No
primeiro trimestre de 2025, o Banco Central do Brasil identificou uma falha em
seu sistema de segurança que resultou na exposição de dados cadastrais
vinculados a 25.349 chaves PIX. Embora tenha assegurado que nenhum dado
sensível, como senhas ou saldos financeiros, tenha sido afetado, o incidente
acendeu o alerta sobre a necessidade de proteção rigorosa de dados pessoais.
Mesmo
informações cadastrais, aparentemente inofensivas, podem ser utilizadas em
golpes e fraudes, agravando a responsabilidade das instituições que lidam com
dados dos usuários.
O que
prevê a LGPD em casos de vazamento de dados?
A Lei
Geral de Proteção de Dados (LGPD), em vigor desde 2020, determina que toda
operação de coleta, armazenamento ou compartilhamento de dados deve garantir segurança
adequada. O artigo 44 da LGPD estabelece que o tratamento de dados será
considerado irregular se não oferecer a proteção que o titular pode esperar.
Além
disso, o artigo 42 da lei permite que usuários prejudicados ingressem com ações
judiciais para reparação de danos.
Responsabilidade
do Banco Central e possíveis sanções
Apesar da
natureza dos dados vazados, o Banco Central pode ser responsabilizado, uma vez
que a LGPD não distingue o grau de sensibilidade dos dados para efeitos de
proteção e segurança.
Entre as
sanções possíveis estão:
Advertência
formal;
Multa de
até 2% do faturamento da instituição, limitada a R$ 50 milhões por infração;
Bloqueio
ou eliminação dos dados pessoais afetados;
Publicidade
obrigatória da infração cometida.
O que
dizem os tribunais superiores sobre responsabilidade em vazamentos?
O Superior
Tribunal de Justiça (STJ) já consolidou o entendimento de que o agente de
tratamento é responsável pelos dados que coleta, ainda que o vazamento resulte
de ataques cibernéticos ou falhas de terceiros. Esse entendimento foi
reafirmado nos julgados do RESP 2.077.278 e RESP 2.147.374/SP.
Assim, a
ocorrência de falha no sistema ou a atuação de terceiros não isenta a
instituição da obrigação de garantir a proteção dos dados pessoais dos usuários.
Prevenção
e gestão de riscos: o que as empresas devem fazer
Diante
desse cenário, é essencial que empresas públicas e privadas:
Atualizem
seus sistemas de segurança da informação;
Implementem
protocolos internos robustos de proteção de dados;
Realizem
treinamentos periódicos sobre a LGPD para seus colaboradores.
Falhas no
cumprimento da legislação podem gerar não apenas penalidades financeiras, mas
também danos irreversíveis à reputação da instituição, perda de faturamento e
redução da competitividade no mercado.
A adoção
de medidas preventivas se mostra indispensável para garantir a conformidade
legal, preservar a confiança dos usuários e assegurar a sustentabilidade dos
negócios no atual ambiente digital.
Vitor
Henrique Mainardes - Especialista em Direito Civil e Empresarial pela
PUC/PR e advogado no escritório Alceu Machado, Sperb & Bonat Cordeiro Advocacia.
.png)