Por Rafael Custódio - A Justiça da Inglaterra irá julgar um dos maiores casos de vazamento de dados da história recente do Brasil, que afetou cerca de 220 milhões de pessoas, há cinco anos. A ação coletiva busca responsabilizar a Serasa e outras duas empresas do grupo britânico Experian, que teriam expostos dados sensíveis de brasileiros.

O vazamento foi identificado em janeiro de 2021, descoberto pelo laboratório de cibersegurançada empresa de aplicativo de segurança Psafe, quando criminosos passaram a divulgar dados sensíveis dos brasileiros como CPF, RG, data de nascimento, escolaridade, CNPJs e receitas do FGTS.

Protocolada em 9 de janeiro deste ano, na Corte inglesa, a ação sustenta que esses dados sensíveis foram expostos em fóruns clandestinos, conhecidos como “deep web” e deixaram os brasileiros vulneráveis. O caso tramita exclusivamente na Inglaterra, porque duas das empresas controladoras do grupo Experian estão sediadas e operam a partir do território inglês, o que permite que sejam processadas no país.

“O Serasa faz parte do Experian Group, que é um grupo econômico internacional. Essas duas empresas matriciais, parent companies, como a gente se refere, têm uma sede na Inglaterra e [lá] conduzem seus negócios”, explica Andrew Shorts, sócio do escritório de advocacia internacional Mishcon de Reya responsável pela ação.

Shorts foi um dos idealizadores de um site que convocava as vítimas do megavazamento para que se juntassem à ação coletiva. Segundo ele, até o momento, cerca de 25 mil pessoas já manifestaram o seu interesse em integrar o caso, sendo a grande maioria composta por brasileiros.

O rito do processo é diferente do praticado no Brasil, uma vez que a petição inicial é protocolada com dados mais simples e os detalhes do caso são apresentados no decorrer do processo. Isso permite, portanto, que outras vítimas do vazamento possam se juntar à ação, mesmo que ela já tenha sido protocolada.

Embora o processo seja conduzido pela Justiça da Inglaterra, o caso também irá considerar alegislação brasileira, segundo o organizador da ação. “O direito de indenização dos autores decorre das leis brasileiras, ainda que o processo esteja sendo julgado na Inglaterra”, afirma.

“O tribunal inglês aplicará a lei brasileira porque [os direitos desrespeitados] em que se baseia a ação, existem no direito brasileiro, mas não no direito inglês. Os tribunais ingleses têm ampla experiência em julgar disputas internacionais, muitas das quais exigem a aplicação de leis estrangeiras. As normas processuais, no entanto, serão as inglesas”, explica Shorts.

O principal pedido da ação é a condenação das empresas, e o pagamento de indenização financeira aos titulares afetados. Os valores para as vítimas serão definidos pelo julgamento da corte inglesa, caso a responsabilidade do grupo Experian seja reconhecida.

Outro lado
À Agência Pública, a Serasa Experian disse que não houve invasões aos seus sistemas de dados à época e que chegou a apresentar um laudo pericial, feito por uma auditoria independente, às autoridades componentes.

O laudo foi solicitado pela reportagem, mas a Serasa não o encaminhou e declarou que não poderia informar qual organização assinou a auditoria.

A empresa de informação de crédito afirmou ainda em seu posicionamento (leia na íntegra) que não foi citada “na ação judicial referida”, porém a Pública acessou o sistema da Justiça inglesa e confirmou a presença da Serasa Experian no processo.

A nota diz que a empresa lamenta e repudia a “propagação de informações enganosas, com promessas falsas de indenizações ou compensações financeiras”. Em outro trecho, salienta que “reforça seu compromisso com a proteção de dados, a legalidade de suas práticas e a segurança das informações sob sua guarda.”

Segundo Shorts, a ação também serve de “ponto de atenção para as grandes corporações que têm esses dados, para que elas melhorem a sua segurança, porque vai doer no bolso delas e elas devem evitar esse tipo de vazamento.”