
Superior Tribunal Federal decide que instituição financeira responde por Vazamento de Dados bancários.
A Terceira Turma do STJ – Superior Tribunal de Justiça , em 03 de Outubro de 2023, conforme o acórdão no REsp 2.077.278, entendeu que, as instituições financeiras são consideradas objetivamente responsáveis por danos decorrentes de sua atividade bancária, compreendida como o conjunto de práticas, atos ou contratos executados por instituições bancárias, assim, respondem pelo vazamento de dados pessoais sigilosos do consumidor, relativos a operações e serviços bancários.
O Caso
Uma correntista do Banco BV, encaminhou um e-mail para o banco, solicitando informações sobre como quitar uma operação de financiamento.
Dias depois, ela foi contatada pelo WhatsApp por uma suposta funcionária da instituição e recebeu um boleto no valor de cerca de R$ 19 mil.
A cliente pagou o boleto, mas depois descobriu que o documento havia sido emitido por criminosos.
Nesse tipo de estelionato, golpistas se passam por funcionários de um banco e emitem boleto falso para receberem indevidamente o pagamento feito pelo cliente.
Sentença do STJ
O Banco BV responderá por Vazamento de Dados Pessoais, que resultou em aplicação do “golpe do boleto” contra cliente.
A Cliente é a Responsável – Julgamento do STJSP
Para o Tribunal de Justiça de São Paulo, o golpe contra a cliente foi aplicado por meio de negociações realizadas de maneira informal.
O tribunal também considerou que as informações do boleto falso divergiam dos dados constantes do contrato de financiamento e que a consumidora falhou em seu dever de segurança e cautela.
De Responsável pelo Golpe para Vítima de Golpe
O Superior Tribunal de Justiça reformou acórdão do Tribunal de Justiça de São Paulo (TJSP) e restabeleceu a sentença que condenou o Banco BV a declarar válido o pagamento realizado por meio de boleto fraudado e devolver à cliente parcelas pagas indevidamente em contrato de financiamento.
A ministra Nancy Andrighi, relatora do recurso da cliente, reforçou que, segundo as informações dos autos, os criminosos detinham dados pessoais da cliente referentes às suas operações bancárias, nos termos da tese fixada no julgamento do Tema Repetitivo 466 – que contribuiu para a edição da Súmula 479 do STJ –, as instituições bancárias respondem objetivamente pelos danos gerados por fortuito interno em caso de fraudes praticadas por terceiros, tendo em vista que a responsabilidade decorre do risco da atividade.
Essas informações, sobretudo os dados pessoais bancários, são sigilosas, e seu tratamento incumbe à entidade bancária com exclusividade, concluiu a ministra ao restabelecer a sentença.
A ministra reforçou que, segundo as informações dos autos, os criminosos detinham dados pessoais da cliente referentes às suas operações bancárias e apontou que, embora o boleto falso tivesse diferenças em relação aos documentos verdadeiros, não se espera que uma pessoa comum seja sempre capaz de identificá-las.
Nancy Andrighi destacou que, nos termos do artigo 44º da Lei Geral de Proteção de Dados Pessoais – LGPD, o tratamento de dados será irregular quando não fornecer a segurança que o titular espera, considerando-se o resultado e os riscos desse tratamento.
Ponderou a ministra; “Assim, para imputar a responsabilidade às instituições financeiras, no que tange ao vazamento de dados pessoais que culminaram na facilitação de estelionato, deve-se garantir que a origem do indevido tratamento seja o sistema bancário. Os nexos de causalidade e imputação, portanto, dependem da hipótese concretamente analisada”,
Conforme a ministra, algumas circunstâncias pesam a favor da responsabilização do banco, como, o estelionatário teve conhecimento de que a vítima era cliente da instituição financeira, sabia que ela havia encaminhado um e-mail com a finalidade de quitar sua dívida e que também possuía dados relativos ao financiamento.
Essas informações, sobretudo, os dados pessoais bancários, são sigilosas, e seu tratamento incumbe à entidade bancária com exclusividade, concluiu a ministra ao restabelecer a sentença.
Conforme o caso acima, fica claro que, o Direito do Consumidor e a LGPD, desempenham um papel importante na promoção da justiça, na prevenção de práticas comerciais abusivas e no tratamento inadequado de dados pessoais.
Essa convergência de objetivos entre as duas legislações é um indicativo de uma abordagem mais integrada na proteção dos direitos dos cidadãos em diferentes aspectos de suas interações sociais e comerciais.
Falando sobre o Direito do Consumidor
O Direito do Consumidor, é o ramo do direito, que trata das relações jurídicas entre fornecedores de bens e serviços e os consumidores.
Esse campo legal tem como objetivo principal proteger os direitos dos consumidores, garantindo que eles sejam tratados de maneira justa e que tenham informações adequadas sobre os produtos e serviços que estão adquirindo.
O Direito do Consumidor assegura o acesso do consumidor ao sistema judiciário para a prevenção e reparação de danos patrimoniais decorrentes de falhas no fornecimento de bens e prestação de serviços.
Esse acesso é fundamental para garantir a proteção dos direitos dos consumidores e para corrigir possíveis injustiças nas relações de consumo.
Código de Defesa do Consumidor – CDC
O Código de Defesa do Consumidor, instituído em 1990 no Brasil, teve um impacto significativo nas relações de consumo.
A promulgação do CDC representou um marco na legislação brasileira, estabelecendo direitos e garantias fundamentais para os consumidores e impondo obrigações aos fornecedores de produtos e serviços.
Com a entrada em vigor do CDC, os fornecedores foram obrigados a se adequar às novas normas e a implantar procedimentos preventivos para minimizar reclamações e ações judiciais.
Dentre as principais mudanças e requisitos trazidos pelo CDC estão:
1- Informação e Transparência: Os fornecedores passaram a ter a obrigação de fornecer informações claras e precisas sobre produtos e serviços, incluindo características, preços, riscos, entre outros.
2- Práticas Comerciais Transparentes: Práticas comerciais abusivas foram proibidas, e os fornecedores foram obrigados a adotar práticas transparentes e éticas.
3- Responsabilidade Objetiva: O CDC estabeleceu a responsabilidade objetiva do fornecedor por danos causados aos consumidores, independentemente de culpa. Isso significa que o fornecedor pode ser responsabilizado pelos danos causados, mesmo que não tenha agido de forma negligente.
4- Direito de Arrependimento: Foi introduzido o direito de arrependimento, permitindo que o consumidor desista da compra no prazo de sete dias, quando realizada fora do estabelecimento comercial.
5- Garantia e Vício do Produto ou Serviço: O CDC estabeleceu regras claras sobre garantias e responsabilidade por vícios nos produtos ou serviços.
6- Acesso à Informação sobre Cadastros e Dados Pessoais: O CDC garantiu aos consumidores o direito de acesso às informações sobre eles constantes em cadastros, fichas e registros, além da possibilidade de correção dessas informações.
Essas medidas, entre outras, visaram equilibrar as relações de consumo, conferindo maior poder aos consumidores e incentivando práticas comerciais mais éticas por parte dos fornecedores.
A implementação de procedimentos preventivos tornou-se uma necessidade para as empresas se adaptarem às novas exigências legais e garantirem a conformidade com o CDC.
Código de Defesa do Consumidor e a LGPD
A atuação do Estado na defesa do consumidor, tanto em caráter preventivo quanto repressivo, foi um passo significativo que abriu caminho para a recepção da Lei Geral de Proteção de Dados – LGPD no contexto jurídico brasileiro, pois, ao estabelecer normas e práticas que visam proteger os direitos individuais, criou um ambiente propício para a recepção da LGPD.
Ambas as legislações, o Código de Defesa do Consumidor e a LGPD, compartilham a finalidade de informar os direitos e elevar as garantias individuais dos cidadãos e consumidores.
Aqui estão alguns pontos que destacam como a ação do Estado na defesa do consumidor contribuiu para a recepção da LGPD:
1- Consciência sobre Direitos Individuais: A atuação do Estado na defesa do consumidor, por meio do CDC, contribuiu para aumentar a consciência da população sobre seus direitos individuais nas relações de consumo.
Esse contexto de conscientização sobre a importância dos direitos individuais serviu como base para a compreensão da necessidade de proteção mais abrangente dos dados pessoais, culminando na aprovação da LGPD.
2- Experiência com Fiscalização e Aplicação de Penalidades: A estrutura estabelecida pelo CDC para a fiscalização das relações de consumo, aplicação de penalidades e defesa do consumidor proporcionou uma base prática para o desenvolvimento de mecanismos semelhantes na LGPD.
A experiência adquirida com a aplicação do CDC ajudou a moldar a abordagem regulatória da LGPD.
3- Preocupação com a Proteção do Consumidor em Diversos Contextos: A preocupação constante do Estado em proteger o consumidor em diversos contextos, desde a publicidade até a qualidade dos produtos e serviços, mostrou a importância de regulamentações abrangentes para garantir a integridade e os direitos dos cidadãos.
Essa preocupação foi estendida à proteção de dados pessoais com a introdução da LGPD.
4- Evolução Tecnológica e Desafios na Proteção de Dados: A crescente evolução tecnológica e a complexidade das transações digitais destacaram a necessidade de uma legislação específica para proteger os dados pessoais em um ambiente cada vez mais conectado.
A experiência do CDC forneceu uma base para abordar esses desafios, com a LGPD adaptando e estendendo esses princípios ao cenário digital.
5- Consolidação de Princípios de Proteção ao Consumidor: Os princípios consolidados pelo CDC, como transparência, boa-fé, responsabilidade objetiva, e a noção de que o consumidor é parte vulnerável na relação, influenciaram os fundamentos da LGPD.
Esses princípios foram adaptados para o contexto específico da proteção de dados pessoais.
O Código de Defesa do Consumidor, portanto, estabelece uma base legal sólida para a proteção dos direitos dos consumidores em relação às informações pessoais e de consumo que são coletadas e armazenadas.
A Lei Geral de Proteção de Dados (LGPD) complementa essas disposições, fornecendo um arcabouço mais abrangente e atualizado para a proteção dos dados pessoais.
Similaridades entre CDC e a LGPD
As adequações e implantações necessárias para atender à Lei Geral de Proteção de Dados guardam algumas similaridades com as medidas implementadas em resposta ao Código de Defesa do Consumidor.
Ambas as legislações têm o propósito de proteger os direitos e interesses dos indivíduos, embora abordem aspectos diferentes das relações jurídicas.
Algumas semelhanças nas medidas necessárias para atender a ambas as leis incluem:
1- Transparência e Informação: Tanto o CDC quanto a LGPD enfatizam a importância da transparência na coleta e no tratamento de informações. As empresas e/ou indivíduos, devem fornecer informações claras e compreensíveis aos consumidores sobre como seus dados serão utilizados.
2- Direito de Acesso e Correção: Ambas as legislações garantem aos indivíduos o direito de acessar as informações que as empresas possuem sobre eles.
Além disso, oferecem o direito de correção de dados inexatos ou desatualizados.
3- Responsabilidade pelas Informações: Tanto no contexto do CDC quanto da LGPD, as empresas têm a responsabilidade de tratar as informações dos consumidores de maneira adequada.
Devem adotar medidas para garantir a segurança e a integridade dessas informações.
4- Consentimento Informado: A obtenção de consentimento é uma prática fundamental em ambas as leis.
Seja para a realização de transações comerciais no âmbito do CDC ou para o tratamento de dados pessoais na LGPD, o consentimento informado é um elemento crucial.
5- Prevenção de Danos e Responsabilidade: Ambas as legislações buscam prevenir danos aos consumidores e indivíduos, seja por meio da prevenção de práticas comerciais abusivas no caso do CDC ou da prevenção do uso inadequado de dados pessoais na LGPD.
Além disso, estabelecem mecanismos de responsabilidade em caso de violações.
6- Conformidade e Procedimentos Internos: Para atender a ambas as leis, as empresas precisam implementar procedimentos internos que estejam em conformidade com os requisitos legais.
Isso pode incluir a designação de encarregados de proteção de dados, a realização de avaliações de impacto à privacidade, entre outros.
A experiência acumulada no campo do consumo e a conscientização sobre a importância da proteção dos direitos individuais se refletiram na legislação de proteção de dados pessoais, que busca estender esses princípios ao tratamento de informações pessoais, também no ambiente digital.
A implementação de medidas para atender ao CDC e à LGPD reflete a crescente importância atribuída à proteção dos direitos do consumidor e à privacidade dos dados pessoais.
Empresas que adotam boas práticas nesses campos não apenas cumprem com obrigações legais, mas também constroem relações mais transparentes e confiáveis com seus clientes e usuários.
Assim, a experiência acumulada com a implementação do CDC proporcionou ao Brasil uma base sólida em termos de defesa do consumidor, que foi fundamental para a introdução da LGPD.
Essa maturidade contribui para uma compreensão mais ampla dos princípios fundamentais de proteção ao consumidor e à privacidade, tornando a adaptação à LGPD menos abrupta e mais alinhada com as práticas já estabelecidas.