Tribunal condena Serasa por expor dados de consumidor e impõe indenização
Decisão reforça que falhas na proteção de dados pessoais terão punição exemplar. Por Calza Neto
O Tribunal de Justiça de Minas Gerais determinou que a Serasa Experian pague R$ 10 mil a um consumidor que teve seus dados pessoais expostos indevidamente. A decisão reconhece que a empresa falhou em adotar medidas efetivas de segurança para proteger informações sigilosas, em clara violação à Lei Geral de Proteção de Dados (LGPD).
O caso partiu de uma comprovação feita pela própria Serasa, confirmando que dados do cliente haviam sido divulgados sem sua autorização. Apesar de, em primeira instância, o pedido de indenização ter sido rejeitado, o tribunal reformou a sentença e entendeu que houve dano moral inquestionável. Para os desembargadores, é inadmissível que uma instituição que concentra milhões de registros sensíveis permita brechas capazes de expor a privacidade de qualquer cidadão.
Esse episódio não é um caso isolado. Ele se conecta a um histórico sombrio de incidentes de segurança no Brasil, sendo o mais marcante o vazamento massivo revelado em 2021, considerado o maior já registrado no país. Na ocasião, informações de mais de 200 milhões de pessoas ficaram à venda na internet, incluindo CPF, endereço, telefone, salário, escolaridade e até dados de beneficiários do INSS.
Embora a Serasa negue envolvimento direto nesse mega-ataque, investigações independentes e análises técnicas indicaram que uma parte significativa dos dados poderia ter origem em seus cadastros. Ainda que não se prove a autoria do vazamento, a simples possibilidade de associação já levanta questões sérias sobre a fragilidade dos sistemas de proteção adotados pela empresa.
O impacto de um vazamento dessa magnitude é devastador: informações expostas alimentam redes de fraude, golpes financeiros e roubo de identidade. As vítimas ficam vulneráveis a assédio, chantagem e até crimes de estelionato por longos períodos, já que, uma vez na internet, dados pessoais dificilmente podem ser recuperados ou apagados.
A LGPD estabelece, de forma inequívoca, que qualquer organização que armazene, trate ou compartilhe dados pessoais é responsável por garantir sua integridade e segurança. Isso inclui investimentos em infraestrutura tecnológica, protocolos de acesso restrito, auditorias periódicas e mecanismos de resposta rápida a incidentes.
No caso julgado pelo TJMG, ficou evidente que a Serasa não foi capaz de impedir que informações sensíveis fossem acessadas indevidamente. A lei também prevê que, diante de um vazamento, o titular dos dados não precisa provar prejuízo financeiro para ser indenizado. A mera exposição não autorizada já configura violação de direitos, dado que atinge diretamente a privacidade e a integridade do indivíduo.
Essa postura do tribunal reforça um entendimento cada vez mais comum nas cortes brasileiras: a proteção de dados não é opcional, é uma obrigação legal e contratual.
A condenação em Minas Gerais envia uma mensagem clara ao mercado: tamanho e influência não blindam ninguém contra a lei. Vazamento de dados não é “falha inevitável” ou “acidente técnico”, é consequência de negligência, descuido ou investimento insuficiente em segurança digital.
O episódio também reforça que o consumidor não está desamparado. A LGPD, combinada com o Código de Defesa do Consumidor, oferece ferramentas para responsabilizar empresas que tratam informações pessoais com descaso. A tendência é que cada vez mais ações cheguem ao Judiciário, e que indenizações como esta deixem de ser exceção para se tornarem regra.
