MPF requer da Serasa o pagamento de multa superior a R$ 200 milhões por vazamento de dados pessoai

No processo, o Ministério Público Federal de São Paulo defende que cada pessoa afetada seja indenizada com R$ 30 mil e que a Serasa seja condenada a pagar multa por danos causados a toda a sociedade, em valor equivalente a até 10% do seu faturamento anual no último exercício.

De São Paulo

O Ministério Público Federal (MPF) entrou, como coautor, em ação civil pública proposta pelo Instituto Sigilo para que a Serasa pague indenizações por vazamento de dados de 223 milhões de brasileiros. Contrariando decisões judiciais, informações pessoais de cidadãos vivos e mortos constantes da base de dados da Serasa continuam sendo comercializadas pela empresa através da internet, produzindo um ambiente vulnerável e propício a fraudes.

No processo, o MPF defende que cada pessoa afetada seja indenizada com R$ 30 mil e que a Serasa seja condenada a pagar multa por danos causados a toda a sociedade, em valor equivalente a até 10% do seu faturamento anual no último exercício. O montante, no entanto, não pode ser inferior a R$ 200 milhões. O Ministério Público requer ainda que a Autoridade Nacional de Proteção de Dados (ANPD) também seja responsabilizada pela exposição indevida, tendo em vista a ausência de controle prévio para fins de prevenção do próprio vazamento em si, bem como de controle posterior, no sentido de serem estancados e recompostos os danos decorrentes do vazamento.

Entenda o caso
O Instituto Sigilo entrou com ação contra a Serasa, após a divulgação de notícias pela imprensa, em 2021, de que a empresa violou o sigilo de dados correspondentes a mais de 223 milhões de CPFs, entre cidadãos brasileiros e pessoas mortas, contrariando regras e princípios da Lei Geral de Proteção de Dados, da Lei do Marco Civil da Internet e do Código de Defesa do Consumidor. As apurações apontaram para a divulgação de informações pessoais dos consumidores na internet, históricos de compras, endereços de e-mail, dados da Previdência Social, de renda, da Receita Federal, e até a possibilidade de acesso a dados de cartões de crédito e de débito.

As investigações constataram que a Serasa comercializou – e ainda segue comercializando com terceiros (empresas autorizadas ou certificadas pela própria autarquia) – o acesso indevido a dados pessoais. Algumas dessas informações passaram a circular na internet de forma gratuita e outras foram vendidas por criminosos.

Por tal ato, a Serasa já havia sido condenada em ação civil pública proposta pelo Ministério Público do Distrito Federal e Territórios (MPDFT), que identificou a indevida comercialização maciça de dados pessoais de brasileiros por meio dos serviços “Lista Online” e “Prospecção de Clientes”. A empresa deveria se abster de comercializar os dados dos consumidores, mas vem descumprindo a ordem liminar e a condenação judicial, conforme aponta o MPF.

Providências
O MPF pleiteia da Justiça Federal de São Paulo a concessão de tutela antecipada para que a Serasa envie, no prazo de até dez dias, comunicações aos cidadãos que tiveram dados vazados e expostos na internet, sob pena de multa diária de R$ 20 mil. O órgão também solicita que a empresa divulgue as seguintes informações em seus meios de comunicação, em até 48 horas:

  • Quais foram as falhas de segurança da informação ocorridas
  • Quais as bases são compartilhadas com terceiros
  • Quais as medidas foram ou serão adotadas para solucionar os riscos aos consumidores, sob pena de multa diária de R$ 20 mil.

Outra requisição feita pelo MPF é para que a Serasa adote, em definitivo – no prazo máximo de 30 dias após o trânsito em julgado da condenação (quando não cabe mais recursos) – medidas técnicas necessárias para que os danos gerados aos titulares dos dados vazados sejam minimizados ou suprimidos. Entre elas está o fim do compartilhamento e venda comercial de sua base de dados, com a suspensão da página de “Prospecção de Clientes” e “Lista PEP” (de pessoas expostas politicamente) em seu site institucional, bem como a desativação definitiva do sistema Mosaic, ferramenta de cruzamento de dados para comercialização de perfis.

Além disso, o MPF requer que a empresa implante, no prazo máximo de 60 dias da sentença condenatória, medida de segurança da informação mais aperfeiçoada, com a adoção de política de prevenção e de mitigação de riscos de vazamento das informações, de recuperação e recomposição de danos gerados aos titulares dos dados armazenados. A autarquia deverá também instituir, segundo o pleito do Ministério Público e nos termos da Lei Geral de Proteção de Dados (Lei 13.7109/18), a pessoa física do “encarregado de tratamento de dados”, bem como uma Ouvidoria independente.

Já em relação à Agência Nacional de Proteção de Dados (ANPD), o MPF destaca que a agência regulatória e fiscalizatória omitiu-se na adoção dos seus deveres legais, inclusive no processamento administrativo das condutas da Serasa, em especial, no que se refere ao descumprimento de ordem judicial para que a empresa parasse de negociar ilegalmente informações pessoais mantidas em sua base de dados.

Neste sentido, o MPF pleiteia, no prazo de até seis meses, a instauração e conclusão por parte da ANPD de processo administrativo contra a Serasa, com a finalidade de apurar vazamento de dados e manutenção de conduta irregular de comercialização de informações de consumidores. A ação pede também que a agência seja obrigada a garantir – no prazo de 30 dias – que os agentes de tratamento, operadores e controladores de dados, como a Serasa, cumpram o dever legal de zelar pela proteção de dados pessoais, preservar o segredo empresarial e o sigilo das informações.

Danos individuais
A procuradora da República que atua no caso, Karen Louise Jeanette Kahn, explica que, independentemente da conduta do Serasa, o MPF e o Instituto Sigilo estão verificando as providências possíveis, perante a Justiça Federal, para que os consumidores possam ter conhecimento sobre sua situação pessoal, relativa ao possível vazamento de seus próprios dados, em especial, por meio do competente e reservado acesso à sua fonte. Ela argumenta:

“Tal acesso se mostra fundamental, na medida em que lhes permitirá, além de contar com a defesa do MPF de seus direitos individuais homogêneos, ajuizar ações individuais que entenderem cabíveis pelos danos que ainda restarem constatados em seu desfavor, em especial, envolvendo possíveis violações à sua honra e à vida privada.”

Ela acrescenta:

“Os cidadãos brasileiros têm direito à proteção e inviolabilidade de dados, bem como à preservação da vida privada, da intimidade, da imagem e da honra. Para assegurar que esse princípio garantido pela legislação seja cumprido.”

Ao Estadão, a Serasa Experian esclareceu que já apresentou defesa na ação judicial proposta em fevereiro de 2021. Na ocasião, segundo a autarquia, demonstrou, de forma amplamente detalhada, ausência de invasão nos seus sistemas e de qualquer indício de que o suposto vazamento tivesse tido origem em suas bases de dados. Esses resultados foram também corroborados por respeitado instituto de perícias após extenso trabalho de análise e revisão, cujo parecer técnico foi entregue às autoridades competentes.

A autarquia conclui:

“Importante esclarecer que a ação judicial aqui tratada não possui qualquer relação com a Ação Civil Pública proposta pelo Ministério Público do Distrito Federal, já inclusive encerrada, referente aos serviços ‘Lista Online’ e ‘Prospecção de Clientes’, os quais foram descontinuados em 2020. É totalmente inverídica, portanto, a alegação de suposto descumprimento. A Serasa Experian reforça que cumpre rigorosamente a legislação brasileira e as decisões judiciais e vai, mais uma vez, apresentar todos os esclarecimentos nos autos respectivos.”

(Com informações do MPF. Imagem de Reto Scheiwiller / Pixabay.)

ANTV BID da Volkswagen Cade Cartel dos cegonheiros Combate aos cartéis Fiat Ford Formação de cartel Gaeco GM Incêndios criminosos Jeep Justiça Federal Luiz Moan MPF Operação Pacto Polícia Federal Prejuízo causado pelo cartel Sada Sinaceg Sindicam Sintraveic-PE Sintravers STJ Tegma Tentativa de censura Transporte de veículos Transporte de veículos2 Transporte de veículos novos TRF-4 Vittorio Medioli Volkswagen