A Terceira Turma do Superior Tribunal de Justiça entendeu que a instituição financeira responde pelo vazamento de dados pessoais sigilosos do consumidor, relativos a operações e serviços bancários, obtidos por criminosos para a prática de fraudes, como o “golpe do boleto”.
Entenda o caso (REsp n° 2.077.278):
Trata-se de ação declaratória de inexigibilidade de débito por vazamento de dados bancários cumulada com indenização por danos morais e repetição do indébito.
A autora encaminhou e-mail para o banco solicitando informações sobre como quitar a operação. Dias depois, ela foi contatada pelo WhatsApp por uma suposta funcionária da instituição e recebeu um boleto no valor de cerca de R$ 19 mil. O boleto foi pago, mas depois a cliente descobriu que o documento havia sido emitido por criminosos.
O Juízo de primeiro grau julgou procedente a pretensão autoral para declarar válido o pagamento realizado por meio do boleto e condenar a instituição bancária a repetir os valores das parcelas recebidas.
Já o acórdão do TJSP deu provimento à apelação da BV Financeira e reformou a sentença para julgar improcedentes os pedidos da inicial.
Inconformada com a reforma, a autora interpôs recurso especial perante o STJ apontando violação às leis federais (Código Civil e Lei Geral de Proteção de Dados Pessoais).
A relatora do caso, Ministra Nancy Andrighi, citou a súmula n° 479/STJ que aduz que os bancos respondem de forma objetiva pelos fortuitos internos em caso de fraudes praticadas por terceiros:
Súmula n° 479/STJ: As instituições financeiras respondem objetivamente
pelos danos gerados por fortuito interno relativo a fraudes e delitos praticados
por terceiros no âmbito de operações bancárias.
Segundo a relatora: “Especificamente nos casos de golpes de engenharia social, não se pode olvidar que os criminosos são conhecedores de dados pessoais das vítimas, valendo-se dessas informações para convencê-las, por meio de técnicas psicológicas de persuasão – como a semelhança com o atendimento bancário verdadeiro –, a fim de atingir seu objetivo ilícito.”
A Ministra continua explicando que os dados pessoais vinculados a operações e serviços bancários são sigilosos e cujo tratamento com segurança é dever das instituições financeiras. Assim, seu armazenamento de maneira inadequada, a possibilitar que terceiros tenham conhecimento dessas informações e causem prejuízos ao consumidor, configura falha na prestação do serviço.
Ficou constatado que os criminosos detinham dados pessoais da cliente referentes às suas operações bancárias. A relatora também apontou que, embora o boleto falso tivesse diferenças em relação aos documentos verdadeiros, não se espera que uma pessoa comum seja sempre capaz de identificá-las.
Diante disso, citou o artigo 44 da LGPD que diz que o tratamento de dados pessoais será irregular quando deixar de observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar 1.
Dessa forma, a responsabilização do banco se deve pelo fato de o estelionatário ter o conhecimento de que a vítima era cliente da instituição financeira, saber que ela encaminhou e-mail com a finalidade de quitar sua dívida e também possuir dados relativos ao financiamento.
Assim, o Tribunal restabeleceu os termos da sentença
Escrito por Eduardo Bontempo (OAB/DF 58.017). Fonte da pesquisa: STJ.
