O grupo EXPERIAN, controlador da SERASA no Brasil, foi multado em € 2,7 milhões (aproximadamente R$ 15 milhões) pela Autoridade de Proteção de Dados (DPA) da Holanda por violar o Regulamento Geral de Proteção de Dados (GDPR) da União Europeia. A penalidade, aplicada em 2023 e tornada pública recentemente, serve como um alerta significativo sobre a necessidade de transparência e conformidade rigorosa em agências de crédito que operam com dados pessoais em larga escala, como a SERASA.
A investigação da DPA holandesa concluiu que a EXPERIAN cometeu diversas infrações graves, notavelmente a falta de clareza e transparência no tratamento de dados de milhões de cidadãos. Entre as violações destacadas estão:
- Falta de Justificativa na Coleta: A empresa falhou em explicar de forma clara o motivo da coleta de determinadas informações pessoais.
- Omisso na Informação ao Cidadão: A EXPERIAN não forneceu aos indivíduos informações suficientes sobre como seus dados seriam utilizados e, em muitos casos, sequer os informou que estava utilizando seus dados.
- Uso Inadequado de Dados Sensíveis: A companhia não considerou adequadamente as consequências do uso de dados sensíveis e utilizou essas informações de maneira inapropriada para produzir relatórios de crédito.
Esses relatórios de crédito são cruciais, pois são usados por empresas de telecomunicações, varejo e locadoras para decidir sobre a elegibilidade de clientes para pagamentos diferidos ou contratos, como assinaturas de telefone, impactando diretamente a vida financeira dos indivíduos.
Resposta e Implicações para o Grupo Global
Diante das descobertas, a Experian reconheceu que violou as leis de privacidade europeias e optou por não recorrer da multa. A empresa encerrou seus serviços de avaliação de crédito ao consumidor na Holanda em janeiro de 2025 e se comprometeu a excluir o banco de dados que continha todas essas informações pessoais até o final do ano.
Para o Instituto SIGILO, este caso reforça a urgência de uma vigilância constante sobre as práticas da Serasa no Brasil, dada a sua filiação global à EXPERIAN. As infrações cometidas na Europa — principalmente a falta de transparência e o uso inadequado de dados para fins de score — são questões centrais também levantadas no contexto da Lei Geral de Proteção de Dados (LGPD).
A condenação da controladora global demonstra que a coleta massiva e a falta de comunicação clara sobre o uso de dados de crédito e consumo não são toleradas sob regimes de proteção de dados maduros, como o GDPR, e devem ser estritamente fiscalizadas também sob a LGPD pela Autoridade Nacional de Proteção de Dados (ANPD) do Brasil.
Aqui no Brasil a SERASA foi condenada pelo mesmo motivo que a Autoridade holandesa acabou de sentenciar. A 5ª Vara Cível de Brasília do Tribunal de Justiça do Distrito Federal e Territórios, Proc. n. 0736634-81.2020.8.07.0001, condenou a SERASA a não mais comercializar os dados de milhões de brasileiros, pois os serviços não eram transparentes e seguros para a população. Essa foi a conclusão do Desembargador Sandoval Oliveira do Tribunal de Justiça do Distrito Federal e Territórios (TJDFT):
“Em arremate, parece claro que o direito de exclusão do banco de dados – garantido pela requerida ao consumidor – mais interessaria em caso de demandas individuais. Ainda, constitui argumento incapaz de confrontar a ausência de transparência dos procedimentos de coleta e processamento de informações que, sob o pretexto de prestar serviços benéficos ao consumidor, invade a esfera da privacidade e avança sobre liberdades individuais, ultrapassando a legítima expectativa do titular das informações tratadas com tal propósito”.
É evidente que o SERASA, parte do grupo EXPERIAN, vem seguindo as diretrizes globais da empresa e seguindo à risca suas atividades ilegais e inconstitucionais. Em face disto, o Instituto SIGILO continuará atuando, judicial e extrajudicialmente, para garantir que o direito à privacidade e à transparência dos dados pessoais dos brasileiros sejam respeitados pelas empresas do grupo EXPERIAN.
