Os cidadãos brasileiros têm direito à proteção e inviolabilidade de dados, bem como à preservação da vida privada, da intimidade, da imagem e da honra. Para assegurar que esse princípio garantido pela legislação seja cumprido, o Ministério Público Federal (MPF) entrou, como coautor, em ação civil pública proposta pelo Instituto Sigilo para que a Serasa pague indenizações por vazamento de dados de 223 milhões de brasileiros. Segundo o MPF, contrariando decisões judiciais, informações pessoais de cidadãos vivos e mortos constantes da base de dados da Serasa continuam sendo comercializadas pela empresa através da internet, produzindo um ambiente vulnerável e propício a fraudes.
No processo, o MPF defende que cada pessoa afetada seja indenizada com R$ 30 mil e que a Serasa seja condenada a pagar multa, pelos danos causados a toda a sociedade, em valor equivalente a até 10% do seu faturamento anual no último exercício. O montante, no entanto, não pode ser inferior a R$ 200 milhões. O Ministério Público requer, ainda, que a Autoridade Nacional de Proteção de Dados (ANPD) também seja responsabilizada pela exposição indevida, tendo em vista a ausência de controle prévio, para fins de prevenção do próprio vazamento em si, bem como de controle posterior, no sentido de serem estancados e recompostos os danos decorrentes do vazamento.
Entenda o caso – O Instituto Sigilo entrou com ação contra a Serasa, após a divulgação de notícias pela imprensa, em 2021, de que a empresa violou o sigilo de dados correspondentes a mais de 223 milhões de CPFs, entre cidadãos brasileiros e pessoas mortas, contrariando regras e princípios da Lei Geral de Proteção de Dados, da Lei do Marco Civil da Internet e do Código de Defesa do Consumidor. As apurações apontaram para a divulgação de informações pessoais dos consumidores na internet, históricos de compras, endereços de e-mail, dados da Previdência Social, de renda, da Receita Federal, e até a possibilidade de acesso a dados de cartões de crédito e de débito.
As investigações constataram que a Serasa comercializou – e ainda segue comercializando com terceiros (empresas autorizadas ou certificadas pela própria autarquia) – o acesso indevido a dados pessoais. Algumas dessas informações passaram a circular na internet de forma gratuita e outras foram vendidas por criminosos.
Por tal ato, a Serasa já havia sido condenada em ação civil pública proposta pelo Ministério Público do Distrito Federal e Territórios (MPDFT), que identificou a indevida comercialização maciça de dados pessoais de brasileiros por meio dos serviços “Lista Online” e “Prospecção de Clientes”. A empresa deveria se abster de comercializar os dados dos consumidores, mas vem descumprindo a ordem liminar e a condenação judicial, conforme aponta o MPF.