curiocurioso, parece que é sobre esse vazamento que você está comentando. Essas ferramentas de consulta de vazamentos sem um determinado critério para retornar uma resposta infelizmente podem se tornar indiscretas. Um exemplo é o que você mesmo cita em sua resposta, ou seja, qualquer curioso, com o "CPF deles" podia fazer a consulta. O real detentor do documento sequer fica sabendo que teve uma consulta de seus dados, quem foi, origem do acesso, quantas vezes foi consultado etc.. Não faço ideia do que a plataforma mostrava, porém, dependendo do conteúdo, poderia estar favorecendo ainda mais os vazamentos ou constrangimento. Por ser um cidadão conhecido (ver whois), poderia ser "consultado" para compartilhar o BD do megavazamento para fins ilícitos. Manter dados pessoais sem anuência do indivíduo afetado já é um detalhe que mostraria uma falha do serviço.
Quando tratar dados pessoais for condição para fornecimento de produto ou serviço ou para exercício de um direito, você deve ser avisado sobre isso e sobre os meios pelos quais pode exercer seus direitos como titular. E se as informações fornecidas tiverem conteúdo enganoso ou abusivo, ou não forem apresentadas previamente com transparência e clareza, o consentimento será considerado nulo.
Além disso, quando forem feitas mudanças, na finalidade de um tratamento, não compatíveis com o consentimento original, o gestor dos dados deverá informar isso previamente, e dar a opção de revogar o consentimento, se você discordar das alterações propostas. A oposição deverá ser feito mediante manifestação expressa, por meio de procedimento gratuito e facilitado. Fonte
Cabe aos governos ter ciência do que foi exposto e jamais utilizarem tais informações em parte ou todo para emissão de autenticação para os cidadãos em serviços por ele oferecidos. Seria uma falha muito grave, por exemplo, autorizarem emissão de certificado digital ou abertura de contas simplesmente com a confirmação desses dados que "não são mais tão pessoais" desde que vazaram.