O Instituto Brasileiro de Defesa da Proteção de Dados Pessoais, Compliance e Segurança da Informação – Sigilo, deu entrada na Justiça Federal de São Paulo com ação contra a Serasa Experian, na qual pede indenização por danos morais e materiais coletivos no valor de R$ 200 milhões.
A ação desse instituto parte do pressuposto de que a Serasa sofreu um incidente de Segurança da Informação, de acordo com a denúncia da empresa PSafe. Por conta disso, pede que o Poder Judiciário paulista obrigue liminarmente a Serasa Experian a comunicar “todos os titulares que tiveram os dados expostos sobre o incidente relatado, por meio de cartas com aviso de recebimento “AR), sob pena de multa diária de R$ 10 mil”.
Ocorre que a Serasa Experian, tão logo foi procurada pelo Tecnoblog e notificada que seria alvo de uma notícia do site especializado, informou aos jornalistas que não tinha registro de informações de incidente de segurança que pudessem atestar o suposto vazamento denunciado pela PSafe.
Entretanto, isso não exclui a possibilidade de ter sido alvo de vazamentos ocorridos no passado que acabaram agora gerando o gigantesco banco de dados comercializado na Internet. A legislação não a isenta desse tipo de erro e responsabilização por questões temporais.
Tanto, que o Instituto Sigilo pede liminarmente, que a Serasa Experian divulgue num prazo de 48 horas “em suas redes e mídias de comunicação, quais foram os incidentes de segurança da informação ocorridos e quais os planos para solucionar o eventuais riscos aos seus consumidores, tal como determina o art. 48 da LGPD, sob pena de multa diária de R$ 10 mil”.
Entretanto, o Instituto Sigilo também quer a adoção de uma medida polêmica contra a Serasa. Pediu liminarmente que a Justiça obrigue a empresa a adotar “medidas técnicas e tecnológicas necessárias para retirar os dados vazados da internet, a fim de que cessem os prejuízos aos titulares, sob pena de multa diária de R$ 10 mil”.
Resta aqui uma série de dúvidas para este site: o Instituto Sigilo quer que a Serasa retire do ar dados que ninguém periciou ou verificou a autenticidade, nem tampouco identificou que realmente vazaram do banco de dados da empresa? Mesmo ela alegando não ter sido alvo de tal vazamento, pelo menos neste momento? Pior: a Serasa terá de retirar do ar dados que estão sendo comercializados na Internet, em páginas que a empresa não detém o registro de domínio e nem sabe quem seriam os donos delas?
Além disso, o Instituto quer que a Justiça Federal em São Paulo determine que a União realize “auditoria sobre o vazamento em questão, bem como a comunicação a todos os titulares sobre o vazamento ocorrido, sob pena de multa diária de R$ 10mil”. Ao que conste a União, por meio da ANPD, já comunicou que está tomando as medidas cabíveis ao caso, inclusive acionado a Polícia Fedderal para investigar o caso.
Em outra frente a Senacom também já está atuando após a notícia do “megavazamento” que ninguém viu.
O mais interessante, entretanto, é que o referido autor da ação quer que a União notifique todos os brasileiros supostamente vítimas deste “megavazamento”. Se levado ao pé da letra, só será possível cumprir essa determinação judicial no momento, pois ninguém ainda foi preso pela Polícia Federal, se algum órgão governamental se dispor a comprar os dados comercializados ilegalmente em páginas na Internet, seja em que ambiente for.
Por fim, pede a condenação da Serasa Experian por todos os motivos listados acima e o pagamento de multa no valor de R$ 15 mil para cada um dos consumidores vítimas do episódio.
A ação do Instituto Brasileiro de Defesa da Proteção de Dados Pessoais, Compliance e Segurança da Informação – Sigilo, foi movida pelos advogados Gustavo Rabay Guerra (OAB/PB n. 16080-B) e Marina Lacerda Cunha Lima (OAB/PB n. 15769), de João Pessoa (PB).