Superior Tribunal de Justiça conclui pela responsabilidade da instituição bancária em caso de vazamento de dados pessoais relativos a operações financeiras

Sabemos que, atualmente, o tratamento de dados pessoais tornou-se algo corriqueiro, tendo em vista que, para toda e qualquer interação (aquisição de bens, acesso a serviços, elaboração de contratos, entre outras) as pessoas precisam fornecer seus dados para que possam ser, efetivamente, identificadas e, assim, possam usufruir dos bens e dos serviços adquiridos. Entretanto, frente a este contexto de coletas de dados, tem sido cada vez mais comum a prática fraudulenta de terceiros que, simplesmente, se apoderam maliciosamente das informações pessoais dos indivíduos para aplicar golpes, sobretudo financeiros. Um desses golpes que tem sido cada vez mais comum é o chamado “golpe do boleto”. Nesta situação, os fraudadores elaboram um boleto semelhante ao do Banco, incluindo, por exemplo, o nome do próprio Banco e o nome do consumidor e, então, alteram as informações de pagamento enviam para que o consumidor realize o pagamento ao fraudador. Frente a esta problemática, no último dia 03/10/2023, a 3ª Turma do Superior Tribunal de Justiça (“STJ”) analisou um caso que envolvia o pagamento de boleto oriundo de fraude, no qual a consumidora relata que, após realizar, por e-mail, um pedido de informações sobre um contrato de financiamento que havia firmado com o Banco, foi procurada, por WhatsApp, por uma suposta assessoria do Banco, que lhe propôs a liquidação do contrato, oferecendo, para tanto, um boleto para pagamento. A consumidora, acreditando que efetivamente se tratava de um funcionário do Banco, até porque o fraudador (se passando por funcionário) possuía todos os seus dados pessoais e os dados do contrato, pagou o boleto. Contudo, não obteve a quitação de seu financiamento. Ao entrar em contato com o Banco, foi informada de que se tratava do “golpe de boleto”. Ainda, o Banco lhe disse que, como não receberam os valores, cabia à consumidora adimplir as parcelas pendentes. Ou seja, o Banco, na ocasião, esquivou-se de qualquer responsabilidade pelos dados pessoais da consumidora que estavam na posse dos terceiros fraudadores, o que fez com que a consumidora buscasse, pela via judicial, a declaração de inexigibilidade do débito, haja vista que já teria realizado o pagamento. Inicialmente, a ação foi procedente, tendo o Juízo de primeiro grau declarado válido o pagamento realizado pela consumidora. Porém, o Tribunal de Justiça do Estado de São Paulo reformou a decisão, concluindo que a culpa pela situação narrada seria da consumidora e/ ou de terceiros, não havendo, supostamente, falha na prestação de serviços pelo Banco. Diante dessa decisão, a consumidora recorreu ao STJ. Ao analisar o caso, a Ministra Nancy Andrighi pontuou que as instituições financeiras devem seguir as regras do Código de Defesa do Consumidor e, em razão disso, é obrigação daquelas proporcionar aos seus clientes um serviço seguro e de qualidade. Ressaltou que embora o boleto não seja idêntico ao expedido pela instituição financeira, não é fácil, para o consumidor, identificar as incongruências entre os documentos. Além disso, a Ministra esclareceu que a responsabilização pelo vazamento de dados pessoais depende da identificação da origem do referido vazamento. No caso, como havia vazado dados muito específicos relativos à operação financeira celebrada pelo cliente (contrato de financiamento), além de dados pessoais do cliente, a Ministra entendeu que haveria responsabilidade do Banco, tendo em vista que, em regra, referidos dados são tratados exclusivamente pelas instituições financeiras. Assim, caberia ao Banco tratar com segurança tais dados, sobretudo diante de seu caráter sigiloso. Na ausência deste cuidado, permitindo-se que se chegasse ao acesso de terceiros, configura-se falha na prestação de serviço. A Ministra Nancy Andrighi também fundamenta sua conclusão na Lei Geral de Proteção de Dados Pessoais (“LGPD” ou Lei nº 13.709/2018), na qual existe suposição expressa no sentido de que o tratamento de dados pessoais será irregular quando deixar de observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar (Art. 44 da LGPD). Ao concluir, a 3ª Turma do STJ manteve a decisão do juízo de primeiro grau. O caso em discussão serve como alerta aos consumidores, com o intuito de que sejam cada vez mais cautelosos com a efetivação de suas transações bancárias. Além disso, em relação às instituições financeiras, é importante deixar claro que, nem sempre, as mesmas serão responsabilizadas, haja vista que existem situações nas quais as informações obtidas por terceiros são mais gerais, como, por exemplo, nome, endereço, etc. gerais (ou seja, não são específicas de uma relação contratual com o banco). Isto é, são informações que podem ser obtidas por outros meios que não a instituição financeira. Nesta hipótese, existe uma quebra do nexo de causalidade entre a conduta do Banco e o dano sofrido pelo consumidor, de modo que a instituição não é responsabilizada. De qualquer modo, é fundamental que as instituições financeiras adotem medidas técnicas, administrativas e jurídicas para garantir que realizam o tratamento e, sobretudo, o armazenamento de dados pessoais de forma adequada e segura, a fim de se prevenir de eventuais penalidades. O MBM Advogados fica a disposição em caso de dúvidas sobre o tema. Fonte: STJ, Recurso Especial n.º 2077278 - SP (2023/0190979-8), Rel. Min. Nancy Andrighi, Terceira Turma, j. 03/10/2023. Origem: 1007698-39.2020.8.26.0002  Autores:Vitor de Menezes V. Martins – vitor@mbma.com.brMarina Cavalli R. da Silva – marina.silva@mbma.com.br