Serasa Experian é impedida de vender dados pessoais

O Ministério Público do Distrito Federal e Territórios (MPDFT), através da sua Unidade Especial de Proteção de Dados e Inteligência Artificial, ajuizou Ação Civil Pública em desfavor da Serasa Experian com objetivo de “proteger as informações dos titulares de dados pessoais, cujos dados estão sendo comercializados e tratados indevidamente pela Serasa S.A.”.

O Ministério Público do Distrito Federal e Territórios (MPDFT), através da sua Unidade Especial de Proteção de Dados e Inteligência Artificial, ajuizou Ação Civil Pública (processo n. 0736634-81.2020.8.07.0001 – 5ª Vara Cível de Brasília/DF) em desfavor da Serasa Experian com objetivo de “proteger as informações dos titulares de dados pessoais, cujos dados estão sendo comercializados e tratados indevidamente pela Serasa S.A.”.

O MPDFT defende que “o custo do serviço, por pessoa natural, é de R$ 0,98 (noventa e oito centavos), em um universo potencial de 150.000.000 (cento e cinquenta milhões) de titulares de CPFs”, o que nas palavras do órgão postulante representa “uma exposição generalizada que chega à cifra de milhões de titulares de dados pessoais impactados em todos os entes federativos”.

O CUSTO DO SERVIÇO, POR PESSOA NATURAL, É DE R$ 0,98 (NOVENTA E OITO CENTAVOS), EM UM UNIVERSO POTENCIAL DE 150.000.000 (CENTO E CINQUENTA MILHÕES) DE TITULARES DE CPFS (…) UMA EXPOSIÇÃO GENERALIZADA QUE CHEGA À CIFRA DE MILHÕES DE TITULARES DE DADOS PESSOAIS IMPACTADOS EM TODOS OS ENTES FEDERATIVOS

Para sustentar a ilegalidade da comercialização de dados pessoais realizado pela Serasa, o MPDFT se vale de dispositivos e proteções Constitucionais, como a “tutela jurídica da privacidade, incluindo dados pessoais”, como também, de dispositivos infraconstitucionais ao apresentar que “a privacidade tem status de direito da personalidade”.

Para o MPDFT, a legislação brasileira:

protege a privacidade das pessoas, tratando como invioláveis os direitos à intimidade, à privacidade e à imagem, o que inclui o direito à proteção de seus dados pessoais, bem como que o seu respectivo tratamento seja feito de forma adequada.

O que diz a LGPD?

Ao analisar o caso sob a ótica da Lei Geral de Proteção de Dados Pessoais (LGPD), em especial o art. 5º inciso X, que define tratamento de dados como “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”, fica claro que a Serasa realiza, nas palavras do órgão autor, “tratamento de dados pessoais de forma totalmente ilegal/irregular gerando prejuízos aos titulares dos dados pessoais”.

Ainda sob a luz da LGPD, o MPDFT argumenta, com base no Art. 44, que “o tratamento de dados pessoais será irregular quando deixar de observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar, considerando as circunstâncias relevantes, entre as quais: o modo pelo qual é realizado; o resultado e os riscos que razoavelmente dele se esperam; e, as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado”.

Por fim, o MPDFT assevera que “as autorizações genéricas relacionadas ao consentimento do titular de dados para tratamento de seus dados serão consideradas nulas, devendo haver uma manifestação específica para cada uma das finalidades para as quais o dado está sendo tratado”.

A conclusão do MPDFT

Após colacionar seus argumentos, o órgão ministerial conclui que a Serasa Experian “realiza tratamento de dados pessoais, de forma ilegal/irregular, na medida em que coleta, classifica, utiliza, reproduz, distribui, armazena e transfere informações relacionadas a pessoa natural identificada (nome, endereço, CPF, 3 números de telefones, localização, perfil financeiro, poder aquisitivo e classe social)”, e que “ao comercializar dados pessoais dos cadastrados, ultrapassa o limite permitido pela legislação brasileira e fere o direito à privacidade das pessoas, bem como seus direitos à intimidade e à imagem, o que inclui o direito à proteção de seus dados pessoais, bem como que o seu respectivo tratamento seja feito de forma adequada”.

A partir desses fundamentos e conclusões aqui sintetizados, o MPDFT pede, em sede liminar para posterior confirmação, que o TJDFT determine a suspensão da “comercialização de dados pessoais dos titulares […]” pela Serasa Experian.

Ao julgar o pedido liminar, o juízo de 1ª instância da 5ª Vara Cível de Brasília/DF do TJDFT, em decisão interlocutória, entendeu que “o art. 7º, incisos IX e X, da Lei nº 13.709/18, ao disciplinar os requisitos para o tratamento de dados pessoais, que constituem aquelas informações relacionadas a pessoa natural identificada ou identificável (art. 5º, inciso I, daquele Diploma Legal), permite a utilização desses dados, quando necessário para atender aos interesses legítimos do controlador ou de terceiro, salvo, naqueles casos, em que a disponibilização resulta lesão aos direitos e às liberdades fundamentais do titular dos dados de modo a exigir a sua proteção (inciso IX); e, também, quando destinado à proteção do crédito, com observância da legislação pertinente (inciso X)”.

Além disso, o órgão julgador de 1ª instância ao analisar os dados pessoais objeto da lide dividiu-os em dois grupos. 

O primeiro grupo foi formado com “informações pertinentes à privacidade e intimidade de uma pessoa natural ou jurídica (nome/razão social, CPF/CNPJ, endereço/localização, números de telefone, sexo e idade)”. Com relação à esse conjunto de dados,  o juízo entendeu que “são habitualmente fornecidas pelos sujeitos de direitos nas suas relações negociais e empresariais, de modo que não caracterizam elementos sigilosos ou confidenciais que somente poderiam ingressar na esfera de conhecimento de terceiros mediante expresso consentimento do seu titular”.

O segundo grupo foi formado com “informações de perfil financeiro, poder aquisitivo, classe social, padrão de consumo, porte da empresa, ramos de atividade e triagem de risco”. Com relação ao segundo grupo de dados, o juízo entendeu que “esses elementos interessam ao desenvolvimento econômico, à livre iniciativa, à livre concorrência e, portanto, à própria defesa do consumidor (art. 2º, incisos V e VI, da Lei 13.709/18), na medida em que são indispensáveis à proteção ao crédito e, também, à catalisação e formalização de relações comerciais aptas a atingir o seu almejado adimplemento, mediante informações prévias, claras, objetivas e transparentes acerca das características pessoais dos contratantes”.

Por fim, o juízo argumentou que a Serasa “se preocupou em desenvolver em sua plataforma digital espaço adequado para tratar das diretrizes, inovações e orientações trazidas pela Lei Geral de Proteção de Dados Pessoais, com o que demonstrou estar atenta à forma adequada e correta de promover o tratamento dos dados pessoais, por ocasião da prestação dos seus serviços, que, em princípio, tem por finalidade fomentar a atividade empresarial lícita”.

O andamento do processo

Com esses argumentos o juízo da 5ª Vara Cível de Brasília/DF do TJDFT indeferiu o pedido liminar postulado pelo MPDFT para suspensão da “comercialização de dados pessoais dos titulares […]” pela Serasa Experian.

Inconformado com o indeferimento, o MPDFT interpôs Agravo de Instrumento, que é um recurso judicial interposto contra decisão interlocutória nas hipóteses previstas no Art. 1.015 do Código de Processo Civil, e conseguiu em segunda instância a concessão da liminar pretendida.

Para reformar a decisão de primeira instância, o desembargador do TJDFT ao julgar o agravo de instrumento considerou que “o tratamento de dados pessoais somente poderá ser realizado mediante o fornecimento de consentimento pelo titular”.

Após essa decisão, a Serasa Experian está impedida de comercializar dados pessoais dos titulares, “sob pena de multa no valor de R$ 5.000,00 por cada venda efetuada”.

Caso é marco histórico para a proteção de dados pessoais – mas apresenta imprecisões

Esse é um dos primeiros casos envolvendo proteção de dados pessoais após a plena vigência da LGPD e chama atenção que tanto a argumentação do MPDFT, quando do juízo de 1ª instância que indeferiu o pedido liminar, quanto a decisão de 2ª instância que reformou a decisão de 1ª instância para conceder o pedido liminar, possuem, data a maxima venia, imprecisões conceituais que precisam rapidamente ser equacionadas no judiciário para o correto tratamento do tema.

Em razão das imprecisões conceituais identificadas, como, por exemplo, a afirmação de que “o tratamento de dados pessoais somente poderá ser realizado mediante o fornecimento de consentimento pelo titular”, em um próximo texto, vamos pontuar todas as imprecisões identificadas e apresentar, segundo nosso melhor entendimento, qual seria a correta interpretação e aplicação dos conceitos trazidos na LGPD. Para finalizar, destacamos que todos os conceitos relacionados à proteção de dados pessoais serão apresentados no curso  LGPD: Formação como Encarregado pelo Tratamento de Dados Pessoais (DPO) do Instituto Modal, que disponibilizou o módulo Contextualização e Introdução à Lei Geral de Proteção de Dados Pessoais.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.