O Ministério Público do Distrito Federal e Territórios (MPDFT) instaurou um Inquérito Civil Público (ICP) para investigar possível vulnerabilidade exposta em um site que oferece consulta ao Cadastro Positivo.

Em um anúncio feito nesta segunda-feira (13), o órgão disse que sua Unidade Especial de Proteção de Dados e Inteligência Artificial (Espec) está apurando potencial vulnerabilidade no serviço prestado pelo birô de crédito do Boa Vista SCPC – Serviço Central de Proteção ao Crédito.

O Cadastro Positivo é um sistema que avalia os consumidores a partir de um leque de dados de pagamento, com a promessa de facilitar a obtenção de crédito e a obtenção de juros menores. As informações desse banco de dados podem ser consultadas pelo varejo, bancos e outras instituições financeiras.

Toda pessoa que contratar uma operação de crédito ou tiver conta de serviço de natureza continuada será automaticamente incluído no Cadastro Positivo. Para sair do sistema, é preciso fazer uma solicitação a um dos gestores (Serasa, Boa Vista SCPC, SPC Brasil e Quod).

A consulta ao sistema foi aberta para todos nesta semana. Para ver a sua nota, é preciso fazer um cadastro em um dos gestores e informar nome completo, CPF, e-mail e número de telefone.

De acordo com o MPDFT, é possível encontrar dados pessoais como nome e sobrenome da mãe do titular do CPF consultado, o que poderia permitir localizar cidadãos e obter mais dados pessoais em outros sites e instituições, como Receita Federal e Justiça eleitoral.

O documento de instauração do inquérito pode ser acessado neste link e tem uma seção para detalhar a vulnerabilidade. Porém, essa seção está suprimida para evitar que as pessoas se aproveitem da suposta falha — o que, convenhamos, não é muito eficaz, já que uma pessoa com conhecimentos técnicos poderia se aproveitar da brecha de qualquer forma. Aparentemente, o MPDFT não comunicou o Boa Vista SCPC para consertar os problemas antes de divulgar a abertura do inquérito.

A instauração do inquérito diz ainda que o “Boa Vista SCPC é considerado gestor pela Lei do Cadastro Positivo, e, como tal, possui responsabilidade objetiva e solidária pelos danos materiais e morais que causar aos cadastrados” e cita o direito à privacidade garantido da Constituição e o Código de Defesa do Consumidor para justificar a ação.

[MPDFT]