Carlos Moreno, agora garoto propaganda da Serasa Experian. Foto: Divulgação.

O Instituto Brasileiro de Defesa da Proteção de Dados Pessoais, Compliance e Segurança da Informação (Sigilo, para os amigos) entrou com uma ação na justiça com potencial para quebrar o Serasa Experian caso tenha sucesso (o que de momento, parece difícil).

Isso porque o Instituto Sigilo pede uma multa de R$ 200 milhões, e mais importante,  uma indenização no valor de R$ 15 mil a cada um dos titulares de dados afetados pelo mega vazamento de dados divulgado pela PSafe no final de janeiro.

A entidade entrou com a ação contra a Serasa Experian na 22ª Vara Cível Federal de São Paulo.

Muitas coisas são discutíveis na ação, a começar pela premissa inicial de que a Serasa Experian é a fonte do vazamento, que  expôs 223 milhões de CPFs e 40 milhões de CNPJs, entre outros dados pessoais de milhões de brasileiros.

“Mais um grande vazamento de dados ocorre no Brasil mesmo depois da entrada em vigor da LGPD e na prática o que acontece tem o mesmo roteiro: descaso institucional e pedido de desculpas dos controladores. Mas e o titular?”, questiona o fundador da Sigilo, Victor Hugo Pereira Gonçalves.

Em nota à imprensa, a Sigilo fala que a PSafe denunciou “que o bureau de crédito teria sido responsável”. 

Na verdade, a PSafe disse que foi isso o que o hacker de posse dos dados teria dito, mas também disse que não conseguiu confirmar a informação. A Serasa Experian mesmo negou repetidamente ter sido a fonte do vazamento.

Procurada pela reportagem do Baguete, a Serasa Experian voltou a frisar que não há evidências de que a empresa seja a origem do material oferecido pelo hacker, apenas a alegação do próprio criminoso.

Alguns dos dados oferecidos, destaca a Serasa Experian, não estão nos seus bancos de dados, como fotos, cadastros de INSS, registros de veículos e informações de login em mídias sociais

A empresa diz ainda que está “conduzindo uma detalhada investigação forense” e que a segurança dos dados “é nossa prioridade número um”.

Além da dificuldade de comprovar a origem do vazamento, está a questão da viabilidade do pagamento dos valores demandados pela ação de autoria dos advogados Gustavo Rabay Guerra, Marina Lacerda Cunha Lima e Rômulo Palitot Braga.

O valor principal de R$ 200 milhões, a ser revertido para o fundo especial de direitos difusos, já é quatro vezes superior à multa máxima prevista pela nova LGPD, cujas penalidades entram em vigor em agosto.

Onde a coisa realmente fica complicada é nos R$ 15 mil para cada pessoa “afetada pelo vazamento”, que deveria ainda ser comunicada do mesmo por cartas com aviso de recebimento.

O Baguete questionou a Sigilo sobre o assunto e a entidade esclareceu que “afetado” no caso significa ter tido os dados comprovadamente vazados da base do Serasa Experian. 

O valor de R$ 15 mil seria referendado por jurisprudência, visando tanto reparar o dano sofrido pelas vítimas como exercer uma função educacional no mercado como um todo.

O problema é que, na escala desse vazamento, os valores podem chegar a níveis estratosféricos com alguma rapidez. 

Supondo que se consiga provar que 10 milhões de pessoas tiveram dados vazados a partir da Serasa Experian, por exemplo, o custo, excluído as cartinhas registradas, chegaria a R$ 150 bilhões.

Seria bastante para colocar o Serasa no Serasa.