O tratamento inadequado de dados pessoais vinculados a operações e serviços bancários configura falha na prestação do serviço, uma vez que é dever das instituições financeiras manter a segurança dessas informações sigilosas.

Com esse entendimento, a 3ª Turma do Superior Tribunal de Justiça deu provimento a um recurso especial para considerar quitada a dívida de uma correntista que caiu no "golpe do boleto" por causa do vazamento de seus dados pelo banco. 

O precedente relatado pela ministra Nancy Andrighi delineia as hipóteses em que os bancos podem ser responsabilizados pelos chamados golpes de engenharia social. E o faz mediante a aplicação da Lei Geral de Proteção de Dados (LGPD).

Em regra, a responsabilização dessas instituições depende do tipo de dado que estava em poder dos criminosos. Se forem informações gerais e que podem ser obtidas por outros meios, mesmo que sejam dados sensíveis, não haverá nexo de causalidade.

É o que ocorre quando os falsários usam nome, sobrenome, estado civil, profissão, endereço, telefone, origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato, dado referente à saúde ou dado biométrico, por exemplo.

Por outro lado, haverá responsabilização do banco quando as informações usadas pelos criminosos estiverem ligadas às operações financeiras. Essas, em regra, são tratadas exclusivamente pelas instituições, a quem cabe o armazenamento em segurança.

"Dados pessoais vinculados a operações e serviços bancários são sigilosos e cujo tratamento com segurança é dever das instituições financeiras. Seu armazenamento de maneira inadequada, a possibilitar que terceiros tenham conhecimento dessas informações e causem prejuízos ao consumidor, configura falha na prestação do serviço", afirmou a relatora.

Eles sabiam de tudo
O caso concreto julgado é o de uma mulher que contratou financiamento de veículo em uma financeira e resolveu quitar a dívida antecipadamente. Ela acessou o site da instituição e, seguindo orientações, enviou e-mail solicitando informações sobre o contrato e o montante devido.

Alguns dias depois, ela foi contatada via WhatsApp por uma funcionária da financeira, que informou que havia 32 parcelas em aberto e enviou um boleto no valor de R$ 19,2 mil. A mulher fez o pagamento, mas depois percebeu que foi vítima de um golpe.

A ação foi julgada procedente em primeiro grau para considerar a dívida quitada. O Tribunal de Justiça de São Paulo (TJ-SP), no entanto, reformou a sentença por entender que a fraude só foi possível devido à falta de diligência da consumidora.

Entre os indícios estão mensagens informais trocadas via WhatsApp e o fato de o boleto indicar banco e beneficiário diferentes do que é visto no contrato de financiamento, além de apresentar um número errado do documento.

Para a ministra Nancy Andrighi, porém, não era de se esperar que a consumidora reparasse nessas inconsistências quando a pessoa que a contatou em nome da financeira tinha em sua posse informações sigilosas a seu respeito.

Os fraudadores sabiam que a mulher era cliente da empresa, que havia encaminhado e-mail com o objetivo de quitar a dívida e tinham dados relativos ao financiamento contratado. São informações sigilosas, que deveriam ser protegidas pela instituição financeira.

"Desse modo, se tais dados chegaram ao conhecimento do criminoso, não há como se afastar a responsabilidade da recorrida pelo seu tratamento indevido — fato do serviço —, elemento que culminou na facilitação do golpe engendrado", concluiu a relatora.

Clique aqui para ler o acórdão
REsp 2.077.278

Fonte: Conjur - Consultor Jurídico - 18/10/2023