Como os fatos ainda estão sob investigação, a 22ª Vara Cível Federal de São Paulo negou liminar que pedia que a empresa de serviços de informação Serasa Experian informasse sobre o megavazamento que expôs dados de 220 milhões de brasileiros.
O Instituto Brasileiro de Defesa da Proteção de Dados Pessoais, Compliance e Segurança da Informação, conhecido como Instituto Sigilo, solicitava que a Serasa comunicasse, por meio de cartas, todos os titulares que tiveram os dados expostos. Também requisitava que a empresa divulgasse em suas redes sociais quais foram os incidentes de segurança ocorridos e quais os planos para solucionar os riscos. Pedia, ainda, uma auditoria da União sobre o vazamento.
O juiz José Henrique Prescendo lembrou que a União já havia tomado providências sobre o caso. A Agência Nacional de Proteção de Dados Pessoais (ANPD) instaurou um processo administrativo e comunicou a Polícia Federal sobre a suposta prática de crime cibernético.
De acordo com o juiz, ainda não houve conclusões devido à alta complexidade das apurações: “Somente após as comprovações necessárias será possível determinar o cumprimento do dever legal de comunicação aos titulares acerca do incidente de vazamento de dados”, apontou.
O Instituto Brasileiro de Defesa da Proteção de Dados Pessoais, Compliance e Segurança da Informação divulgou nota a respeito da decisão:
A respeito da informação que está circulando na mídia de que a Serasa está liberada de informar os 220 milhões titulares que tiveram seus dados vazados, o Instituto Sigilo vem a esclarecer que:
1 — a decisão do juiz José Henrique Prescendo se refere à ANPD (Autoridade Nacional de Proteção de Dados), ao afirmar que a agência instaurou o processo nº 00261.000050/2021-59.
2 — a decisão do juiz explica que os fatos narrados estão sob investigação criminal pela Polícia Federal e sob apuração administrativa pela ANPD, de modo a se apurar os controladores responsáveis pelos vazamentos dos dados e quais os titulares dos dados, cujas conclusões ainda não ocorreram diante da alta complexidade das investigações e apurações.
3 — Desta forma, a Serasa NÃO está isenta de informar os titulares sobre o vazamento, mas o juiz defende que será preciso apurar os fatos e, somente após as comprovações necessárias, será possível determinar o cumprimento do dever legal de comunicação aos titulares acerca do incidente de vazamento de dados.
Fonte: Conjur.
