Justiça determina que Serasa deve deixar de vender dados pessoais

Justiça determina que Serasa deve deixar de vender dados pessoais. O juiz substituto da 5ª Vara Cível de Brasília confirmou decisão liminar da 2ª Turma Cível do TJDFT que determinou que a Serasa Experian pare de comercializar dados pessoais dos titulares por meio dos produtos Lista Online e Prospecção de Clientes, oferecidos pelo site da ré, sob pena de imposição das medidas para assegurar o cumprimento da ordem judicial, conforme legislação vigente.

A Ação Civil Pública foi proposta pelo MPDFT, sob o argumento de que a venda dos dados fere a Lei Geral de Proteção de Dados Pessoais – LGPD, uma vez que a norma impõe a necessidade de manifestação específica para cada uma das finalidades de tratamento dos dados. Logo, o compartilhamento de tais informações, da forma que tem sido feita pela empresa, seria ilegal ao ferir o direito à privacidade das pessoas, bem como os direitos à intimidade, privacidade e honra dos titulares dos dados.

O órgão ministerial afirma que o contratante dos serviços recebe uma ou mais bases de dados de contatos com informações como CPF, nome, endereço, telefones e sexo. O serviço pode ser segmentado por meio do uso de filtros, dentro de um universo potencial de 150 cinquenta milhões de CPFs. Destaca que essa exposição generalizada é capaz de gerar um grande vazamento de dados. Por último, ressalta o risco de utilização indevida dos referidos dados durante o período eleitoral.

A ré sustenta que a ação foi proposta de forma precipitada, com base em informações superficiais buscadas no site da empresa, sem qualquer aprofundamento acerca de suas atividades. Alega que os produtos existem há anos, sem questionamentos e reclamações por parte dos consumidores, tampouco produzem danos, bem como estão alinhados com as predisposições da LGPD. Destaca que a própria lei prevê situações em que o consentimento específico do titular dos dados é dispensável. Informa, ainda, que a comercialização é inerente às suas atividades e não há divulgação de dados sensíveis dos titulares, abuso ou violação à intimidade e privacidade dos consumidores, uma vez que reúne informações públicas de natureza cadastral, fornecidas em situações cotidianas.

O entendimento do magistrado é o de que a comercialização de dados pessoais por meio dos produtos oferecidos pela ré é ilícita, tal como concluíram os desembargadores do TJDFT, quando da concessão da tutela de urgência para suspensão da comercialização dos serviços, em maio deste ano. “A partir do desenvolvimento tecnológico, da economia mais voltada ao âmbito digital e das possibilidades concretas de tratamento de dados pessoais, é evidente o relevo do valor econômico das informações sobre a coletividade, pois relevantes para o objetivo institucional de várias instituições, públicas e privadas”, pontuou o julgador.

A decisão ressalta, ainda, que o tratamento e o compartilhamento dos referidos dados, na forma como é feito pela ré, exigiria o consentimento claro e expresso do indivíduo retratado, condição para viabilizar o fluxo informacional realizado, com caráter manifestamente econômico. No caso dos autos, inexiste o indispensável consentimento em relação à universalidade de pessoas catalogadas.

É exatamente por meio do consentimento inequívoco que o titular dos dados consegue controlar o nível de proteção e os fluxos de seus dados, permitindo ou não que suas informações sejam processadas, utilizadas e/ou repassadas a terceiros”. Além disso, o magistrado reforçou que, mesmo para os dados públicos, exige-se o propósito legítimo e específico, a preservação dos direitos dos titulares e a observância das diretrizes básicas da LGPD.

Ainda cabe recurso da decisão. 

 

Decisão da 2ª Turma Cível de Novembro

Em decisão monocrática, desembargador da 2ª Turma Cível do TJDFT concedeu liminar em agravo de instrumento para suspender a comercialização de dados pessoais dos titulares por meio dos produtos Lista Online e Prospecção de Clientes, oferecidos pelo site Serasa S.A. 

Nos autos da Ação Civil Pública proposta pelo MPDFT, o autor destaca que a empresa comercializava dados pessoais de brasileiros, ao ofertar os serviços citados, entre eles, dados de contato, sexo, idade, poder aquisitivo, classe social, localização, modelos de afinidade e triagem de risco – prática que, no entendimento daquele órgão vai contra os princípios da Lei Geral de Proteção de Dados Pessoais – LGPD.

Ainda de acordo com o órgão ministerial, o custo do serviço seria de R$0,98 e existe aproximadamente 150 milhões de CPFs disponibilizados. Entende que a situação configura um “grande incidente de segurança monetizável” ou “vazamento de dados”, e acrescenta que há esforço do Tribunal Superior Eleitoral para, em época de realização de eleições municipais, coibir disparo em massa para telefones celulares, conduta facilitada com a dita comercialização.

Por fim, o autor frisou que a LGPD dispõe sobre a necessidade de “uma manifestação específica para cada uma das finalidades para as quais o dado está sendo tratado”, por isso a comercialização, nos moldes feito pelo Serasa, seria ilegal ou irregular, pois “fere o direito à privacidade das pessoas, bem como seus direitos à intimidade e à imagem, o que inclui o direito à proteção de seus dados pessoais”.

Na decisão, o desembargador pontuou que a atividade desenvolvida pela ré configura tratamento de dados pessoais, o que a submete à regulamentação pela norma legal citada. “Embora a norma permita o tratamento para atender aos interesses legítimos do controlador ou de terceiro, expressamente aponta, em sua parte final, a prevalência dos direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais”, observou o magistrado. Dessa maneira, “mesmo que se trate de informações ‘habitualmente fornecidas pelos sujeitos de direitos nas suas relações negociais e empresariais’, como afirmou o julgador monocrático, a lei de regência indica necessidade de autorização específica para o compartilhamento”.

Ademais, mesmo que sejam fundamentos da LGPD, o desenvolvimento econômico e tecnológico e a inovação, a livre iniciativa, a livre concorrência e a defesa do consumidor, “da mesma forma são valores fundantes o respeito à privacidade (I), a autodeterminação informativa (II) e a inviolabilidade da intimidade, da honra e da imagem (IV), razão pela qual todos devem ser compatibilizados”, acrescentou o julgador.

Diante do exposto e da enorme base de dados da empresa ré, o magistrado concluiu que restou evidenciado o grave risco de lesão o compartilhamento de dados sem autorização. Por isso, determinou a suspensão da sua comercialização, sob pena de multa de R$5 mil, por cada venda efetuada.

Fonte: TJDFT - Tribunal de Justiça do Distrito Federal e dos Territórios

Veja também:

 

Sobre mindsecblog 2399 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

7 Trackbacks / Pingbacks

  1. Falha na Akamai deixar fora do ar diversos site e serviços online
  2. Falha na Akamai deixa fora do ar diversos site e serviços online
  3. Plataforma Lattes do CNPq fica fora do ar devido a servidor sem backup.
  4. Falha no HYPER-V permite ataque devastador ao Azure
  5. Apple lança correção para iOS e macOS zero-day
  6. Justiça atende ação do MPDFT e determina suspensão de site que vende dados pessoais - Minuto da Segurança da Informação
  7. Justiça atende ação do MPDFT e determina suspensão de site que vende dados pessoais – Neotel Segurança Digital

Deixe sua opinião!