O Instituto Nacional do Seguro Social (INSS) é uma das maiores bases de dados de cidadãos brasileiros. O repositório do órgão federal contém informações de pensionistas, ou seja, pessoas têm aposentadoria remunerada após 60 anos de idade — 62 para mulheres e 65 para homens, de acordo com a Reforma da Previdência de 2019. Mas há suspeitas de que o INSS tenha vazado dados pessoais e sensíveis para bancos privados que oferecem crédito consignado.
A ONG pró-consumidor Instituto de Defesa Coletiva protocolou na Justiça Federal uma ação civil pública contra o INSS e o DataPrev — responsável pelo repasse de informação dos pensionistas ao órgão — por violarem a Lei Geral de Proteção de Dados (LGPD).
Segundo a ONG, houve vazamento de dados pessoais de beneficiários do Regime Geral de Previdência Social, controlado por INSS e DataPrev. O Instituto de Defesa Coletiva ainda alega que houve omissão dos órgãos federais para resolverem fraudes cometidas por bancos nos contratos de empréstimos consignados.
Essa modalidade de empréstimo só pode ser feita por pensionistas do INSS, já que é um desconto da folha de pagamento da aposentadoria. De acordo com o processo, o crédito consignado é uma das principais fontes de “fraude e ilicitudes, pois sua concessão é feita de forma irresponsável pelos bancos”.
A queixa judicial alega que os bancos têm acesso irrestrito a um mercado de dados de pensionistas que opera fora dos conformes da lei. “Tal mercado de compra e venda de informações favorece empresas financeiras para a abordagem massiva de recém-aposentados com a divulgação de operações de crédito consignado”, diz o Instituto de Defesa Coletiva no pedido à Justiça Federal.
Cabe ao DataPrev e ao INSS guardar os dados dos titulares que se cadastram para obter o benefício. O instituto pró-consumidor reforça que ambos também violaram o Artigo 26 da LGPD, que proibe a troca de informações pessoais entre instituições do Poder Público e entidades privadas.
O pedido configura a violação de proteção aos dados de aposentados como dano coletivo, e pede um ressarcimento de R$ 10 milhões de reais de INSS e DataPrev. Além disso, a Justiça deve adotar medidas para estabelecer o sigilo de dados pessoais tratados pelos órgãos federais.
O DataPrev é autorizado pela LGPD a funcionar como uma operadora de dados, como consta no site do órgão. Ele opera dados gerais, mas também pessoais, como CPF, email e endereço; e sensíveis, como etnia, cor e gênero. Ainda é possível que o DataPrev colete observações médicas ou informação sobre deficiências.
Tudo isso está listado na página de tipos de dados pessoais operados pela DataPrev. Em março, o órgão negou que havia vazamentos em seu sistema, mas demitiu o diretor de segurança.
A instituição não respondeu ao Tecnoblog. O INSS disse que não foi notificado da ação jurídica. Fonte : ConJur.