O Procon de São Paulo anunciou esta semana que abriu um processo de averiguação contra a Neshoes devido ao incidente cibernético confirmado pelo e-commerce nesta quarta-feira (17) e que pode ter ocasionado a perda de dados pessoais de clientes. A proposta é averiguar se houve algum tipo de agressão por parte da empresa à Lei Geral de Proteção de Dados, e ao Código de Defesa do Consumidor.
A Netshoes confirmou estar ciente de um incidente cibernético dentro de sua estrutura ainda no mesmo dia em que a informação veio a público. De acordo com nota enviada à Security Report, a ocorrência pode ter sido a causa do comprometimento de dados de 38 milhões de usuários e de 40 milhões de registros de compra, expostos por um usuário no fórum de hackers BreachForums.
Naquele momento, foi iniciada uma investigação forense sobre o ocorrido com órgãos competentes, incluindo a Autoridade Nacional de Proteção de Dados, para esclarecer as circunstâncias do episódio e evitar eventuais contratempos aos clientes. A Netshoes ainda reforçou seu compromisso com a lei, com a Cibersegurança e Privacidade de seus usuários.
Agora, de acordo com apuração da Agência Brasil, o Procon paulista pretende verificar se houve problemas relacionados à legislação sobre armazenamento e proteção de dados, prevista na Lei Geral de Proteção de Dados e no Código de Defesa do Consumidor. O órgão ainda ressaltou que ambas as regulações específicas devem ser cumpridas.
“Em razão do anúncio de vazamento de dados que pode impactar muitos consumidores da empresa, o Procon quer esclarecer se houve problemas relacionados à legislação sobre armazenamento e proteção de dados, pois além da regulação específica, também o Código de Defesa do Consumidor tem de ser observado em situações como essa”, complementa o órgão em nota enviada à Security Report.
A publicação também entrou em contato com a Netshoes a respeito desse desdobramento, que reafirmou seu posicionamento anterior: “A empresa também iniciou uma investigação forense sobre o ocorrido e trabalhará juntamente com os órgãos competentes, inclusive com a Autoridade Nacional de Proteção de Dados, para esclarecer as circunstâncias do episódio e evitar eventuais contratempos aos clientes”.
Vale ressaltar que a Netshoes já foi punida anteriormente devido a um vazamento de dados. Isso porque, entre o final de 2017 e início de 2018, a empresa teve quase 2 milhões de dados relacionados aos clientes expostos na rede. Embora ela tenha rechaçando a possibilidade de ter sido invadida, a questão levou o Ministério Público do Distrito Federal e Territórios (MPDFT) a investigar a companhia.
Ao final desse processo a companhia foi intimada a pagar uma indenização no valor de R$ 500 mil no âmbito de um Termo de Ajustamento de Conduta (TAC). A companhia ainda se comprometera a implantar medidas adicionais ao seu Programa de Proteção de Dados, realizar esforços de orientação de consumidores, aumentar o nível de conhecimento sobre os riscos cibernéticos e medidas de proteção de seus dados pessoais, por meio de campanha de conscientização, e disseminar ao mercado as melhores práticas para privacidade e proteção de dados pessoais.
A Security Report divulga, na íntegra, posicionamento do Procon-SP sobre a investigação, bem como republica nota enviada pela Netshoes:
“O Procon-SP instaurou nesta quarta-feira (17) um procedimento de averiguação contra a Netshoes (NS2.Com Internet S.A) em razão do anúncio de vazamento de dados que pode impactar um grande número de consumidores empresa. De acordo com notícia divulgada pela imprensa, entre as informações vazadas estão nomes, número de telefone, CPF, além de informações sobre pedidos.
O órgão de defesa do consumidor paulista quer esclarecer se houve problemas relacionados à legislação sobre armazenamento e proteção de dados, pois além da regulação específica, também o Código de Defesa do Consumidor tem de ser observado em situações como essa”.
“A Netshoes tomou conhecimento, por meio de suas ferramentas de monitoramento, de que foi vítima de um incidente cibernético, que pode ter resultado no vazamento de arquivos contendo dados de clientes. O incidente não envolveu informações sensíveis e não afetou as operações da empresa.
Assim que foi informada sobre o incidente, a Netshoes reforçou todas as medidas de segurança e controle. A empresa também iniciou uma investigação forense sobre o ocorrido e trabalhará juntamente com os órgãos competentes, inclusive com a Autoridade Nacional de Proteção de Dados, para esclarecer as circunstâncias do episódio e evitar eventuais contratempos aos clientes.
A Netshoes opera em estrita conformidade com a lei e está absolutamente comprometida com a segurança da informação, com a transparência e a privacidade, seguindo rigorosos padrões globais, baseados nas melhores práticas de mercado”.
*Com informações da Agência Brasil
