domingo, 24 de outubro de 2021

MIGALHAS DE PESO

fechar

Cadastre-se para receber o informativo gratuitamente

  1. Home >
  2. De Peso >
  3. Dados pessoais bancários e financeiros são considerados dados sensíveis para a LGPD?

Dados pessoais bancários e financeiros são considerados dados sensíveis para a LGPD?

Dayane Marciano de Oliveira Castro title=VIPDayane Marciano de Oliveira Castro, Janini Nogueira D'Alessandro Mano e Thainá Baronovsky title=VIPThainá Baronovsky

O objetivo desse artigo é desmistificar a categoria dos dados pessoais bancários e financeiros à luz de conceitos legais e técnicos.

quarta-feira, 18 de agosto de 2021

(Imagem: Arte Migalhas)

(Imagem: Arte Migalhas)

1. Classificação dos dados pessoais e dos dados pessoais sensíveis

Com a entrada em vigor da Lei Geral de Proteção de Dados Pessoais (LGPD), muito se tem questionado acerca dos dados pessoais e daqueles considerados sensíveis. Nesse contexto, os dados bancários dos titulares de dados não estão catalogados como sensíveis, no entanto, é certo que causam ou têm chances de causar danos financeiros, gerando, pois, riscos reais às liberdades civis e aos direitos fundamentais.

Cumpre esclarecer que, assim como o Código de Defesa do Consumidor (CDC), a LGPD traz uma série de definições e princípios próprios, o que corrobora com a especificidade técnica esperada de um microssistema legal. Destarte, a definição de dado pessoal está no inciso I do art. 5º e a definição de dado pessoal sensível está no inciso II do mesmo artigo.

 2. A criticidade dos dados bancários: riscos e danos aos titulares

Os dados bancários são um ativo valioso no mercado e, com isso, surge uma discussão entre privacidade e segurança, conceitos que não podem ser confundidos. Isso porque, o direito à privacidade é muito mais amplo e dentro dele há o aspecto de segurança da informação, devendo as companhias adotarem as medidas de defesa necessárias, salvaguardas e mecanismos de mitigação, incluindo os casos de violação de dados, que rompe com o famigerado princípio da finalidade, elementar no ordenamento jurídico no tocante à proteção e privacidade dos dados pessoais.

Assim sendo, as instituições bancárias, mesmo antes da LGPD, adotavam normas para a proteção dos dados pessoais de seus titulares, tais quais a lei 4.658/2018, que dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil.

Um sistema envolve procedimentos, pessoas, programas, equipamentos, regras internas, leis e outros aspectos legais. As visões de uma arquitetura de sistemas indicam que um sistema distribuído é formado por um conjunto de conhecimentos multidisciplinares.

Daí porque, a privacidade envolve múltiplos aspectos de controle de acesso, rastreabilidade, conhecimento das finalidades declaradas e executadas, procedimentos de descaracterização dos dados e precisão. Isso envolve os requisitos funcionais dos sistemas (aquelas funções que o titular de dados enxerga claramente quando pretende usar e/ou contratar produtos e serviços, e os requisitos catalogados como não funcionais, como usabilidade, volume, acesso simultâneo, desempenho, segurança, integridade, rastreabilidade, disponibilidade, privacidade, entre outros.

3. Dados bancários são considerados dados pessoais sensíveis?

No judiciário surgiram decisões reconhecendo o dever de indenizar quando da ocorrência de vazamento ou exposição indevida de dados pessoais financeiros1, com a expressa menção de que tais dados seriam sensíveis, surgindo, assim, a dúvida: com o advento da LGPD os dados pessoais financeiros são considerados sensíveis?

Da leitura do art. 5º, II da LGPD não é possível subsumir o dado financeiro ou bancário como dado sensível, pois a definição deste tipo especial de dado pessoal foi feita utilizando-se taxativamente um conjunto de subcategorias de dados pessoais para compô-lo. Assim, parece não restar dúvidas ou haver dissenso na doutrina de que se trata de um rol fechado.

Outro argumento pela taxatividade do rol do inciso II - dados pessoais sensíveis - é o princípio da legalidade. Como à categoria dos dados pessoais sensíveis é dispensado tratamento especial e a legislação lhe impõe normas mais restritivas e maiores deveres de cuidado, culminando em imposição de obrigações legais, não poderia unicamente a interpretação elastecer o conceito.

Em uma análise de direito comparado, percebe-se que o artigo 9º da GDPR traz exatamente a mesma definição para os dados pessoais sensíveis, inclusive utilizando-se da mesma técnica de redação já mencionada.

Sendo assim, em uma abordagem técnico-jurídica e à luz da legislação atual, os dados pessoais financeiros ou bancários não são classificados como sensíveis.

Contudo, há fundamento legal razoável apto a justificar que tais dados devam ser tratados com cuidados técnicos especiais e que seu vazamento ou uso indevido podem ensejar reparações próprias para sua natureza peculiar, conforme passa-se a demonstrar:

Como já foi dito, a jurisprudência pátria já correlacionou o sigilo dos dados pessoais financeiros à proteção da intimidade. Não é difícil perceber que, no atual momento e circunstâncias da sociedade moderna, descortinar a vida financeira de alguém é praticamente o mesmo que adentrar e devassar a própria vida íntima dessa pessoa, a qual, conforme explanado, possui proteção constitucional e legal pelo Código Civil.

E mais, conhecendo dados financeiros de titular identificável, é possível descobrir dados pessoais sensíveis desse titular, tais como filiação a sindicato ou a organização de caráter religioso, filosófico ou político (identificando o pagamento de mensalidade a uma instituição, como a maçonaria por exemplo), dado referente à saúde (identificando o pagamento a um profissional de saúde, como um renomado especialista em oncologia por exemplo) e dado referente à vida sexual (como pagamentos em estabelecimentos especializados desse segmento).

4. A segregação dos dados pessoais, dados pessoais sensíveis e dos dados críticos

Um sistema mapeado considerando os atributos técnicos de funcionalidades e não funcionalidades, especialmente os sistemas bancários, tratam dados pessoais inter-relacionados, entre eles dados sensíveis como a biometria, a fim de oferecer segurança aos seus titulares de dados. 

A LGPD não catalogou os dados bancários como sendo dados pessoais sensíveis, surgindo, daí, um questionamento e, por que não, uma terceira possibilidade, que é justamente a de reputar alguns dados pessoais como críticos, pois o potencial de danos aos titulares pode trazer consequências drásticas, ferindo a dignidade da pessoa humana, como é o caso de violação de dados bancários que gera prejuízo de ordem financeira ao titular, que busca perante as instituições as responsabilidades pelo desvio de finalidade, afinal, um cracker, ao invadir a base de dados e praticar crime, inevitavelmente, faz o uso com desvio de finalidade dos dados pessoais daquele cliente, ocasionando transferências, pagamentos indevidos e assim por diante, em prejuízo dos titulares de dados e, consequentemente, das instituições financeiras que, em muitos casos, terão que reparar os seus clientes.

Diante dessa situação, é essencial o detalhamento do processamento dos dados, a análise do processamento, incluindo relações com terceiros, identificação dos controles, processos para a triagem e a análise de eventos e ameaças para o titular de dados e a produção de relatório com essas informações e a mitigação de riscos, propostas de medidas técnicas e organizacionais apropriadas, com envio para aprovação ou recusa ao DPO (Data Protection Officer).

É importante considerar que os dados financeiros podem levar à associação e à descoberta de outros dados, incluindo sensíveis, razão pela qual, muito embora a LGPD não tenha classificado os dados bancários como sensíveis, tais dados são capazes de gerar danos complexos aos titulares de dados e, portanto, demandam uma classificação de, no mínimo, como dados críticos, adotando-se medidas mais eficazes para o tratamento desses dados.

5. A base legal para tratamento dos dados pessoais bancários

A Lei Geral de Proteção de Dados Pessoais concedeu uma maior proteção aos dados sensíveis, em razão disso, quando o tratamento os envolver, não cabe a base do legítimo interesse. Em se tratando dos dados bancários, teremos então a possibilidade de utilizar diversas das bases de dados, dentre elas, o legítimo interesse, motivo pelo qual é tão importante analisar a atividade de tratamento aliada à sua finalidade para a melhor escolha da base no caso em concreto.

Os dados críticos requerem maior atenção do agente de tratamento no cumprimento dos princípios da prevenção e prestação de contas, de forma a demonstrar a adoção de medidas seguras e eficazes para prevenir a ocorrência de danos ao titular de dados pessoais, o que repercute diretamente na sua reputação perante o seu usuário e, consequentemente, no seu valor de mercado - equity -.

6. Considerações finais

Embora os dados pessoais bancários e financeiros não sejam tecnicamente enquadrados como dados sensíveis pela LGPD, merecem tratamento e cuidados especiais, pois possuem proteção jurídica própria relacionada ao direito à intimidade, bem como têm o potencial de vulnerar dados pessoais sensíveis assim definidos, além, é claro, da observância dos sigilos fiscal e bancário.

Conclui-se que tais dados não são classificados como sensíveis, mas devem ter um tratamento diferenciado e ser classificados em uma categoria extralegal intermediária: a dos dados críticos.

----------

1 Vide excerto do acórdão proferido pelo TJ/SP na apelação cível 1013189-92.2018.8.26.0003: "Apesar de o consumidor ter entregado o cartão para criminosos, fato é que a Instituição Financeira não cuidou da privacidade de dados sensíveis dos autores, tampouco preveniu a ação criminosa de forma efetiva, como poderia esperar o consumidor."

Atualizado em: 27/8/2021 08:26

Dayane Marciano de Oliveira Castro

VIP Dayane Marciano de Oliveira Castro

Techlawyer, MBA em Direito e TI pela POLI/USP, certificada EXIN Privacy and Data Protection, membro do Comitê Jurídico da ANPPD, instrutora LGPD do Grupo Alura, colaboradora do grupo IoT, coordenado por Reginaldo Arakaki, pós-graduada em Direito Penal e Processual Penal com ênfase em Cybercrimes pela PUC/SP.

Janini Nogueira D'Alessandro Mano

Janini Nogueira D'Alessandro Mano

Advogada especialista em Privacidade e Proteção de Dados. Pós-graduada em Direito Processual pelo Instituto Elpídio Donizetti. Possui especialização em Proteção de Dados Pessoais pelo Data Privacy Brasil. Bacharel em Direito pela PUC Minas.

Thainá Baronovsky

VIP Thainá Baronovsky

Advogada em Proteção de Dados, Tecnologia e Contratos. Sócia-fundadora do escritório Baronovsky Advogados. Pós-graduanda em Compliance Digital pelo Mackenzie. Membro do Comitê Jurídico da ANPPD.

AUTORES MIGALHAS

Busque pelo nome ou parte do nome do autor para encontrar publicações no Portal Migalhas.

Busca