Como é sabido, a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/19) corrobora com o dever de proteção dos dados pessoais de qualquer pessoa natural e dispõe regras específicas que visam proteger os direitos fundamentais de liberdade e de privacidade e a livre formação da personalidade de cada indivíduo.
Nesse ponto, a Lei Geral de Proteção de Dados Pessoais dispõe em seu art. 17 que “Toda pessoa natural tem assegurada a titularidade de seus dados pessoais e garantidos os direitos fundamentais de liberdade, de intimidade e de privacidade”.
A proteção dos dados pessoais é um direito fundamental, autônomo, e inicialmente foi extraído da garantia da inviolabilidade da intimidade e da vida privada, prevista constitucionalmente através do art. 5º, inciso X[1].
Posteriormente, foi promulgada uma proposta de emenda constitucional, que inseriu dentro do art. 5º da Constituição Federal, o inciso LXXIX que dispõe que “é assegurado, nos termos da lei, o direito à proteção dos dados pessoais, inclusive nos meios digitais”.
E quando ocorre um vazamento de dados, de quem é a responsabilidade?
Conforme prevê a Lei Geral de Proteção de Dados Pessoais, “O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo”.
E nesse sentido, a Terceira Turma do STJ, ao julgar um Recurso Especial[2], entendeu que o tratamento indevido de dados pessoais bancários configura defeito na prestação de serviço, de modo que a instituição financeira é responsável pelo vazamento, principalmente porque deveria fazer um tratamento adequado.
O caso julgado, trata-se de uma Ação Declaratória de Inexigibilidade de Débito, por vazamento de dados bancários, movida por uma cliente de uma instituição financeira, que teve seus dados vazados, e posteriormente recebeu e pagou um boleto fraudulento que teria sido enviado por uma suposta funcionária da instituição.
Ao julgar o recurso, a Ministra Relatora Nancy Andrighi destacou que “o tratamento indevido de dados pessoais bancários configura defeito na prestação de serviço, notadamente quando tais informações são utilizadas por estelionatário para facilitar a aplicação de golpe em desfavor do consumidor”.
Frisou também, que no caso em particular que foi julgado, “pesa a favor do consumidor o fato de que o estelionatário tinha conhecimento de que o consumidor era cliente da instituição financeira recorrida e de que encaminhou e-mail à recorrida com a finalidade de quitar sua dívida, bem como possuía dados relativos ao financiamento obtido junto à instituição financeira”.
Logo, a conclusão foi de que as informações vazadas, sobretudo os dados pessoais bancários, são sigilosos e que o tratamento incumbe à entidade bancária com exclusividade, de modo que não haveria como afastar a responsabilidade da instituição.
Dessa forma, fica claro que as empresas devem se adequar às disposições previstas pela Lei Geral de Proteção de Dados Pessoais, principalmente no tocante ao tratamento e armazenamento adequado dos dados pessoais, a fim de evitar qualquer incidente.
[1] Art. 5º Todos são iguais perante a lei, sem distinção de qualquer natureza, garantindo-se aos brasileiros e aos estrangeiros residentes no País a inviolabilidade do direito à vida, à liberdade, à igualdade, à segurança e à propriedade, nos termos seguintes: […] X – são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação;
[2] STJ – REsp n. 2.077.278/SP, relatora Ministra Nancy Andrighi, Terceira Turma, julgado em 3/10/2023, DJe de 9/10/2023.
Mais informações
A Moreno Moro Advogados está à disposição para fornecer maiores informações sobre o tema. Entre em contato pelo e-mail <contato@morenomoro.com.br>.