A Terceira Turma do Superior Tribunal de Justiça (STJ) deliberou que as instituições financeiras são responsáveis pelo vazamento de informações sigilosas do consumidor relacionadas a operações e serviços bancários. Esses dados são adquiridos por criminosos para realizar fraudes, como o “golpe do boleto“, no qual os golpistas se fazem passar por funcionários bancários, emitindo boletos falsos para receber indevidamente pagamentos dos clientes.
Ao reformar o acórdão do Tribunal de Justiça de São Paulo (TJSP), o colegiado restabeleceu a sentença que condenou um banco a reconhecer como válido o pagamento efetuado por meio de um boleto fraudulento. Isso obriga o banco a reembolsar à cliente as parcelas pagas indevidamente no contrato de financiamento.
Conforme detalhado no processo, a cliente solicitou informações sobre como quitar a operação por e-mail ao banco. Poucos dias depois, uma suposta funcionária da instituição entrou em contato pelo WhatsApp, enviando um boleto no valor de aproximadamente R$ 19 mil. A cliente efetuou o pagamento, mas mais tarde descobriu que o documento havia sido emitido por criminosos.
O TJSP concluiu que o golpe contra a cliente ocorreu por meio de negociações informais. Além disso, observou que as informações no boleto falso não coincidiam com os dados no contrato de financiamento e a consumidora não agiu com a devida segurança e cautela.
Índice
Golpe do Boleto: Previsão de responsabilidade por falhas de segurança segundo a LGPD
A ministra Nancy Andrighi, relatora do recurso da cliente, explicou que, de acordo com o entendimento estabelecido no julgamento do Tema Repetitivo 466, as instituições bancárias têm responsabilidade objetiva pelos danos decorrentes de incidentes internos, especialmente quando se trata de fraudes praticadas por terceiros. Essa responsabilidade origina-se do risco inerente à atividade bancária.
Quanto aos golpes de engenharia social, a relatora observou que os criminosos geralmente possuem informações pessoais das vítimas e, com base nessas informações, utilizam técnicas psicológicas de persuasão. Isso inclui a simulação de um atendimento bancário legítimo como parte de sua estratégia para alcançar objetivos ilícitos.
Nancy Andrighi destacou que não seria apropriado atribuir exclusivamente ao banco a responsabilidade por vazamentos de informações cadastrais básicas, como nome e CPF, pois esses dados podem ser obtidos por meio de fontes alternativas. No entanto, quando os dados do consumidor estão vinculados a transações e serviços bancários, a instituição é responsável por seu armazenamento e segurança. O vazamento dessas informações pode ser considerado uma falha na prestação do serviço.
A ministra enfatizou que, de acordo com o artigo 44 da Lei Geral de Proteção de Dados Pessoais (LGPD), o tratamento inadequado de dados ocorre quando não é oferecida a segurança esperada pelo titular, considerando os resultados e os riscos desse processamento. No caso em questão, os criminosos possuíam informações pessoais da cliente relacionadas às suas atividades bancárias.
Apesar de algumas discrepâncias no boleto falso em relação aos boletos legítimos, a relatora observou que não se pode esperar que uma pessoa comum seja capaz de detectá-las sempre. Diversas circunstâncias, como o conhecimento do estelionatário sobre a cliente, seu contato por e-mail para quitar a dívida e o acesso a informações relacionadas ao financiamento, respaldam a responsabilização do banco. A ministra concluiu que a responsabilidade pelo tratamento dessas informações confidenciais recai exclusivamente sobre a entidade bancária ao restabelecer a sentença.
Golpe do boleto: Segurança de dados e LGPD
Diante do caso analisado pela Terceira Turma do Superior Tribunal de Justiça, fica evidente a importância crucial da adequação das empresas à Lei Geral de Proteção de Dados (LGPD). A decisão ressalta que as instituições financeiras são responsáveis não apenas pela segurança dos dados cadastrais básicos, mas também pelos dados relacionados a transações e serviços bancários.
A LGPD, ao estabelecer critérios rigorosos para o tratamento de informações pessoais, emerge como uma ferramenta indispensável na proteção dos consumidores e na responsabilização das empresas por eventuais vazamentos.
Nesse contexto, a conformidade com a LGPD não se apresenta apenas como uma obrigação legal, mas como uma medida estratégica para preservar a reputação das empresas, assegurar a confiança dos clientes e evitar implicações legais. A lei proporciona um arcabouço normativo que não apenas protege os consumidores, mas também estabelece parâmetros claros para que as empresas fortaleçam suas práticas de segurança da informação.
Portanto, a conformidade com a LGPD não é apenas um requisito burocrático, mas uma abordagem proativa para garantir a integridade, confidencialidade e disponibilidade dos dados, promovendo a sustentabilidade dos negócios em um ambiente cada vez mais digital e interconectado.
As empresas que adotam e incorporam os princípios da LGPD não apenas atendem às exigências legais, mas também demonstram um compromisso contínuo com a proteção e respeito à privacidade dos seus clientes. Entre em contato com nossos especialistas em proteção de dados pessoais para saber mais.
Fontes: STJ e LGPD Brasil
