A Agência Nacional de Proteção de Dados (ANPD) notificou, na última semana, a Claro e Serasa por indícios de irregularidades no compartilhamento de dados pessoais de clientes da operadora de celular. A empresa de telefonia responderá um processo administrativo sancionador, enquanto a empresa de análise de crédito será submetida a um processo de fiscalização.
A instauração do processo sancionador decorre das conclusões alcançadas no âmbito de processo de fiscalização instaurado contra a Claro por indícios de descumprimento da Lei Geral de Proteção de Dados Pessoais (LGPD) numa parceria entre as duas empresas. O acordo entre elas previa o fornecimento de dados dos clientes da Claro à Serasa para o desenvolvimento de metodologias de análise de crédito e avaliação de outras condições de mercado.
Entre as possíveis infrações cometidas pela Claro estão o compartilhamento excessivo de dados, a falta de transparência com os titulares dos dados (clientes da operadora, neste caso) e a dificuldade de acesso ao encarregado de dados (profissional responsável por garantir o cumprimento da LGPD na empresa de telefonia).
Caso sejam comprovados os fatos imputados, a operadora estará sujeita às sanções do artigo 52 da Lei, que incluem a possibilidade de aplicação de multa de até R$ 50 milhões por infração ou até 2% do faturamento da empresa. A Claro recebeu, ainda, um aviso com determinações a serem observadas em seus contratos de compartilhamento de dados – tanto os já em vigor quanto os futuros.
De acordo com o superintendente de Fiscalização da ANPD, Fabrício Guimarães, a Claro compartilhou mais de cem dados de cada cliente com a Serasa. “Existe um limite para esse compartilhamento, que não deve ser excessivo e precisa respeitar o princípio da necessidade, da relevância. Além disso, o compartilhamento de dados precisa ser transparente; os clientes têm que ser informados. Identificamos esses e vários outros problemas na parceria, pedimos várias informações às empresas e elas encerraram o contrato”.
No caso da Serasa, a ANPD avaliará a transparência prestada aos titulares de dados e os mecanismos oferecidos para o exercício dos direitos previstos na LGPD. A investigação verificará se a política de privacidade da empresa informa, adequadamente, quem compartilha dados com a Serasa e com quem ela compartilha esses dados. Se forem confirmadas irregularidades, o caso poderá avançar para a fase sancionadora.
A Serasa é a empresa objeto da maior quantidade de denúncias recebidas pela ANPD e figura em segundo lugar em volume de petições de titulares de dados, de acordo com o último ciclo de monitoramento concluído pela Agência, do segundo semestre de 2023 ao primeiro semestre de 2025.
Prazos
A Claro e a Serasa terão prazo de dez dias úteis, contados a partir do recebimento da intimação, para apresentar defesa. Em ambos os casos, a não apresentação de resposta no prazo pode configurar obstrução à fiscalização e resultar em sanção adicional.
Os documentos públicos do processo estarão disponíveis na Pesquisa Pública do SEI, nos seguintes processos:
-
Processo de fiscalização – Claro e Serasa – 00261.000227/2022-06
-
Processo Administrativo Sancionador – Claro: 00261.003285/2026-15
-
Processo de fiscalização – Serasa: 00261.003351/2026-49
Outro lado
Em nota, enviada para a Security Report, a Claro reforçou seu compromisso com a privacidade e a proteção de dados de seus clientes. De acordo com ela, os dados foram utilizados apenas para estudos e análises internas, e não foram incorporados às soluções colocadas em mercado, e reforçou que o contrato entre as companhias não está mais em vigor.
A Security Report publica, na íntegra, nota enviada pela Claro.
“A Claro reforça seu compromisso com a privacidade, a proteção de dados, a LGPD e a ANPD. A Companhia possui programa robusto de governança em privacidade e seguirá colaborando com a Agência, prestando os esclarecimentos necessários no âmbito do processo em questão.
Não há qualquer sanção, o processo apenas se iniciou e a Claro entende que a operação observou todos os critérios previstos na LGPD, como finalidade, adequação, proporcionalidade, transparência e direitos dos titulares.
Os dados foram utilizados apenas para estudos e análises internas, não foram incorporados a soluções colocadas em mercado e o contrato já não está mais em vigor.”
