Justiça aplica Lei Geral de Proteção de Dados à Serasa Experian

Justiça aplica Lei Geral de Proteção de Dados à Serasa Experian. Após investigação MPDFT pede que Serasa suspenda a comercialização de dados pessoais dos titulares por meio dos produtos “Lista Online” e “Prospecção de Clientes”, sob pena de culminação de multa diária.

Uma investigação do Ministério Público do Distrito Federal e Territórios levantou que a Serasa Experian comercializou informações como nome, CPF e número de telefone, entre outros dados privados, de 150 milhões de pessoas. Com essas informações, o Tribunal de Justiça do Distrito Federal e dos Territórios deu ao MPDFT uma antecipação de tutela para suspender venda de dados pessoais de consumidores.

A decisão foi expedida na sexta-feira (20), e deriva de ação civil pública ajuizada pela Unidade Especial de Proteção de Dados e Inteligência Artificial (Espec). De acordo com o órgão, a empresa vende os dados dos consumidores pelo preço de R$ 0,98, por pessoa cadastrada, para fins de publicidade e companhias interessadas na captação de novos clientes.

Na ação pública o MPDFT afirma que “Sustentou-se que a empresa vende informações relacionadas à pessoa natural identificada (nome, endereço, CPF, 3 números de telefones, localização, perfil financeiro, poder aquisitivo e classe social) para fins de publicidade e captação de novos clientes. Isto sem nenhuma relação com a proteção do crédito. Aduziuse, ainda, que, ao comercializar dados pessoais dos cadastrados, a Serasa S.A. ultrapassa o limite permitido pela legislação brasileira e fere o direito à privacidade das pessoas, bem como seus direitos à intimidade e à imagem, o que inclui o direito à proteção de seus dados pessoais.”

O MPDFT complementa “Na prática a Serasa está vendendo os dados pessoais de mais de 150 milhões de brasileiros para empresas interessadas em prospectar novos clientes, sem que exista qualquer tipo de conhecimento por parte dos titulares das informações. Venda de dados para fins publicitários das empresas contratantes, sem que o titular do CPF tenha qualquer tipo de relação contratual com a compradora de seus dados. Ou seja, por R$ 0,98, a Serasa vende o núcleo da privacidade do cidadão brasileiro, consistente em nome, endereço, CPF, 3 números de telefones, localização, perfil financeiro, poder aquisitivo e classe social, para qualquer empresa interessada.  Importante frisar, que os produtos em questão não possuem qualquer vinculação com a proteção do crédito e sim com publicidade e captação de novos clientes.”

Sobre a possível alegação de legítimo interesse, o MPDFT afirma que: “Com efeito, para que o tratamento de dados seja fundamentado no legítimo interesse do controlador é necessário que seus propósitos sejam legítimos, específicos, explícitos e informados ao titular do dado, sendo que as finalidades do tratamento devem ser compatíveis com aquelas informadas ao titular, bem como que o tratamento seja limitado ao mínimo necessário à realização de suas finalidades, trazendo clara obediência aos princípios da finalidade, da adequação e da necessidade preconizados na Lei Geral de Proteção de Dados (artigo 6º, incisos I, II e III, da Lei n. 13.709/20189)”

Em email promocional de Black Friday, recebido em 19 de novembro pelo Blog Minuto da Segurança, a Serasa ofertava desconto de 50% na compra de lista de contatos com informações para a criação de mailing, o que notadamente é contra o critério definido pela LGPD, pois não oferece a aprovação do proprietário e não tão pouco refere-se a proteão de crédito ou uso legítimo da informação.

A Serasa afirmou que “atua em estrita conformidade com a legislação vigente e se manifestará oportunamente nos autos do processo“. Com a decisão proferida pelo desembargador César Loyola, a Serasa Experian deve suspender imediatamente a venda dos dados cadastrais dos titulares, sob pena de multa diária.

Segundo a investigação, a comercialização ocorre por meio dos serviços “Lista Online” e “Prospecção de Clientes“, oferecidos pela Serasa Experian. “A atividade fere a Lei Geral de Proteção de Dados (LGPD), que garante ao titular dos dados o poder sobre trânsito e uso das informações pessoais“, afirma o MPDFT, em nota.

Um agravante para a situação seria o fato de a Serasa Experian ter respaldo legal para o tratamento de dados dos consumidores para fins de proteção do crédito – mas não para os fins encontrados pela investigação do Ministério Público. “A conduta da empresa fere o direito à privacidade, à intimidade e à imagem e, por isso, também está em desacordo com o previsto no Código Civil, no Código de Defesa do Consumidor e no Marco Civil da Internet“, completa a nota do MPDFT. 

Fonte: MPDFT 

Patrocínio MindSec Segurança e Tecnologia a Informação

Veja também:

• • Sua senha não é segura, nem uma autenticação multifator SMS
  • Microsoft confirma problema sério de senha do Windows 10
  • Cavalo de Troia bancário brasileiro pode espionar mais de 150 aplicativos financeiros
  • Fresh Malware visa usuários do Mercado Livre e sites de comércio eletrônico na América Latina
  • O que a presidência de Joe Biden significa para a segurança cibernética
  • A LGPD e o mito do advogado que entende de dados
  • Falta de privacidade mata mais que terrorismo
  • TSE admite ataque hacker neste domingo de eleições
  • Malware oculto em tráfego criptografado aumenta 260% durante pandemia
  • Ferramentas de PenTest/Red Team que todos deviam conhecer!
  • O que é um APT – Advanced Persistent Threat?
  • Possíveis falhas no caso do Ransomware do STJ