Após 2 anos de investigação, Experian é autuada por tratamento abusivo de dados pessoais

Compartilhe esse conteúdo


O Information Commissioner’s Office (ICO), o órgão fiscalizador das normas do GDPR do Reino Unido, emitiu na última semana uma notificação de execução contra a empresa Experian. A notificação ordena que a agência referência em crédito realize “mudanças estruturais” na forma como trata os dados pessoais de clientes relacionados ao marketing direto da empresa no Reino Unido.

A investigação contra as CRAs


A medida foi consequência de uma investigação que se iniciou em 2018 sobre como as principais empresas de ranking de crédito do Reino Unido estavam negociando, enriquecendo e aprimorando os dados pessoais de seus clientes sem seu conhecimento ou consentimento.

As chamadas CRAs (Credit Reference Agencies), as empresas Experian, Equifax e TransUnion, utilizam dados pessoais de seus clientes em negócios “offline” para fins de marketing direto.


As consequências dessas tratativas são sérias e ferem gravemente as diretrizes e princípios das regulamentações de proteção de dados. Produtos foram usados por organizações comerciais terceirizadas para captação de novos clientes, houve a identificação dos titulares com maior probabilidade de pagar pelos produtos e a construção de perfis individuais em torno das informações das pessoas foram alguns dos resultados. Esses serviços também eram usados por partidos políticos e instituições de caridade.

Falhas de conformidade em todo o setor


Em relatório publicado acerca do caso, o ICO afirma, ainda, que encontrou “falhas significativas de proteção de dados” em cada CRA. “Alguns dos CRAs também usavam perfis para gerar informações novas ou até então desconhecidas sobre pessoas, o que muitas vezes é invasivo e fere o direito à privacidade”, continua o documento.


Ademais, dentre outras falhas sistemáticas, as informações de privacidade incluídas nos sites das investigadas sobre suas atividades de tratamento de dados “não explicavam claramente o que eles estavam fazendo com os dados das pessoas” e houve a utilização equivocada de bases legais para o tratamento de dados pessoais, afirmou o ICO.

Produtos e serviços foram retirados do ar


Após falhas nas tratativas de dados pessoais serem apontadas pelo ICO, as empresas Equifax e a TransUnion retiraram alguns de seus produtos e serviços do ar.

Nesse sentido, o órgão decidiu por não tomar nenhuma medida contra elas. “Sinto-me encorajado pela disposição da Equifax e da TransUnion de mudar suas práticas e colocar os direitos legais das pessoas em primeiro lugar”, disse Elizabeth Denham, integrante comissária informacional do ICO. “Agora espero que o setor de corretagem de dados como um todo assuma os mesmos compromissos.”


Sobre a notificação de execução


Ao explicar sua decisão de não impor uma multa, o ICO esclareceu que um aviso de execução “seria a primeira maneira eficaz e proporcional de cumprir a lei frente à situação. É uma ferramenta regulatória poderosa para exigir que uma organização pare de processar dados pessoais de uma determinada maneira.”


Especificamente, o aviso de execução “exige que a Experian informe às pessoas que ela retém seus dados pessoais internamente e como os utiliza ou pretende utilizá-los para fins de marketing”. Por exemplo, ele deve parar de filtrar os clientes em potencial das listas de marketing com base na situação financeira”,


A Experian deve atender às solicitações do ICO até julho de 2021. Se, ainda assim, se recusar no cumprimento das ações impostas pelo relatório, a empresa pode enfrentar uma multa de até £ 20 milhões ou 4% do faturamento anual total da organização em todo o mundo.

Aplicação ao cenário brasileiro


O caso em tela é, definitivamente, um ponto de atenção à todas as empresas que utilizam softwares de varredura sistêmica de dados considerados públicos.

“Embora essas empresas afirmem que podem processar os dados das pessoas com ou sem consentimento, o relatório do ICO deixou claro que mesmo com o consentimento, o repasse de dados a terceiros costuma ser inválido em algumas circunstâncias ”, declarou a empresa Privacy International.

“Portanto, o anúncio do ICO hoje sobre três dos maiores e mais conhecidos corretores de dados abre um importante precedente” .

“Todo país com leis de proteção de dados precisa olhar para esse setor. Cada regulador precisa se perguntar o que está fazendo para proteger as pessoas de seus dados serem explorados de maneira abusiva por ‘agências de referência de crédito’ como a Experian.” continua a empresa.


Dessa forma, é fundamental que todas as empresas signatárias desses serviços avaliem de perto a forma com que as companhias atuam, suas políticas de privacidade e, principalmente, se atentem ao compartilhamento de dados pessoais de clientes e ao nível de transparência com que tratam demandas de proteção de dados pessoais.


Compartilhe esse conteúdo

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

quinze − doze =