O acesso ilegal a informações sobre dados bancários de servidores da prefeitura de Curitiba que tiveram salários roubados, agora em investigação pela Polícia Civil do Paraná, expõe fragilidades. Por si só, a abertura de contas com dados fraudados, afirma especialista e normativas consultadas pela reportagem, já configura violação de lei. Ao mesmo tempo, o fato também gera dúvidas: afinal, de quem é a culpa ou quem tem de se responsabilizar pelos eventuais prejuízos?
Em 2004, o Superior Tribunal de Justiça (STJ) editou súmula configurando relação jurídica de consumo entre instituições financeiras e seus clientes. A decisão submeteu os bancos às disposições do Código de Defesa do Consumidor (CDC). Com exceções, a legislação determina que “o fornecedor de serviços responde, independentemente da existência de culpa, pela reparação dos danos causados aos consumidores por defeitos relativos à prestação dos serviços, bem como por informações insuficientes ou inadequadas sobre sua fruição e riscos”.
A medida deu mais peso a políticas de proteção de direitos dos correntistas, que entraram em novo nível de atenção com o crescimento dos suportes bancários digitais. Hoje, segundo a Federação Brasileira de Bancos (Febraban), mais da metade das operações de bancos já são feitas pelo celular. A mudança no perfil das transações aliviou agências, mas exigiu mais atenção aos direitos de privacidade dos clientes. Em 2018, a Lei Geral de Proteção de Dados (LGPD) englobou a disciplina.
Nos episódios relatados pelos servidores da prefeitura de Curitiba, o cerne está justamente no acesso às informações pessoais e profissionais dos funcionários. Com os dados restritos em mãos, golpistas abriram contas falsas em nome das vítimas e solicitaram portabilidade à Caixa Econômica Federal (CEF), banco pelo qual a administração municipal paga os vencimentos. A portabilidade é um recurso legal, mas, nestes casos, não foi solicitada pelo cliente e desviou o dinheiro para as contas simuladas. Pelo menos vinte servidores encontraram o nome associado a contas que não reconheceram.
A frequência assustou. Os casos isolados do começo do ano se espalharam e ainda mais contas falsas foram abertas no começo deste mês, às vésperas do pagamento da primeira parcela do 13º salário.
Ao Plural, a prefeitura de Curitiba não chegou a refutar a possibilidade de um vazamento interno, uma das hipóteses levantadas por seus funcionários. Contudo, afirmou que o sistema próprio de gestão de pessoal tem barreiras suficientes para dificultar a invasão de hackers. Já a CEF defendeu que a portabilidade tem caráter obrigatório, portanto, não poderia ser negada. Segundo o banco, a responsabilidade tanto da correta identificação do cliente quanto da conferência dos documentos apresentados é “da instituição financeira solicitante e detentora da conta destino” – ou seja, a da portabilidade.
A advogada Amanda Cavallaro, associada e head de privacidade e inovação no escritório Martinelli & Guimarães, diz que a Caixa tem razão quando cita a obrigatoriedade que a portabilidade não pode ser recusada se solicitada. O mecanismo está previsto em resolução específica do Banco Central (BC), cujo texto assegura “a faculdade de transferência, com disponibilidade no mesmo dia, dos créditos para conta de depósitos de titularidade dos beneficiários”.
Mas isso não significa, pondera a especialista, uma isenção completa de compromisso da CEF.
“Acontece que essa mesma resolução também diz, de modo bem expressivo, que a indicação da conta a ser creditada deve ser objeto de comunicação pelo beneficiário à instituição financeira contratada, por escrito ou mediante utilização de meio eletrônico legalmente aceito como instrumento de relacionamento formal. Essa disposição serve justamente para promover a segurança dos clientes e impedir situações como as das fraudes. Desse modo, caberia à Caixa Econômica verificar a autenticidade desses requerimentos, como previsto na regulação, e, portanto, como não o fez, é caso de se responsabilizar solidariamente pelos danos causados aos servidores”, diz a advogada, pós-graduanda em Segurança Digital, Governança e Gestão de Dados.
A advogada ressalta que existe hoje uma obrigação efetiva dos bancos em estabelecer altos padrões de segurança informacional para garantir os direitos de clientes, em conformidade com a Lei Geral de Proteção de Dados. Supervisionada pela Autoridade Nacional de Proteção de Dados (ANPD), a regulamentação estabelece requisitos para o uso, o armazenamento e o compartilhamento de informações pessoais e sensíveis de clientes e consumidores, e se aplica não só às organizações financeiras, mas a qualquer instituição pública ou privada brasileira que utiliza dados pessoais em suas operações e atividades.
Cumprir a LGPD significa, por exemplo, possuir um local seguro e privado para armazenar os as informações, realizar treinamento específico com a equipe profissional, além de restringir o acesso aos que efetivamente necessitarem.
Nos episódios que envolveram os servidores da prefeitura, as contas foram abertas pelo internet banking ou aplicativos com documentos manipulados. O distanciamento físico dos procedimentos digitais favoreceu o golpe, pois foram apresentados documentos com dados das vítimas e fotos dos estelionatários, sendo menos perceptível a falsificação.
Mas segundo Cavallaro, ao mesmo tempo em que os bancos têm responsabilidade pela garantia das informações que possuem, também existe o dever de verificar a autenticidade dos dados recebidos, em especial na abertura de contas.
“Desse modo, as instituições financeiras que abrirem contas fraudulentas com dados pessoais violam a lei [LGPD] e devem indenizar. Contudo, existem exceções. É o caso de quando os bancos conseguem comprovar que não estão em posse dos dados do suposto novo cliente, ou que, embora os tenham, não houve violação da LGPD, e até mesmo que o dano é decorrente de culpa exclusiva de terceiros ou até mesmo do próprio cliente lesado”, explica.
A Febraban foi procurada, mas não se manifestou.
Em dezembro do ano passado, o Conselho de Autorregulação da federação aprovou normativa que redobra a cobrança de zelo com o tratamento dos dados pessoais de correntistas. O ato estabelece princípios e diretrizes comuns que devem ser adotadas pelas instituições financeiras, entre elas prazos mais céleres de resposta aos titulares de dados como nos casos relatados pelos servidores de Curitiba.
Sobre o/a autor/a
