A Ticketmaster, plataforma de venda de ingressos, confirmou o vazamento de dados que pode ter exposto 560 milhões de clientes, na última sexta-feira (31). Em comunicado ao SEC (Comissão de Valores Mobiliários dos Estados Unidos), a Live Nation, que subsidia a companhia, informou ter iniciado uma investigação após identificar uma "atividade não autorizada dentro de um ambiente de banco de dados em nuvem de terceiros". O Procon-SP notificou a Ticketmaster pedindo explicações.
Em 28 de maio, um grupo hacker conhecido como ShinyHunters reivindicou o ataque no BreachForums, um fórum de hackers criminosos na dark web, oferecendo 1.3 terabyte de dados por US$ 500 milhões. Segundo eles, foram vazados nomes, endereços, telefones e informações de cartões de crédito como os últimos quatro dígitos e a data de expiração. A Live Nation citou um ataque hacker no comunicado ao SEC, mas não especificou os autores. O FBI (Federal Bureau of Investigation) apreendeu mais uma vez o domínio do site, conhecido por ser um dos maiores fóruns ilegais da dark web.
O Procon-SP notificou a Ticketmaster para que a empresa informe se o vazamento afetou clientes brasileiros e quantos consumidores podem ter sido atingidos. Além disso, a instituição pediu que a companhia esclareça como os dados são captados e armazenados e quais serão os procedimentos adotados.
"A gente questiona e trabalha de forma integrada à Lei Geral de Proteção de Dados (LGPD) e dita a orientação aos consumidores conforme a resposta da notificação, como eventuais medidas administrativas cabíveis", informou o diretor de Assuntos Jurídicos do Procon-SP, Robson Campos.
A LGPD, em vigor desde 2020, garante a proteção dos dados pessoais dos brasileiros, direito fundamental no País conforme a Constituição Federal. No entanto, o advogado do Instituto de Defesa do Consumidor (IDEC) Lucas Marcon expressou a preocupação da organização como um todo no que diz respeito à jurisprudência do Supremo Tribunal de Justiça, que entendeu que o vazamento de dados por si só não tem capacidade de gerar dano moral indenizável.
"Muito embora tenha uma violação de um direito fundamental, isso em si não gera uma indenização por danos morais ou uma responsabilidade da empresa. Isso é uma coisa que o IDEC vê com muita preocupação, caso as pessoas, quando elas sofram com problemas daquele vazamento, não consigam comprovar", explica Marcon .
Essa comprovação de danos, no entanto, é algo difícil de alcançar, já que os dados da população são coletados de forma massiva em diversos lugares, argumenta o professor de Direito Digital da Universidade de São Paulo Eduardo Tomasevicius.
Segundo o professor, "quando se concebeu a LGPD, achava-se que era possível identificar a válvula ali, o dano aconteceu. Só que hoje, você não tem como identificar. Por quê? O tempo todo estão sendo coletados os dados [..] ou seja, são tantos dados coletados que você não sabe de onde veio".
Embora isso não deva anular a cautela das empresas, na prática, quanto maior o número de dados vazados, menores as chances de alguém sofrer um dano. O gerente de projetos da Safernet Brasil Guilherme Alves explicou que em casos como o da Ticketmaster, que envolve o vazamento massivo de dados, a chance de algum dano imediato para uma pessoa específica ocorrer é pequena.
Ainda assim, no caso da Ticketmaster a orientação da Safernet Brasil aos clientes brasileiros é que troquem senhas e dados de acesso à conta na plataforma, principalmente os cartões de crédito. Além disso, é possível notificar a instituição financeira sobre o possível vazamento de dados.
"Quando a gente fala de compras online, a orientação é sempre que as pessoas utilizem cartões de crédito virtuais, para que qualquer tipo de situação que ela possa ter, seja possível simplesmente excluir o cartão de crédito virtual, sem comprometer o cartão de crédito", informou Alves.
A análise da Safernet Brasil, considerando outros casos como o da Ticketmaster, é de que estes bancos de dados acabam sendo comercializados, podendo servir para outros tipos de golpes criminosos no futuro. Segundo Alves, "quando há um vazamento massivo, pode ser que o dano para uma pessoa específica seja difícil de rastrear, mas isso não quer dizer que não haja a possibilidade de um dano futuro".
A dificuldade no rastreio dos dados é a principal barreira para a comprovação dos danos, embora a LGPD determine a transparência. Por isso, outra recomendação é que os consumidores registrem uma reclamação na Autoridade Nacional de Proteção de Dados (ANPD), órgão criado para fiscalizar o cumprimento da LGPD.
Segundo Marcon, o IDEC tem mantido conversas com o órgão reiterando ações rápidas e efetivas, além de transparência em processos administrativos para que a população tenha noção das atualizações e do tempo de espera necessário. "Mas, infelizmente, o que a gente viu até hoje é uma omissão muito grande da autoridade", criticou o advogado.
Em contrapartida, Tomasevicius vê o papel da ANPD como educacional e não punitivo, uma vez que o País possui uma cultura de divulgação de dados bastante forte. "A gente também tem que se preocupar em saber o que são feitos com os nossos dados, e aqui ninguém se preocupa, é muito fácil as pessoas ficarem entregando os dados sem questionar, querendo receber vantagens por conta disso [...] então é uma injustiça até criticar a autoridade", defende o professor.
Diante disso, o papel da ANPD para Tomasevicius deveria ser de fomento à educação digital e imposição de uma coleta e armazenamento menor de dados, evitando também o pedido de informações desnecessárias que não sirvam para um propósito específico. Um incentivo à cultura de minimização da coleta de dados poderia vir de encontro também ao questionamento sobre o uso das informações.
"Por exemplo, um antibiótico que custa R$ 300 fica R$ 150, significa que a farmácia está pagando pra você R$ 150 pra saber que você usa o medicamento, veja, é um valor elevado, ou seja, por que o laboratório paga esse valor pra você dizer isso pra ele? Isso não é questionado e é muito mais grave do que uma situação punitiva da ANPD", disse o professor citando como exemplo os descontos significativos oferecidos pelas farmácias quando os clientes oferecem o CPF.
COM A PALAVRA AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS
A reportagem do Estadão entrou em contato com a Autoridade Nacional de Proteção de Dados, que informou ter tomado conhecimento do caso através da imprensa.
"Ainda não houve comunicado formal pela empresa. Caso a empresa não comunique espontaneamente, a ANPD poderá provocar a empresa para que apresente o comunicado ou esclarecimentos, se houver indícios de que o incidente pode ocasionar riscos ou danos relevantes às pessoas afetadas".
"Inicialmente, a lei manda que a própria Ticketmaster avalie se o incidente envolveu dados pessoais e se ele ocasiona risco ou danos relevantes às pessoas afetadas. Caso positivo, surge a obrigação de comunicar às pessoas afetadas e à ANPD".
"A partir do comunicado encaminhado pela empresa, a equipe técnica verifica as informações recebidas para o correto direcionamento da fiscalização. As ações dependem dos riscos ou danos eventualmente decorrentes do incidente e, sobretudo, das medidas que a empresa já tenha tomado ou que pretende tomar", informou a ANPD em nota.
COM A PALAVRA TICKETMASTER
A reportagem do Estadão entrou em contato com a Ticketmaster, mas não recebeu resposta até a publicação desta reportagem. O espaço está aberto.