MPF quer que Serasa pague indenizações por vazamento de dados de brasileiros
Em uma importante decisão para a proteção de dados no Brasil, o Ministério Público Federal (MPF) está buscando que a Serasa Experian seja condenada a pagar indenizações pelo vazamento de dados de 223 milhões de brasileiros. O pedido faz parte de uma ação civil pública movida pelo Instituto Sigilo, que conta com a coautoria do MPF.
De acordo com o MPF, cada pessoa afetada pelo vazamento deveria receber uma indenização de R$ 30 mil, além de uma multa a ser paga pela Serasa por danos causados à sociedade. Essa multa poderia ser equivalente a até 10% do faturamento anual da empresa no último exercício, mas não poderia ser menor que R$ 200 milhões. Além disso, o MPF também pede que a Autoridade Nacional de Proteção de Dados (ANPD) seja responsabilizada pela exposição indevida.
Segundo a ação civil pública, os autores argumentam que houve falta de controle prévio para evitar o vazamento de dados e também falta de controle posterior para minimizar e reparar os danos causados. A Serasa Experian esteve no centro de notícias alarmantes sobre violação de dados em 2021. Segundo as informações divulgadas, a empresa teria violado o sigilo de dados correspondentes a mais de 223 milhões de CPFs, incluindo cidadãos brasileiros e pessoas já falecidas.
As investigações subsequentes revelaram que a Serasa estava vendendo acesso indevido a dados pessoais, que incluíam informações sobre compras, endereços de e-mail, dados da Previdência Social, da Receita Federal, além de dados de cartões de crédito e débito. Essas informações foram amplamente circuladas na internet, sendo vendidas por criminosos ou disponibilizadas gratuitamente.
Este não é o primeiro caso envolvendo a Serasa Experian. A empresa já havia sido condenada em outra ação civil pública movida pelo Ministério Público do Distrito Federal (MP/DF) por disponibilizar dados de consumidores. Mesmo após a condenação, a Serasa não teria cumprido a ordem liminar e continuou comercializando dados dos consumidores, de acordo com o MPF.
Diante da gravidade do caso, o MPF solicita à Justiça Federal de São Paulo que a Serasa envie comunicações aos cidadãos afetados pelo vazamento de dados dentro de um prazo de dez dias. Além disso, o MPF exige que a empresa divulgue quais foram as falhas de segurança ocorridas em um prazo de até 48 horas. Também é solicitado que a Serasa adote medidas técnicas necessárias para minimizar ou eliminar os danos causados pelo vazamento de dados.
O MPF ainda requer que a ANPD instaure e conclua um processo administrativo contra a Serasa em até seis meses para apurar o vazamento de dados e as condutas irregulares de comercialização de informações.
Em nota, a Serasa Experian negou as alegações sobre a necessidade de pagar uma indenização de R$ 30 mil. A empresa afirma ter comprovado a ausência de invasão de seus sistemas ou indícios de que o suposto vazamento tenha origem em suas bases de dados. A Serasa alega que a proteção dos dados é sua prioridade número um e que cumpre rigorosamente a legislação brasileira. Até o momento, a ação está em andamento e nenhuma decisão final foi proferida.
Imagem 1: ![Serasa Experian](https://empresas.serasaexperian.com.br/consulta-serasa)
Imagem 2: ![MPF](https://www.comprasnet.gov.br/present/images/header_cgmpf.png)