A Serasa, uma das maiores empresas de análise de crédito do Brasil, virou alvo de uma ação coletiva na Justiça do Reino Unido. O escritório de advocacia inglês Mishcon de Reya ajuizou, em janeiro de 2026, uma demanda que busca compensação para brasileiros afetados pelo megavazamento de dados ocorrido em 2021 — um dos maiores incidentes de segurança da informação já registrados no país.
Segundo a ação, dados pessoais de aproximadamente 220 milhões de brasileiros foram expostos ilegalmente, incluindo CPF, endereços, telefones, e-mails, escolaridade, ocupação profissional, renda, salário e pontuação de crédito. Informações sensíveis de autoridades públicas, incluindo ministros do STF, também teriam sido comercializadas no mercado ilegal de dados.
Por que a ação corre na Inglaterra?
A estratégia jurídica escolhida pelo escritório britânico se apoia em um detalhe societário: a Serasa é controlada pela Experian, multinacional com sede e operações relevantes no exterior. Esse vínculo abre caminho para que a Justiça inglesa se declare competente para julgar o caso, mesmo o vazamento tendo afetado majoritariamente cidadãos brasileiros.
O pedido da ação é a compensação individual para as pessoas que ainda não buscaram reparação pela Justiça brasileira. Até o momento, mais de 25 mil pessoas manifestaram interesse em participar da demanda.
E no Brasil, o que aconteceu com o caso?
No território nacional, uma ação civil pública movida pelo Instituto Sigilo sobre o mesmo vazamento foi extinta por falta de legitimidade processual. O Ministério Público Federal (MPF), por sua vez, chegou a solicitar a aplicação de multa de R$ 200 milhões à empresa, além de indenização individual de R$ 30 mil por pessoa afetada. A apelação sobre esse processo ainda aguarda julgamento.
Esse contraste — uma ação brasileira travada na fase inicial e uma ação estrangeira avançando com força — ilustra um problema recorrente: vítimas de vazamentos de dados no Brasil enfrentam dificuldades reais para conseguir reparação rápida pelas vias tradicionais.
O que isso significa para empresas
Casos como esse reforçam um alerta que vale para negócios de qualquer porte: a exposição de dados pessoais de clientes, fornecedores ou colaboradores gera passivo jurídico de longo prazo, mesmo anos depois do incidente. A LGPD (Lei Geral de Proteção de Dados) não perdoa a falta de:
- Mapeamento dos dados que a empresa coleta e armazena;
- Controles de acesso e segurança da informação adequados ao volume de dados tratado;
- Plano de resposta a incidentes, para agir rápido em caso de vazamento;
- Base legal documentada para cada tratamento de dado pessoal.
Empresas que tratam dados de clientes — inclusive dados de crédito, renda e histórico financeiro — precisam tratar a conformidade com a LGPD como parte da gestão de risco do negócio, não como burocracia acessória.
Se a sua empresa lida com dados sensíveis de clientes e quer entender seus riscos e obrigações, a Fontinni pode ajudar a estruturar esse diagnóstico antes que ele vire um problema judicial.
Fontes: Migalhas — "Serasa é alvo de ação na Justiça inglesa por megavazamento de dados"

