Marcelo Branquinho, CEO da TI Safe, expôs a descoberta em vídeo. Foto: Divulgação
A TI Safe Segurança Cibernética Industrial, empresa carioca especializada em segurança de infraestruturas críticas, descobriu uma exposição de dados de empresários no site Comprasnet, portal de compras do governo federal.
A descoberta foi através da exposição das suas próprios informações, pois a companhia participa de uma disputa para ser fornecedora do governo.
No site, que pode ser ado por qualquer pessoa, basta entrar na área direcionada a pregões abertos para lances e digitar o código e o número de um pregão eletrônico para ter o a uma página com as empresas concorrentes.
Nela, estão expostos documentos dessas companhias. É possível, inclusive, baixar o contrato social, que contém dados do negócio e dos sócios, entre eles nome completo, endereço, F e RG, além de cópias digitais das CNHs.
“É um enorme absurdo, eu me sinto lesado como empresário e tenho certeza que todos os outros também. Eu pergunto, onde fica a LGPD nisso tudo? A lei está sendo absolutamente desrespeitada pelo governo no Comprasnet”, reclama Marcelo Branquinho, CEO da TI Safe, em um vídeo publicado pelo CISO Advisor.
Segundo Hermes de Assis, especialista em direito digital e empresarial do Urbano Vitalino Advogados, a discussão é polêmica, pois a existência de o público a uma base de dados por si não configura uma ilegalidade.
“Entretanto, no momento em que essas informações são disponibilizadas com o público muito facilitado e sem nenhuma espécie de controle, abre margem para a possibilidade de um desvio de finalidade, que não a autorizada pelo titular, além de abrir uma brecha para a prática de fraudes", pontua Assis.
No caso do ComprasNet, que tem uma base estruturada, a Agência Nacional de Proteção de Dados (ANPD) pode atuar solicitando uma justificativa para o governo sobre a facilidade e o nível de o tão amplo à base de dados e, não havendo justificativa, solicitar que haja uma alteração dos procedimentos.
"Isso faz com que os empresários tenham uma exposição indesejada que não foi imaginada no momento em que disponibilizaram as informações pessoais para participar de licitações. Dentro da LGPD, isso tende a ser interpretado como um desvio de princípio”, analisa o especialista.
Para Assis, o ideal seria o site ter uma mínima autenticação para registrar quem está solicitando os dados e com qual finalidade.
Luana Rosales 1q154x
Repórter no Baguete Diário