Caso Claro e Serasa: o alerta da ANPD sobre compartilhamento de dados

A ANPD abriu um processo administrativo sancionador contra a Claro por indícios de irregularidades no compartilhamento de dados pessoais de clientes com a Serasa. A Serasa será submetida a processo de fiscalização sobre transparência e direitos dos titulares.

Segundo a própria ANPD, a parceria previa o fornecimento de dados de clientes da operadora para que a Serasa desenvolvesse metodologias de análise de crédito e avaliasse condições de mercado. O ponto que acendeu o alerta da autoridade não foi apenas a existência do compartilhamento, mas o modo como ele teria ocorrido.

A ANPD apontou possíveis problemas como compartilhamento excessivo de dados, falta de transparência com os titulares e dificuldade de acesso ao encarregado de dados. O superintendente de Fiscalização da Agência, Fabrício Guimarães, afirmou que a Claro teria compartilhado mais de cem dados de cada cliente com a Serasa.

As empresas negam irregularidades e ainda poderão apresentar suas defesas. Ou seja: o caso não deve ser tratado como uma condenação antecipada. Se os fatos forem comprovados, a Claro poderá ficar sujeita às sanções do artigo 52 da LGPD, que incluem advertência, publicização da infração e multa limitada a R$ 50 milhões por infração ou a 2% do faturamento, conforme o caso.

Mesmo antes de uma decisão final, a notícia já traz uma mensagem importante para qualquer empresa que compartilha dados com parceiros, fornecedores, plataformas, bureaus, marketplaces, ferramentas de marketing, CRMs, softwares de atendimento ou soluções de análise.

Compartilhar dados exige mais do que contrato assinado

Na prática empresarial, é comum tratar o compartilhamento de dados como um assunto puramente comercial ou jurídico: fecha-se uma parceria, inclui-se uma cláusula de proteção de dados e o projeto segue.

A LGPD exige mais do que isso.

Antes de enviar dados pessoais para outra empresa, a organização precisa entender quais dados serão compartilhados, para qual finalidade, em qual volume, com qual base legal, por quanto tempo, com quais controles e como o titular será informado. Se a resposta for vaga, o risco já começa ali.

O princípio da necessidade, citado pela ANPD no caso, é um dos pontos centrais. Ele pede que o tratamento fique limitado ao mínimo necessário para cumprir a finalidade informada. Em termos simples: não é porque a empresa tem o dado que ela pode repassar tudo.

Se a finalidade é análise estatística, estudo de mercado ou modelagem de crédito, a empresa precisa demonstrar por que cada categoria de dado é necessária. Dados de consumo, reclamações, localização aproximada, comportamento de uso, histórico de contratação e outros metadados podem parecer “apenas operacionais”, mas continuam podendo dizer muito sobre uma pessoa.

Transparência não pode ficar escondida na política de privacidade

Outro ponto citado pela ANPD foi a transparência com os titulares.

Isso costuma ser um problema recorrente. Muitas empresas até possuem política de privacidade, mas o documento é genérico, longo, difícil de encontrar ou não explica com clareza quem recebe os dados, para que recebe e em quais situações.

Para o titular, a pergunta é simples: “Meus dados estão indo para quem, por quê e com qual impacto para mim?”

Se a empresa não consegue responder isso de forma direta, a política pode existir no site, mas a transparência ainda pode estar falhando.

Em parcerias que envolvem dados pessoais, a transparência precisa aparecer em camadas: política de privacidade, contratos, avisos no momento adequado, canais de atendimento e respostas aos direitos dos titulares. Não basta ter um texto bonito. É preciso que o fluxo real de dados combine com aquilo que foi informado.

O encarregado precisa ser acessível e útil

A ANPD também mencionou dificuldade de acesso ao encarregado de dados. Esse detalhe merece atenção.

Muita empresa ainda trata o encarregado como um nome formal na política de privacidade, quando ele precisa funcionar como um canal real entre titulares, organização e autoridade. O ponto não é apenas indicar alguém. É garantir que esse canal exista, seja monitorado, receba demandas, encaminhe internamente os pedidos corretos e gere evidências de resposta.

Para pequenas empresas, pode haver regras e tratamentos diferenciados conforme o caso. Ainda assim, alguém precisa ser responsável por organizar a rotina de privacidade. Sem dono claro, pedidos de titulares se perdem, contratos são assinados sem revisão, fornecedores entram sem avaliação e incidentes são tratados tarde demais.

É aqui que um DPO as a Service bem estruturado ajuda. A empresa não precisa montar uma área grande do dia para a noite, mas precisa ter método, canal, registro e orientação recorrente.

O que revisar agora dentro da empresa

O caso Claro e Serasa é grande, mas o aprendizado vale para empresas de qualquer porte. A pergunta não é “isso só acontece com grandes companhias?”. A pergunta melhor é: “quais dados da minha empresa estão sendo compartilhados hoje sem revisão suficiente?”.

Alguns pontos merecem uma checagem objetiva:

quais parceiros, fornecedores e plataformas recebem dados pessoais;
quais categorias de dados são enviadas para cada um;
qual finalidade justifica o compartilhamento;
qual base legal sustenta o tratamento;
se o volume de dados é proporcional à finalidade;
se contratos e aditivos tratam de proteção de dados de forma adequada;
se a política de privacidade informa esses fluxos de modo compreensível;
se há canal efetivo para direitos dos titulares;
se o encarregado ou responsável por privacidade consegue atuar antes que o problema apareça.

Essa revisão não precisa ser burocrática. Ela precisa ser honesta. Muitas vezes, a empresa descobre que está enviando dados demais para ferramentas de marketing, analytics, atendimento, cobrança, crédito, antifraude ou gestão comercial sem ter documentado bem a finalidade e os limites.

Governança de dados é rotina, não reação à fiscalização

A atuação da ANPD mostra uma tendência clara: a autoridade está olhando para práticas concretas de mercado, especialmente quando há grande volume de titulares, compartilhamento entre empresas e assimetria de informação para o consumidor.

Para as empresas, o recado é direto. A conformidade com a LGPD não se resume a política de privacidade e contrato padrão. Ela depende de governança operacional: mapeamento de dados, revisão de fornecedores, definição de responsabilidades, comunicação clara com titulares e registro das decisões tomadas.

Quando essa rotina existe, a empresa consegue explicar por que trata dados, por que compartilha, quais limites aplica e como atende os titulares. Quando não existe, qualquer parceria pode virar um ponto de exposição.

A TOGETHER apoia empresas nesse caminho com DPO as a Service, diagnóstico de fluxos de dados, revisão de contratos e políticas, estruturação de canais de atendimento e acompanhamento contínuo. O objetivo não é criar burocracia. É reduzir risco, dar clareza para o negócio e fazer a privacidade funcionar na prática.

Se sua empresa compartilha dados com fornecedores, plataformas ou parceiros comerciais, a TOGETHER pode ajudar a revisar esses fluxos antes que eles se tornem um ponto de exposição.