SEGURANÇA DA INFORMAÇÃO – Usuário não deve aguardar notificação de vazamento do Pix, dizem advogados
Diante de novo vazamento — desta vez, de mais de 2.100 chaves Pix — anunciado pelo Bacen nesta quinta-feira (3/2), dados estes sob a responsabilidade da instituição financeira Logbank Soluções em Pagamentos S/A, o consumidor deve ficar atento e não aguardar passivamente notificação para saber se seus dados foram ou não invadidos. Afinal, tem havido uma sucessão de vazamentos, colocando em risco a credibilidade do sistema como um todo.
Na primeira semana de dezembro foram pirateados 160 mil dados cadastrais do Pix de clientes da Acesso Soluções de Pagamento — incidente só divulgado em 21 de janeiro último pelo Banco Central. Em setembro foram prejudicados usuários clientes do Banco do Estado de Sergipe (Banese).
Entidades de defesa do consumidor já se movimentam para exigir medidas mais efetivas ao Bacen e da ANPD (Autoridade Nacional de Proteção de Dados) para dar maior segurança ao sistema Pix, que tem se mostrado extremamente vulnerável. Enquanto isso, o Banco Central segue dizendo que os dados vazados não são sensíveis.
Os usuários que suspeitam que suas informações tenham sido expostas podem solicitar esclarecimentos à Logbank, encaminhando uma petição para os canais oficiais da instituição, com base no princípio da transparência, previsto no artigo 6º, IV, da Lei Geral de Proteção de Dados (LGPD). A informação é da advogada Caroline Kersting, especializada em Direito Digital e parceira do Damiani Sociedade de Advogados.
De acordo com a advogada, a LogBank, terá então o prazo de 15 dias para dar resposta clara e completa ao titular, “com base no artigo 19, inciso II, da mesma lei. Se a instituição financeira não responder, o titular dos dados pode apresentar petição contra ela perante a Agência Nacional de Proteção de Dados, de forma eletrônica, através do Portal do Governo”.
No entender de Caroline, se o usuário tiver conhecimento ou suspeita de que foi atingido pelo vazamento, a primeira providência a ser adotada é alterar a sua chave Pix. Depois, é recomendado registrar um boletim de ocorrência na polícia, comunicando o ocorrido, “para publicizar que foi vitimado e se resguardar de eventuais cobranças, caso criminosos venham, por exemplo, a fraudar seus documentos, abrir contas, pedir empréstimo ou contratar cartões de crédito em seu nome”.
É necessário que o titular fique atento a transações em sua conta bancária e cartão de crédito, assim como em eventuais correspondências, e-mails, ligações, mensagens que vier a receber, pois há chance de criminosos fazerem contato se passando por alguma empresa, alegando que o usuário possui algum débito (falso) em aberto, bem como abrirem cadastros em lojas e bancos no nome da vítima, o que irá gerar uma cobrança ‘”verdadeira”, mas que não deve ser paga.
“Neste sentido”, acrescenta o criminalista André Damiani, sócio fundador do Damiani Sociedade de Advogados e especialista em LGPD, “a vítima pode buscar reparação patrimonial e/ou moral pelo vazamento perante a Acesso Soluções Financeiras, com base no artigo 42 da LGPD, uma vez que essa instituição financeira é a controladora dos dados e tem o dever de guardá-los em segurança, mantendo-os privados — o que não foi feito”.
Caso venha a ter os documentos fraudados e créditos feitos em seu nome, o usuário deverá buscar anulação judicial, entrando na Justiça com uma Ação Declaratória de Inexistência de Relação Contratual com a loja ou banco que o estiver cobrando, pois é responsabilidade das empresas ter total conhecimento de que a pessoa que está se cadastrando realmente é quem informa ser.
Segundo Damiani, também é admissível o pedido de indenização por dano patrimonial, ou seja, em razão dos prejuízos financeiros que o usuário vier a ter, os quais devem ser comprovados. “Para tanto, é indispensável que o consumidor registre e guarde todos os documentos relativos à ocorrência dos prejuízos. Já o dano moral não necessita de comprovação, pois o sofrimento da vítima é subjetivo, uma vez que o vazamento do dado pessoal já representa por si só violação aos direitos fundamentais previstos constitucionalmente”, conclui.
Para Sofia Coelho, sócia de Daniel Gerber Advogados, especialista em Direito Público, Penal e Consumidor, “o vazamento dos dados tais como nome de usuário, CPF, instituição de relacionamento, número da agência e da conta são dados sensíveis, diferente da justificativa do Bacen”. “Tais informações deveriam ser estritamente sigilosas e de acesso restrito, mas novamente o Banco Central cometeu falha inaceitável, já que umas das propostas da ferramenta Pix seria não só baixar o custo, mas aumentar a segurança e aprimorar a experiência dos clientes.”
Por sua vez, Bruno Guerra de Azevedo, especialista na área de Direito Digital e LGPD e coordenador do SGMP Advogados , explica que o Banco Central e as instituições financeiras envolvidas nos vazamentos, são solidariamente responsáveis pelos dados comprometidos, uma vez são considerados controladores e operadores das informações violadas, “nos moldes do artigo 5º, VI e VII da LGPD, podendo sofrer sanções pela ANPD, bem como processos judiciais em decorrência dos fatos. Assim, todos os envolvidos estão sujeitos não só ao pagamento de multas administrativas, mas também a outras penalidades como a proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados, além da possibilidade de enfrentamento de ações judiciais individuais ou coletivas, dado que o vazamento atingiu inúmeros usuários do sistema Pix, a exemplo da ACP nº 0736634-81.2020.8.07.0001, movida pelo MPDFT em face do Serasa”, conclui Azevedo.
Conjur