A Serasa Experian está proibida de comercializar dados pessoais de pessoas físicas e jurídicas. A decisão é do juiz José Rodrigues Chaveiro Filho, do Tribunal de Justiça do Distrito Federal e dos Territórios (TJDFT). O magistrado entendeu que, pela Lei Geral de Proteção de Dados Pessoais (LGPD), a empresa só pode vender as informações com autorização expressa dos proprietários. A Justiça foi provocada por uma ação civil movida pelo Ministério Público do Distrito Federal e Territórios (MPDFT).
Consta na decisão que empresas de qualquer lugar do país que contratam o serviço da Serasa podem obter dados de pessoas físicas como por exemplo CPF, nome, endereço, até três números de telefones e sexo a R$ 0,98 por pessoa. O serviço oferecido também possibilita a criação de filtros, para atingir com maior precisão um público alvo, com possibilidade de o cliente selecionar “sexo, idade, poder aquisitivo, classe social, localização, modelos de afinidade e triagem de risco.
A Serasa tem um cadastro de 150 milhões pessoas físicas. Caso vendesse todos os dados em uma única operação, ganharia R$ 147 milhões. “Ante o exposto, ao tempo em que confirmo a liminar deferida em sede de agravo de instrumento, julgo procedente o pedido inicial para condenar a ré Serasa S.A. a se abster de comercializar dados pessoais dos titulares por meio dos produtos denominados ‘Lista Online’ e ‘prospecção de Clientes’, sob pena de imposição das medidas indutivas, coercitivas, mandamentais ou sub-rogatórias necessárias para assegurar o cumprimento de ordem judicial, conforme legislação processual civil”, determinou o juiz.
A empresa alegou à Justiça que a ação é “precipitada” e baseada em informações superficiais. Acrescentou que o serviço já foi alvo de outras duas ações civis públicas que terminaram de forma favorável à Serasa. Argumentou, ainda, que a venda já ocorre há anos “sem questionamento e com convalidação do (...) Poder Judiciário”, e que não há nenhum prejuízo aos donos dos dados comercializados, “o que é comprovado pela inexistência de reclamações de consumidores, tanto que a própria ação do MPDFT não veio acompanhada de um único descontentamento de titular de dado”, afirmou a defesa.
Consentimento do titular
Já de acordo com o Ministério Público do DF, sob a ótica da LGPD, “fica claro que a ré faz tratamento de dados pessoais de forma totalmente ilegal/irregular gerando prejuízos aos titulares dos dados pessoais”. O juiz concordou com a tese da empresa de que os dados não são sensíveis, mas destacou que, “se extrai do artigo 7º, da LGPD é que o consentimento pelo titular é a regra maior a ser observada para o tratamento de dados pessoais”.
“Nesse sentido, o tratamento e o compartilhamento dos dados pessoais, na forma empreendida pela ré, exigiria a participação ativa e efetiva do indivíduo retratado, mediante manifestação clara do seu consentimento, condição para viabilizar o fluxo informacional realizado, no caso, com caráter manifestamente econômico. Na espécie, como registrado na decisão antecipatória, inexiste o indispensável consentimento em relação à universalidade de pessoas catalogadas”, afirmou o magistrado nos autos.
O juiz do TJDFT ressaltou que, mesmo não se tratando de informações sensíveis, os dados pessoais não são “manifestamente públicos”. A ação foi protocolada em novembro de 2020, pela Unidade de Proteção de Dados e Inteligência Artificial (Espec). A decisão é de 24 de junho.