Serasa é alvo de processo que pede multa de R$ 200 milhões por vazamento

Serasa Experian é processada pelo Instituto SIGILO; ação quer indenização de R$ 15 mil para cada pessoa afetada pelo vazamento

Felipe Ventura
Por
• Atualizado há 4 meses
Serasa Experian (Imagem: Reprodução/Facebook)
Serasa Experian (Imagem: Reprodução/Facebook)

A Serasa Experian está sendo processada pelo Instituto SIGILO devido à exposição de dados sobre 223 milhões de CPFs e 40 milhões de CNPJs. A ação civil pública, que também inclui como ré a ANPD (Autoridade Nacional de Proteção de Dados), quer que a empresa pague multa de R$ 200 milhões e indenização de R$ 15 mil para cada titular afetado pelo vazamento.

Desde o início, a Serasa nega ser a fonte do megavazamento. Mas Victor Hugo Pereira Gonçalves, fundador e presidente do Instituto SIGILO, acusa a empresa de vender sua base de dados, e entende que por isso ela divide a responsabilidade caso o vazamento tenha ocorrido em um de seus parceiros.

“Se vazou de dentro ou de fora [da Serasa], é uma questão irrelevante”, diz Victor em entrevista ao Tecnoblog. “O controlador de dados é responsável antes, durante e depois; a responsabilidade é do Serasa se os dados não forem apagados depois do uso.”

Segundo Victor, que é doutor em direito digital, a ANPD é ré nesta ação judicial porque ainda não se sabe o grau de envolvimento da Serasa no vazamento. Dessa forma, todo o material produzido pela autoridade durante a investigação “tem que ser trazido judicialmente”.

O SIGILO foi criado em 2018 como uma associação sem fins lucrativos dedicada à proteção dos dados pessoais. O instituto já abriu processos contra outras empresas, a maioria no segundo semestre de 2020, que ainda estão em fase de citação e apresentação de contestação.

Serasa nega ser fonte do vazamento

Em comunicado, a Serasa diz: “entendemos que a propositura da ação judicial é precipitada, e apresentaremos a defesa no prazo legal”. Desde o mês passado, ela vem conduzindo uma investigação sobre os dados oferecidos ilegalmente para venda na internet.

A empresa reitera que “até o momento não há nenhuma evidência de que dados tenham sido obtidos ilegalmente da Serasa”, e que não há evidência de que seus sistemas tenham sido comprometidos.

“Há dados disponibilizados inclusive que a Serasa sequer possui, como fotos, cadastros de INSS, registros de veículos e informações de login em mídias sociais”, afirma o posicionamento.

Processo quer multa de pelo menos R$ 200 milhões

A petição inicial, à qual tivemos acesso, menciona a reportagem do Tecnoblog que revelou com exclusividade os detalhes sobre o vazamento. Há 37 pastas na prévia oferecida pelo hacker, incluindo informações sobre score de crédito e outros produtos vendidos pela Serasa, tais como o Mosaic e modelos de afinidade e de propensão.

“A ré Serasa, por mais que alegue que os seus ambientes de tratamento não ocasionaram o incidente sob exame, pelo contexto dos dados vazados, é evidente que são dados obtidos de serviços que ela oferece de maneira única e indistinta”, diz o processo judicial.

“Em qualquer cenário, a ré Serasa Experian responde objetivamente pelos dados vazados, pois, direta ou indiretamente, concorreu para a ilegalidade e não aplicou as melhores práticas no desenvolvimento dos seus serviços”, defende a ação.

Nesse sentido, o Instituto Sigilo faz diversas exigências à Serasa:

  • pagamento de danos morais coletivos de pelo menos R$ 200 milhões, que seriam revertidos ao FDD (Fundo de Defesa de Direitos Difusos);
  • pagamento de R$ 15 mil para cada titular dos dados, como indenização por danos morais;
  • envio de carta com aviso de recebimento (AR) para todos os titulares cujos dados foram expostos, sob pena de multa diária de R$ 10 mil;
  • divulgação em redes sociais e outras formas de comunicação sobre os incidentes de segurança ocorridos e sobre os planos para solucionar eventuais riscos;
  • obrigação de aplicar medidas técnicas e tecnológicas necessárias para retirar os dados vazados da internet.

Ação quer que ANPD faça auditoria

Quanto à ANPD, o processo afirma: “a partir do momento que institui e vincula à Presidência da República um órgão que possui como atribuição fundamental a fiscalização da LGPD, não há como se conceber que essa mesma entidade se mantenha inoperante diante de uma violação sem precedentes à legislação”.

Por isso, a ação pede que a ANPD notifique a Serasa; realize uma auditoria técnica “para constatar a desastrosa falha de segurança sob exame”; e tome as medidas administrativas necessárias para apurar “atos ilícitos porventura cometidos pela Autoridade”.

A ACP (ação civil pública) tem número 5002936-86.2021.4.03.6100 e corre na 22ª Vara Cível Federal de São Paulo. Ela foi aberta direto na Justiça Federal por colocar a ANPD, vinculada à Presidência da República, como ré.

Receba mais sobre Serasa Experian na sua caixa de entrada

* ao se inscrever você aceita a nossa política de privacidade
Newsletter
Felipe Ventura

Felipe Ventura

Ex-editor

Felipe Ventura fez graduação em Economia pela FEA-USP, e trabalha com jornalismo desde 2009. No Tecnoblog, atuou entre 2017 e 2023 como editor de notícias, ajudando a cobrir os principais fatos de tecnologia. Sua paixão pela comunicação começou em um estágio na editora Axel Springer na Alemanha. Foi repórter e editor-assistente no Gizmodo Brasil.

Canal Exclusivo

Relacionados

Acordo entre Claro e Serasa sobre dados de clientes está na mira do MPF
Acordo entre Claro e Serasa sobre dados de clientes está na mira do MPF
Serasa permite bloquear acesso de empresas ao score de crédito de CPF
Serasa permite bloquear acesso de empresas ao score de crédito de CPF
Serasa é investigada pelo MPDFT por bloqueio de celular de devedores
Serasa é investigada pelo MPDFT por bloqueio de celular de devedores
Senacon e Procon-SP notificam Serasa sobre vazamento de 220 milhões de CPFs
Senacon e Procon-SP notificam Serasa sobre vazamento de 220 milhões de CPFs
O que é o Serasa Score? [Score de Crédito]
O que é o Serasa Score? [Score de Crédito]
Justiça mantém decisão e proíbe Serasa de vender dados pessoais
Justiça mantém decisão e proíbe Serasa de vender dados pessoais
Procon-SP não gostou das respostas do Serasa sobre vazamento de dados
Procon-SP não gostou das respostas do Serasa sobre vazamento de dados
Exclusivo: o que há no vazamento que afetou 40 milhões de CNPJs
Exclusivo: o que há no vazamento que afetou 40 milhões de CNPJs
Nome sujo? Como consultar seu CPF no SCPC ou Serasa pelo celular
Nome sujo? Como consultar seu CPF no SCPC ou Serasa pelo celular
Serasa não pode vender dados pessoais após decisão da Justiça
Serasa não pode vender dados pessoais após decisão da Justiça