Por Gabriel Braun Vieira.
Dentre as principais características da sociedade em rede, destaca-se a necessidade de construção de um ambiente virtual seguro, sobretudo quanto ao tratamento dos dados pessoais. Isso porque, não raro, o tratamento irregular de dados pessoais pode viabilizar operações fraudulentas que resultem em consideráveis prejuízos financeiros. Atualmente, não é necessário um alto nível de educação para que os cidadãos conheçam, ao menos minimamente, o crescente número de perigos existentes no mundo digital. Nessa perspectiva, considerando a notória e crescente judicialização de casos discutindo a responsabilidade das instituições financeiras, torna-se necessário observar a jurisprudências dos Tribunais Superiores sobre a matéria.
Em recente julgamento, a Terceira Turma do Superior Tribunal de Justiça, ao apreciar o mérito do Recurso Especial n. 2.007.278, sob a relatoria da Ministra Nancy Andrighi, em decisão unânime, reconheceu a responsabilidade de instituição financeira por vazamento de dados que resultou em aplicação do “golpe do boleto” contra cliente.
A conduta é tipificada no art. 171 do Código Penal como estelionato. O referido golpe é perfectibilizado quando a vítima, enquanto acredita estar quitando uma dívida verdadeira, efetua pagamentos para um terceiro fraudador, o qual se faz passar por um funcionário da instituição financeira. No caso a que se refere o recurso especial, por exemplo, os fraudadores entraram em contato com a parte autora momentos após o encaminhamento, através de canal oficial de comunicação, de um e-mail à instituição financeira solicitando a quitação antecipada de um financiamento em aberto.
Nessa perspectiva, o STJ entendeu suficientemente demonstrada a falha na prestação dos serviços, visto que, em razão da natureza das informações possuídas sobre a demandante, é inequívoco que as informações relativas ao financiamento foram acessadas indevidamente por terceiros e, posteriormente, foram utilizadas para a prática golpista, atraindo a responsabilização da instituição financeira, que deve considerar válido o pagamento equivocadamente efetuado. Na fundamentação do acórdão ora comentado, o STJ aplicou a Súmula 479 da própria corte, segundo a qual “as instituições bancárias respondem objetivamente pelos danos gerados por fortuito interno em caso de fraudes praticadas por terceiros, tendo em vista que a responsabilidade decorre do risco da atividade”.
Cumpre transcrever, pois extremamente didático, trecho do voto da ministra relatora ao apreciar a questão, que assim consignou:
(…) A título exemplificado, se o falsário estiver na posse de dados pessoais cadastrais, como qualificação pessoal (nome, prenome, estado civil e profissão), filiação, endereço e telefone (Decreto nº 8.771/2016, que regulamenta a Lei nº 12.965/2014 – Marco Civil da Internet), não se pode pressupor que a informação foi vazada pela instituição financeira, uma vez que tais informações podem ser obtidas por meio de fontes alternativas.
13. Da mesma maneira, os dados pessoais sensíveis (relacionados à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural, nos termos do art. 5º, II, LGPD), também podem ser obtidos de outras pessoas jurídicas com as quais o consumidor haja se relacionado e consentido especificamente.
14. Por outro lado, os dados sobre operações financeiras são, em regra, presumivelmente de tratamento exclusivo pelas instituições financeiras. No ponto, a Lei Complementar 105/2001 estabelece que “as instituições financeiras conservarão sigilo em suas operações ativas e passivas e serviços prestados” (art. 1º), constituindo dever jurídico dessas entidades “não revelar, salvo justa causa, as informações que venham a obter em virtude de sua atividade profissional” (FURLAN, Fabiano Ferreira. Sigilo Bancário. Belo Horizonte: Fórum, 2008. p. 21-22).
15. Portanto, dados pessoais vinculados a operações e serviços bancários são sigilosos e cujo tratamento com segurança é dever das instituições financeiras. Desse modo, seu armazenamento de maneira inadequada, a possibilitar que terceiros tenham conhecimento dessas informações e causem prejuízos ao consumidor, configura falha na prestação do serviço (art. 14 do CDC e 43 da LGPD).
Embora o precedente não tenha caráter vinculante, estima-se que o julgamento possua impacto positivo na promoção de debate sobre a matéria, sobretudo em razão do complexo sistema de responsabilidade trazido pela Lei Geral de Proteção de Dados, o qual impõe aos agentes de tratamento o dever de adotar medidas que garantam a segurança que legitimamente se pode esperar da operação, sob pena de responsabilização.
Referências:
STJ. Notícias. Banco responde por vazamento de dados que resultou em aplicação do “golpe do boleto” contra cliente. Link: https://www.stj.jus.br/sites/portalp/Paginas/Comunicacao/Noticias/2023/24102023-Banco-responde-por-vazamento-de-dados-que-resultou-em-aplicacao-do-%E2%80%9Cgolpe-do-boleto%E2%80%9D-contra-cliente.aspx (acesso em 06 nov 2023).
STJ. Recurso Especial n. 2.077.278. Relatora: Min. Nancy Andrighi. Link: https://processo.stj.jus.br/processo/pesquisa/?aplicacao=processos.ea&tipoPesquisa=tipoPesquisaGenerica&termo=REsp%202077278
BLOG DO NUDI 