Informações pessoais de segurados do Instituto Nacional do Seguro Social foram expostas após uma falha de segurança no sistema da Dataprev, estatal responsável pelo processamento de dados do governo federal. O incidente ocorreu em 22 de abril e foi comunicado à Agência Nacional de Proteção de Dados (ANPD).
O INSS não revelou oficialmente quantas pessoas tiveram informações comprometidas, mas técnicos ouvidos reservadamente estimam que o vazamento pode ter afetado cerca de dois milhões de segurados. Atualmente, o INSS realiza pagamentos mensais para quase 42 milhões de pessoas, entre aposentados, pensionistas e beneficiários de programas assistenciais.
O instituto informou que apenas 3% dos acessos indevidos correspondem a CPFs de segurados vivos — cerca de 50 mil pessoas —, enquanto 97% dos dados expostos se referem a cidadãos já falecidos.
Não é a primeira vez que o INSS enfrenta problemas dessa natureza: em 2024, outra falha levou ao desligamento do sistema Suibe após a exposição de informações de milhões de beneficiários.
Como a falha de segurança da Dataprev aconteceu
Segundo técnicos ouvidos pela imprensa sob condição de anonimato, a brecha aparecia quando um terceiro tentava apresentar, em nome de um segurado, um requerimento de benefício previdenciário. Ao inserir o CPF do beneficiário, o sistema exibia informações além do permitido, como nome completo e data de nascimento. Em alguns casos, também era possível consultar o histórico de vínculos empregatícios.
Há suspeita de que robôs foram utilizados para testar vários CPFs em sequência e coletar informações de forma automatizada, o que teria ampliado o volume de dados expostos indevidamente.
O problema ocorreu na plataforma Meu INSS e pode ter exposto dados de até 1,666 milhão de pessoas, segundo estimativas oficiais. Técnicos acreditam que o total possa chegar a aproximadamente 2 milhões de registros.
Posicionamento do INSS sobre o vazamento de dados
Em comunicado, o INSS afirmou que a situação foi identificada rapidamente e que providências foram tomadas: “O incidente foi identificado pela Dataprev no último dia 22 de abril, com as devidas providências adotadas na mesma data.”
O órgão informou que os dados ainda estão sendo consolidados, mas as informações preliminares indicam que cerca de 1,7 milhão de pessoas tiveram dados expostos. “De acordo com as informações preliminares, do total de CPFs acessados, 97% foram de cidadãos falecidos. A Dataprev apurou a ocorrência de aproximadamente 50 mil casos envolvendo indivíduos que não possuem registro de óbito.”
O INSS afirmou que, até o momento, não há indícios de concessão irregular de benefícios ou contratação fraudulenta de empréstimos em decorrência do vazamento.
Técnicos estimam que cerca de 2 milhões de segurados tiveram dados expostos após falha na Dataprev identificada em abril de 2026, acendendo o alerta entre aposentados brasileiros.
Medidas de segurança adotadas
O instituto destacou que a concessão de benefícios exige uma série de documentos e etapas de comprovação. Os empréstimos consignados, por exemplo, exigem biometria facial. A pensão por óbito exige certidão de óbito, dentre outros documentos e procedimentos. Dessa forma, qualquer concessão de benefício possui uma série de travas de segurança.
Diversas medidas de reforço foram adotadas para ampliar a segurança do sistema, como o uso de biometria facial. O órgão informou que tem reforçado seus controles internos “a fim de oferecer maior segurança à análise de seus benefícios”.
O que diz a Dataprev sobre a falha de segurança
A Dataprev declarou que realiza monitoramento contínuo e análises permanentes de eventos relacionados à segurança da informação. A estatal, no entanto, não detalhou quais dados foram acessados indevidamente nem informou se houve participação de hackers ou falha operacional interna no sistema.
O INSS alegou que a Dataprev ainda finaliza o relatório técnico do incidente. A estatal afirma que a apuração está em andamento e, por isso, não há dados conclusivos sobre o impacto total.
ANPD foi notificada conforme determina a LGPD
O caso foi comunicado à ANPD, conforme exige a legislação em episódios de possível exposição de dados pessoais. A agência informou que não divulga detalhes individualizados sobre incidentes de segurança, sob o argumento de proteger sistemas, instituições e pessoas afetadas.
A Lei Geral de Proteção de Dados (Lei nº 13.709/2018) é o marco legal brasileiro que regula a coleta, o armazenamento, o tratamento e o compartilhamento de dados pessoais por empresas e organizações públicas e privadas. O vazamento de dados pessoais é considerado uma infração segundo a LGPD.
Direitos dos segurados afetados pelo vazamento de dados do INSS
A LGPD garante aos brasileiros o direito de saber como seus dados pessoais são coletados, armazenados e utilizados. Em caso de vazamento, o titular tem direito a ser notificado, solicitar informações sobre o incidente e buscar reparação por eventuais danos sofridos.
Caso ocorra vazamento de dados, o cidadão pode acionar a ANPD pelo site oficial da agência. O boletim de ocorrência é uma forma de se resguardar contra o uso indevido dos dados, como compras ou transferências de dinheiro indevidas. O registro pode ser feito diretamente na delegacia da Polícia Civil ou pela internet.
Se o titular dos dados foi lesado enquanto consumidor, também pode acionar órgãos de defesa como Procons, a Associação Brasileira de Defesa do Consumidor (Proteste) ou o Instituto Brasileiro de Defesa do Consumidor (Idec).
Recomendações práticas para os beneficiários
É recomendável monitorar movimentações financeiras com atenção redobrada e ficar alerta para tentativas de golpes ou phishing que utilizem informações pessoais. Se identificar cobranças indevidas ou acessos não autorizados, registre um boletim de ocorrência.
Segurados que desconfiem de uso indevido de seus dados podem acessar o aplicativo ou portal Meu INSS para verificar se há solicitações de benefícios ou empréstimos em seu nome. Em caso de dúvidas, a Central de Atendimento 135 funciona de segunda a sábado, das 7h às 22h.
Responsabilidade civil em casos de vazamento de dados
Conforme o artigo 42 da LGPD, o controlador ou operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar dano patrimonial, moral, individual ou coletivo, é obrigado a repará-lo.
Por unanimidade, a 3ª turma do STJ decidiu que o vazamento de dados pessoais não sensíveis de clientes não isenta a empresa de sua responsabilidade, mesmo em casos de ataques cibernéticos. O tratamento de dados pessoais é considerado irregular quando deixa de fornecer a segurança que o titular poderia esperar (“expectativa de legítima proteção”), conforme artigo 44, III, da LGPD.
A ANPD pode aplicar multas administrativas às organizações que descumprem as disposições da LGPD. Essas multas podem variar de 2% a 10% do faturamento global da empresa, com limite máximo de R$ 50 milhões.
Histórico de falhas de segurança no INSS
Em 2024, outra falha levou ao desligamento do sistema Suibe após a exposição de informações de milhões de beneficiários. Na ocasião, foi identificado que senhas antigas de acesso continuavam ativas sem revisão ao longo dos anos.
O incidente atual reforça a necessidade de investimentos constantes em segurança da informação por parte dos órgãos públicos que administram dados sensíveis de milhões de brasileiros. Segundo o INSS, a simples exposição de informações não significa acesso a benefícios previdenciários, já que processos como aposentadoria e empréstimos exigem etapas adicionais de validação. Para mais notícias e informações, acesse Jornal Mix.
Deixe sua Avaliação!
Compartilhe sua reação
-
0
-
0
-
0
-
0
-
0
-
0
