O Ministério Público Federal (MPF) pediu à Justiça que o Serasa seja condenado a pagar pelo menos R$ 200 milhões de multa pelo megavazamento de dados que veio a público em janeiro de 2021.
O órgão também pede que todos as pessoas que tiveram informações pessoais expostas na internet sejam comunicadas em até dez dias e, ao fim do processo, recebam indenização de R$ 30 mil cada. Os requerimentos foram enviados em uma ação que tramita na Justiça Federal em São Paulo.
Outra exigência do Ministério Público é o fim da venda de informações pela empresa. O Serasa comercializava dados de consumidores por meio dos serviços Lista Online e Prospecção de Clientes. Já existe uma decisão liminar do Tribunal de Justiça do Distrito Federal mandando suspender os serviços.
“Contrariando decisões judiciais, informações pessoais de cidadãos vivos e mortos constantes da base de dados da Serasa continuam sendo comercializadas pela empresa através da internet, produzindo um ambiente vulnerável e propício a fraudes”, afirma o Ministério Público em comunicado divulgado nesta segunda.
Procurada pelo Estadão, a empresa informou que, ao contrário do que diz o MPF, os serviços foram descontinuados. O Serasa afirmou ainda que já demonstrou que o vazamento não teve origem em suas bases de dados (leia a íntegra da nota no final da matéria).
Saiba tudo o que propõe o MPF:
- Multa de R$ 200 milhões ou 10% do faturamento do Serasa no último exercício, o que for maior;
- Indenização de R$ 30 mil para quem teve dados vazados;
- Fim do compartilhamento e venda dos bancos de dados do Serasa e descontinuação dos serviços Lista Online e Prospecção de Clientes;
- Política de prevenção e de mitigação de riscos de vazamento das informações;
- Ouvidoria independente para o tratamento de dados;
- Transparência sobre as falhas de segurança da informação ocorridas e sobre quais são as bases dados compartilhadas com terceiros.
O megavazamento veio a público em janeiro de 2021. Os dados de milhões de brasileiros foram disponibilizados em fóruns online. Foram vazados 223 milhões de CPFs de pessoas vivas e mortas, 40 milhões de CNPJs e 104 milhões de registros de veículos. Havia também outras informações pessoais, como nome completo, endereço, imposto de renda, scores de crédito, entre outros.
A procuradora da República Karen Louise Jeanette Kahn, que atua no caso, também pressiona a Agência Nacional de Proteção de Dados (ANPD), órgão vinculado ao Ministério da Justiça. Ela sugere prazo de seis meses para que a ANPD instaure e conclua um processo administrativo sobre o episódio. A avaliação é a de que a agência regulatória foi “omissa” na fiscalização do Serasa, inclusive depois do vazamento, quando a autarquia seguiu comercializando informações de sua base de dados.
COM A PALAVRA, O SERASA
“A Serasa Experian já apresentou defesa na ação judicial proposta em fevereiro de 2021, mencionada nesta reportagem. Na ocasião, demonstrou, de forma amplamente detalhada, ausência de invasão nos seus sistemas e de qualquer indício de que o suposto vazamento tivesse tido origem em suas bases de dados. Esses resultados foram também corroborados por respeitado instituto de perícias após extenso trabalho de análise e revisão, cujo parecer técnico foi entregue às autoridades competentes.
Importante esclarecer que a ação judicial aqui tratada não possui qualquer relação com a Ação Civil Pública proposta pelo Ministério Público do Distrito Federal, já inclusive encerrada, referente aos serviços ‘Lista Online’ e ‘Prospecção de Clientes’, os quais foram descontinuados em 2020. É totalmente inverídica, portanto, a alegação de suposto descumprimento. A Serasa Experian reforça que cumpre rigorosamente a legislação brasileira e as decisões judiciais e vai, mais uma vez, apresentar todos os esclarecimentos nos autos respectivos.”
COM A PALAVRA, A AGÊNCIA NACIONAL DE PROTEÇÃO DE DADOS
“Informamos que a ANPD não foi formalmente notificada.”
