No primeiro trimestre de 2025, o Banco Central do Brasil identificou uma falha em seu sistema de segurança que resultou na exposição de dados cadastrais vinculados a 25.349 chaves PIX. Embora tenha assegurado que nenhum dado sensível, como senhas ou saldos financeiros, tenha sido afetado, o incidente acendeu o alerta sobre a necessidade de proteção rigorosa de dados pessoais.
Mesmo informações cadastrais, aparentemente inofensivas, podem ser utilizadas em golpes e fraudes, agravando a responsabilidade das instituições que lidam com dados dos usuários.
O que prevê a LGPD em casos de vazamento de dados?
A Lei Geral de Proteção de Dados (LGPD), em vigor desde 2020, determina que toda operação de coleta, armazenamento ou compartilhamento de dados deve garantir segurança adequada. O artigo 44 da LGPD estabelece que o tratamento de dados será considerado irregular se não oferecer a proteção que o titular pode esperar.
Além disso, o artigo 42 da lei permite que usuários prejudicados ingressem com ações judiciais para reparação de danos.
Responsabilidade do Banco Central e possíveis sanções
Apesar da natureza dos dados vazados, o Banco Central pode ser responsabilizado, uma vez que a LGPD não distingue o grau de sensibilidade dos dados para efeitos de proteção e segurança.
Entre as sanções possíveis estão:
Advertência formal;
Multa de até 2% do faturamento da instituição, limitada a R$ 50 milhões por infração;
Bloqueio ou eliminação dos dados pessoais afetados;
Publicidade obrigatória da infração cometida.
O que dizem os tribunais superiores sobre responsabilidade em vazamentos?
O Superior Tribunal de Justiça (STJ) já consolidou o entendimento de que o agente de tratamento é responsável pelos dados que coleta, ainda que o vazamento resulte de ataques cibernéticos ou falhas de terceiros. Esse entendimento foi reafirmado nos julgados do RESP 2.077.278 e RESP 2.147.374/SP.
Assim, a ocorrência de falha no sistema ou a atuação de terceiros não isenta a instituição da obrigação de garantir a proteção dos dados pessoais dos usuários.
Prevenção e gestão de riscos: o que as empresas devem fazer
Diante desse cenário, é essencial que empresas públicas e privadas:
Atualizem seus sistemas de segurança da informação;
Implementem protocolos internos robustos de proteção de dados;
Realizem treinamentos periódicos sobre a LGPD para seus colaboradores.
Falhas no cumprimento da legislação podem gerar não apenas penalidades financeiras, mas também danos irreversíveis à reputação da instituição, perda de faturamento e redução da competitividade no mercado.
A adoção de medidas preventivas se mostra indispensável para garantir a conformidade legal, preservar a confiança dos usuários e assegurar a sustentabilidade dos negócios no atual ambiente digital.
Vitor Henrique Mainardes - Especialista em Direito Civil e Empresarial pela PUC/PR e advogado no escritório Alceu Machado, Sperb & Bonat Cordeiro Advocacia.
