Nachdem Procon, die Consumer Rights Foundation des Bundesstaates São Paulo, Feedback von Experian zu einem massiven Datenverstoß in Brasilien erhalten hatte, bezeichnete er die Erklärung des Unternehmens als „unzureichend“ und sagte, es sei wahrscheinlich, dass der Vorfall in einem Unternehmensumfeld begann.
Procon benachrichtigte das multinationale Kreditinformationsunternehmen nach dem Auftreten eines Lecks, das die persönlichen Informationen von mehr als 220 Millionen Bürgern und Unternehmen enthüllte und im dunklen Internet zum Verkauf angeboten wird. Die Sicherheitsfirma PSafe entdeckte den Vorfall und enthüllte alle Arten von persönlichen Daten, einschließlich Informationen von Mosaic, einem Verbrauchersegmentierungsmodell, das von Serasa, der brasilianischen Tochtergesellschaft von Experian, verwendet wird.
Nach dem Leck im Januar benachrichtigte Procon das Kreditbüro und bat das Unternehmen um Bestätigung des Vorfalls und um eine Erläuterung der Gründe, die das Leck verursacht haben, der Maßnahmen zur Minderung des Lecks und der Art und Weise, wie der Schaden für die betroffenen Verbraucher behoben wird und die Maßnahmen, die ergriffen wurden, um ein erneutes Auftreten zu verhindern.
„Es wurde keine Hypothese ausgeschlossen, und an diesem Punkt glauben wir, dass es wahrscheinlicher ist, dass das Leck eher von Unternehmen als von Hackern stammt“, sagte Fernando Capez, Executive Director von Procon, und fügte hinzu, dass Experians Feedback mehr Fragen als Antworten hervorrief. Die Erklärung des Unternehmens wird vom Vorstand der Verbraucherrechtsorganisation analysiert und bei Missbrauch kann eine Geldstrafe verhängt werden.
Laut Procon hat Experian mitgeteilt, dass alle Aktivitäten im Zusammenhang mit personenbezogenen Daten den brasilianischen Datenschutzbestimmungen entsprechen und dass die Verarbeitung dieser Daten rechtlich mehreren Zwecken dienen kann. Dieser Teil der Antwort sei unzureichend, sagte die Verbraucherrechtsbehörde, da „es keine Rechtsgrundlage für die Behandlung und Verwendung von Daten in irgendeiner Weise gibt“ und dies schließt Daten von Verstorbenen ein, die ebenfalls von dem Leck betroffen waren.
Darüber hinaus stellte Procon fest, dass Serasa Experian die technischen und organisatorischen Maßnahmen zur Umsetzung seiner Datenschutzrichtlinie nicht spezifiziert hat. Darüber hinaus bestätigte das Unternehmen in einer Erklärung, die letzte Woche in seiner Antwort auf die Mitteilung veröffentlicht wurde, dass es keine Beweise dafür gibt, dass Kreditdaten illegal von seiner brasilianischen Tochtergesellschaft bezogen wurden. Das Unternehmen argumentierte auch, dass es keine Beweise dafür gibt, dass seine Technologiesysteme kompromittiert wurden.
In Bezug auf die Minderungsrichtlinien von Serasa Experian, die unter solchen Umständen auftreten können, sagte Procon, das Unternehmen habe lediglich angegeben, dass derzeit ein „umfassendes Informationssicherheitsprogramm“ existiert. In Bezug auf die Reparatur von Verbraucherschäden weist Serasa Experian darauf hin, dass seine Website Anweisungen enthält, was im Falle eines Betrugs zu tun ist. Procon vertritt die Auffassung, dass dies eher eine vorbeugende Maßnahme als eine Abhilfemaßnahme ist.
Serasa Experian, der von ZDNet kontaktiert wurde, antwortete nicht auf Anfragen nach Kommentaren zu Procons Antwort auf sein Feedback. Die Forderung der Agentur nach Antworten folgt auf Forderungen des brasilianischen Instituts für Verbraucherschutz (IDEC) nach dringenden Maßnahmen zur Untersuchung und Bestrafung der Verantwortlichen für die Offenlegung der Bevölkerungsdaten sowie nach einer verbesserten Information und Transparenz der Bürger.
