurança por meio de uma seleção criteriosa da empresa responsável pela coleta de dados e operação do sistema de eleição virtual”.
Cabe destacar que o descumprimento da LGPD pode acarretar multas de 2% sobre o faturamento anual, limitada a R$ 50 milhões. Quem for afetado por um vazamento como este pode entrar com processo na Justiça.
Fonte: Tecnoblog/Uol
Nota da VESATEC:
Apenas como precisão jornalística, as penalidades previstas na matéria acima do portal Olhar Digital está prevista no Artigo 52 da LGPD. No entanto, o presente artigo só entrará em vigor no dia 01/08/2021, bem como, somente após essa data a ANPD poderá atuar proativamente neste tipo de situação, auditando e aplicando penalidades. Por isso, quem se sentir lesado poderá ingressar na justiça e o juiz de cada caso poderá fixar a penalidade conforme o seu entendimento.
Além disso, uma eventual indenização seria fixada para cada Titular do dado vazado. Segundo notícias do dia da eleição no clube, cerca de 3.000 pessoas votaram, ou seja, se todos esses dados vazaram, uma indenização de reparação de danos poderá ser fixada pelo judiciário para cada caso. No entanto, é necessário que cada um destes entrem na justiça o que pode não ocorrer por trataram-se de torcedores do clube.