O Procon de São Paulo afirmou nesta quinta-feira (18) que a Serasa Experian respondeu os questionamentos realizados em 28 de janeiro sobre o megavazamento dos dados pessoais de mais de 223 milhões de brasileiros.
O órgão de defesa ao consumidor queria saber se o vazamento partiu da Serasa, quais providências seriam tomadas, o que a companhia faria para reparar os danos e qual é a finalidade para o tratamento de dados pessoais .
O vazamento referente a dados de agosto de 2019, e descoberto em janeiro, inclui dados como nome, CPF, fotografia, salário, renda, nível de escolaridade, estado civil, pontuação de crédito, endereço, entre outras informações.
A Serasa nega que tenha sido a fonte do incidente. Na resposta ao Procon-SP, a companhia disse que suas operações com dados pessoais respeitam as diretrizes da Lei Geral de Proteção de Dados (LGPD).
A empresa afirmou que ainda investiga o caso e que, até esse momento, “não há nenhuma indicação de qualquer invasão em seus sistemas”.
A Serasa disse que o tratamento dos dados, ou seja, a manipulação das informações (como coleta, transferência, utilização ou cruzamento) “pode ter diversas finalidades“.
Para o Procon-SP, a resposta foi insuficiente “já que não há base legal para tratamento e uso de dados de forma indiscriminada, inclusive de pessoas falecidas”.
Em comunicado, o órgão afirmou que a Serasa não especificou as medidas técnicas e organizacionais adotadas para implementar a sua política de proteção de dados.
Na avaliação do diretor executivo do Procon-SP, Fernando Capez, as explicações da Serasa foram muito genéricas e geraram mais dúvidas do que esclarecimentos.
“Não descartamos nenhuma hipótese e consideramos nesse instante, como mais provável, que o vazamento tenha vindo de dentro das empresas e não de hackers”, disse Capez.
As respostas serão analisadas pela diretoria de fiscalização do Procon-SP que poderá aplicar multa conforme prevê o Código de Proteção e Defesa do Consumidor.
As penas previstas na no Código de Defesa do Consumidor podem chegar a R$ 10 milhões.
Já as sanções previstas pela Lei Geral de Proteção de Dados (LGPD) podem chegar a R$ 50 milhões, mas só podem ser aplicadas a partir de agosto.