Início » Legislação » Serasa é alvo de processo que pede multa de R$ 200 milhões por vazamento

Serasa é alvo de processo que pede multa de R$ 200 milhões por vazamento

Serasa Experian é processada pelo Instituto SIGILO; ação quer indenização de R$ 15 mil para cada pessoa afetada pelo vazamento

Felipe VenturaPor

A Serasa Experian está sendo processada pelo Instituto SIGILO devido à exposição de dados sobre 223 milhões de CPFs e 40 milhões de CNPJs. A ação civil pública, que também inclui como ré a ANPD (Autoridade Nacional de Proteção de Dados), quer que a empresa pague multa de R$ 200 milhões e indenização de R$ 15 mil para cada titular afetado pelo vazamento.

Serasa Experian (Imagem: Reprodução/Facebook)

Serasa Experian (Imagem: Reprodução/Facebook)

Desde o início, a Serasa nega ser a fonte do megavazamento. Mas Victor Hugo Pereira Gonçalves, fundador e presidente do Instituto SIGILO, acusa a empresa de vender sua base de dados, e entende que por isso ela divide a responsabilidade caso o vazamento tenha ocorrido em um de seus parceiros.

“Se vazou de dentro ou de fora [da Serasa], é uma questão irrelevante”, diz Victor em entrevista ao Tecnoblog. “O controlador de dados é responsável antes, durante e depois; a responsabilidade é do Serasa se os dados não forem apagados depois do uso.”

Segundo Victor, que é doutor em direito digital, a ANPD é ré nesta ação judicial porque ainda não se sabe o grau de envolvimento da Serasa no vazamento. Dessa forma, todo o material produzido pela autoridade durante a investigação “tem que ser trazido judicialmente”.

O SIGILO foi criado em 2018 como uma associação sem fins lucrativos dedicada à proteção dos dados pessoais. O instituto já abriu processos contra outras empresas, a maioria no segundo semestre de 2020, que ainda estão em fase de citação e apresentação de contestação.

Serasa nega ser fonte do vazamento

Em comunicado, a Serasa diz: “entendemos que a propositura da ação judicial é precipitada, e apresentaremos a defesa no prazo legal”. Desde o mês passado, ela vem conduzindo uma investigação sobre os dados oferecidos ilegalmente para venda na internet.

A empresa reitera que “até o momento não há nenhuma evidência de que dados tenham sido obtidos ilegalmente da Serasa”, e que não há evidência de que seus sistemas tenham sido comprometidos.

“Há dados disponibilizados inclusive que a Serasa sequer possui, como fotos, cadastros de INSS, registros de veículos e informações de login em mídias sociais”, afirma o posicionamento.

Processo quer multa de pelo menos R$ 200 milhões

A petição inicial, à qual tivemos acesso, menciona a reportagem do Tecnoblog que revelou com exclusividade os detalhes sobre o vazamento. Há 37 pastas na prévia oferecida pelo hacker, incluindo informações sobre score de crédito e outros produtos vendidos pela Serasa, tais como o Mosaic e modelos de afinidade e de propensão.

“A ré Serasa, por mais que alegue que os seus ambientes de tratamento não ocasionaram o incidente sob exame, pelo contexto dos dados vazados, é evidente que são dados obtidos de serviços que ela oferece de maneira única e indistinta”, diz o processo judicial.

“Em qualquer cenário, a ré Serasa Experian responde objetivamente pelos dados vazados, pois, direta ou indiretamente, concorreu para a ilegalidade e não aplicou as melhores práticas no desenvolvimento dos seus serviços”, defende a ação.

Nesse sentido, o Instituto Sigilo faz diversas exigências à Serasa:

  • pagamento de danos morais coletivos de pelo menos R$ 200 milhões, que seriam revertidos ao FDD (Fundo de Defesa de Direitos Difusos);
  • pagamento de R$ 15 mil para cada titular dos dados, como indenização por danos morais;
  • envio de carta com aviso de recebimento (AR) para todos os titulares cujos dados foram expostos, sob pena de multa diária de R$ 10 mil;
  • divulgação em redes sociais e outras formas de comunicação sobre os incidentes de segurança ocorridos e sobre os planos para solucionar eventuais riscos;
  • obrigação de aplicar medidas técnicas e tecnológicas necessárias para retirar os dados vazados da internet.

Ação quer que ANPD faça auditoria

Quanto à ANPD, o processo afirma: “a partir do momento que institui e vincula à Presidência da República um órgão que possui como atribuição fundamental a fiscalização da LGPD, não há como se conceber que essa mesma entidade se mantenha inoperante diante de uma violação sem precedentes à legislação”.

Por isso, a ação pede que a ANPD notifique a Serasa; realize uma auditoria técnica “para constatar a desastrosa falha de segurança sob exame”; e tome as medidas administrativas necessárias para apurar “atos ilícitos porventura cometidos pela Autoridade”.

A ACP (ação civil pública) tem número 5002936-86.2021.4.03.6100 e corre na 22ª Vara Cível Federal de São Paulo. Ela foi aberta direto na Justiça Federal por colocar a ANPD, vinculada à Presidência da República, como ré.

Comentários da Comunidade

Participe da discussão
18 usuários participando

Os mais notáveis

Comentários com a maior pontuação

R F (@R_F)

200 milhões é pouco. Deveria ser 20 bilhões.

Indenização individual pra esse tipo de caso nunca da certo.

Sérgio (@trovalds)

Bom, se for pra receber a indenização, QUERO. R$ 15.000 pelo CPF + R$ 15.000 pelo CNPJ ia ajudar bastante aqui.

Agora, o processo: MAS é claro que alguém hora ou outra ia entrar com uma ação. Negócio é os 20% sobre o montante total (R$ 200 mi + 15 mil por CPF, uma BELA grana) que o advogado ganha se o SERASA for condenado. Ou alguém acha mesmo que o “Instituto” está interessada só em “defender interesses dos outros”?

Sem contar, claro, que você vai ter que se associar se quiser receber a sua parte. De graça é que você não leva nada. Claro, isso SE alguém levar algo no final.

Gustave Dupré (@Gustave_Dupre)

Surreal, como é o primeiro caso ainda estou cético, mas acho que não rola esse valor, porque se for 15 mil por pessoa, se dos 223 milhões mais 40 mil cnpjs só 100 milhões de pessoas recebessem algo daria 1.5 trilhão de multa. Será que o Serasa tem esse dinheiro ou vai sujar o nome dele para pagar?

R F (@R_F)

Eu já fico feliz se for a falência. Não precisa me pagar.

Eu (@Keaton)

e indenização de R$ 15 mil para cada titular afetado pelo vazamento.

Uh… esse pessoal fez a conta de quanto dinheiro seria necessário pra isso? Tipo… só vendendo o Brasil.

R F (@R_F)

Não falta muito pra isso, escolha: EUA ou China.

Eu (@Keaton)

Pode ser pros EUA mesmo. Ai a gente pode ter dolar como moeda e mesmo que a gente receba 160 dólares de minimo. hahaha

João M. (@RonDamon)

Esperando meus 15 mil hehe.

Diogo Silva (@uzu)

O Engraçado é que o Serasa possui um serviço para te informar se seus dados vazaram na Deep Web, porém o mesmo só pode ser acessado pagando um montante, ou seja, lucram até com a própria falha, então nada mais justo do que arcarem com isso.

Rafael Machado de Souza (@rafael.mds)

Onde é a fila pro processo? Haha

Bruno (@Unknown)

Piada pronta, algo assim não seria nem cobrado e se cobrado a empresa iria a falencia antes de terminar de pagar 10% deste valor.
O correto a ser feito neste cenario é o governo desenvolver um novo documento de identidade (alô Cadastro Unico), atual e fazer a Serasa pagar por todo o processo de desenvolvimento e distribuição deste documento.

Talvez assim ao menos escape da falencia.

João M. (@RonDamon)

Pelo e-mail, não?

Daniel Plácido (@Daniel_Placido)

Serasa tem mais que se F* mesmo, a empresa vende os SEUS dados, se uma empresa te negativar através deles você tem que pagar pra saber quem te negativou, e se você quiser saber detalhes sobre sua vida vocè também tem que pagar…

Eduardo Soares (@Eduardo_Soares)

Não percam mais tempo, podem entrar em contato comigo por aqui mesmo para o pagamento dos 30.000,00 pois tive CPF e CNPJ vazados. Esse dinheiro virá em boa hora, deixarei o auxílio emergencial pra quem mais precisa.

Att.

*** Se você pensa em contratar o Serasa Premium, te aviso que eles renovam o plano automaticamente sem te consultar gerando cobrança no seu cartão, e caso você ligue para a central de relacionamento você não conseguirá falar com ninguém, só ouvirá o robô. Por fim, se decidir cancelar utilizando a página de cancelamento, depois de alguns dias eles te retornam, também por email, pra te avisar que o cancelamento foi concluído com sucesso, mas você será obrigado a pagar uma multa por quebra de contrato. Fique esperto.

Eu (@Keaton)

Quando papai noel trouxer o cheque dos 15k, dou 10% pro coelhinho da pascoa.