O Ministério Público Federal (MPF) solicitou judicialmente que a Serasa seja condenada a pagar uma indenização de R$ 30 mil para cada pessoa afetada pelo vazamento de dados pessoais ocorrido em 2021. O pedido, parte de uma ação civil pública movida pelo Instituto Sigilo, visa que a empresa, amplamente conhecida por seus serviços de proteção ao crédito, compense financeiramente milhões de brasileiros.
A justificativa para a multa aplicada à Serasa, segundo o MPF, é a necessidade de ressarcir cada indivíduo afetado com a quantia de R$ 30 mil. Além disso, requer que a empresa seja penalizada com um valor equivalente a até 10% de seu faturamento anual no último exercício, não podendo ser inferior a R$ 200 milhões, como forma de compensação pelos prejuízos causados à sociedade.
O MPF argumenta que vazamentos desse tipo expõem os cidadãos de maneira pública e ilegal, sujeitando-os a sérios riscos de fraudes relacionadas às suas identidades e vida privada. Em resposta, a Serasa, por meio de nota, contesta as alegações, afirmando não ter evidências de invasão em seus sistemas ou de que o suposto vazamento tenha origem em suas bases de dados.
A procuradora da República responsável pelo caso, Karen Louise Jeanette Kahn, destaca a importância do acesso dos cidadãos ao processo, permitindo que defendam seus direitos e busquem ações individuais por eventuais danos. A Serasa nega a existência de uma sentença que determine o pagamento de R$ 30 mil em indenização, reiterando a ausência de invasão em seus sistemas e indicativos de que o vazamento tenha ocorrido em suas bases de dados.
Além disso, o MPF busca responsabilizar a Autoridade Nacional de Proteção de Dados (ANPD) pela exposição indevida, devido à falta de controle prévio e posterior para prevenir e remediar os danos decorrentes do vazamento. A Serasa reforça seu compromisso com a segurança dos dados e o estrito cumprimento da legislação brasileira.
Quanto ao contexto do caso, em 2021, após a divulgação de notícias sobre a violação do sigilo de dados de mais de 223 milhões de CPFs pela empresa, o Instituto Sigilo moveu uma ação contra a Serasa, alegando violação das normas da Lei Geral de Proteção de Dados, da Lei do Marco Civil da Internet e do Código de Defesa do Consumidor.
As informações comprometidas incluíam dados pessoais dos consumidores, históricos de compras, endereços de e-mail, informações da Previdência Social, renda, Receita Federal e até dados de cartões de crédito e débito. O MPF apontou que a Serasa comercializou e continua a comercializar indevidamente o acesso a dados pessoais com terceiros, resultando na circulação gratuita ou venda dessas informações por criminosos na internet.
Importante destacar que a Serasa já havia sido condenada em outra ação civil pública movida pelo Ministério Público do Distrito Federal e Territórios (MPDFT), relacionada à comercialização massiva indevida de dados pessoais por meio dos serviços “Lista Online” e “Prospecção de Clientes”. A empresa deveria se abster de comercializar os dados dos consumidores, mas, segundo o MPF, vem descumprindo a ordem liminar e a condenação judicial.
