Banco responde por vazamento de dados que resultou em aplicação do “golpe do boleto” contra cliente, decide STJ.

 O recente julgamento proferido pela Terceira Turma do Superior Tribunal de Justiça (STJ) trouxe à tona uma importante decisão relacionada à responsabilidade dos bancos em casos de vazamento de dados pessoais que resultam em fraudes, como o conhecido "golpe do boleto". Nesse tipo de golpe, criminosos se passam por funcionários de instituições financeiras, emitindo boletos falsos para receber pagamentos indevidos dos clientes.

O caso em questão envolveu uma consumidora que entrou em contato com o banco via e-mail, buscando informações sobre a quitação de uma operação. Pouco tempo depois, ela foi abordada por meio do WhatsApp por uma pessoa que se fazia passar por funcionária do banco, recebendo um boleto no valor de aproximadamente R$ 19 mil. A cliente efetuou o pagamento, mas posteriormente descobriu que se tratava de um boleto fraudado.

Em primeira instância, o tribunal determinou que o banco reconhecesse o pagamento realizado por meio do boleto fraudulento e reembolsasse a cliente pelas parcelas pagas indevidamente em seu contrato de financiamento. No entanto, o Tribunal de Justiça de São Paulo (TJSP) reformou essa decisão, alegando que o golpe ocorreu em negociações informais e que a cliente não havia exercido a devida cautela em relação ao pagamento.

A ministra Nancy Andrighi, relatora do recurso da cliente no STJ, explicou que, com base na tese estabelecida no Tema Repetitivo 466, que contribuiu para a criação da Súmula 479 do STJ, as instituições bancárias têm responsabilidade objetiva pelos danos resultantes de fraudes praticadas por terceiros. Essa responsabilidade deriva do risco inerente à atividade bancária.

Especificamente em relação aos golpes de engenharia social, a ministra destacou que os criminosos geralmente possuem conhecimento prévio dos dados pessoais das vítimas e usam técnicas psicológicas para persuadi-las, simulando um atendimento bancário legítimo para alcançar seus objetivos ilícitos.

A ministra enfatizou que a responsabilidade do banco depende da análise específica de cada caso. No entanto, não se pode atribuir exclusivamente ao banco a responsabilidade pelo vazamento de dados cadastrais básicos, como nome e CPF, uma vez que essas informações podem ser obtidas de fontes alternativas. No entanto, quando os dados do cliente estão relacionados a operações e serviços bancários, o banco é responsável por armazená-los e protegê-los adequadamente. Caso haja vazamento dessas informações, isso configura uma falha na prestação do serviço.

Nesse contexto, a ministra observou que os criminosos tinham conhecimento da relação da cliente com o banco, bem como de sua intenção de quitar a dívida, possuindo dados relacionados ao financiamento. Dado que essas informações são sigilosas e de responsabilidade exclusiva do banco, a ministra restabeleceu a sentença que reconheceu a responsabilidade da instituição financeira no caso.

Essa decisão do STJ reforça não apenas a responsabilidade dos bancos em casos semelhantes, mas também a importância de garantir a segurança dos dados pessoais dos clientes e tomar medidas para evitar a ocorrência de fraudes. Além disso, destaca a necessidade de proteger os consumidores contra práticas fraudulentas que podem causar prejuízos financeiros significativos.

Quiz: Responsabilidade dos Bancos em Casos de Vazamento de Dados e Fraudes

O que é o "golpe do boleto"?

Resposta: O "golpe do boleto" é uma fraude em que criminosos se passam por funcionários de bancos e emitem boletos falsos para receber pagamentos indevidos dos clientes.

Qual foi a decisão da Terceira Turma do STJ em relação à responsabilidade do banco no caso de vazamento de dados pessoais?

Resposta: A Terceira Turma do STJ decidiu que o banco é responsável pelo vazamento de dados pessoais do cliente que resultam em fraudes, como o "golpe do boleto".

Qual é o fundamento legal que estabelece a responsabilidade dos bancos por danos causados em fraudes praticadas por terceiros?

Resposta: A responsabilidade dos bancos decorre do risco inerente à atividade bancária e é respaldada pela tese do Tema Repetitivo 466, que contribuiu para a edição da Súmula 479 do STJ.

Como os criminosos costumam obter sucesso em golpes de engenharia social?

Resposta: Os criminosos costumam obter sucesso em golpes de engenharia social ao conhecerem previamente os dados pessoais das vítimas e usarem técnicas psicológicas de persuasão, como a simulação de atendimento bancário legítimo.

O que a ministra Nancy Andrighi, relatora do recurso da cliente, enfatizou em relação à responsabilidade do banco?

Resposta: A ministra Nancy Andrighi enfatizou que a responsabilidade do banco depende de uma análise específica de cada caso, e não se pode atribuir exclusivamente ao banco a responsabilidade pelo vazamento de dados cadastrais básicos, mas quando os dados do cliente estão relacionados a operações e serviços bancários, o banco é responsável por armazená-los e protegê-los adequadamente.

Espero que este quiz ajude na fixação do tema!

O Caso da condenação por tratamento ilícito de dados pessoais no metrô paulista: extraindo ensinamentos

Introdução:

A decisão proferida pela 8ª Câmara de Direito Público do Tribunal de Justiça de São Paulo representa um avanço significativo no campo da proteção de dados pessoais e dos direitos do consumidor ( Apelação nº 1090663-42.2018.8.26.0100). 

Ao confirmar uma sentença condenatória e aumentar a indenização por dano moral coletivo para meio milhão de reais, o tribunal envia uma mensagem clara de que o tratamento ilícito de dados pessoais não será tolerado e que as empresas devem respeitar o direito à informação clara e adequada dos consumidores.

Leia: https://www.tjsp.jus.br/Noticias/Noticia?codigoNoticia=91605 

O contexto do caso:

No caso em análise, constatou-se a ocorrência de tratamento ilícito de dados pessoais em uma das linhas do metrô paulista. 

É importante ressaltar que os usuários não receberam as informações adequadas nem foram comunicados previamente ou posteriormente acerca da utilização ou captação de suas imagens pelos totens instalados nas plataformas. 

Tal situação configura uma clara violação do direito dos usuários à informação clara e adequada sobre o uso de seus dados pessoais.

Essa prática viola o direito à informação, previsto no Código de Defesa do Consumidor, bem como a proteção contra a publicidade enganosa e abusiva, métodos comerciais coercitivos ou desleais.

A relevância do direito à informação:

A garantia do direito à informação assume um papel de extrema importância em uma sociedade democrática e desempenha um papel fundamental na proteção dos direitos dos consumidores. 

No caso em questão, é inegável que os consumidores têm o direito de estar plenamente informados sobre como suas informações pessoais estão sendo tratadas, assim como o direito de consentir ou recusar o uso de tais dados. 

A ausência de transparência e comunicação adequada por parte da empresa responsável pelo metrô paulista claramente configura uma violação desse direito fundamental.

A proteção dos dados pessoais como direito fundamental:

A salvaguarda dos dados pessoais é cada vez mais amplamente reconhecida como um direito fundamental e inalienável. 

No cerne dessa questão reside a prerrogativa das pessoas de manter o controle sobre suas informações pessoais e exercer seu direito de determinar a forma como esses dados são utilizados. 

O tratamento ilícito de dados pessoais representa uma grave violação à privacidade, à intimidade e à dignidade dos indivíduos. 

Diante desse contexto, é imperativo que as empresas e instituições sejam proativas ao respeitarem esses direitos e implementarem medidas adequadas para assegurar a proteção dos dados pessoais dos consumidores.

A responsabilidade das empresas e a condenação:

No presente caso, a empresa incumbida da operação do metrô foi devidamente responsabilizada por sua falha em prover informações adequadas aos usuários acerca da captação e uso de suas imagens. 

A imposição de uma indenização no montante de meio milhão de reais, visando reparar o dano moral coletivo, evidencia a seriedade da conduta ilícita e estabelece um precedente de suma importância para casos futuros que envolvam a proteção de dados pessoais e os direitos dos consumidores.

Essa decisão judiciária ressalta a necessidade premente de as empresas cumprirem seu dever de transparência, fornecendo informações claras e completas aos indivíduos afetados pelo tratamento de seus dados pessoais. 

A ausência de comunicação adequada por parte da empresa em questão representou uma violação flagrante aos direitos fundamentais dos usuários, sobretudo o direito à privacidade e à autodeterminação informacional.

Além disso, a fixação de uma indenização substancial por dano moral coletivo busca não apenas compensar as vítimas, mas também desencorajar práticas abusivas e negligentes no tratamento de dados pessoais. 

Trata-se, portanto, de uma medida que visa reafirmar a importância da proteção dos direitos dos consumidores e fortalecer a cultura de respeito à privacidade e à segurança dos dados pessoais.

É importante salientar que, essa decisão consolida-se como um marco relevante na defesa da privacidade dos usuários e no reconhecimento da responsabilidade das empresas em resguardar os dados pessoais que lhes são confiados. Ela ressalta a necessidade de uma atuação diligente e consciente por parte das empresas, a fim de garantir a conformidade com as leis e regulamentações de proteção de dados, bem como a promoção de uma cultura de transparência e respeito aos direitos dos consumidores.

A importância de medidas preventivas:

O caso em análise ressalta a importância incontestável da adoção de medidas preventivas por parte das empresas e instituições públicas no que tange à proteção de dados pessoais. Nesse sentido, torna-se imperativo estabelecer políticas de privacidade claras e abrangentes, que definam de forma inequívoca os procedimentos e finalidades para as quais os dados serão utilizados.

A obtenção do consentimento informado dos usuários é uma etapa crucial nesse processo, visto que garante que as pessoas tenham conhecimento pleno e prévio sobre como suas informações serão tratadas. É mediante o consentimento esclarecido que os indivíduos podem exercer sua autonomia e decidir, de forma consciente, se desejam ou não permitir o acesso e uso de seus dados pessoais.

Ademais, a transparência no tratamento de dados é um princípio fundamental que deve ser observado pelas empresas. Isso implica em comunicar aos usuários, de maneira clara e acessível, as práticas adotadas no que diz respeito à coleta, armazenamento, processamento e compartilhamento de suas informações pessoais. Somente através de uma divulgação transparente é que os consumidores poderão tomar decisões informadas acerca do compartilhamento de seus dados.

Outro aspecto crucial é a conscientização dos consumidores sobre seus direitos em relação à proteção de dados e a importância de preservar sua privacidade. É necessário investir em campanhas educativas que esclareçam os direitos que os indivíduos possuem e os alertem para as possíveis ameaças relacionadas ao uso indevido de suas informações pessoais. A conscientização é uma ferramenta essencial para empoderar os consumidores, permitindo que eles exerçam seu papel ativo na defesa de sua privacidade e na exigência do cumprimento das normas de proteção de dados.

Em suma, diante das complexidades e desafios inerentes à era digital, as empresas e instituições públicas têm a responsabilidade de implementar medidas preventivas eficazes para a proteção de dados pessoais. 

Isso implica em estabelecer políticas de privacidade robustas, obter o consentimento informado dos usuários, garantir a transparência nas práticas de tratamento de dados e promover a conscientização dos consumidores sobre seus direitos. Somente através dessas ações conjuntas será possível construir um ambiente seguro e confiável, onde a privacidade e a proteção de dados sejam valores primordiais.

Conclusão:

Este caso de condenação por tratamento ilícito de dados pessoais no metrô paulista representa um avanço significativo na proteção da privacidade dos usuários e ressalta a relevância do direito à informação e à proteção dos dados pessoais. 

A decisão destaca a importância de preservar a privacidade dos indivíduos, especialmente em um cenário em que a tecnologia assume um papel cada vez mais central em nossas vidas. Com o aumento do armazenamento, coleta e utilização de dados pessoais, é fundamental que as pessoas sejam devidamente informadas sobre como suas informações serão utilizadas e tenham controle sobre o uso desses dados.

Além disso, essa violação de direitos não apenas configura uma violação do direito à privacidade, mas também uma violação dos direitos do consumidor. Os consumidores têm o direito de saber como suas informações estão sendo utilizadas e têm o direito de consentir ou recusar o uso de seus dados pessoais. 

A falta de transparência e comunicação adequada por parte da empresa responsável pelo metrô paulista resultou em uma clara violação desses direitos fundamentais. A condenação em meio milhão de reais por dano moral coletivo é um reflexo da gravidade da conduta ilícita e estabelece um importante precedente para casos futuros envolvendo a proteção de dados pessoais e direitos dos consumidores.

Este caso destaca a necessidade de as empresas e instituições públicas adotarem medidas preventivas para garantir a proteção dos dados pessoais dos usuários. É fundamental que sejam estabelecidas políticas claras de privacidade, mecanismos de consentimento informado e comunicação transparente sobre o uso de dados. Além disso, é necessário conscientizar os usuários sobre seus direitos e a importância de proteger sua privacidade.

À medida que a tecnologia continua a se desenvolver, a proteção da privacidade e dos dados pessoais torna-se uma questão cada vez mais importante e urgente. As empresas e instituições públicas precisam estar cientes da responsabilidade que têm em proteger a privacidade dos usuários e garantir que seus dados pessoais sejam tratados de forma adequada e transparente. A condenação por tratamento ilícito de dados pessoais no metrô paulista serve como um exemplo importante de como as empresas podem ser responsabilizadas por violações de privacidade e direitos do consumidor.

Em resumo, a decisão da 8ª Câmara de Direito Público do Tribunal de Justiça de São Paulo representa um marco na proteção da privacidade dos usuários e destaca a importância do direito à informação e à proteção dos dados pessoais, inclusive serve como um precedente significativo para casos futuros e enfatiza a importância de as empresas e instituições públicas adotarem medidas preventivas para garantir a proteção dos dados pessoais dos usuários e conscientizar os usuários sobre seus direitos de privacidade.

Consulte sempre um advogado!

LUIZ FERNANDO PEREIRA - Advogado

WhatsApp (11) 98599-5510

drluizfernandopereira@yahoo.com.br

Site: https://www.luizfernandopereira.com

COMO COMPROVAR EFETIVO PREJUÍZO PARA INDENIZAÇÃO POR VAZAMENTO DE DADOS?

Análise conforme decisão recente do STJ.

A questão que devemos inicialmente observar refere-se sobre a caracterização por vazamento de dados,  que ocorre quando informações confidenciais e pessoais são divulgadas ou expostas sem autorização ou consentimento do titular desses dados. Essas informações podem incluir dados pessoais, como nome, endereço, data de nascimento, informações de contato, número de CPF, RG ou passaporte, dados bancários e informações de cartão de crédito, entre outros.

Em relação às formas de vazamento de dados, pode se dar por ataques cibernéticos a sistemas de empresas, roubo ou perda de dispositivos móveis ou armazenamento físico, erro humano, entre outras causas.

As consequências decorrentes de vazamentos de dados podem ser graves, como a exposição de informações pessoais e sensíveis, a possibilidade de fraudes financeiras, o uso indevido de informações para marketing ou monitoramento, ou mesmo a perda de privacidade e segurança para o indivíduo afetado.

Na prática, as empresas são responsáveis pela proteção e segurança dos dados de seus clientes e usuários, e a divulgação de informações sem autorização pode resultar em sanções e multas, além de possíveis processos judiciais por danos morais e materiais.

É neste sentido que empresas e organizações adotem medidas de segurança adequadas para proteger os dados de seus clientes e usuários e garantir a privacidade e a segurança dessas informações.

E como a Legislação trata sobre o tratamento de dados?

 A Lei Geral de Proteção de Dados (LGPD) que entrou em vigor em setembro de 2020, e tem como objetivo regulamentar a coleta, armazenamento, tratamento e compartilhamento de dados pessoais por empresas e organizações, garantindo a privacidade e a proteção dos dados dos cidadãos brasileiros.

É preciso observar que, o vazamento de dados pessoais é uma violação da LGPD e pode resultar em sanções e multas para as empresas ou organizações responsáveis pelo tratamento desses dados.

Conforme mencionado, as empresas e organizações tem a obrigação prevista em lei para implementar medidas de segurança adequadas para proteger os dados pessoais, como a adoção de políticas de segurança, a implementação de tecnologias adequadas de proteção de dados, a realização de auditorias regulares e o treinamento de funcionários para lidar com dados pessoais.

Assim, em caso de vazamento de dados pessoais, a LGPD exige que as empresas e organizações afetadas comuniquem imediatamente aos titulares dos dados e à Autoridade Nacional de Proteção de Dados (ANPD) sobre a violação, e adotem as medidas necessárias para minimizar os danos e prevenir novos vazamentos.

Note-se que a LGPD tem como objetivo garantir a proteção dos dados pessoais dos cidadãos brasileiros e incentivar a adoção de boas práticas de segurança da informação por empresas e organizações, criando um ambiente mais seguro e confiável para a coleta, armazenamento e compartilhamento de dados pessoais.

E o que a Justiça tem decidido sobre indenização por vazamento de dados?

Apesar de ser uma falha indesejável no tratamento de informações pessoais conforme mencionado anteriormente, o vazamento de dados não tem a capacidade, por si só, de gerar dano moral indenizável, segundo entendimento recente do Superior Tribunal de Justiça.

         É neste ponto que podemos destacar que o Tribunal decidiu, sobre eventual pedido de indenização será necessário que o titular dos dados comprove o efetivo prejuízo gerado pela exposição dessas informações.

Desta forma, nas lições que jurisprudência exige até o momento, é a existência de um prejuízo decorrente de vazamento de dados. Podemos citar, por exemplo, a divulgação de informações pessoais e sensíveis de um indivíduo, como dados bancários, informações de saúde ou dados de identificação, que podem ser usados para fraudes, phishing ou roubo de identidade.

Entendemos como prejuízos financeiros, como a abertura de contas fraudulentas, cobranças indevidas ou compras não autorizadas. Também pode levar a prejuízos psicológicos, como a sensação de invasão de privacidade e a preocupação com possíveis consequências futuras.

Ademais, o efetivo prejuízo para fins de indenização se refere aos danos reais e comprováveis sofridos pela vítima em decorrência de um evento ou situação que deu origem a uma ação de indenização. Em outras palavras, é a demonstração de que a vítima sofreu algum tipo de prejuízo em decorrência do fato ocorrido.

No caso de uma ação de indenização por vazamento de dados, por exemplo, o efetivo prejuízo pode incluir os danos materiais, como prejuízos financeiros decorrentes de fraudes ou outras atividades ilícitas realizadas com os dados vazados, e os danos morais, como o constrangimento, a angústia e a violação da privacidade.

Entretanto, aos danos morais, o STJ reconheceu que o dano moral não é presumido, sendo necessário que o titular dos dados demonstre ter havido efetivo dano com o vazamento e o acesso de terceiros.

Vejamos o breve argumento do Ministro Francisco Falcão (AREsp 2.130.619)[1]:

"Diferente seria se, de fato, estivéssemos diante de vazamento de dados sensíveis, que dizem respeito à intimidade da pessoa natural. No presente caso, trata-se de inconveniente exposição de dados pessoais comuns, desacompanhados de comprovação do dano", concluiu o ministro ao acolher o recurso da Eletropaulo e restabelecer a sentença.

Nesses casos, é possível que o indivíduo prejudicado por vazamento de dados ainda possa buscar indenização por danos morais e/ou materiais, porém, exige-se na prática que a empresa responsável pelo vazamento de dados arque com as consequências financeiras e emocionais decorrentes do incidente, cabendo ao lesado à demonstração de dano.

Por fim, o valor da indenização pode variar dependendo da gravidade do vazamento e do impacto causado ao indivíduo afetado.

 

É possível que o STJ altere seu entendimento neste caso?

Regra geral, a jurisprudência do Superior Tribunal de Justiça (STJ) é estabelecida através de seus julgamentos, que interpretam e aplicam a legislação federal, bem como a Constituição Federal. A alteração da jurisprudência do STJ só pode ocorrer através de uma mudança de entendimento pelos ministros da Corte em julgamentos futuros ou pela atuação do legislador.

Os julgamentos do STJ são proferidos por uma composição colegiada de ministros, que se reúnem para decidir os casos que lhes são apresentados. Cada julgamento é fundamentado em argumentos jurídicos, doutrina e jurisprudência, além da interpretação da legislação aplicável ao caso.

Se houver um caso em que a jurisprudência do STJ esteja sendo questionada e os ministros decidam mudar o entendimento, a jurisprudência será atualizada a partir da publicação do acórdão do julgamento, que passará a ser considerada a nova orientação da Corte.

No entanto, vale lembrar que a jurisprudência não é algo imutável, mas sim uma construção contínua que se adapta às mudanças sociais, políticas e econômicas do país. Portanto, a jurisprudência do STJ pode ser alterada ao longo do tempo, desde que haja uma nova interpretação do direito, inclusive, a negativa de dano moral por vazamento de dados é consolidada no sentido de que nem todo vazamento de dados gera automaticamente o dever de indenizar por danos morais.

Neste ponto, para que se configure a indenização, é necessário que o vazamento seja capaz de gerar efetivamente uma lesão aos direitos da personalidade do titular dos dados, como a privacidade, a intimidade, a honra ou a imagem.

Observe-se que, tecnicamente alterar essa jurisprudência, seria necessário que um novo caso, com argumentos e fatos diferentes daqueles que já foram analisados pela Corte, seja levado ao STJ e que os ministros decidam de forma diferente em relação à indenização por danos morais. A partir desse julgamento, a jurisprudência poderia ser alterada, nesse sentido.

Não podemos deixar de frisar que,  a jurisprudência do nosso País é pautada num processo dinâmico, que pode ser alterado ao longo do tempo em razão da evolução da sociedade e do próprio entendimento dos tribunais.

Dessa forma, é possível que a jurisprudência do STJ sobre a negativa de dano moral por vazamento de dados seja modificada no futuro (ainda que próximo), mesmo sem um novo julgamento específico sobre o assunto.

---

[1] https://www.stj.jus.br/sites/portalp/Paginas/Comunicacao/Noticias/2023/17032023-Titular-de-dados-vazados-deve-comprovar-dano-efetivo-ao-buscar-indenizacao--decide-Segunda-Turma.aspx