Márcio Fernandes/Estadão Márcio Kumruian, cofundador da Netshoes

O Ministério Público do Distrito Federal e Territórios (MPDFT) recomendou, nesta quinta-feira, 25, que o site de compras Netshoes, especializado em artigos esportivos, avise, por telefone ou correspondência, 1.999.704 milhões de clientes a respeito de um vazamento de dados, ocorrido a partir de uma falha de segurança na empresa. No pedido, o promotor Frederico Meinberg diz se tratar de "um dos maiores incidentes de segurança já registrados no Brasil".

Segundo o MPDFT, a brecha, revelada no início deste mês, fez com que informações pessoais como nome, CPF, e-mail, data de nascimento e histórico de compras fossem revelados a hackers – o órgão recomendou ainda que a empresa não faça nenhum tipo de pagamento aos cibercriminosos que causaram a falha de segurança.

De acordo com Meinberg, a atuação é necessária, "diante da gravidade dos fatos, do risco de prejuízos graves aos consumidores e da quantidade de titulares dos dados pessoais afetados", destacou. Para o pesquisador em telecomunicações do Instituto Brasileira de Defesa do Consumidor (Idec), Rafael Zanatta, o caso é inédito no Brasil – isso porque, como o País não tem uma lei específica de proteção de dados pessoais, nem uma autoridade independente responsável por supervisionar a questão por aqui, o Ministério Público do Distrito Federal assumiu tal responsabilidade.

Entre os usuários afetados, diz o pedido do MPDFT, há contas de emails de servidores públicos, como da Presidência da República, do Supremo Tribunal Federal, da Polícia Federal e Advocacia-Geral da União. "Isso abre espaço para um potencial de dano enorme. Muita gente no Brasil usa a mesma senha para diversas contas. Com esse vazamento, pode se comprometer não só informações pessoais, mas também habilitar o acesso a emails institucionais de assuntos sensíveis do País", avalia Zanatta.

O MPDFT deu à Netshoes o prazo de três dias úteis para avisar os quase 2 milhões de consumidores sobre o vazamento dos dados. Segundo o pedido, a comunicação só será considerada válida com confirmação de recebimento dos usuários. Caso isso não aconteça, a empresa poderá ser acionada na Justiça por danos morais e materiais causados aos consumidores.

Procurada pelo Estado, a Netshoes respondeu que está "em contato com o Ministério Público a fim de avaliar as medidas cabíveis ao caso dentro do prazo estabelecido". A empresa disse ainda que "tem a proteção de dados como um de seus mais sólidos compromissos e que, desde o princípio, envolve órgãos competentes neste caso para a mais breve apuração, esclarecimento e solução do ocorrido com total transparência".

Para o pesquisador do Idec, os usuários devem pressionar a empresa para tomar as atitudes necessárias e mitigar os danos. "Como não existe regra clara na lei sobre o que deve acontecer em um incidente de segurança, as empresas só respondem quando há pressão popular ou das autoridades."

No ano passado, a Netshoes abriu capital na Bolsa de Nova York – neste momento, as ações da empresa operam com forte alta de 5% no mercado norte-americano.