| Publicada no Teletime | Na avaliação do Procon-SP, as respostas da Serasa sobre o suposto vazamento de 220 milhões de dados pessoais de cidadãos brasileiros não foram suficientes para eximir a empresa da obrigação de implementar as medidas de segurança e proteção de dados conforme previsão do Código de Defesa do Consumidor (CDC) e da Lei Geral de Proteção de Dados (LGPD).

No início deste ano, o Procon-SP notificou a Serasa Experian pedindo explicações sobre notícia do suposto vazamento de 220 milhões de dados pessoais de cidadãos brasileiros. A empresa encaminhou resposta complementar ao Procon-SP informando que, até então, nada indicaria que houve vazamento de suas bases, mas afirmou continuar conduzindo uma investigação para apurar o incidente.

Sem esclarecimentos

Apesar de a Serasa apresentar Parecer Técnico de empresa especializada de que os sistemas da empresa seriam seguros, o Procon-SP entende que, na prática, o birô não conseguiu implementar medidas para cumprimento do CDC e da LGPD.

A fundação afirma que dados como nome, CPF, fotografia, salário, renda, nível de escolaridade, estado civil, score de crédito e endereço teriam sido violados e estariam sendo divulgados e comercializados na Internet. O Procon-SP pediu que a Serasa detalhasse alguns pontos como: finalidade e base legal para o tratamento de dados pessoais; necessidade de consentimento; medidas para atender às determinações da LGPD; política de descarte de dados e tempo de armazenamento. As respostas fornecidas teriam sido insuficientes e não esclareceriam as indagações, ainda de acordo com a entidade.

Também foram feitos questionamentos sobre as medidas para contenção do incidente e mitigação dos riscos e sobre a reparação dos danos decorrentes do vazamento e providências para evitar nova falha. A Serasa disse que mantém um “abrangente programa de segurança de informação”, mas não teria detalhado qual a política para minimizar danos. A empresa afirmou que mantém orientações contra fraude em seu site – o que seria mais uma medida preventiva e não reparadora.

Após o incidente, alguns consumidores procuraram o atendimento do Procon-SP preocupados com o vazamento de seus dados – alguns relataram ter tido problemas ao tentar cancelar os serviços contratados da Serasa, outros apresentaram dúvidas sobre como ter a confirmação de vazamento de seus dados e outros ainda perguntavam sobre como proceder após verificarem seus dados no site “fui vazado”.

O complemento da resposta será encaminhado para a fiscalização, que irá analisar a conduta da Serasa e poderá aplicar multa conforme prevê o Código de Proteção e Defesa do Consumidor.

Condenação

Em fevereiro, o Instituto Brasileiro de Defesa da Proteção de Dados Pessoais, Compliance e Segurança da Informação – Sigilo entrou com uma ação na 22ª Vara Cível Federal de São Paulo, contra a Serasa Experian.

O Instituto pede indenização por danos morais e materiais coletivos no valor de R$ 200 milhões, que seriam revertidos ao fundo especial de direitos difusos. Além disso, a entidade defende que a Serasa seja obrigada a arcar com uma indenização no valor de R$ 15 mil a cada um dos titulares de dados afetados por esse vazamento e comunicar a todos os titulares que tiveram os dados expostos por meio de cartas com aviso de recebimento, sob pena de multa diária de R$ 10 mil.

 

*********************************

Receba gratuitamente a newsletter do Mobile Time e fique bem informado sobre tecnologia móvel e negócios. Cadastre-se aqui!