Procon-SP notifica Serasa sobre pedido de senha bancária em pesquisa
O Procon-SP informou que a empresa tem 24 horas para responder a partir desta segunda-feira (1º de março) Após prestar esclarecimentos nas investigações do megavazamento de dados de 223 milhões de brasileiros, a Serasa Experian foi notificada nesta segunda-feira (1º de março) pelo Procon de São Paulo para explicar por qual motivo solicitou dados bancários, incluindo a senha do internet banking, para uma pesquisa em seu site.
O Procon-SP informou que a empresa tem 24 horas para responder a partir de hoje.
O pedido de notificação ocorreu após a denúncia de uma consumidora, que foi noticiada hoje pelo “UOL Tilt”, informando que o site da Serasa solicitava dados de agência bancária, conta corrente e a senha do internet banking a quem desejasse participar de sua pesquisa on-line. A pesquisa foi retirada do ar na última sexta-feira (26).
Agora, a empresa terá de esclarecer ao Procon-SP a finalidade da pesquisa on-line, em quais meios e por quanto tempo foi veiculada, a quem e quantas pessoas foi direcionada, quais os critérios para definição do público-alvo, quais informações foram fornecidas aos participantes antes e durante a realização da amostragem.
O órgão de defesa do consumidor também pede que a Serasa informe quantas pessoas forneceram as informações solicitadas pela pesquisa, quais dados foram obtidos e como foram tratados, considerando os aspectos da Lei Geral de Proteção de Dados.
Embora as sanções previstas pela LGPD entrem em vigor somente a partir de agosto, o órgão de defesa do Estado de São Paulo pode aplicar penalidades previstas no Código de Defesa do Consumidor (CDC) por uso indevido de informações de consumidores. As sanções previstas no CDC incluem multas de até R$ 10 milhões.
Megavazamento de dados
Em fevereiro, a Serasa prestou esclarecimentos ao Procon-SP, à Autoridade Nacional de Proteção de Dados (ANPD) e ainda deve enviar informações à Secretaria Nacional do Consumidor (Senacon) sobre o megavazamento de dados de mais de 223 milhões de brasileiros, revelado em janeiro pela empresa de segurança CyberLabs, ex-PSafe. Segundo a empresa de segurança, o cibercriminoso informou que usou bases da Serasa Experian como parte dos dados vendidos na internet oculta.
A Serasa afirma que as alegações são infundadas. “Com base em nossa análise detalhada até este ponto, concluímos que a Serasa não é a fonte. Também não vemos evidências de que nossos sistemas tenham sido comprometidos”, disse a empresa, em comunicado sobre o megavazamento.
Em entrevista ao Valor em fevereiro, o diretor do Departamento de Proteção e Defesa do Consumidor (DPDC) do Ministério da Justiça, Aurélio de Queiroz Pereira da Silva, informou ter participado de uma reunião com a Serasa, no dia 1º de fevereiro, na qual a empresa explicou que não é a fonte dos vazamentos.
A reunião também levantou questões sobre o tratamento dos dados comercializados pela empresa. “O que vamos avaliar é até que ponto a Serasa pode comercializar informações segmentadas, como score de crédito, e se existe autorização dos usuários”, disse o diretor do DPDC.
Procurada pelo Valor, a Serasa ainda não se manifestou sobre os esclarecimentos em relação à pesquisa em seu site até a publicação desta notícia.