Instituição financeira responde por tratamento indevido de dados usados em golpe

A Terceira Turma do Superior Tribunal de Justiça (STJ), ao julgar o REsp 2.077.278, em 2023, de relatoria da ministra Nancy Andrighi, definiu que a instituição financeira responde pelo defeito na prestação do serviço consistente no tratamento indevido de dados pessoais bancários, quando tais informações são utilizadas por estelionatário para aplicar golpe contra o consumidor.

No caso, uma mulher entrou em contato com seu banco por email solicitando orientações sobre como quitar o financiamento de um veículo. Dias depois, recebeu por WhatsApp a mensagem de uma pessoa que se apresentou como funcionária do banco e propôs a liquidação, informando o número do contrato e outros dados. Acreditando se tratar de um procedimento legítimo, a cliente pagou um boleto de R$ 19 mil. Após o pagamento, sem obter resposta, ligou para o número oficial da instituição e descobriu que havia sido vítima de um golpe.

O juízo de primeiro grau declarou válido o pagamento e considerou o contrato de financiamento quitado. No entanto, o TJSP reformou essa decisão, por entender que o golpe foi facilitado pela comunicação informal e que as informações do boleto falso não correspondiam ao contrato original. O tribunal considerou que a cliente não tomou as precauções necessárias ao utilizar um canal não oficial para tratar da quitação, e afastou a responsabilidade do banco, atribuindo a culpa ao estelionatário e à própria vítima.

A relatora no STJ observou que os dados sobre operações bancárias são, em regra, de tratamento exclusivo pelas instituições financeiras, tendo a Lei Complementar 105/2001 estabelecido que tais instituições conservarão sigilo em suas operações ativas e passivas e nos serviços prestados (artigo 1º), constituindo dever jurídico dessas entidades não revelar informações que venham a obter em razão de sua atividade profissional, salvo em situações excepcionais.

Desse modo, segundo a ministra, o armazenamento de dados feito de maneira inadequada, possibilitando que terceiros tenham conhecimento de informações sigilosas e causem prejuízos ao consumidor, configura defeito na prestação do serviço (artigo 14 do Código de Defesa do Consumidor e artigo 44 da LGPD).

“Não há como afastar a responsabilidade da instituição financeira pela reparação dos danos decorrentes do famigerado golpe do boleto, uma vez que os criminosos têm conhecimento de informações e dados sigilosos a respeito das atividades bancárias do consumidor. Isto é, os estelionatários sabem que o consumidor é cliente da instituição e que encaminhou email à entidade com a finalidade de quitar sua dívida, bem como possuem dados relativos ao próprio financiamento obtido (quantidade de parcelas em aberto e saldo devedor)”, disse.

Fonte: Comunicação do STJ.