O compartilhamento de dados entre as duas empresas começou em 2021 e foi aprovado pelo CADE na ocasião (Ato de Concentração nº 08700.006373/2020-61).O acordo envolvia o fornecimento de dados de clientes da Claro à Serasa, para uso em soluções ligadas à análise de crédito, prevenção a fraudes e avaliação de mercado.

Na época, o CADE fundamentou sua decisão concluindo que o acordo das empresas não oferece riscos concorrenciais relativo ao fechamento de mercado para bureaus concorrentes das duas empresas, principalmente pelo fato de que na época não existiam contratos vigentes entre a Claro e demais empresas para comercialização das informações as quais serão fornecidas de forma exclusiva para a Serasa.

Muito embora o acordo foi aprovado pelo CADE por não haver riscos do ponto de vista concorrencial, o compartilhamento passou a ser analisado pela ANPD para verificar violações à LGPD. Ainda em 2021, O MPF junto ao CADE comunicou à ANPD a instauração do Procedimento Administrativo nº 1.00.000.011968/2021-49/2021, voltado ao acompanhamento das políticas comerciais da Claro e da Serasa. Também informou a aprovação, sem restrições, pelo CADE, do ato de concentração envolvendo o fornecimento de dados de clientes da Claro à Serasa.

Após receber os documentos do acordo entre as duas empresas pelo MPF e CADE, a ANPD entendeu que os documentos levantavam questões de LGPD sobre os princípios da lei como finalidade, adequação e necessidade, bases legais, deveres de transparência e não discriminação. Por isso, determinou a abertura de um Procedimento Preparatório em 2022, com base nos arts. 40 e 41 do Regulamento de Fiscalização.

No ano seguinte, a Agência emite a Nota Técnica nº 3/2023 no mesmo procedimento preparatório. De acordo com o documento (ANPD, 2023, p. 2), a continuidade do compartilhamento entre Claro e Serasa deveria ser condicionada à implementação de medidas de adequação. Na sequência, Claro e Serasa alegaram perda do objeto, uma vez que os contratos de compartilhamento haviam sido encerrados , o tratamento interrompido, os dados anonimizados e com a exclusão dos dados originais do compartilhamento.

Em 2026, a ANPD reconheceu perda de objeto quanto às medidas corretivas ligadas à continuidade da operação, mas afirmou que isso não impediria recomendações de conformidade na Nota técnica 02/2026. Em relação à Claro, sugeriu remessa à Coordenação-Geral de Sanções para avaliar a instauração de processo sancionador. Em relação à Serasa, recomendou procedimento fiscalizatório específico sobre transparência e exercício de direitos dos titulares.

O caso tem grande relevância na medida em que mobiliza o tema do score de crédito a partir do microssistema de proteção que articula a LGPD, Direitos do consumidor e Lei do Cadastro Positivo. É uma das primeiras manifestações da ANPD no tema e um primeiro passo na harmonização de diferentes diplomas legais

Abaixo, contamos os principais destaques do caso

Escopo

A Nota Técnica n° 3/2023/FIS/CGF/ANPD compreende a análise detalhada da conformidade do compartilhamento de dados pessoais entre a empresa Claro S.A. e a Serasa Experian S.A. em relação a LGPD. O compartilhamento tinha como objetivo monetizar dados pessoais restritos por meio do desenvolvimento de tecnologias de pontuação de crédito (credit scoring) e soluções de prevenção a fraudes.

Para fundamentar a sua avaliação, a  Agência examina o “microssistema de proteção de dados”, integrando a LGPD ao Código de Defesa do Consumidor e à Lei do Cadastro Positivo, conforme apontado pela ANPD na leitura de  Bioni (2021). Tal microssistema também classifica as variáveis compartilhadas entre dados tradicionais e alternativos. O escopo da Nota técnica também abrange ainda a verificação da legitimidade das finalidades e das bases legais utilizadas pelas empresas, a observância de princípios fundamentais como transparência, necessidade e não discriminação, e o respeito aos direitos dos titulares, resultando na determinação de medidas corretivas e condicionantes para a continuidade dessa atividade de tratamento.

Para analisar a conformidade do compartilhamento de dados entre a Claro e a Serasa, a ANPD estruturou a sua discussão central em quatro pilares fundamentais: a) o microssistema de proteção de dados voltado ao “score” de crédito; b) a distinção entre dados tradicionais e alternativos; c) a verificação das hipóteses de tratamento (bases legais) aplicáveis; e, por fim, a observância dos princípios estabelecidos pela LGPD.

a) Microssistema de proteção de dados no tema “score” de crédito:

Inicialmente, a  Agência fundamenta que a análise não deve se limitar às disposições da LGPD, mas sim considerar um ecossistema de proteção de dados, uma vez que o art. 64, da LGPD, estabelece que seus direitos e princípios não excluem outros previstos no ordenamento jurídicos brasileiros ou em tratados internacionais. Ou seja, existe uma relação de complementaridade e subsidiariedade entre a LGPD, o Código de Defesa do Consumidor (CDC), a Lei do Cadastro Positivo e o Marco Civil da Internet.

Nesse sentido, a Nota Técnica cita o entendimento consolidado do Supremo Tribunal de Justiça (STJ) de que o sistema de credit scoring é uma prática comercial lícita, sendo autorizada pela Lei do Cadastro Positivo, mas que deve respeitar rigorosamente a privacidade e a máxima transparência. Isto é, embora o consentimento do consumidor seja desnecessário para a consulta, ele tem o direito de receber esclarecimentos sobre as fontes dos dados e as informações valoradas em seu perfil. Com o contrário dessa atitude, ao utilizar informações excessivas, sensíveis ou incorretas, configura-se abuso de direito e gera responsabilidade objetiva e solidária entre os agentes envolvidos.

Neste caso concreto, também há aplicação do CDC em virtude da relação consumerista entre a Claro e os seus clientes, o que assegura aos titulares o direito básico à informação clara (art. 6°, III) e a proteção contra práticas abusivas (6°, IV), bem como a vedação do repasse de informações depreciativas (art. 39, VII) de ato praticado no exercício de seus direitos.

Em outras palavras, a LGPD integra esse microssistema agregando parâmetros de governança e direitos específicos aos titulares. Como a atividade de pontuação de crédito envolve o processamento de variáveis para definir perfis, ela se enquadra perfeitamente na definição de tratamento de dados pessoais. Portanto, devem ser garantidos direitos como a transparência sobre finalidade específica, o livre acesso, a correção de dados e, crucialmente, o direito de solicitar a revisão de decisões automatizadas que afetem os interesses de crédito e consumo do indivíduo.

b) Dados tradicionais e dados alternativos

Neste segundo tópico, a  Agência diferencia as variáveis tratadas pelas empresas em duas categorias principais: dados tradicionais e dados alternativo

Os dados tradicionais referem-se “às informações costumeiramente usadas por gestores na composição dos principais escores de crédito de pessoas naturais ou jurídicas” (Silveira apud Brasil, 2023, p. 4). A título de exemplo, temos o histórico de adimplemento, limites de crédito, contas bancárias, além de registros públicos de processos cíveis, falências e passivos tributários.

Já os dados alternativos englobam todas as informações que não são tradicionalmente empregadas para essa finalidade. Para isso, dividem-se em dados alternativos financeiros, que são as informações de natureza financeira que, por algum motivo específico, não são comumente integradas aos escores, e os dados alternativos não-financeiros, que são aquelas informações que não tem ligação direta com o aspecto econômico do titular, mas que viabilizam análises preditivas quando cruzadas com outros dados, como histórico profissional ou de escolaridade.

A partir disso, a  Agência concluiu que o compartilhamento entre Claro e Serasa envolve uma alta gama de dados alternativos não-financeiros em razão tais dados utilizados só ganham relevância quando cruzados com outros dados, ou seja, só possuem relevância para o risco de crédito após cruzamentos e inferências, o que ressalta a importância de uma fiscalização rigorosa sob a ótica da LGPD.

c) Análise das hipóteses de tratamento no caso concreto

A ANPD examinou a validade das bases legais escolhidas pelas empresas, ressaltando que a ausência de uma hipótese de tratamento adequada torna o processamento de dados irregular. Resumidamente, as empresas envolvidas fundamentaram o compartilhamento de dados nos art. 7°, X (proteção ao crédito), e 11, II, ‘g’ (prevenção à fraude), da LGPD. Seguem as hipóteses levantadas:

Proteção ao crédito: refere-se ao tratamento de dados para avaliar a capacidade do titular de honrar compromissos financeiros e melhorar a análise de risco. A  Agência considerou a base aplicável no caso da Serasa, dado que a construção de scores de crédito e o oferecimento de relatórios precisos ao mercado fazem parte da atividade-fim da empresa. Todavia, foi considerada inadequada no cenário da Claro, uma vez que ela não compartilha esses dados para analisar o risco de seus próprios clientes, mas sim para outros fins de estudos e monetização, ultrapassando o considerado razoável.

Prevenção à fraude: base legal que permite o tratamento dos dados para garantir a segurança do titular e do controlador, confirmando a identidade dos usuários para evitar fraudes. Após analisar as variáveis compartilhadas, a  Agência não identificou o uso de dados sensíveis que justificassem a aplicação do art. 11, que aborda as hipóteses do tratamento de dados pessoais sensíveis, nem encontrou evidências de que o manejo dessa base serviria aos propósitos específicos do contrato entre as empresas. Dessa forma, concluiu-se que a prevenção à fraude não é apta a sustentar o compartilhamento de dados não sensíveis de clientes da Claro com a Serasa, exigindo que as empresas aloquem outras hipóteses legais adequadas para fundamentar a atividade.

d) Direitos dos titulares violados no caso concreto

A análise da  Agência também identificou uma série de violações aos direitos dos titulares, fundamentadas principalmente na ausência de transparência e no impedimento do exercício de garantias fundamentais previstas na LGPD. abaixo destacamos os principais pontos levantados:

Direito à Informação e Transparência (Art. 9°, I, II, III, e IV): concluiu-se que a Claro não informou de maneira clara, adequada e ostensiva a finalidade específica do tratamento de dados dos consumidores. Os avisos de privacidade eram genéricos, mencionando apenas o compartilhamento com “empresas de crédito”, sem identificar a Serasa como controladora independente ou detalhar que os dados seriam usados para estudos e criação de perfis. Para mais, houve a omissão quanto à duração do tratamento, especialmente sobre o prazo de guarda de 10 anos adotado pela Serasa.

Dessa forma, com o intuito de reforçar a exigência de garantia de transparência sobre o ciclo de vida do dado da Claro, comenta-se “Não é demais lembrar que a responsabilidade do controlador (que tem os dados e vai cedê los) sobre os dados que compartilha não desaparece após eles serem compartilhados” (Brasil, 2023, p. 06).

Dificuldade no Exercício de Direitos dos titulares (Art. 18): como os titulares sequer tinham conhecimento de que seus dados de consumo telefônico estavam sendo enviados à Serasa para fins de pontuação de crédito, o exercício dos direitos de acesso, correção, anonimização ou exclusão tornou-se inviável na prática. Isto é, a falta de clareza sobre o compartilhamento esvaziou a eficácia das cláusulas contratuais que previam o atendimento a essas requisições. Por conta da falta de informação, ANPD apontou que não ficou demonstrado como os clientes da Claro poderiam solicitar a revisão ou obter explicações sobre os critérios e procedimentos das decisões automatizadas (perfis de crédito) tomadas pela Serasa a partir de seus dados.

Uso de Dados contra o Exercício de Direitos (Art. 21): identificou-se a utilização de dados referentes ao exercício regular de direitos pelos titulares, como o histórico de reclamações dos clientes, para compor o perfil de risco, o que é expressamente vedado pela LGPD por resultar em prejuízo ao titular, conforme o Art. 21.

e) Aplicação dos princípios da LGPD no caso concreto

Em resumo, essa etapa final da análise verificou se o tratamento de dados pessoais realizado pelas empresas respeita os princípios fundamentais estabelecidos no art. 6° da LGPD.

Princípio da Transparência (6°, VI, LGPD): A  Agência considerou que houve violação ao princípio da transparência em razão dos avisos genéricos de privacidade da Claro, que não identificavam a Serasa como controladora, nem detalharam que os dados seriam utilizados para estudos de perfilização.

Princípio da Boa-fé (6°, caput, LGPD): exige que o tratamento respeite as expectativas legítimas dos titulares. No caso, a  Agência concluiu que o princípio foi ferido em virtude do consumidor de serviços da empresa telefônica por não ser parte da expectativa do titular que seus dados de consumo sejam compartilhados com terceiros para a criação de perfis de crédito e avaliação de capacidade de pagamento. Ao citar Zanatta sobre perfilização, a ANPD destacou o dever da Claro e Serasa de informarem os consumidores da Claro sobre esse processo e de estabelecerem formas de comunicação com os titulares que viabilizem manifestações sobre as decisões automatizadas.

Princípio da Finalidade, da Adequação e da Necessidade (6°, I, II e III, LGPD): Tais princípios exigem que o tratamento tenha propósitos legítimos e se limite ao mínimo necessário, com a  Agência apontando que o compartilhamento entre a Claro e Serasa utilizou variáveis excessivas e metadados que não guardam compatibilidade com as finalidade informadas, configurando um tratamento desproporcional e em desacordo com o contexto do serviço de telecomunicações.

Princípio do Livre Acesso (6°, IV, LGPD): corresponde a garantia de consulta facilitada e gratuita sobre a integralidade dos dados. Ele foi considerado prejudicado, visto que, sem o conhecimento específico de que seus dados estavam sendo enviados ao Serasa, os titulares da Claro não conseguiram exercer seu direito de consulta sobre o tratamento.

Princípio da Qualidade dos Dados (6°, V, LGPD): Exige que o agente de tratamento busque manter a exatidão, clareza e relevância dos dados pessoais. A ANPD questionou a aplicação deste princípio no prazo de guarda de 10 anos adotado pela Serasa, uma vez que não ficou comprovado como a manutenção de dados antigos garantiria a relevância e a atualização para a finalidade de proteção ao crédito.

Princípio da Segurança (6°, VII, LGPD): Foi o único princípio considerado atendido, já que a Claro demonstrou que o contrato com a Serasa previa regras de compliance, auditoria e segurança da informação adequadas.

Princípio da Prevenção (6°, VIII, LGPD): consiste na adoção de medidas para evitar danos aos titulares. Todavia, concluiu-se que este princípio não foi observado em razão do compartilhamento ter resultado em diversas violações de direitos dos clientes, sendo necessário a adoção de novas providências para mitigar os riscos identificados.

Princípio da Não Discriminação (6°, IX, LGPD): veda o tratamento para fins discriminatórios ilíticos ou abusivos. A ANPD , alerta sobre o uso de algoritmos de Machine Learning e metadados para predições comportamentais, já que é possível gerar resultados discriminatórios imprevisíveis, com o uso de informações excessivas para avaliações de crédito sendo considerado uma violação deste princípio pela empresa.

Na ocasião, a ANPD estabelece o argumento de que a falta de informações sobre como os perfis de pontuação de crédito são feitos não permite entender se tal tratamento pode ser discriminatório ou não. Dessa forma, a maneira de poder cumprir com o princípio da não discriminação nesse caso é o de estabelecer meios para que o titular faça frente a esse tratamento.

Princípio da Responsabilidade e Prestação de Contas (6°, X, LGPD): exige que o agente demonstre a adoção de medidas eficazes para cumprir as normas. A  Agência determinou medidas corretivas para que as empresas envolvidas comprovem a adequação do tratamento com o objetivo de remediar conjunturas de risco ou dano aos titulares dos dados.

Escopo

3 anos após a Nota Técnica 3/2023 ,a A Agência Nacional de Proteção de Dados (ANPD) deu novos encaminhamentos ao caso a partir da Nota Técnica nº 2/2026/ANPD e do Auto de Infração nº 1/2026/CGS/SFI.

A Nota Técnica nº 2/2026 tem como escopo principal avaliar os encaminhamentos do procedimento de fiscalização sobre o compartilhamento de dados pessoais coletados pela Claro e repassados à Serasa. O documento analisou o histórico do caso, os indícios de violação à LGPD pela Claro e a necessidade de apuração específica em relação à Serasa. Além disso, também determinou a abertura de processo administrativo sancionador contra a Claro e de processo fiscalizador contra a Serasa.

Já o Auto de Infração nº 1/2026 materializa a abertura de Processo Administrativo Sancionador contra a Claro. O documento descreve os fatos imputados, aponta os dispositivos da LGPD supostamente infringidos e informa as sanções administrativas que podem ser aplicadas ao fim do processo, conforme o art. 52 da LGPD .

Abaixo conectamos os dois documentos para melhor exposição do caso. Na questão, elementos presentes na Nota Técnica são complementados pela Auto de infração e vice-versa.

Perda de objeto 

Após as recomendações da Nota Técnica 3/2023, Claro e Serasa alegaram que o contrato de compartilhamento havia sido encerrado em maio de 2023 e que os dados compartilhados teriam sido anonimizados, com posterior exclusão dos arquivos originais pela Serasa. Por conta disso, as recomendações feitas pela ANPD em 2023 haviam perdido seu objeto.

A ANPD reconheceu a perda de objeto quanto à adoção de medidas corretivas voltadas à continuidade daquela operação específica. No entanto, destacou que isso não impede a formulação de orientações, recomendações ou a avaliação de atividades de tratamento semelhantes dos agentes de tratamento em fiscalização (ANPD, 2026a, p. 3).

Após determinar a abertura do processo sancionador contra a Claro, a Agência recomendou a realização da adequação à LGPD de contratos atuais ou futuros que envolvam o compartilhamento de dados (ANPD, 2026a, p. 4). Foram 5 recomendações: (1) Delimitação da finalidade e definição criteriosa e correta da hipótese legal; (2) Máxima observância do princípio da necessidade; (3) Transparência específica e efetiva, (4) Exercício de direitos pelos titulares de dados pessoais e (5) Fortalecimento da governança e da prestação de contas (accountability)

1 – FINALIDADE E BASES LEGAIS: primeira recomendação diz respeito à (1) delimitação da finalidade e à definição criteriosa e correta da base legal. Para a  Agência, é preciso que a finalidade seja específica e compatível com a base legal escolhida.

No caso de compartilhamento de dados com terceiros para desenvolvimento de produtos de crédito, a ANPD foi expressa ao afirmar que não seria possível utilizar automaticamente a hipótese legal de proteção ao crédito pelo controlador cedente dos dados (no caso, a Claro), prevista no art. 7º, X, da LGPD. Caso o tratamento se fundamente no legítimo interesse, a empresa deve realizar teste de balanceamento detalhado e documentado, demonstrando a ponderação entre seus interesses ou de terceiros e os direitos e liberdades fundamentais dos titulares (ANPD, 2026a, p. 4-5). Esse ponto é relevante porque afasta a ideia de que qualquer tratamento relacionado ao mercado de crédito pode ser enquadrado, de forma ampla, na hipótese de proteção ao crédito.

Além disso, a ANPD recomenda que contratos de compartilhamento de dados tratem expressamente do uso secundário dos dados pessoais compartilhados, preferencialmente vedando esse uso ou estabelecendo critérios claros para sua ocorrência (ANPD, 2026a, p. 5).

2 – MÁXIMA OBSERVÂNCIA AO PRINCÍPIO DA FINALIDADE: a segunda recomendação foi a de (2) máxima observância do princípio da necessidade. A ANPD recomenda que a Claro implemente processo rigoroso de avaliação para compartilhar apenas os dados estritamente necessários e adequados à finalidade pretendida.

A Nota Técnica chama atenção para o compartilhamento de dados relacionados ao detalhamento de consumo de conteúdo, como histórico de pay-per-view e quantidade de megabytes utilizados por aplicativo, bem como para dados associados ao exercício de direitos pelo consumidor, como registros de reclamações, cancelamentos e ocorrências (ANPD, 2026a, p. 5).

No caso de dados de exercício de direitos pelo consumidor, cabe lembrar que o art 39, VII do Código de Defesa do Consumidor veda que seja repassada informação depreciativa referente a ato praticado pelo consumidor no exercício de seus direitos no contexto do score de crédito. Além disso, a própria Nota Técnica recorda o art. 21 da LGPD, segundo o qual dados pessoais referentes ao exercício regular de direitos pelo titular não podem ser utilizados em seu prejuízo (ANPD, 2026a, p. 5).

Assim, o compartilhamento de registros de reclamações, cancelamentos ou ocorrências exige cuidado redobrado, pois pode gerar risco de uso discriminatório ou prejudicial ao titular em contextos de análise de crédito, prevenção a fraudes ou perfilamento.

3 – TRANSPARÊNCIA: A terceira dimensão envolve a (3) transparência específica e efetiva. A ANPD entende que políticas de privacidade e contratos não podem tratar o compartilhamento de dados pessoais de forma meramente genérica. No caso analisado, a  agência recomenda que a Claro informe (i) quais dados pessoais são compartilhados, (ii) quem é o agente de tratamento destinatário, (iii) quais são as finalidades específicas do compartilhamento, (iv) se há perfilamento do titular, (v) qual hipótese legal fundamenta o tratamento e (vi) qual é a duração do compartilhamento (ANPD, 2026a, p. 6).

Auto de Infração reforça essa leitura ao apontar que as informações disponibilizadas pela Claro sobre o tratamento de dados em relações com empresas de soluções de crédito seriam excessivamente abrangentes e genéricas, sem evidenciar, de modo claro, adequado e ostensivo, os elementos específicos do contrato celebrado com a Serasa.

Para a ANPD, isso comprometeria a compreensão do titular sobre características essenciais do tratamento, como extensão, duração, finalidade concreta e compartilhamentos específicos envolvidos (ANPD, 2026b, p. 2-3). O Auto de infração também descreve que a falta de informação sobre o compartilhamento com a Serasa teria prejudicado o exercício de direitos previstos no art. 18 da LGPD, como acesso, correção, eliminação e oposição ao tratamento (ANPD, 2026b, p. 3). Sem saber que seus dados foram compartilhados com determinado terceiro, o titular não consegue exercer seus direitos de forma efetiva.

4 – CANAIS DE EXERCÍCIO DE DIREITOS DOS TITULARES: Por isso, a Nota Técnica também recomenda (4) que a Claro ofereça canais eficazes para o exercício de direitos dos titulares perante os agentes de tratamento envolvidos no compartilhamento, respeitando os arts. 6º, 18 e 19 da LGPD (ANPD, 2026a, p. 6).

O Auto de Infração ainda acrescenta outro ponto: a ANPD identificou dificuldade de acesso às informações relativas ao encarregado pelo tratamento de dados pessoais no Portal da Privacidade da Claro, o que teria exigido múltiplos cliques e navegações sucessivas até que a informação fosse localizada (ANPD, 2026b, p. 3-4).

Essa estrutura foi considerada incompatível com a objetividade e a clareza exigidas pelo art. 41, §1º, da LGPD, combinado com o art. 9º, caput e inciso IV, da mesma lei, além das disposições detalhadas pela Resolução CD/ANPD nº 18/2024, que regulamenta a atuação do encarregado pelo tratamento de dados pessoais (ANPD, 2026b, p. 4).

A descrição feita pela ANPD é importante porque parece dar concretude ao conteúdo jurídico das expressões “objetividade” e “clareza”. No caso analisado, a primeira aba do Portal da Privacidade indicava apenas um e-mail genérico para contato, sem informar a identidade do encarregado. Em seguida, a FAQ do portal respondia à pergunta “Quem é o Encarregado pelo Tratamento de Dados (DPO)? E qual canal de contato?” com uma explicação genérica sobre a função do encarregado e o email para o contato, novamente sem identificar a pessoa responsável. Apenas após acessar a Política de Privacidade e clicar na última informação disponível é que o usuário encontrava a seção de “Contato e identificação do Encarregado”.

Com isso, a ANPD parece indicar que objetividade e clareza não dizem respeito apenas ao conteúdo formal da informação, mas também à forma como ela é apresentada e encontrada pelo titular. Não basta que a informação exista em algum ponto do site, ela deve estar disponível de modo direto, acessível e compreensível, sem impor obstáculos desnecessários ao usuário. A exigência legal alcança a arquitetura da informação, o desenho da interface e o percurso necessário para que o titular consiga exercer seus direitos.

A partir dessa leitura, é possível aproximar a ausência de objetividade e clareza de práticas associadas a padrões manipulativos de design. Quando uma informação obrigatória é fragmentada, escondida em camadas sucessivas de navegação ou substituída inicialmente por respostas genéricas, cria-se uma fricção que pode desestimular ou dificultar o acesso do titular ao encarregado. Para a  agência, isso também impacta a transparência e o acesso do exercício de direitos pelo titular.

Por fim, a Nota Técnica destaca a necessidade de (v) fortalecimento da governança e da prestação de contas, ou accountability. A ANPD recomenda que a Claro documente integralmente as decisões e controles implementados nos processos de compartilhamento, em aderência aos princípios da segurança, prevenção e responsabilização e prestação de contas. Também indica a elaboração de Relatório de Impacto à Proteção de Dados Pessoais quando o compartilhamento envolver tratamento de alto risco (ANPD, 2026a, p. 6).

A ANPD também recomenda que os contratos de compartilhamento contenham cláusulas robustas de auditoria e fiscalização do cumprimento das obrigações pelo controlador receptor dos dados, indo além de previsões genéricas de confidencialidade e segurança. Os instrumentos contratuais devem permitir identificar claramente as responsabilidades dos agentes envolvidos e prever como os dados compartilhados serão eliminados após o encerramento da atividade de tratamento ou do contrato (ANPD, 2026a, p. 6-7).

Após recomendar as adequações, a ANPD aplicou a medida preventiva de Aviso (art. 32, II, e art. 34 do Regulamento de Fiscalização) para que tais medidas sejam adotadas pela Claro. A medida preventiva de Aviso permite com que adequações dessa natureza sejam indicadas de forma suficiente para que o agente de tratamento tenha como identificar as providências necessárias para implementação.

Em relação à Serasa, a Nota Técnica não recomenda a abertura de processo sancionador, mas sim a instauração de procedimento de fiscalização específico. A ANPD aponta que a análise do RIPD, da petição de defesa e dos instrumentos de transparência ativa da Serasa sinalizaria questões potencialmente graves sobre transparência e exercício de direitos dos titulares. A  agência também destaca a centralidade da Serasa como uma das maiores processadoras de dados pessoais do Brasil, com impacto direto sobre acesso a crédito, serviços e participação na vida econômica.

Esse encaminhamento ganha ainda mais relevância porque, segundo a Nota Técnica, a Serasa foi o controlador mais denunciado à ANPD no ciclo de monitoramento 2023-2025 e ocupou a segunda posição em número de petições de titulares (ANPD, 2026a, p. 8). Para a  agência, esse histórico reforça a pertinência de medidas fiscalizatórias específicas, especialmente diante de possíveis riscos sistêmicos e da necessidade de assegurar a efetividade da LGPD.

A Nota Técnica nº 2/2026 propõe quatro encaminhamentos principais.

  • Primeiro, o arquivamento do procedimento de fiscalização por perda de objeto, em razão do encerramento do contrato de compartilhamento entre Claro e Serasa.

  • Segundo, a instauração de processo administrativo sancionador contra a Claro. 

  • Terceiro, a aplicação de medida preventiva de Aviso à Claro, para que as adequações indicadas pela ANPD sejam incorporadas a compartilhamentos atuais ou futuros.

  • Quarto, a instauração de procedimento de fiscalização para apurar as medidas de transparência e exercício de direitos adotadas pela Serasa 

O Auto de Infração nº 1/2026, por sua vez, formaliza a abertura do Processo Administrativo Sancionador contra a Claro. A ANPD aponta possíveis violações aos arts. 6º, I, II e III; 9º, caput, IV, V, VI e VII; 18; e 41, §1º, da LGPD.

Tendência histórica 

O caso Claro-Serasa mostra que a governança de dados não pode ser pensada de forma isolada. A operação analisada pela ANPD combina o microssistema de proteção de dados e consumidor no tema do score de crédito e mostra como as atividades de tratamento típicas do setor de crédito podem acarretar uma série de riscos aos direitos fundamentais dos titulares.

Os próximos passos serão decisivos para compreender o alcance dessa atuação. Em relação à Claro, será necessário acompanhar como a ANPD avaliará os indícios apontados. Em relação à Serasa Experian, o ponto central será verificar se o procedimento de fiscalização específico identificará indícios de infração relacionados à transparência e ao exercício de direitos dos titulares. O caso tende a se tornar uma referência importante para o debate sobre compartilhamento de dados, direitos do consumidor e governança de dados pessoais no Brasil. Ficaremos de olho nos próximos passos dessa história.

Até a próxima! 

Referência Bibliográficas

BIONI, Bruno Ricardo. Proteção de Dados Pessoais: a função e os limites do consentimento. Rio de Janeiro: Forense, 3.ed., 2021. p. 271.

BRASIL. Agência Nacional de Proteção de Dados. Despacho Decisório nº 1/2026/CGS/SFI. Processo nº 00261.003285/2026-15. Interessado: Claro S.A. Brasília, DF: ANPD, 29 maio 2026. SEI nº 0286580. Boletim de Serviço Eletrônico, 8 jun. 2026.

BRASIL. Agência Nacional de Proteção de Dados. Auto de Infração nº 1/2026/CGS/SFI. Processo nº 00261.003285/2026-15. Autuado: Claro S.A. Brasília, DF: ANPD, 1 jun. 2026.

BRASIL.  Agência Nacional de Proteção de Dados. Nota Técnica nº 3/2023/FIS/CGF/ANPD. Compartilhamento de dados pessoais coletados pela Claro S.A. à Serasa Experian S.A. com a finalidade de monetizar informações pessoais restritas de clientes. Processo nº 00261.000227/2022-06. Brasília, DF: ANPD, 21 nov. 2023.

BRASIL. Agência Nacional de Proteção de Dados. Nota Técnica nº 2/2026/CPDP/CGF/SFI/ANPD. Procedimento de Fiscalização sobre o compartilhamento de dados pessoais coletados pela Claro S.A. à Serasa S.A. Processo nº 00261.000227/2022-06. Brasília, DF: ANPD, 26 maio 2026. SEI nº 0275360.

SILVEIRA, Victor Doering da. O Uso de Dados Alternativos para a Elaboração de Escores de Crédito no Brasil: das Promessas aos Perigos. In: O consumidor na era da pontuação de crédito. Belo Horizonte: Casa do Direito, 2022. p.275-296 (p. 277-278).

ZANATTA, Rafael A. F.. Perfilização, Discriminação e Direitos: do Código de Defesa do Consumidor à Lei Geral de Proteção de Dados Pessoais, 2019.

Veja também

Veja Também