Para advogados, Bacen "beira a má-fé" ao dizer que os dados não eram sensíveis

Informações vazadas valem ouro. Com elas, estelionatários podem falsificar documentos, abrir novas contas em bancos e tomar empréstimos.

Marcello Casal Jr./Agência Brasil

Com a notícia do último vazamento de chaves Pix pelo Banco Central (Bacen), com 160 mil dados de clientes, incluindo informações como nome, CPF, instituição financeira e número da conta, especialistas alertam os usuários para o alto risco de golpes.

Com tais dados, estelionatários podem tentar extrair mais dados e enganar o usuário, fazendo empréstimos e sacando dinheiro. Os dados, vazados entre 4 e 5 de dezembro, eram de responsabilidade da Acesso Soluções em Pagamento. Em setembro, o Banco do Estado de Sergipe também já havia registrado o vazamento de 395 mil chaves Pix.

De acordo com a PSafe, maior empresa de cibersegurança da América Latina, o estelionato foi o campeão em números de tentativas de fraude de janeiro a novembro de 2021. No período, a empresa bloqueou mais de 44 milhões de tentativas. Apenas em cinco dias de dezembro, a empresa identificou mais de 500 mil tentativas de golpe envolvendo o Pix. 

Caroline Kersting, advogada especializada em Direito Digital e parceira do Damiani Sociedade de Advogados, explica que, para fraudadores e estelionatários, as informações vazadas "são tão valiosas quanto ouro porque, uma vez em posse desses dados, falsificam documentos, abrem novas contas em bancos e tomam empréstimos, vindo o titular das informações cadastrais a sofrer os prejuízos desse vazamento". Diante disso, os titulares, muitas vezes com seus nomes já negativados, recorrem ao Poder Judiciário para declarar a inexistência das relações jurídicas estabelecidas pelos criminosos e buscar indenizações morais.

"Portanto, o Banco Central afirmar que existe um baixo impacto potencial para os milhares de usuários atingidos, além de desrespeitoso, beira a má-fé, porque ofende a proteção conferida pela LGPD e fere gravemente o direito fundamental à privacidade, previsto na Constituição Federal", afirma.

Sofia Rezende, do Núcleo de LGPD do Nelson Wilians Advogados, lembra que os titulares dos dados vazados devem redobrar a atenção para mensagens e links vindos de telefones desconhecidos, suspeitar de telefonemas, e-mails e páginas que simulem ser da instituição financeira, e jamais fornecer informações pessoais, códigos ou senhas. Ela lembra que o Regulamento do Pix deixou claro que as instituições financeiras têm o dever de responsabilizar-se por fraudes decorrentes de falhas nos seus próprios mecanismos de gerenciamento de riscos.

Iara Peixoto Melo, especialista em LGPD, sócia do Chenut Oliveira Santiago Advogados, também reforça que é preciso redobrar a atenção, pois muitas vezes, dados cadastrais são utilizados por malfeitores para aplicar golpes e outros tipos de fraudes. "Infelizmente, os casos de vazamento de dados são cada vez mais recorrentes. É importante que as instituições reforcem a segurança de seus sistemas para evitar este tipo de incidente", diz.

Wilson Sales Belchior, sócio do RMS Advogados, diz que é preciso distinguir o potencial dos riscos entre um vazamento de dados cadastrais e outro de informações protegidas pelo sigilo bancário. O vazamento de dados cadastrais por uma falha sistêmica não invalida o meio de pagamento instantâneo, mas reforça a importância de utilizar os recursos disponíveis em benefício da privacidade, como a chave aleatória, limites transacionais, e se manter atento para eventuais tentativas de fraude. 

Para Sofia Coelho, sócia de Daniel Gerber Advogados, especialista em Direito Público, Penal e Consumidor, "o vazamento dos dados tais como nome de usuário, CPF, instituição de relacionamento, número da agência e da conta são dados sensíveis, diferente da justificativa do Bacen. Tais informações deveriam ser estritamente sigilosas e de acesso restrito, mas novamente o Banco Central cometeu falha inaceitável, já que umas das propostas da ferramenta Pix seria não só baixar o custo, mas aumentar a segurança e aprimorar a experiência dos clientes".

O advogado Bruno Guerra de Azevedo, especialista na área de Direito Digital e LGPD e coordenador do SGMP Advogados, explica que "como guardião desses dados vazados, tanto o Banco Central quanto as instituições financeiras com quem os titulares das informações comprometidas possuem vínculos são considerados controladores e operadores das informações violadas, nos moldes do artigo 5º, VI e VII da LGPD, podendo ser responsabilizados administrativamente pela Autoridade Nacional de Proteção de Dados, bem como judicialmente". "Estão sujeitos não só ao enfrentamento de ações individuais por parte dos titulares das informações comprometidas, mas também ao ingresso de demandas pelo Ministério Público Estadual ou Federal, cada um dentro de sua competência, Procons estaduais, entre outras entidades — dado que o dano gerado atingiu uma coletividade —, a exemplo da ACP nº 0736634-81.2020.8.07.0001, movida pelo MP-DF em face do Serasa".