Banco responde por vazamento de dados que resultou em aplicação do “golpe do boleto” contra cliente, decide STJ.

 O recente julgamento proferido pela Terceira Turma do Superior Tribunal de Justiça (STJ) trouxe à tona uma importante decisão relacionada à responsabilidade dos bancos em casos de vazamento de dados pessoais que resultam em fraudes, como o conhecido "golpe do boleto". Nesse tipo de golpe, criminosos se passam por funcionários de instituições financeiras, emitindo boletos falsos para receber pagamentos indevidos dos clientes.

O caso em questão envolveu uma consumidora que entrou em contato com o banco via e-mail, buscando informações sobre a quitação de uma operação. Pouco tempo depois, ela foi abordada por meio do WhatsApp por uma pessoa que se fazia passar por funcionária do banco, recebendo um boleto no valor de aproximadamente R$ 19 mil. A cliente efetuou o pagamento, mas posteriormente descobriu que se tratava de um boleto fraudado.

Em primeira instância, o tribunal determinou que o banco reconhecesse o pagamento realizado por meio do boleto fraudulento e reembolsasse a cliente pelas parcelas pagas indevidamente em seu contrato de financiamento. No entanto, o Tribunal de Justiça de São Paulo (TJSP) reformou essa decisão, alegando que o golpe ocorreu em negociações informais e que a cliente não havia exercido a devida cautela em relação ao pagamento.

A ministra Nancy Andrighi, relatora do recurso da cliente no STJ, explicou que, com base na tese estabelecida no Tema Repetitivo 466, que contribuiu para a criação da Súmula 479 do STJ, as instituições bancárias têm responsabilidade objetiva pelos danos resultantes de fraudes praticadas por terceiros. Essa responsabilidade deriva do risco inerente à atividade bancária.

Especificamente em relação aos golpes de engenharia social, a ministra destacou que os criminosos geralmente possuem conhecimento prévio dos dados pessoais das vítimas e usam técnicas psicológicas para persuadi-las, simulando um atendimento bancário legítimo para alcançar seus objetivos ilícitos.

A ministra enfatizou que a responsabilidade do banco depende da análise específica de cada caso. No entanto, não se pode atribuir exclusivamente ao banco a responsabilidade pelo vazamento de dados cadastrais básicos, como nome e CPF, uma vez que essas informações podem ser obtidas de fontes alternativas. No entanto, quando os dados do cliente estão relacionados a operações e serviços bancários, o banco é responsável por armazená-los e protegê-los adequadamente. Caso haja vazamento dessas informações, isso configura uma falha na prestação do serviço.

Nesse contexto, a ministra observou que os criminosos tinham conhecimento da relação da cliente com o banco, bem como de sua intenção de quitar a dívida, possuindo dados relacionados ao financiamento. Dado que essas informações são sigilosas e de responsabilidade exclusiva do banco, a ministra restabeleceu a sentença que reconheceu a responsabilidade da instituição financeira no caso.

Essa decisão do STJ reforça não apenas a responsabilidade dos bancos em casos semelhantes, mas também a importância de garantir a segurança dos dados pessoais dos clientes e tomar medidas para evitar a ocorrência de fraudes. Além disso, destaca a necessidade de proteger os consumidores contra práticas fraudulentas que podem causar prejuízos financeiros significativos.

Quiz: Responsabilidade dos Bancos em Casos de Vazamento de Dados e Fraudes

O que é o "golpe do boleto"?

Resposta: O "golpe do boleto" é uma fraude em que criminosos se passam por funcionários de bancos e emitem boletos falsos para receber pagamentos indevidos dos clientes.

Qual foi a decisão da Terceira Turma do STJ em relação à responsabilidade do banco no caso de vazamento de dados pessoais?

Resposta: A Terceira Turma do STJ decidiu que o banco é responsável pelo vazamento de dados pessoais do cliente que resultam em fraudes, como o "golpe do boleto".

Qual é o fundamento legal que estabelece a responsabilidade dos bancos por danos causados em fraudes praticadas por terceiros?

Resposta: A responsabilidade dos bancos decorre do risco inerente à atividade bancária e é respaldada pela tese do Tema Repetitivo 466, que contribuiu para a edição da Súmula 479 do STJ.

Como os criminosos costumam obter sucesso em golpes de engenharia social?

Resposta: Os criminosos costumam obter sucesso em golpes de engenharia social ao conhecerem previamente os dados pessoais das vítimas e usarem técnicas psicológicas de persuasão, como a simulação de atendimento bancário legítimo.

O que a ministra Nancy Andrighi, relatora do recurso da cliente, enfatizou em relação à responsabilidade do banco?

Resposta: A ministra Nancy Andrighi enfatizou que a responsabilidade do banco depende de uma análise específica de cada caso, e não se pode atribuir exclusivamente ao banco a responsabilidade pelo vazamento de dados cadastrais básicos, mas quando os dados do cliente estão relacionados a operações e serviços bancários, o banco é responsável por armazená-los e protegê-los adequadamente.

Espero que este quiz ajude na fixação do tema!

COMO COMPROVAR EFETIVO PREJUÍZO PARA INDENIZAÇÃO POR VAZAMENTO DE DADOS?

Análise conforme decisão recente do STJ.

A questão que devemos inicialmente observar refere-se sobre a caracterização por vazamento de dados,  que ocorre quando informações confidenciais e pessoais são divulgadas ou expostas sem autorização ou consentimento do titular desses dados. Essas informações podem incluir dados pessoais, como nome, endereço, data de nascimento, informações de contato, número de CPF, RG ou passaporte, dados bancários e informações de cartão de crédito, entre outros.

Em relação às formas de vazamento de dados, pode se dar por ataques cibernéticos a sistemas de empresas, roubo ou perda de dispositivos móveis ou armazenamento físico, erro humano, entre outras causas.

As consequências decorrentes de vazamentos de dados podem ser graves, como a exposição de informações pessoais e sensíveis, a possibilidade de fraudes financeiras, o uso indevido de informações para marketing ou monitoramento, ou mesmo a perda de privacidade e segurança para o indivíduo afetado.

Na prática, as empresas são responsáveis pela proteção e segurança dos dados de seus clientes e usuários, e a divulgação de informações sem autorização pode resultar em sanções e multas, além de possíveis processos judiciais por danos morais e materiais.

É neste sentido que empresas e organizações adotem medidas de segurança adequadas para proteger os dados de seus clientes e usuários e garantir a privacidade e a segurança dessas informações.

E como a Legislação trata sobre o tratamento de dados?

 A Lei Geral de Proteção de Dados (LGPD) que entrou em vigor em setembro de 2020, e tem como objetivo regulamentar a coleta, armazenamento, tratamento e compartilhamento de dados pessoais por empresas e organizações, garantindo a privacidade e a proteção dos dados dos cidadãos brasileiros.

É preciso observar que, o vazamento de dados pessoais é uma violação da LGPD e pode resultar em sanções e multas para as empresas ou organizações responsáveis pelo tratamento desses dados.

Conforme mencionado, as empresas e organizações tem a obrigação prevista em lei para implementar medidas de segurança adequadas para proteger os dados pessoais, como a adoção de políticas de segurança, a implementação de tecnologias adequadas de proteção de dados, a realização de auditorias regulares e o treinamento de funcionários para lidar com dados pessoais.

Assim, em caso de vazamento de dados pessoais, a LGPD exige que as empresas e organizações afetadas comuniquem imediatamente aos titulares dos dados e à Autoridade Nacional de Proteção de Dados (ANPD) sobre a violação, e adotem as medidas necessárias para minimizar os danos e prevenir novos vazamentos.

Note-se que a LGPD tem como objetivo garantir a proteção dos dados pessoais dos cidadãos brasileiros e incentivar a adoção de boas práticas de segurança da informação por empresas e organizações, criando um ambiente mais seguro e confiável para a coleta, armazenamento e compartilhamento de dados pessoais.

E o que a Justiça tem decidido sobre indenização por vazamento de dados?

Apesar de ser uma falha indesejável no tratamento de informações pessoais conforme mencionado anteriormente, o vazamento de dados não tem a capacidade, por si só, de gerar dano moral indenizável, segundo entendimento recente do Superior Tribunal de Justiça.

         É neste ponto que podemos destacar que o Tribunal decidiu, sobre eventual pedido de indenização será necessário que o titular dos dados comprove o efetivo prejuízo gerado pela exposição dessas informações.

Desta forma, nas lições que jurisprudência exige até o momento, é a existência de um prejuízo decorrente de vazamento de dados. Podemos citar, por exemplo, a divulgação de informações pessoais e sensíveis de um indivíduo, como dados bancários, informações de saúde ou dados de identificação, que podem ser usados para fraudes, phishing ou roubo de identidade.

Entendemos como prejuízos financeiros, como a abertura de contas fraudulentas, cobranças indevidas ou compras não autorizadas. Também pode levar a prejuízos psicológicos, como a sensação de invasão de privacidade e a preocupação com possíveis consequências futuras.

Ademais, o efetivo prejuízo para fins de indenização se refere aos danos reais e comprováveis sofridos pela vítima em decorrência de um evento ou situação que deu origem a uma ação de indenização. Em outras palavras, é a demonstração de que a vítima sofreu algum tipo de prejuízo em decorrência do fato ocorrido.

No caso de uma ação de indenização por vazamento de dados, por exemplo, o efetivo prejuízo pode incluir os danos materiais, como prejuízos financeiros decorrentes de fraudes ou outras atividades ilícitas realizadas com os dados vazados, e os danos morais, como o constrangimento, a angústia e a violação da privacidade.

Entretanto, aos danos morais, o STJ reconheceu que o dano moral não é presumido, sendo necessário que o titular dos dados demonstre ter havido efetivo dano com o vazamento e o acesso de terceiros.

Vejamos o breve argumento do Ministro Francisco Falcão (AREsp 2.130.619)[1]:

"Diferente seria se, de fato, estivéssemos diante de vazamento de dados sensíveis, que dizem respeito à intimidade da pessoa natural. No presente caso, trata-se de inconveniente exposição de dados pessoais comuns, desacompanhados de comprovação do dano", concluiu o ministro ao acolher o recurso da Eletropaulo e restabelecer a sentença.

Nesses casos, é possível que o indivíduo prejudicado por vazamento de dados ainda possa buscar indenização por danos morais e/ou materiais, porém, exige-se na prática que a empresa responsável pelo vazamento de dados arque com as consequências financeiras e emocionais decorrentes do incidente, cabendo ao lesado à demonstração de dano.

Por fim, o valor da indenização pode variar dependendo da gravidade do vazamento e do impacto causado ao indivíduo afetado.

 

É possível que o STJ altere seu entendimento neste caso?

Regra geral, a jurisprudência do Superior Tribunal de Justiça (STJ) é estabelecida através de seus julgamentos, que interpretam e aplicam a legislação federal, bem como a Constituição Federal. A alteração da jurisprudência do STJ só pode ocorrer através de uma mudança de entendimento pelos ministros da Corte em julgamentos futuros ou pela atuação do legislador.

Os julgamentos do STJ são proferidos por uma composição colegiada de ministros, que se reúnem para decidir os casos que lhes são apresentados. Cada julgamento é fundamentado em argumentos jurídicos, doutrina e jurisprudência, além da interpretação da legislação aplicável ao caso.

Se houver um caso em que a jurisprudência do STJ esteja sendo questionada e os ministros decidam mudar o entendimento, a jurisprudência será atualizada a partir da publicação do acórdão do julgamento, que passará a ser considerada a nova orientação da Corte.

No entanto, vale lembrar que a jurisprudência não é algo imutável, mas sim uma construção contínua que se adapta às mudanças sociais, políticas e econômicas do país. Portanto, a jurisprudência do STJ pode ser alterada ao longo do tempo, desde que haja uma nova interpretação do direito, inclusive, a negativa de dano moral por vazamento de dados é consolidada no sentido de que nem todo vazamento de dados gera automaticamente o dever de indenizar por danos morais.

Neste ponto, para que se configure a indenização, é necessário que o vazamento seja capaz de gerar efetivamente uma lesão aos direitos da personalidade do titular dos dados, como a privacidade, a intimidade, a honra ou a imagem.

Observe-se que, tecnicamente alterar essa jurisprudência, seria necessário que um novo caso, com argumentos e fatos diferentes daqueles que já foram analisados pela Corte, seja levado ao STJ e que os ministros decidam de forma diferente em relação à indenização por danos morais. A partir desse julgamento, a jurisprudência poderia ser alterada, nesse sentido.

Não podemos deixar de frisar que,  a jurisprudência do nosso País é pautada num processo dinâmico, que pode ser alterado ao longo do tempo em razão da evolução da sociedade e do próprio entendimento dos tribunais.

Dessa forma, é possível que a jurisprudência do STJ sobre a negativa de dano moral por vazamento de dados seja modificada no futuro (ainda que próximo), mesmo sem um novo julgamento específico sobre o assunto.

---

[1] https://www.stj.jus.br/sites/portalp/Paginas/Comunicacao/Noticias/2023/17032023-Titular-de-dados-vazados-deve-comprovar-dano-efetivo-ao-buscar-indenizacao--decide-Segunda-Turma.aspx