Dados pessoais bancários e financeiros são considerados dados sensíveis para a LGPD?

1. Classificação dos dados pessoais e dos dados pessoais sensíveis

Com a entrada em vigor da Lei Geral de Proteção de Dados Pessoais (LGPD), muito se tem questionado acerca dos dados pessoais e daqueles considerados sensíveis. Nesse contexto, os dados bancários dos titulares de dados não estão catalogados como sensíveis, no entanto, é certo que causam ou têm chances de causar danos financeiros, gerando, pois, riscos reais às liberdades civis e aos direitos fundamentais.

Cumpre esclarecer que, assim como o Código de Defesa do Consumidor (CDC), a LGPD traz uma série de definições e princípios próprios, o que corrobora com a especificidade técnica esperada de um microssistema legal. Destarte, a definição de dado pessoal está no inciso I do art. 5º e a definição de dado pessoal sensível está no inciso II do mesmo artigo.

 2. A criticidade dos dados bancários: riscos e danos aos titulares

Os dados bancários são um ativo valioso no mercado e, com isso, surge uma discussão entre privacidade e segurança, conceitos que não podem ser confundidos. Isso porque, o direito à privacidade é muito mais amplo e dentro dele há o aspecto de segurança da informação, devendo as companhias adotarem as medidas de defesa necessárias, salvaguardas e mecanismos de mitigação, incluindo os casos de violação de dados, que rompe com o famigerado princípio da finalidade, elementar no ordenamento jurídico no tocante à proteção e privacidade dos dados pessoais.

Assim sendo, as instituições bancárias, mesmo antes da LGPD, adotavam normas para a proteção dos dados pessoais de seus titulares, tais quais a lei 4.658/2018, que dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil.

Um sistema envolve procedimentos, pessoas, programas, equipamentos, regras internas, leis e outros aspectos legais. As visões de uma arquitetura de sistemas indicam que um sistema distribuído é formado por um conjunto de conhecimentos multidisciplinares.

Daí porque, a privacidade envolve múltiplos aspectos de controle de acesso, rastreabilidade, conhecimento das finalidades declaradas e executadas, procedimentos de descaracterização dos dados e precisão. Isso envolve os requisitos funcionais dos sistemas (aquelas funções que o titular de dados enxerga claramente quando pretende usar e/ou contratar produtos e serviços, e os requisitos catalogados como não funcionais, como usabilidade, volume, acesso simultâneo, desempenho, segurança, integridade, rastreabilidade, disponibilidade, privacidade, entre outros.

3. Dados bancários são considerados dados pessoais sensíveis?

No judiciário surgiram decisões reconhecendo o dever de indenizar quando da ocorrência de vazamento ou exposição indevida de dados pessoais financeiros¹, com a expressa menção de que tais dados seriam sensíveis, surgindo, assim, a dúvida: com o advento da LGPD os dados pessoais financeiros são considerados sensíveis?

Da leitura do art. 5º, II da LGPD não é possível subsumir o dado financeiro ou bancário como dado sensível, pois a definição deste tipo especial de dado pessoal foi feita utilizando-se taxativamente um conjunto de subcategorias de dados pessoais para compô-lo. Assim, parece não restar dúvidas ou haver dissenso na doutrina de que se trata de um rol fechado.

Outro argumento pela taxatividade do rol do inciso II - dados pessoais sensíveis - é o princípio da legalidade. Como à categoria dos dados pessoais sensíveis é dispensado tratamento especial e a legislação lhe impõe normas mais restritivas e maiores deveres de cuidado, culminando em imposição de obrigações legais, não poderia unicamente a interpretação elastecer o conceito.

Em uma análise de direito comparado, percebe-se que o artigo 9º da GDPR traz exatamente a mesma definição para os dados pessoais sensíveis, inclusive utilizando-se da mesma técnica de redação já mencionada.

Sendo assim, em uma abordagem técnico-jurídica e à luz da legislação atual, os dados pessoais financeiros ou bancários não são classificados como sensíveis.

Contudo, há fundamento legal razoável apto a justificar que tais dados devam ser tratados com cuidados técnicos especiais e que seu vazamento ou uso indevido podem ensejar reparações próprias para sua natureza peculiar, conforme passa-se a demonstrar:

Como já foi dito, a jurisprudência pátria já correlacionou o sigilo dos dados pessoais financeiros à proteção da intimidade. Não é difícil perceber que, no atual momento e circunstâncias da sociedade moderna, descortinar a vida financeira de alguém é praticamente o mesmo que adentrar e devassar a própria vida íntima dessa pessoa, a qual, conforme explanado, possui proteção constitucional e legal pelo Código Civil.

E mais, conhecendo dados financeiros de titular identificável, é possível descobrir dados pessoais sensíveis desse titular, tais como filiação a sindicato ou a organização de caráter religioso, filosófico ou político (identificando o pagamento de mensalidade a uma instituição, como a maçonaria por exemplo), dado referente à saúde (identificando o pagamento a um profissional de saúde, como um renomado especialista em oncologia por exemplo) e dado referente à vida sexual (como pagamentos em estabelecimentos especializados desse segmento).

4. A segregação dos dados pessoais, dados pessoais sensíveis e dos dados críticos

Um sistema mapeado considerando os atributos técnicos de funcionalidades e não funcionalidades, especialmente os sistemas bancários, tratam dados pessoais inter-relacionados, entre eles dados sensíveis como a biometria, a fim de oferecer segurança aos seus titulares de dados. 

A LGPD não catalogou os dados bancários como sendo dados pessoais sensíveis, surgindo, daí, um questionamento e, por que não, uma terceira possibilidade, que é justamente a de reputar alguns dados pessoais como críticos, pois o potencial de danos aos titulares pode trazer consequências drásticas, ferindo a dignidade da pessoa humana, como é o caso de violação de dados bancários que gera prejuízo de ordem financeira ao titular, que busca perante as instituições as responsabilidades pelo desvio de finalidade, afinal, um cracker, ao invadir a base de dados e praticar crime, inevitavelmente, faz o uso com desvio de finalidade dos dados pessoais daquele cliente, ocasionando transferências, pagamentos indevidos e assim por diante, em prejuízo dos titulares de dados e, consequentemente, das instituições financeiras que, em muitos casos, terão que reparar os seus clientes.

Diante dessa situação, é essencial o detalhamento do processamento dos dados, a análise do processamento, incluindo relações com terceiros, identificação dos controles, processos para a triagem e a análise de eventos e ameaças para o titular de dados e a produção de relatório com essas informações e a mitigação de riscos, propostas de medidas técnicas e organizacionais apropriadas, com envio para aprovação ou recusa ao DPO (Data Protection Officer).

É importante considerar que os dados financeiros podem levar à associação e à descoberta de outros dados, incluindo sensíveis, razão pela qual, muito embora a LGPD não tenha classificado os dados bancários como sensíveis, tais dados são capazes de gerar danos complexos aos titulares de dados e, portanto, demandam uma classificação de, no mínimo, como dados críticos, adotando-se medidas mais eficazes para o tratamento desses dados.

5. A base legal para tratamento dos dados pessoais bancários

A Lei Geral de Proteção de Dados Pessoais concedeu uma maior proteção aos dados sensíveis, em razão disso, quando o tratamento os envolver, não cabe a base do legítimo interesse. Em se tratando dos dados bancários, teremos então a possibilidade de utilizar diversas das bases de dados, dentre elas, o legítimo interesse, motivo pelo qual é tão importante analisar a atividade de tratamento aliada à sua finalidade para a melhor escolha da base no caso em concreto.

Os dados críticos requerem maior atenção do agente de tratamento no cumprimento dos princípios da prevenção e prestação de contas, de forma a demonstrar a adoção de medidas seguras e eficazes para prevenir a ocorrência de danos ao titular de dados pessoais, o que repercute diretamente na sua reputação perante o seu usuário e, consequentemente, no seu valor de mercado - equity -.

6. Considerações finais

Embora os dados pessoais bancários e financeiros não sejam tecnicamente enquadrados como dados sensíveis pela LGPD, merecem tratamento e cuidados especiais, pois possuem proteção jurídica própria relacionada ao direito à intimidade, bem como têm o potencial de vulnerar dados pessoais sensíveis assim definidos, além, é claro, da observância dos sigilos fiscal e bancário.

Conclui-se que tais dados não são classificados como sensíveis, mas devem ter um tratamento diferenciado e ser classificados em uma categoria extralegal intermediária: a dos dados críticos.

----------

1 Vide excerto do acórdão proferido pelo TJ/SP na apelação cível 1013189-92.2018.8.26.0003: "Apesar de o consumidor ter entregado o cartão para criminosos, fato é que a Instituição Financeira não cuidou da privacidade de dados sensíveis dos autores, tampouco preveniu a ação criminosa de forma efetiva, como poderia esperar o consumidor."