Vazamento de dados de 13 milhões de usuários do Bilhete Único: Lei exige que SPTrans tem de comprovar que não contribuiu para vulnerabilidade, diz especialista
Publicado em: 26 de dezembro de 2022
De acordo com advogada especializada em LGPD, passageiro deve acompanhar e aguardar as apurações e gerenciadora deve contratar auditoria
ADAMO BAZANI/ALEXANDRE PELEGI
A SPTrans (São Paulo Transporte), responsável pelo Bilhete Único dos ônibus municipais e do sistema te trilhos de São Paulo, deve provar que não contribuiu ou não deu brecha para o vazamento de dados pessoais de 13 milhões de usuários. Isso ocorre mesmo a gerenciadora dos transportes sendo vítima também.
É o que prevê a LGPD (Lei Geral de Proteção de Dados), de acordo com a advogada especializada, Andrea Leal, em entrevista para o Diário do Transporte.
“Embora tenha sido vítima de um ataque, provavelmente externo, que causou o vazamento de dados, a regulação brasileira vinculada ao tema exige que a empresa atingida comprove que não contribuiu para a vulnerabilidade do sistema (por exemplo, ao adotar medidas insuficientes de defesa cibernética, ou não realizar treinamento necessário das pessoas responsáveis pelo tratamento de dados)”. – disse
Como mostrou o Diário do Transporte em primeira mão, na sexta-feira, 23 de dezembro de 2023, a SPTrans comunicou o vazamento que ocorreu em abril de 2020, mas só foi descoberto mais de dois anos depois, em 15 de dezembro de 2022, após a troca da empresa responsável pela segurança do sistema do Bilhete Único.
Entre as informações vazadas estão nome, nome social, data de nascimento, CPF, RG, endereço, número de telefone, filiação, PIS, matrícula de aluno, estado civil, naturalidade, sexo, e-mail, além de login e senha do portal de serviços da SPTrans na internet.
Ninguém sabe quem são os criminosos e o que fizeram com estes dados.
Relembre:
A especialista diz que deve ser feita uma auditoria externa detalhada que identifique não só as fragilidades do sistema, mas também os pontos fracos da operação, vinculada aos processos internos, que quando bem estruturados minimizam os riscos de falha humana ou até brechas para mal intencionados.
“A lista neste caso é bem completa, mas resumidamente passa por capacitação e treinamento contínuo e permanente dos servidores sobre o tema, a revisão do banco de dados – para mantê-los atualizados e composto apenas por dados necessários para a operação”. – explicou.
Em entrevista coletiva, o prefeito de São Paulo, Ricardo Nunes, disse na sexta-feira (23) que as autoridades policiais foram comunicadas para as investigações e que os passageiros estão sendo avisados.
Para a advogada Andrea Leal, especialista em LPGD, de acordo com a lei, a SPTrans agiu corretamente em comunicar à Polícia e avisar os passageiros.
A gerenciadora dos transportes também comunicou a Autoridade Nacional de Proteção de Dados – ANPD (conforme disposto no Art. 48 da Lei Geral de Proteção de Dados – LGPD)
A especialista também destacou na conversa com a reportagem uma peculiaridade em relação aos sistemas de transporte: a participação direta do Poder Público nos processos de regulação e gestão.
“A LGPD, por exemplo, dispõe de tratamento diferenciado para os dados geridos por entes públicos e a sua aplicabilidade ainda está ganhando robustez através dos casos práticos, seja por parte da ANPD, seja por parte do judiciário”.
De acordo com advogada especializada em LGPD, o passageiro deve acompanhar e aguardar as apurações
“Primeiramente é importante que o passageiro siga confiante quanto à gestão dos seus dados, pois é do interesse de todos os envolvidos que esse tipo de incidente não seja comum, nem frequente, e não o são. É de igual importância que os passageiros sigam as orientações repassadas pelo gestor dos dados como a troca de senhas, por exemplo. Por fim, é recomendável acompanhar os desdobramentos do caso, para que as práticas diárias possam ser verificadas por todos”.
A SPTrans informou que não houve desvios dos valores dos créditos dos passageiros e que não adianta o usuário correr para os postos de atendimento.
Os bilhetes dos passageiros que tiveram os dados vazados continuam sendo aceitos normalmente nos ônibus municipais de São Paulo gerenciados pela SPTrans e nos trilhos sob responsabilidade do Estado (Metrô, CPTM, ViaMobilidade e ViaQuatro).
Adamo Bazani e Alexandre Pelegi, jornalistas especializados em transportes
Comentários
Foi vítima do ocorrido o que devo fazer por favor ….
Basicamente o que a advogada diz na matéria
E sem contar que fui roubado pela SP trans os saldos que eu tinha no bilhete antigo não foram repassados para o bilhete novo falaram que seria automático por ter muito saldo recolheram o bilhete antigo com certeza havia ou há um esquema quando fui atrás não me avisaram que eu só poderia usar todo aquele saldo dentro de 1 ano de prazo errado o saldo era meu era só passar de um bilhete pro outro e não foi feito me roubaram mais de 3500 reais em saldo
EMeu Cartão, com validade ate 2023, deixou de ser lido nos terminais da CPTM e Metro5no primeiro semestre de 2022.Desde então pago as passzgems5com o meu dinheiro. Da minha mulher foi pior: simplesmente sumiram com mais de R$ 4 mil que ela tinha de saldo. Sumiu, evaporou e a @SPTrans nada justificou.
Em julho desse ano de 2024, sumiu 900,00 do meu cartão. E SPTrans está arrumando problema para resolver. Consultei advogado que informou que posso pedir danos morais. No extrato do Scapub da própria SPTrans tem o demonstrativo que um dia eu tinha por volta de 1.200 e no outro 300,00. Vocês conseguiram resolver ? Tiveram o dinheirinho de volta ?
Foi mais de R$50,00 que roubaram quero meu dinheiro de volta.
A Sptrans falam que é crime os usuários emprestam o bilhete para outra pessoa, mas vazar os dados pessoais a irresponsabilidade dele é inaceitável é ridículo o Sptrans só depois de 2 anos que descobre o vazamento de dados , o que eles estavam fazendo……no mínimo dormindo .A Sptrans tem quer responsabilizar e indenizar os 13 milhões de pessoas com dano moral.