Recentemente, o vazamento de dados sigilosos se tornou tema de debates mais uma vez devido uma polêmica envolvendo o Serasa, um dos birôs de crédito mais conhecidos do Brasil. Neste caso, a Serasa, famosa entre os brasileiros por suas análises de crédito, está tendo que lidar com uma ação judicial movida pelo Ministério Público Federal (MPF), que busca indenizações para os consumidores prejudicados.
A princípio, o Instituto Sigilo foi o responsável por abrir a ação inicial, que demandava uma compensação de R$ 15 mil. No entanto, o MPF elevou a quantia para R$ 30 mil, por causa de um escândalo que expôs dados pessoais de 223 milhões de brasileiros, tanto vivos quanto falecidos.
Durante as investigações, foi descoberto que a Serasa comercializou e continua comercializando com terceiros — empresas autorizadas ou certificadas pela própria autarquia — o acesso indevido a dados pessoais. Por isso, a ação do Instituto Sigilo tem como objetivo impedir a comercialização ilegal de dados.
Neste caso, os principais dados vazados são: aqueles relacionados aos hábitos de consumo na internet, como histórico de compras, endereços de e-mail, informações da Previdência Social e da Receita Federal. Além disso, até mesmo dados sensíveis, como os relacionados a cartões de crédito e débito, foram incluídos no vazamento.
Quais providências estão sendo tomadas?
Em resposta aos vazamentos, o Instituto lançou um site para cadastrar consumidores em potencial que poderiam se beneficiar da indenização. Vale ressaltar que o mesmo instituto foi responsável por uma ação semelhante relacionada ao programa Auxílio Brasil no ano passado, também devido ao vazamento de dados da população.
O MPF, como coautor da ação, defende os direitos dos cidadãos à proteção de seus dados, conforme garantido pela legislação brasileira e a Lei Geral de Proteção de Dados Pessoais (LGPD). A ação propõe uma indenização de R$ 30 mil para cada pessoa afetada e solicita uma multa ao Serasa, equivalente a até 10% de seu faturamento anual, não podendo ser inferior a R$ 200 milhões.
Por outro lado, o Ministério Público busca responsabilizar a Autoridade Nacional de Proteção de Dados (ANPD) pela exposição indevida dos dados, que prejudicaram diversas pessoas, demonstra que há a necessidade de controle prévio a fim de evitar e corrigir vazamentos.
Diante da gravidade da situação, o MPF busca medidas urgentes, incluindo a comunicação imediata aos cidadãos cujos dados foram comprometidos, sob pena de multa diária. Ademais, a Serasa é obrigada a divulgar as falhas de segurança ocorridas, compartilhamento de bases com terceiros e medidas tomadas para solucionar os riscos aos consumidores. O MPF também exige a suspensão do compartilhamento e venda comercial de dados, bem como melhorias na segurança da informação.
Por fim, a MPF aponta a omissão da ANPD em seus deveres, conforme prevê a lei, e solicita que a agência instaure um processo administrativo contra a Serasa. Nesse sentido, exige que a ANPD garanta que as empresas cumpram o dever legal de proteger dados pessoais, preservando os consumidores e o sigilo das informações.
Serasa se posicionou
É importante reforçar que ainda não existe data para o pagamento da indenização. Isso porque o processo segue na justiça. Além disso, o Serasa vem reforçando que não teve os seus dados vazados, e deve recorrer à decisão.
“A empresa informa, ainda, que já demonstrou a ausência de invasão de seus sistemas ou indícios de que o suposto vazamento tenha tido origem em suas bases de dados. Também é relevante esclarecer que essa ação judicial não possui qualquer relação com a Ação Civil Pública proposta pelo Ministério Público do Distrito Federal, já inclusive encerrada, referente aos serviços “Lista Online” e “Prospecção de Clientes”, os quais foram descontinuados em 2020“, explicou.
Em nota, a Serasa reforçou que proteger a segurança dos dados de seus clientes é a sua principal prioridade. Por isso, cumpre rigorosamente a legislação brasileira.
Apesar da afirmação da Serasa, em 2021, o Instituto Sigilo entrou com uma ação alegando que a empresa tinha contrariado as regras e princípios da Lei Geral de Proteção de Dados, da Lei do Marco Civil da Internet e do Código de Defesa do Consumidor. Isso aconteceu porque canais de notícias divulgaram que o Serasa teria violado o sigilo de cerca de 223 milhões de CPFs, entre eles cidadãos brasileiros e pessoas mortas.