A Controladoria-Geral do Município de São Paulo investiga o vazamento de dados de mil taxistas e de 456 táxis na capital paulista.
Na noite desta sexta (19), a prefeitura afirmou que, na última quarta-feira (17), a Ouvidoria Geral do Município recebeu denúncia sobre um incidente de segurança no aplicativo oficial de táxi do município, o SPTaxi, cuja operação, evolução e manutenção é feita desde 14 de março do ano passado pela Taksim Inteligência em Mobilidade Urbana LTDA. A empresa ganhou licitação para contrato de 60 meses.
Na prefeitura, o gerenciamento do sistema é de responsabilidade da Secretaria de Mobilidade e Trânsito (SMT) e da Secretaria Executiva de Transporte e Mobilidade Urbana (Setram).
De acordo com a gestão Ricardo Nunes (MDB), em reunião com a Controladoria, Setram e DTP (Departamento de Transportes Públicos), a empresa afirmou que teve ciência do vazamento em 17 de abril, mas que desconhece a data precisa do incidente, ocorrido em ambiente de testes de funcionalidade do aplicativo.
A data foi confirmada em nota pela empresa nesta segunda-feira (22).
A Taksim afirmou que a vulnerabilidade do sistema permitiu a filmagem de dados pessoais, tais como nome completo; data de nascimento; endereço completo; número, órgão emissor; data de emissão do RG/RNE —com número, data de validade, data de emissão, órgão emissor—; categoria da CNH; endereço de e-mail; senha de acesso à plataforma não criptografada; números de banco, agência e conta; nome do pai e da mãe; número e modelo do celular; placa, marca, modelo, fabricante do veículo; número do Renavam; número do chassi; número do alvará; endereço completo do ponto de estacionamento do veículo.
Em nota, a prefeitura afirmou que o controlador-geral e encarregado pela Proteção de Dados Pessoais da Prefeitura de São Paulo, Daniel Falcão, oficiou a pasta e a empresa contratada para que, no prazo de 48 horas, prestem esclarecimentos dos fatos e "tomem providências necessárias e descritas pela LGPD (Lei Geral de Proteção de Dados Pessoais)".
De acordo com a Controladoria, a Secretaria de Mobilidade e a empresa foram orientadas a comunicarem os taxistas vítimas do vazamento sobre a descrição dos dados pessoais afetados e, também, a respeito dos riscos relacionados ao incidente e das medidas técnicas de segurança que foram e que serão adotadas para mitigarem os efeitos do problema.
"Além disso, foram orientados a realizarem avaliação de segurança para verificarem se o incidente trouxe riscos e danos relevantes aos titulares de dados pessoais envolvidos", diz a nota.
O problema também será comunicado à Autoridade Nacional de Proteção de Dados, conforme determina o artigo 48 da LGPD, diz a gestão Ricardo Nunes (MDB).
Na nota, a Setram afirma que determinou à empresa que tome as providências necessárias relacionadas ao vazamento das informações em caráter de urgência.
Também em nota, a Taksim afirma ter avisado os condutores que tiveram seus dados violados sobre o ocorrido, por meio de mensagem, enviou novas senhas e se colocou à disposição para esclarecimentos.
"Apesar de não ter havido a ampla divulgação dessas informações a terceiros, a empresa alertou a todos para a necessidade de cautela para o eventual uso indevido dos dados pessoais relacionados a este incidente, para finalidades ilícitas. Por isso, em eventual constatação de atividades neste sentido, disponibilizou o telefone [11] 5039-9896 para o canal exclusivo de atendimento aos taxistas". afirmou a nota.
O DTP, responsável pelo cadastramento de taxistas, diz que os condutores afetados não precisam comparecer ao órgão e que acompanha as medidas de segurança implementadas pela Taksim para dar continuidade ao processo de cadastro no aplicativo, que ainda não está em operação.
No último dia 16, a Prefeitura de São Paulo adiou o prazo para que taxistas se cadastrem no aplicativo SPTaxi, que se tornou obrigatório para a renovação do alvará e para a emissão do cadastro profissional (Condutax).
Os profissionais agora terão um mês a mais, até 16 de agosto, para se inscrever na plataforma. A punição para quem não se cadastrar no SPTaxi até o novo prazo é o bloqueio do alvará.
O app municipal virou alvo de reclamações dos taxistas por causa de um contrato que eles devem assinar com a Taksim, que venceu a licitação para administrar a ferramenta. Entre as reclamações da categoria está a cobrança de uma multa de R$ 500 mil em caso de violação do equipamento, além de preocupação com a segurança e o uso dos dados que serão coletados.
No último dia 11, a Justiça de São Paulo determinou que a prefeitura use cadastros diferentes para as funções do aplicativo SPTaxi. A decisão, da 14ª Vara de Fazenda Pública, diz que o cadastro usado para renovar alvarás e obter o Condutax não pode obrigar motoristas a aceitarem corridas do app.
Na ocasião, o juiz Randolfo Ferraz de Campos, da 14ª Vara, entendeu que pode haver ilegalidade se o aplicativo usar o cadastro obrigatório, necessário para obter documentos oficiais, para inscrever os taxistas no app de corrida. Ele deu prazo de 20 dias para que a prefeitura faça a separação dos cadastros.
Na época, a prefeitura disse que os taxistas não são obrigados a usar o aplicativo. O SPTaxi poderia ficar desativado e, nesse caso, a taxa de 10,97% do valor da corrida, destinada à Taksim, não seria cobrada.
O vazamento de informações em sistemas de transporte não é inédito no município. Em dezembro, a SPTrans foi alvo de um ataque hacker em seus sistemas que causou a exposição dos dados cadastrais de 13 milhões de usuários do Bilhete Único. Os dados expostos tinham como base o mês de abril de 2020.
Outro lado
A Taksim diz que como tratou-se um fato isolado, ocorrido em um sistema de testes, não houve violação de dados dos demais profissionais que atuam com táxis no município de São Paulo, cujos arquivos continuam preservados.
"Como medidas imediatas de segurança, a Taksim dissolveu a equipe encarregada pelo sistema de testes e desativou o ambiente cibernético onde ocorreu o incidente", disse.
A fim de melhorar, ainda mais a segurança no ambiente digital, a Taksim está contratando uma empresa especializada com o intuito de eliminar quaisquer tentativas futuras de hackeamento do sistema e manter a integridade do sigilo de dados.
"ATaksim lamenta pelo ocorrido e pede desculpas a todos os envolvidos. Para outros esclarecimentos, a Prefeitura de São Paulo disponibiliza o e-mail ogm@prefeitura.sp.gov.br."
Comentários
Os comentários não representam a opinião do jornal; a responsabilidade é do autor da mensagem.