A Serasa Experian está sendo processada pelo Instituto SIGILO devido à exposição de dados sobre 223 milhões de CPFs e 40 milhões de CNPJs. A ação civil pública, que também inclui como ré a ANPD (Autoridade Nacional de Proteção de Dados), quer que a empresa pague multa de R$ 200 milhões e indenização de R$ 15 mil para cada titular afetado pelo vazamento.
Desde o início, a Serasa nega ser a fonte do megavazamento. Mas Victor Hugo Pereira Gonçalves, fundador e presidente do Instituto SIGILO, acusa a empresa de vender sua base de dados, e entende que por isso ela divide a responsabilidade caso o vazamento tenha ocorrido em um de seus parceiros.
“Se vazou de dentro ou de fora [da Serasa], é uma questão irrelevante”, diz Victor em entrevista ao Tecnoblog. “O controlador de dados é responsável antes, durante e depois; a responsabilidade é do Serasa se os dados não forem apagados depois do uso.”
Segundo Victor, que é especialista em direito digital, a ANPD é ré nesta ação judicial porque ainda não se sabe o grau de envolvimento da Serasa no vazamento. Dessa forma, todo o material produzido pela autoridade durante a investigação “tem que ser trazido judicialmente”.
O SIGILO foi criado em 2018 como uma associação sem fins lucrativos dedicada à proteção dos dados pessoais. O instituto já abriu processos contra outras empresas, a maioria no segundo semestre de 2020, que ainda estão em fase de citação e apresentação de contestação.
Serasa nega ser fonte do vazamento
Em comunicado, a Serasa diz: “entendemos que a propositura da ação judicial é precipitada, e apresentaremos a defesa no prazo legal”. Desde o mês passado, ela vem conduzindo uma investigação sobre os dados oferecidos ilegalmente para venda na internet.
A empresa reitera que “até o momento não há nenhuma evidência de que dados tenham sido obtidos ilegalmente da Serasa”, e que não há evidência de que seus sistemas tenham sido comprometidos.
“Há dados disponibilizados inclusive que a Serasa sequer possui, como fotos, cadastros de INSS, registros de veículos e informações de login em mídias sociais”, afirma o posicionamento.
Processo quer multa de pelo menos R$ 200 milhões
A petição inicial, à qual tivemos acesso, menciona a reportagem do Tecnoblog que revelou com exclusividade os detalhes sobre o vazamento. Há 37 pastas na prévia oferecida pelo hacker, incluindo informações sobre score de crédito e outros produtos vendidos pela Serasa, tais como o Mosaic e modelos de afinidade e de propensão.
“A ré Serasa, por mais que alegue que os seus ambientes de tratamento não ocasionaram o incidente sob exame, pelo contexto dos dados vazados, é evidente que são dados obtidos de serviços que ela oferece de maneira única e indistinta”, diz o processo judicial.
“Em qualquer cenário, a ré Serasa Experian responde objetivamente pelos dados vazados, pois, direta ou indiretamente, concorreu para a ilegalidade e não aplicou as melhores práticas no desenvolvimento dos seus serviços”, defende a ação.
Nesse sentido, o Instituto Sigilo faz diversas exigências à Serasa:
pagamento de danos morais coletivos de pelo menos R$ 200 milhões, que seriam revertidos ao FDD (Fundo de Defesa de Direitos Difusos);
pagamento de R$ 15 mil para cada titular dos dados, como indenização por danos morais;
envio de carta com aviso de recebimento (AR) para todos os titulares cujos dados foram expostos, sob pena de multa diária de R$ 10 mil;
divulgação em redes sociais e outras formas de comunicação sobre os incidentes de segurança ocorridos e sobre os planos para solucionar eventuais riscos;
obrigação de aplicar medidas técnicas e tecnológicas necessárias para retirar os dados vazados da internet.
Ação quer que ANPD faça auditoria
Quanto à ANPD, o processo afirma: “a partir do momento que institui e vincula à Presidência da República um órgão que possui como atribuição fundamental a fiscalização da LGPD, não há como se conceber que essa mesma entidade se mantenha inoperante diante de uma violação sem precedentes à legislação”.
Por isso, a ação pede que a ANPD notifique a Serasa; realize uma auditoria técnica “para constatar a desastrosa falha de segurança sob exame”; e tome as medidas administrativas necessárias para apurar “atos ilícitos porventura cometidos pela Autoridade”.
A ACP (ação civil pública) tem número 5002936-86.2021.4.03.6100 e corre na 22ª Vara Cível Federal de São Paulo. Ela foi aberta direto na Justiça Federal por colocar a ANPD, vinculada à Presidência da República, como ré.
Por Felipe Ventura Tecnoblog
#LGPD #LeiDeProteçãoDeDados #TratamentoDeDadosPessoais #Lei13709 #SERASA #vasmentoNoSERASA #SunConsult #ConsultoriaEspecializada #TransformaçãoDigital #ProjetosDeCompliance #Tecnologia #CiênciaDeDados #DesignCriativo #ANPPD #VazamentoDeInformações #InformaçõesVazadas #ProteçãoDeDados
Comments