A 22ª Vara Cível Federal de São Paulo/SP indeferiu, no dia 16/3, o pedido de tutela de urgência em ação civil pública movida contra a Serasa Experian, para que a empresa  comunicasse a cerca de 223 milhões de pessoas, através de carta, que tiveram os seus dados acessados indevidamente na internet. Os autores pleiteavam, também, que fosse determinado o prazo de 48 horas para que a empresa divulgasse em suas mídias de comunicação quais foram os incidentes de segurança da informação ocorridos e que ações serão tomadas para evitar novos riscos aos consumidores. A decisão é do juiz federal José Henrique Prescendo.

O Instituto Brasileiro de Defesa da Proteção de Dados Pessoais, Compliance e Segurança da Informação (Sigilo), autor da ação, afirma que, de acordo com reportagens e publicações na mídia, a ré (Serasa S.A.) permitiu o acesso indevido aos dados de aproximadamente 223,74 milhões pessoas (vivas e falecidas), como endereços residenciais, dados de compra, CPF’s e cartões de crédito.

O autor alegou que a Serasa Experian não admitiu a sua falha a despeito da gravidade da situação e não tomou providências para informar o tamanho, a extensão e a importância do vazamento de dados. Por conta disso, pleiteou, ainda, que a União Federal realizasse auditoria sobre os fatos.

Em sua manifestação, a União informou que, diante das notícias sobre o ocorrido, a Agência Nacional de Proteção de Dados Pessoais (ANPD) instaurou processo administrativo e adotou providências como a comunicação de suposta prática de crime cibernético à Polícia Federal, que atua através da Divisão de Repressão a Crimes Cibernéticos.

Sendo assim, José Henrique Prescendo considerou que os fatos narrados pelo autor ainda estão sob investigação criminal pela Polícia Federal e sob apuração administrativa pela Autoridade Nacional de Proteção de Dados, com objetivo identificar os controladores responsáveis pelos vazamentos e quais são os titulares dos dados. “Diante da alta complexidade das investigações e apurações, somente após as comprovações necessárias será possível determinar o cumprimento do dever legal de comunicação aos titulares”, analisou.

O magistrado salientou que, a despeito das alegações trazidas pelo autor, não vislumbrou, neste momento, omissão por parte das autoridades federais competentes para apurar o vazamento de dados e que todas as ações cabíveis no âmbito criminal e administrativo estão em andamento para esclarecer as questões apontadas e posteriormente mitigar os prejuízos causados. “Neste momento inicial do feito, não cabe a este Juízo interferir no curso das investigações e apurações, inclusive das que necessitam da preservação de sigilo”, concluiu o juiz indeferindo o pedido. (SRQ)

Processo nº 5002936-86.2021.4.03.6100 – íntegra da decisão