Boletins Jurídicos

O avanço tecnológico e a crescente digitalização dos serviços financeiros têm proporcionado inúmeras facilidades aos consumidores. Por outro lado, abriram espaço para práticas fraudulentas que comprometem a segurança das informações pessoais dos clientes. Dentre essas práticas, destaca-se o golpe do boleto, que se utiliza do vazamento de dados bancários para aplicar fraudes em desfavor dos consumidores. Essa situação levanta importantes questões acerca do tratamento inadequado de dados pessoais sigilosos e da responsabilidade das instituições financeiras frente a tais ocorrências, à luz da Lei Geral de Proteção de Dados (LGPD) e do Código de Defesa do Consumidor (CDC).

De acordo com o artigo 43 da LGPD, o tratamento de dados pessoais deve ser realizado com respeito à privacidade e à proteção das informações dos titulares. Quando uma instituição financeira falha em garantir a segurança desses dados, permitindo que estelionatários os utilizem para facilitar a prática de crimes, está configurada a responsabilidade pelo defeito na prestação do serviço. Nesse contexto, é fundamental considerar que o serviço prestado é considerado defeituoso quando não oferece a segurança que o consumidor pode razoavelmente esperar, conforme disposto no artigo 14, § 1º do CDC.

As instituições financeiras, enquanto prestadoras de serviços, têm o dever legal de assegurar não apenas a integridade psicofísica dos consumidores, mas também a proteção de seus dados patrimoniais. A jurisprudência, por meio da Súmula 297 do Superior Tribunal de Justiça (STJ), confirma que o CDC se aplica às instituições financeiras, as quais são obrigadas a manter padrões de qualidade em seus serviços.

No entendimento do Tema Repetitivo n. 466 do STJ, que culminou na edição da Súmula n. 479, as instituições bancárias respondem objetivamente pelos danos decorrentes de fraudes praticadas por terceiros, quando estas decorrem de falhas na segurança do sistema financeiro, caracterizando um risco do empreendimento. Essa responsabilidade é baseada no conceito de fortuito interno, que estabelece que os riscos inerentes à atividade econômica devem ser suportados pelo prestador do serviço.

Particularmente em casos de golpes de engenharia social, é evidente que os criminosos se aproveitam de informações pessoais da vítima, utilizando técnicas de persuasão que imitam o atendimento legítimo das instituições financeiras. Diante disso, é crucial estabelecer um nexo causal claro entre a atuação dos fraudadores e o vazamento de dados. Para isso, é necessário investigar quais informações estavam disponíveis para os criminosos e a origem desse vazamento, a fim de determinar a responsabilidade das instituições financeiras no caso concreto.

Assim, para que se atribua a responsabilidade às instituições financeiras pelo vazamento de dados que resultou na facilitação de golpes, é imprescindível demonstrar que o tratamento inadequado teve origem no sistema bancário. As relações de causalidade e imputação dependem da análise específica de cada situação, tendo em vista que os dados relacionados a operações financeiras são, em regra, de tratamento exclusivo dessas instituições.

Em conclusão, os dados pessoais vinculados a operações e serviços bancários são classificados como informações sigilosas, cuja proteção é uma obrigação legal das instituições financeiras. Qualquer falha no armazenamento ou no tratamento dessas informações, que possibilite o acesso indevido por terceiros, configura uma falha na prestação de serviços, conforme prevê o artigo 14 do CDC e o artigo 43 da LGPD. Portanto, a responsabilização das instituições financeiras é necessária para garantir a segurança e a proteção dos consumidores, promovendo um ambiente de confiança nas relações de consumo.

– STJ, 3ª Turma, REsp 2.077.278-SP, Rel. Ministra Nancy Andrighi, por unanimidade, j. 3.10.23 – inteiro teor.

REGINALDO FERRETTI
OAB/SP n. 244.074

Entre em contato para mais informações.