O Procon-SP notificou a Serasa Experian pedindo explicações sobre o vazamento dos dados pessoais de 220 milhões de brasileiros de sua base. A Lei Geral de Proteção de Dados (LGPD) e o Código de Defesa do Consumidor (CDC) preveem sanções para esse tipo de ocorrência.
Conforme divulgado, dados como nome, CPF, fotografia, salário, renda, nível de escolaridade, estado civil, score de crédito, endereço, entre outros estão sendo divulgados e comercializados na internet.
Além de solicitar a confirmação do incidente, o Procon-SP pede que a instituição informe os motivos que causaram o problema e quais providências tomou para contê-lo.
A Serasa também deverá informar o que fará para reparar os danos decorrentes do vazamento desses dados e evitar que a falha volte a acontecer.
“Iremos aguardar a resposta da empresa para analisar e avaliar as penalidades compatíveis. As penas previstas na LGPD, que podem chegar até 50 milhões, poderão ser aplicadas a partir de agosto, mas o Procon-SP pode multar de acordo com o CDC”, explicou o diretor executivo do Procon-SP, Fernando Capez
O Procon-SP também quer saber qual a finalidade e a base legal para o tratamento de dados pessoais pela Serasa Experian; qual a política de descarte desses dados; por quanto tempo e por qual motivo ficam armazenados.
A empresa tem três dias para responder. Procurada pelo Valor, a Serasa afirma que a alegação é infundada. “Embora o hacker afirme que parte dos dados veio da Serasa, com base em nossa análise detalhada até este ponto, concluímos que a Serasa não é a fonte. Também não vemos evidências de que nossos sistemas tenham sido comprometidos”, disse a empresa.
As penas previstas na no Código de Defesa do Consumidor podem chegar a R$ 10 milhões. Já as sanções previstas pela Lei Geral de Proteção de Dados (LGPD) podem chegar a R$ 50 milhões, mas só podem ser aplicadas a partir de agosto.
Lei Federal 13.709
A Lei Geral de Proteção de Dados (LGPD) entrou em vigor em 18/9/2020 para disciplinar as regras sobre o tratamento e armazenamento de dados pessoais, restabelecer ao titular desses dados o controle de suas informações e proteger os direitos fundamentais de liberdade e de privacidade. As sanções previstas na lei poderão ser aplicadas a partir de agosto.