Publicado em Deixe um comentário

ANPD DEFINE NOVA POLÍTICA INTERNA PARA FORTALECER A PROTEÇÃO DE DADOS PESSOAIS

A Autoridade Nacional de Proteção de Dados (ANPD) divulgou recentemente, em 7 de outubro, sua própria Política Interna de Proteção de Dados Pessoais. Essa nova diretriz estabelece os parâmetros que a própria autoridade deverá seguir no tratamento das informações pessoais que gerencia. Além de observar a Lei Geral de Proteção de Dados (Lei 13.709/18), a resolução da ANPD traz à tona a importância da privacidade desde a fase de concepção dos projetos e a adoção de boas práticas de segurança.

A ANPD reforça o compromisso com a aplicação do princípio da boa-fé e a diligência contínua ao longo de todo o ciclo de vida dos dados pessoais. A política também destaca a obrigatoriedade de utilizar bases legais adequadas para o tratamento dessas informações, além de implementar medidas de segurança técnicas e administrativas robustas. Adicionalmente, é previsto que a autoridade manterá um registro detalhado das operações de tratamento, garantindo maior controle e transparência.

Um dos princípios centrais dessa política é o tratamento estritamente necessário dos dados, ou seja, serão utilizados apenas os dados essenciais para atender às finalidades do tratamento. Após o término desse processo, os dados deverão ser eliminados de forma segura, assegurando, assim, o respeito à privacidade e à integridade das informações tratadas pela ANPD.

Publicado em Deixe um comentário

DECISÃO DO STJ: RESPONSABILIDADE DOS BANCOS NA PROTEÇÃO DE DADOS PESSOAIS

A inadequada manipulação de informações pessoais vinculadas a transações e serviços bancários é considerada uma violação na prestação do serviço, pois é responsabilidade das instituições financeiras garantir a confidencialidade desses dados sensíveis. Recentemente, a 3ª Turma do Superior Tribunal de Justiça emitiu uma decisão favorável em um recurso especial, no qual uma cliente caiu no “golpe do boleto” devido ao vazamento de seus dados por parte do banco.

A jurisprudência estabelece diretrizes para determinar quando os bancos podem ser responsabilizados por golpes de engenharia social, usando como base a Lei Geral de Proteção de Dados (LGPD).

Em termos gerais, a responsabilidade das instituições financeiras depende do tipo de informação em posse dos criminosos. Se forem dados genéricos que poderiam ser obtidos de outras fontes, mesmo que sejam considerados sensíveis, não haverá uma conexão causal. Isso ocorre quando os fraudadores utilizam informações como nome, sobrenome, estado civil, profissão, endereço, telefone, origem racial ou étnica, crença religiosa, orientação política, filiação a sindicatos, informações de saúde ou dados biométricos, por exemplo.

No entanto, os bancos podem ser responsabilizados quando os dados usados pelos criminosos estão relacionados às operações financeiras. Geralmente, essas informações são exclusivamente tratadas pelas instituições, que têm o dever de armazená-las com segurança.

A ministra relatora afirmou que “dados pessoais vinculados a operações e serviços bancários são sigilosos, e é responsabilidade das instituições financeiras garantir seu tratamento seguro. O armazenamento inadequado dessas informações, que permite que terceiros tenham acesso a elas e causem prejuízos aos consumidores, constitui uma falha na prestação do serviço”.

No caso específico que foi julgado, uma mulher contratou um financiamento de veículo em uma financeira e optou por quitar a dívida antecipadamente. Ela seguiu as instruções do site da instituição e enviou um e-mail solicitando informações sobre o contrato e o valor devido. Poucos dias depois, uma funcionária da financeira entrou em contato via WhatsApp, informando que havia 32 parcelas em aberto e enviando um boleto de R$ 19,2 mil. A cliente efetuou o pagamento, mas posteriormente percebeu que havia sido vítima de fraude.

O tribunal de primeira instância considerou a dívida quitada, mas o Tribunal de Justiça de São Paulo (TJ-SP) revogou a sentença, argumentando que a fraude ocorreu devido à falta de cautela da consumidora. Alguns indícios incluíam a troca de mensagens informais via WhatsApp e inconsistências no boleto, como o banco e o beneficiário indicados, que eram diferentes dos do contrato de financiamento, além de um número incorreto do documento.

Não era razoável esperar que a cliente percebesse essas discrepâncias, uma vez que a pessoa que a contatou em nome da financeira possuía informações confidenciais sobre ela. Os fraudadores tinham conhecimento de que a mulher era cliente da empresa, que havia enviado um e-mail para quitar a dívida e que tinham informações sobre o financiamento contratado. Essas informações são sigilosas e deveriam ser protegidas pela instituição financeira.

Portanto, se esses dados chegaram ao conhecimento dos criminosos, a responsabilidade da financeira não pode ser descartada devido ao tratamento inadequado dessas informações, o que facilitou a fraude.