Responsabilidade por vazamento de dados e o golpe do boleto
A Lei Geral de Proteção de Dados – LGPD [Lei 13.709/2018] está em vigor desde setembro de 2020. Dentre as previsões contidas na lei, podemos destacar o artigo 46, o qual determina que os agentes de tratamento de dados devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados.
Com base na lei supracitada, em conjunto à previsão trazida pela Súmula 479, o Superior Tribunal de Justiça veio a reformar uma decisão do Tribunal de Justiça de São Paulo, condenando um banco a declarar como válido o pagamento realizado por meio de boleto fraudado e a devolver à cliente parcelas pagas indevidamente em contrato de financiamento.
No processo, a cliente encaminhou e-mail para o banco solicitando informações sobre como quitar uma operação. Após alguns dias, veio a receber um contato, pelo WhatsApp, por uma suposta funcionária da instituição, recebendo um boleto com o suposto valor para quitação. A cliente pagou o boleto, mas depois descobriu que o documento havia sido emitido por criminosos.
Para o Tribunal de São Paulo, o golpe contra a cliente foi aplicado por meio de negociações realizadas de maneira informal e considerou que as informações do boleto falso divergiam dos dados constantes do contrato de financiamento, de modo que a consumidora falhou em seu dever de segurança e cautela.
Todavia, o STJ tem aplicado um posicionamento quanto aos chamados golpes de engenharia social, sendo que a relatora do caso, ministra Nancy Andrighi, tratou que os criminosos costumam conhecer os dados pessoais das vítimas e, com base neles, usam técnicas psicológicas de persuasão, como forma de atingir seu objetivo ilícito.
Ainda, a ministra apontou que não poderia ser imputada ao banco a responsabilidade exclusiva no caso de vazamento de dados cadastrais básicos, como nome e CPF, pois referidas informações podem ser obtidas por fontes alternativas.
Todavia, no caso analisado, os criminosos detinham dados da cliente referentes às suas operações bancárias e, embora o boleto falso tivesse diferenças em relação aos documentos verdadeiros, não se espera que uma pessoa comum seja sempre capaz de identificá-los.
Assim, com base no entendimento do STJ, aliado às previsões da LGPD, não só as instituições financeiras devem ter atenção quanto ao seu banco de dados, como também aqueles que em sua rotina realizam a emissão e envio de boletos para cobrança de clientes, pois a eventual desídia irá acarretar na responsabilização daqueles que não realizam o tratamento de dados com a devida segurança.
O presente artigo tem como base o REsp 2.077.278, julgado em 03/10/2023, cuja integra pode ser acessada pelo link: https://processo.stj.jus.br/processo/pesquisa/?aplicacao=processos.ea&tipoPesquisa=tipoPesquisaGenerica&termo=REsp%202077278
Diego Neves de Oliveira
Advogado em Solange Neves Advogados Associados
