Serasa é alvo de processo que pede multa de R$ 200 milhões por vazamento

Serasa Experian é processada pelo Instituto SIGILO; ação quer indenização de R$ 15 mil para cada pessoa afetada pelo vazamento

Felipe Ventura
Por
• Atualizado há 9 meses
Serasa Experian (Imagem: Reprodução/Facebook)
Serasa Experian (Imagem: Reprodução/Facebook)

A Serasa Experian está sendo processada pelo Instituto SIGILO devido à exposição de dados sobre 223 milhões de CPFs e 40 milhões de CNPJs. A ação civil pública, que também inclui como ré a ANPD (Autoridade Nacional de Proteção de Dados), quer que a empresa pague multa de R$ 200 milhões e indenização de R$ 15 mil para cada titular afetado pelo vazamento.

Desde o início, a Serasa nega ser a fonte do megavazamento. Mas Victor Hugo Pereira Gonçalves, fundador e presidente do Instituto SIGILO, acusa a empresa de vender sua base de dados, e entende que por isso ela divide a responsabilidade caso o vazamento tenha ocorrido em um de seus parceiros.

“Se vazou de dentro ou de fora [da Serasa], é uma questão irrelevante”, diz Victor em entrevista ao Tecnoblog. “O controlador de dados é responsável antes, durante e depois; a responsabilidade é do Serasa se os dados não forem apagados depois do uso.”

Segundo Victor, que é doutor em direito digital, a ANPD é ré nesta ação judicial porque ainda não se sabe o grau de envolvimento da Serasa no vazamento. Dessa forma, todo o material produzido pela autoridade durante a investigação “tem que ser trazido judicialmente”.

O SIGILO foi criado em 2018 como uma associação sem fins lucrativos dedicada à proteção dos dados pessoais. O instituto já abriu processos contra outras empresas, a maioria no segundo semestre de 2020, que ainda estão em fase de citação e apresentação de contestação.

Serasa nega ser fonte do vazamento

Em comunicado, a Serasa diz: “entendemos que a propositura da ação judicial é precipitada, e apresentaremos a defesa no prazo legal”. Desde o mês passado, ela vem conduzindo uma investigação sobre os dados oferecidos ilegalmente para venda na internet.

A empresa reitera que “até o momento não há nenhuma evidência de que dados tenham sido obtidos ilegalmente da Serasa”, e que não há evidência de que seus sistemas tenham sido comprometidos.

“Há dados disponibilizados inclusive que a Serasa sequer possui, como fotos, cadastros de INSS, registros de veículos e informações de login em mídias sociais”, afirma o posicionamento.

Processo quer multa de pelo menos R$ 200 milhões

A petição inicial, à qual tivemos acesso, menciona a reportagem do Tecnoblog que revelou com exclusividade os detalhes sobre o vazamento. Há 37 pastas na prévia oferecida pelo hacker, incluindo informações sobre score de crédito e outros produtos vendidos pela Serasa, tais como o Mosaic e modelos de afinidade e de propensão.

“A ré Serasa, por mais que alegue que os seus ambientes de tratamento não ocasionaram o incidente sob exame, pelo contexto dos dados vazados, é evidente que são dados obtidos de serviços que ela oferece de maneira única e indistinta”, diz o processo judicial.

“Em qualquer cenário, a ré Serasa Experian responde objetivamente pelos dados vazados, pois, direta ou indiretamente, concorreu para a ilegalidade e não aplicou as melhores práticas no desenvolvimento dos seus serviços”, defende a ação.

Nesse sentido, o Instituto Sigilo faz diversas exigências à Serasa:

  • pagamento de danos morais coletivos de pelo menos R$ 200 milhões, que seriam revertidos ao FDD (Fundo de Defesa de Direitos Difusos);
  • pagamento de R$ 15 mil para cada titular dos dados, como indenização por danos morais;
  • envio de carta com aviso de recebimento (AR) para todos os titulares cujos dados foram expostos, sob pena de multa diária de R$ 10 mil;
  • divulgação em redes sociais e outras formas de comunicação sobre os incidentes de segurança ocorridos e sobre os planos para solucionar eventuais riscos;
  • obrigação de aplicar medidas técnicas e tecnológicas necessárias para retirar os dados vazados da internet.

Ação quer que ANPD faça auditoria

Quanto à ANPD, o processo afirma: “a partir do momento que institui e vincula à Presidência da República um órgão que possui como atribuição fundamental a fiscalização da LGPD, não há como se conceber que essa mesma entidade se mantenha inoperante diante de uma violação sem precedentes à legislação”.

Por isso, a ação pede que a ANPD notifique a Serasa; realize uma auditoria técnica “para constatar a desastrosa falha de segurança sob exame”; e tome as medidas administrativas necessárias para apurar “atos ilícitos porventura cometidos pela Autoridade”.

A ACP (ação civil pública) tem número 5002936-86.2021.4.03.6100 e corre na 22ª Vara Cível Federal de São Paulo. Ela foi aberta direto na Justiça Federal por colocar a ANPD, vinculada à Presidência da República, como ré.

Relacionados

Escrito por

Felipe Ventura

Felipe Ventura

Ex-editor

Felipe Ventura fez graduação em Economia pela FEA-USP, e trabalha com jornalismo desde 2009. No Tecnoblog, atuou entre 2017 e 2023 como editor de notícias, ajudando a cobrir os principais fatos de tecnologia. Sua paixão pela comunicação começou em um estágio na editora Axel Springer na Alemanha. Foi repórter e editor-assistente no Gizmodo Brasil.

Temas populares