A Controladoria-Geral da União publicou hoje (28) o resultado de um processo administrativo de vazamento de dados pessoais de clientes de alta renda da Caixa Econômica Federal para a XP Investimentos, através da terceirizada “WARU – Agente Autônomo de Investimentos LTDA”. A empresa atuou para a CEF com gerentes terceirizados e estes tinham acesso aos dados dos correntistas com alto poder aquisitivo e renda. A decisão da CGU ainda cabe recurso da empresda condenada.
De acordo com o resumo publicado pela CGU, os funcionários da WARU repassavam as informações dos clientes alta renda da CEF para a XP Investimentos, que por sua vez os assediava com a oferta de serviços. Os quatro sócios da WARU teriam recebido da XP, de acordo com a CGU, a quantia de R$ 2 milhões com o vazamento desses dados pessoais.
Ainda segundo a Controladoria, pelo “ato lesivo previsto no art. 5º, inciso II, da Lei nº. 12.846/2013” – que trata da “responsabilização objetiva administrativa e civil de pessoas jurídicas pela prática de atos contra a administração pública, nacional ou estrangeira”, os sócios da WARU terão de pagar uma multa de R$ 1.984.155,00 – atualizado pela taxa Selic a partir de junho de 2019.
O despacho da CGU não informa se a XP Investimentos também foi responsabilizada no processo ou se escapou de ser multada pela concorrência contra a CAIXA se valendo de vazamento de dados. Nem tampouco informa se o processo foi motivado pela Autoridade Nacional de Proteção de Dados.
Aparentemente não. Nunca se ouviu falar que a ANPD tivesse sido notificada sobre esse episódio e se tomou alguma atitude. Mesmo que fosse para pedir uma investigação junto à CGU.
Também não há informações sobre a eventual responsabilidade da Caixa Econômica Federal de informar sobre o vazamento de dados de clientes dos seus sistemas e se tomou alguma medida que culminou com a investigação da Controladoria-Geral da União. O processo não está visível na página da CGU.
A publicação extraordinária da decisão administrativa sancionadora pela WARU, que arcará com os custos, seguirá os seguintes procedimentos:
(i) em meio de comunicação de grande circulação na área da prática da infração e de atuação da pessoa jurídica ou, na sua falta, em publicação de circulação nacional;
(ii) em edital afixado no próprio estabelecimento ou no local de exercício da atividade, em localidade que permita a visibilidade pelo público, pelo prazo de 135 (cento e trinta e cinco) dias; e
(iii) em seu sítio eletrônico, em destaque na página principal do referido sítio, pelo prazo de 135 (cento e trinta e cinco) dias.
*Enfim, mais um rumoroso caso de vazamento intencional de dados, no qual aparentemente somente a sardinha pagará a conta desta bagunça, em nome do tubarão.
