top of page
shutterstock_1022254765.jpg

MPF pede que Serasa seja multada em R$ 200 mi por vazamento de dados

Os cidadãos brasileiros têm direito à proteção e inviolabilidade de dados, bem como à preservação da vida privada, da intimidade, da imagem e da honra. Para assegurar que esse princípio garantido pela legislação seja cumprido, o MPF entrou, como coautor, em ação civil pública proposta pelo Instituto Sigilo para que a Serasa pague indenizações por vazamento de dados de 223 milhões de brasileiros.

No processo, o MPF defende que cada pessoa afetada seja indenizada com R$ 30 mil e que a Serasa seja condenada a pagar multa, pelos danos causados a toda a sociedade, em valor equivalente a até 10% do seu faturamento anual no último exercício. O montante, no entanto, não pode ser inferior a R$ 200 milhões.

O Ministério Público requer, ainda, que a ANPD – Autoridade Nacional de Proteção de Dados também seja responsabilizada pela exposição indevida, tendo em vista a ausência de controle prévio, para fins de prevenção do próprio vazamento em si, bem como de controle posterior, no sentido de serem estancados e recompostos os danos decorrentes do vazamento.


Entenda o caso

O Instituto Sigilo entrou com ação contra a Serasa, após a divulgação de notícias pela imprensa, em 2021, de que a empresa violou o sigilo de dados correspondentes a mais de 223 milhões de CPFs, entre cidadãos brasileiros e pessoas mortas, contrariando regras e princípios da LGPD, do marco civil da internet e do CDC.

As apurações apontaram para a divulgação de informações pessoais dos consumidores na internet, históricos de compras, endereços de e-mail, dados da Previdência Social, de renda, da Receita Federal, e até a possibilidade de acesso a dados de cartões de crédito e de débito.

As investigações constataram que a Serasa comercializou – e ainda segue comercializando com terceiros – o acesso indevido a dados pessoais. Algumas dessas informações passaram a circular na internet de forma gratuita e outras foram vendidas por criminosos.

Por tal ato, a Serasa já havia sido condenada em ação civil pública proposta pelo MP/DF, que identificou a indevida comercialização maciça de dados pessoais de brasileiros por meio dos serviços “Lista Online” e “Prospecção de Clientes”. A empresa deveria se abster de comercializar os dados dos consumidores, mas vem descumprindo a ordem liminar e a condenação judicial, conforme aponta o MPF.


Providências

Dada a gravidade e urgência do caso, o MPF pleiteia da Justiça Federal de São Paulo a concessão de tutela antecipada para que a Serasa envie, no prazo de até dez dias, comunicações aos cidadãos que tiveram dados vazados e expostos na internet, sob pena de multa diária de R$ 20 mil. O órgão solicita ainda, dentre outros pontos, que a empresa divulgue em seus meios de comunicação, em até 48 horas, quais foram as falhas de segurança da informação ocorridas; quais as bases são compartilhadas com terceiros; e quais as medidas foram ou serão adotadas para solucionar os riscos aos consumidores, sob pena de multa diária de R$ 20 mil.

Outra requisição feita pelo MPF é para que a Serasa adote, em definitivo – no prazo máximo de 30 dias após o trânsito em julgado da condenação – medidas técnicas necessárias para que os danos gerados aos titulares dos dados vazados sejam minimizados ou suprimidos.

Entre elas, está o fim do compartilhamento e venda comercial de sua base de dados, com a suspensão da página de “Prospecção de Clientes” e “Lista PEP” (de pessoas expostas politicamente) em seu site institucional, bem como a desativação definitiva do sistema Mosaic, ferramenta de cruzamento de dados para comercialização de perfis.

Além disso, o MPF requer que a empresa implante, no prazo máximo de 60 dias da sentença condenatória, medida de segurança da informação mais aperfeiçoada, com a adoção de política de prevenção e de mitigação de riscos de vazamento das informações, de recuperação e recomposição de danos gerados aos titulares dos dados armazenados.

A empresa deverá também instituir, segundo o pleito do Ministério Público e nos termos da LGPD (lei 13.7109/18), a pessoa física do “encarregado de tratamento de dados”, bem como uma Ouvidoria independente.

Já em relação à ANPD, o MPF destaca que a agência regulatória e fiscalizatória omitiu-se na adoção dos seus deveres legais, inclusive no processamento administrativo das condutas da Serasa, em especial, no que se refere ao descumprimento de ordem judicial para que a empresa parasse de negociar ilegalmente informações pessoais mantidas em sua base de dados.

Neste sentido, o MPF pleiteia da ANPD, entre outras medidas, que o órgão instaure e conclua, no prazo de até seis meses, processo administrativo contra a Serasa, com a finalidade de apurar vazamento de dados e manutenção de conduta irregular de comercialização de informações de consumidores.

A ação pede também que a agência seja obrigada a garantir – no prazo de 30 dias – que os agentes de tratamento, operadores e controladores de dados, como a Serasa, cumpram o dever legal de zelar pela proteção de dados pessoais, preservar o segredo empresarial e o sigilo das informações.


Danos individuais

A procuradora da República que atua no caso, Karen Louise Jeanette Kahn, explica que, independentemente da conduta do Serasa, o MPF e o Instituto Sigilo estão verificando as providências possíveis, perante a Justiça Federal, para que os consumidores possam ter conhecimento sobre sua situação pessoal, relativa ao possível vazamento de seus próprios dados, em especial, por meio do competente e reservado acesso à sua fonte.

Isso porque, segundo a procuradora, esse tipo de vazamento expõe os cidadãos de forma pública e ilegal, atraindo graves riscos de possíveis fraudes envolvendo suas identidades e vida privada. “Tal acesso se mostra fundamental, na medida em que lhes permitirá, além de contar com a defesa do MPF de seus direitos individuais homogêneos, ajuizar ações individuais que entenderem cabíveis pelos danos que ainda restarem constatados em seu desfavor, em especial, envolvendo possíveis violações à sua honra e à vida privada”, conclui Karen Kahn.

 

Nota – Serasa

Em nota, a Serasa Experian alegou que as notícias que fazem menção à suposta indenização de R$ 30 mil são falsas, contribuindo para confundir o consumidor.

“Não existe nenhuma decisão judicial nesse sentido. Importante pontuar que o pedido liminar requerido pelo MPF foi indeferido. A empresa informa, ainda, que já demonstrou a ausência de invasão de seus sistemas ou indícios de que o suposto vazamento tivesse tido origem em suas bases de dados. Também é relevante esclarecer que essa ação judicial não possui qualquer relação com a Ação Civil Pública proposta pelo Ministério Público do Distrito Federal, já inclusive encerrada, referente aos serviços ‘Lista Online’ e ‘Prospecção de Clientes’, os quais foram descontinuados em 2020. A Serasa Experian­­ reforça que proteger a segurança dos dados é sua prioridade número um e cumpre rigorosamente a legislação brasileira”.


Comentarios


WhatsApp-icone.png
bottom of page