Crime cibernético: Vazamento de dados teria atingido praticamente toda a população adulta
A ação coletiva internacional movida na Inglaterra contra empresas ligadas ao grupo Serasa Experian entrou em uma nova etapa processual e ampliou a pressão jurídica sobre um dos maiores casos de exposição de dados pessoais já registrados no Brasil. Nas últimas semanas, os réus foram oficialmente citados pela Justiça inglesa, formalizando o avanço do processo que busca indenização para milhões de brasileiros afetados pelo megavazamento revelado em 2021.
O caso envolve a exposição de dados de cerca de 223 milhões de brasileiros — número superior à própria população do país à época, porque o banco incluía informações de pessoas falecidas. Entre os dados vazados estavam CPF, nome completo, endereço, telefone, renda, escolaridade, score de crédito e informações cadastrais diversas. Parte do material chegou a circular e ser comercializada em fóruns clandestinos da internet.
Controladora do grupo Serasa Experian
A ação coletiva é conduzida no Reino Unido pelo escritório Mishcon de Reya, especializado em litígios coletivos internacionais, em parceria com o Seleme Advogados, no Brasil. O processo foi protocolado na Justiça inglesa porque a Experian plc — controladora do grupo Serasa Experian — possui sede e vínculos societários no Reino Unido.
A nova fase processual ocorre após a citação formal dos réus, etapa considerada essencial para o andamento da ação perante a Corte inglesa. A partir disso, abre-se espaço para apresentação de defesa e continuidade da tramitação judicial.
O vazamento veio à tona em janeiro de 2021 e mobilizou órgãos de defesa do consumidor, autoridades de proteção de dados e investigadores de crimes cibernéticos.
Segundo apurações divulgadas na época, os dados incluíam informações altamente sensíveis, capazes de facilitar fraudes financeiras, golpes digitais, falsificação de identidade e engenharia social. Especialistas em segurança da informação alertaram para os riscos permanentes decorrentes da circulação desse tipo de conteúdo na internet clandestina.
A legislação brasileira passou a endurecer o tratamento jurídico desses episódios após a entrada em vigor da Lei Geral de Proteção de Dados (LGPD), que estabelece deveres de segurança, transparência e responsabilidade para empresas que armazenam informações pessoais.
MPF atua em ação no Brasil
No Brasil, o Ministério Público Federal (MPF) tornou-se coautor de uma ação civil pública relacionada ao caso, proposta inicialmente pelo Instituto Sigilo. A Procuradoria sustenta que houve falha na proteção das informações pessoais e pede indenização individual de R$ 30 mil para cada pessoa afetada, além de multa milionária contra a empresa.
O processo tramita na 22ª Vara Cível Federal de São Paulo. Apesar disso, ainda não há decisão definitiva que atribua responsabilidade técnica conclusiva à Serasa Experian pela origem do vazamento. A empresa nega que seus sistemas tenham sido invadidos e afirma cumprir rigorosamente a legislação brasileira de proteção de dados.
Em manifestações anteriores, a companhia declarou que “não houve qualquer invasão aos seus sistemas” e que não existem evidências de que o vazamento tenha partido de suas bases de dados.
Debate internacional sobre proteção de dados
O avanço do caso na Inglaterra ocorre em meio ao crescimento global de ações coletivas ligadas à proteção de dados e privacidade digital. Nos últimos anos, tribunais europeus passaram a ampliar mecanismos de responsabilização civil de empresas envolvidas em vazamentos massivos de informações.
A estrutura jurídica inglesa permite que indivíduos ingressem coletivamente em demandas dessa natureza, sob condução centralizada da Corte. Diferentemente do modelo brasileiro, em que ações coletivas costumam ser propostas por entidades, associações ou órgãos públicos, o sistema britânico prevê adesão direta de pessoas interessadas no pedido de compensação financeira.
Para a advogada Ana Seleme, sócia fundadora do Seleme Advogados, o caso representa um marco no debate sobre responsabilidade corporativa na proteção de dados pessoais. “Este caso também serve de alerta para empresas que tratam dados pessoais: segurança da informação precisa ser prioridade”, afirmou.
O sócio do escritório Mishcon de Reya, Andrew Short, destacou que a parceria com um escritório brasileiro busca oferecer segurança jurídica e evitar golpes envolvendo falsas promessas de indenização.
Riscos políticos e econômicos
O episódio também ampliou o debate político sobre fiscalização da LGPD, atuação da Autoridade Nacional de Proteção de Dados (ANPD) e capacidade do Estado brasileiro de enfrentar crimes cibernéticos em larga escala.
Especialistas apontam que o caso expôs fragilidades estruturais do país na proteção de dados pessoais e no monitoramento da comercialização ilegal de informações.
Com a digitalização acelerada da economia, vazamentos desse porte passaram a ser tratados não apenas como problema de privacidade, mas também como questão de segurança econômica e institucional.
O crescimento dos crimes digitais e da circulação ilegal de bases de dados vem sendo acompanhado por autoridades no Brasil e no exterior, sobretudo diante do aumento de fraudes bancárias, golpes eletrônicos e uso político de informações pessoais.
