MPF se junta ao Instituto Sigilo e quer indenização de R$ 30 mil por vazamento de dados do Serasa
O Ministério Público Federal (MPF) entrou, como coautor, em ação civil pública proposta pelo Instituto Sigilo para que a Serasa pague indenizações por vazamento de dados de 223 milhões de brasileiros. Contrariando decisões judiciais, informações pessoais de cidadãos vivos e mortos constantes da base de dados da Serasa continuam sendo comercializadas pela empresa através da internet, produzindo um ambiente vulnerável e propício a fraudes.
No processo, o MPF defende que cada pessoa afetada seja indenizada com R$ 30 mil e que a Serasa seja condenada a pagar multa, pelos danos causados a toda a sociedade, em valor equivalente a até 10% do seu faturamento anual no último exercício. O montante, no entanto, não pode ser inferior a R$ 200 milhões.
O Ministério Público requer, ainda, que a Autoridade Nacional de Proteção de Dados (ANPD) também seja responsabilizada pela exposição indevida, tendo em vista a ausência de controle prévio, para fins de prevenção do próprio vazamento em si, bem como de controle posterior,no sentido de serem estancados e recompostos os danos decorrentes do vazamento.
O Instituto Sigilo entrou com ação contra a Serasa, após a divulgação de notícias pela imprensa, em 2021, de que a empresa violou o sigilo de dados correspondentes a mais de 223 milhões de CPFs, entre cidadãos brasileiros e pessoas mortas, contrariando regras e princípios da Lei Geral de Proteção de Dados, da Lei do Marco Civil da Internet e do Código de Defesa do Consumidor.
As apurações apontaram para a divulgação de informações pessoais dos consumidores na internet, históricos de compras, endereços de e-mail, dados da Previdência Social, de renda, da Receita Federal, e até a possibilidade de acesso a dados de cartões de crédito e de débito.
As investigações constataram que a Serasa comercializou – e ainda segue comercializando com terceiros (empresas autorizadas ou certificadas pela própria autarquia) – o acesso indevido a dados pessoais. Algumas dessas informações passaram a circular na internet de forma gratuita e outras foram vendidas por criminosos.
Por tal ato, a Serasa já havia sido condenada em ação civil pública proposta pelo Ministério Público do Distrito Federal e Territórios (MPDFT), que identificou a indevida comercialização maciça de dados pessoais de brasileiros por meio dos serviços “Lista Online” e “Prospecção de Clientes”. A empresa deveria se abster de comercializar os dados dos consumidores, mas vem descumprindo a ordem liminar e a condenação judicial, conforme aponta o MPF.
Dada a gravidade e urgência do caso, o MPF pleiteia da Justiça Federal de São Paulo a concessão de tutela antecipada para que a Serasa envie, no prazo de até dez dias, comunicações aos cidadãos que tiveram dados vazados e expostos na internet, sob pena de multa diária de R$ 20 mil. O órgão solicita ainda, dentre outros pontos, que a empresa divulgue em seus meios de comunicação, em até 48 horas, quais foram as falhas de segurança da informação ocorridas; quais as bases são compartilhadas com terceiros; e quais as medidas foram ou serão adotadas para solucionar os riscos aos consumidores, sob pena de multa diária de R$ 20 mil.
Outra requisição feita pelo MPF é para que a Serasa adote, em definitivo – no prazo máximo de 30 dias após o trânsito em julgado da condenação (quando não cabe mais recursos) – medidas técnicas necessárias para que os danos gerados aos titulares dos dados vazados sejam minimizados ou suprimidos. Entre elas, está o fim do compartilhamento e venda comercial de sua base de dados, com a suspensão da página de “Prospecção de Clientes” e “Lista PEP” (de pessoas expostas politicamente) em seu site institucional, bem como a desativação definitiva do sistema Mosaic, ferramenta de cruzamento de dados para comercialização de perfis.
Além disso, o MPF requer que a empresa implante, no prazo máximo de 60 dias da sentença condenatória, medida de segurança da informação mais aperfeiçoada, com a adoção de política de prevenção e de mitigação de riscos de vazamento das informações, de recuperação e recomposição de danos gerados aos titulares dos dados armazenados. A autarquia deverá também instituir, segundo o pleito do Ministério Público e nos termos da Lei Geral de Proteção de Dados (Lei 13.7109/18), a pessoa física do “encarregado de tratamento de dados”, bem como uma Ouvidoria independente.
Já em relação à Agência Nacional de Proteção de Dados (ANPD), o MPF destaca que a agência regulatória e fiscalizatória omitiu-se na adoção dos seus deveres legais, inclusive no processamento administrativo das condutas da Serasa, em especial, no que se refere ao descumprimento de ordem judicial para que a empresa parasse de negociar ilegalmente informações pessoais mantidas em sua base de dados.
Neste sentido, o MPF pleiteia da ANPD, entre outras medidas, que o órgão instaure e conclua, no prazo de até seis meses, processo administrativo contra a Serasa, com a finalidade de apurar vazamento de dados e manutenção de conduta irregular de comercialização de informações de consumidores. A ação pede também que a agência seja obrigada a garantir – no prazo de 30 dias – que os agentes de tratamento, operadores e controladores de dados, como a Serasa, cumpram o dever legal de zelar pela proteção de dados pessoais, preservar o segredo empresarial e o sigilo das informações.
Danos individuais
A procuradora da República que atua no caso, Karen Louise Jeanette Kahn, explica que, independentemente da conduta do Serasa, o MPF e o Instituto Sigilo estão verificando as providências possíveis, perante a Justiça Federal, para que os consumidores possam ter conhecimento sobre sua situação pessoal, relativa ao possível vazamento de seus próprios dados, em especial, por meio do competente e reservado acesso à sua fonte.
Isso porque, segundo a procuradora, esse tipo de vazamento expõe os cidadãos de forma pública e ilegal, atraindo graves riscos de possíveis fraudes envolvendo suas identidades e vida privada. “Tal acesso se mostra fundamental, na medida em que lhes permitirá, além de contar com a defesa do MPF de seus direitos individuais homogêneos, ajuizar ações individuais que entenderem cabíveis pelos danos que ainda restarem constatados em seu desfavor, em especial, envolvendo possíveis violações à sua honra e à vida privada”, conclui Karen Kahn.
Serasa se pronuncia
Em nota oficial enviada ao Convergência Digital, a Serasa Experian afirma que já apresentou defesa na ação judicial proposta em fevereiro de 2021.
Segundo a empresa, na ocasião, “demonstrou, de forma amplamente detalhada, ausência de invasão nos seus sistemas e de qualquer indício de que o suposto vazamento tivesse tido origem em suas bases de dados. Esses resultados foram também corroborados por respeitado instituto de perícias após extenso trabalho de análise e revisão, cujo parecer técnico foi entregue às autoridades competentes”.
De acordo ainda com a Serasa Experian,” é importante esclarecer que a ação judicial aqui tratada não possui qualquer relação com a Ação Civil Pública proposta pelo Ministério Público do Distrito Federal, já inclusive encerrada, referente aos serviços “Lista Online” e “Prospecção de Clientes”, os quais foram descontinuados em 2020. É totalmente inverídica, portanto, a alegação de suposto descumprimento”.
Por fim, a “Serasa Experian reforça que cumpre rigorosamente a legislação brasileira e as decisões judiciais e vai, mais uma vez, apresentar todos os esclarecimentos nos autos respectivos.”