DIGITAL: Sentença de Ação Civil Pública condena Serasa por violar a LGPD

*Por Fabiane Nitsche, especialista em Direito Digital

 

O MPDFT propôs Ação Civil Pública contra a SERASA, relatando indevida comercialização, em grande escala,  de dados pessoais de brasileiros por meio dos serviços “lista online” e “Prospecção de clientes” ofertados pela Serasa Experian.

O autor discorre sobre os serviços ofertados enfatizando o extenso banco de dados da Ré, bem como a criação e comercialização de perfis detalhados de pessoas físicas identificadas para oferta de serviço e/ou mercadoria. O adquirente do serviço Serasa Experian recebe uma base de dados contendo informações que detalham possíveis consumidores, como: CPF, nome, endereço, telefone e sexo. É possível tornar o serviço ainda mais canalizado através do uso de filtros, tais como, poder aquisitivo, classe social, localização, entre outros dados.

Foi requerido pedido liminar para determinar a suspensão da comercialização de dados pessoais dos titulares por meio dos produtos ofertados, sob pena de multa no valor de R$ 5.000,00 por cada venda efetuada.

O pedido liminar foi indeferido em primeira instância, mas reformado em sede de agravo de instrumento.

 

A Ré ofertou contestação onde sustenta, basicamente, que os produtos comercializados estão sedimentados há anos no mercado, com o aval da justiça. Defende ainda que os serviços não geram nenhum dano para os consumidores, pois inexistem reclamações neste sentido, e que estão em consonância com os preceitos da Lei Geral de Proteção de Dados.

A sentença julgou o pleito procedente elucidando que a comercialização de dados relacionados à pessoa natural identificada fere as diretrizes da Lei Geral de Proteção de Dados, posto que é necessário a manifestação específica para cada uma das finalidades para as quais o dado está sendo tratado, em respeito ao direito à privacidade e intimidade. Firmou-se o entendimento de que o legítimo interesse do controlador (art 7º, inciso IX, LGPD) aliado à finalidade de proteção do crédito (inciso X, LGPD), não são, por si só, suficientes, para dispensa do consentimento do titular.

 

Pois bem, de proêmio, é necessário fazer algumas ressalvas. A primeira consiste no fato de que restou incontroverso nos autos que a Serasa possui o legítimo interesse para a coleta, tratamento e comercialização dos dados pessoais, pois são inerentes à finalidade do objeto social da empresa.

A controvérsia cinge sobre a necessidade de obtenção de consentimento do titular, mesmo havendo o preenchimento de outras bases legais  de tratamento dos dados pessoais, quais sejam: o legítimo interesse do controlador e proteção do crédito.

A linha de raciocínio adotada pelo tribunal de justiça é discutível e certamente fomentará importantes debates sobre o tema. Até porque a legislação vigente não exige a presença cumulativa de uma base legal somada ao consentimento para que o tratamento seja considerado lícito e atenda às diretrizes estabelecidas na legislação.

 

No mais, é temerário considerarmos o consentimento alinhado a uma base legal como um requisito essencial para o desenvolvimento de uma atividade empresarial. Seja pelo fato de que o mesmo pode ser repentinamente revogado o que resultaria em uma insegurança jurídica sem precedentes e consequentemente impossibilitaria o desenvolvimento do negócio ou pelo fato de que muitas vezes o consumidor pode estar dando a sua anuência, sem ao menos ler e compreender o que de fato se trata, esvaindo por completo uma importante finalidade do consentimento, qual seja: a autodeterminação do indivíduo.

Ainda ficou com alguma dúvida?
Converse com a Fabiane e os nossos outros especialistas da área de Direito Digital!