A Lei Geral de Proteção de Dados e as transações financeiras

   A Lei Geral de Proteção de Dados (Lei nº 13.709/18) promoveu uma profunda redefinição do dever de cuidado das cooperativas de crédito, elevando a proteção de dados de uma mera boa prática para uma obrigação legal cujo descumprimento atrai a responsabilidade civil objetiva da instituição e o dever de indenizar.

   Essa responsabilidade se materializa na prática judicial quando falhas de governança, como a ausência de um programa de conformidade ativo, a não nomeação de um Encarregado de Dados (DPO) ou a negligência na realização de Relatórios de Impacto (DPIA), resultam em incidentes de segurança. Nesses cenários, os tribunais aplicam a responsabilidade objetiva prevista no Código de Defesa do Consumidor fundamentada na teoria do risco do negócio.

   Note-se, entretanto, que essa responsabilidade não é incondicional, a responsabilidade das instituições financeiras pode ser afastada quando o incidente de segurança ou a transação fraudulenta ocorre por culpa exclusiva do consumidor.

   Em linguagem simples, isso acontece quando o próprio cooperado, por descuido ou ação deliberada, dá causa ao problema. A instituição financeira não será responsabilizada se comprovar que o dano foi resultado direto de uma falha de segurança do próprio usuário.

   Os casos mais comuns são quando o cooperado fornece sua senha, código de segurança, token ou dados do cartão para terceiros, seja um amigo, familiar ou até mesmo um golpista se passando por funcionário de um banco ou até mesmo da cooperativa.

   Ainda, ao clicar em links maliciosos recebidos por e-mail, SMS ou WhatsApp e preencher seus dados sensíveis em sites falsos que imitam a página oficial da instituição ou até mesmo de outras empresas.

Quando realiza transações financeiras em computadores utilizando redes de internet abertas (em aeroportos, cafés etc.) que podem estar infectadas ou ser monitoradas por fraudadores ou ao baixar e instalar softwares ou aplicativos de lojas não oficiais, que podem conter vírus "ladrões de dados" projetados para capturar informações financeiras.

E por fim, na demora injustificada em avisar a instituição sobre a perda, furto ou roubo do cartão ou do celular cadastrado para transações, permitindo que os criminosos tenham tempo para agir.

   Nessas situações, a justiça entende que a instituição financeira não teve falhas em seu sistema de segurança. O problema foi gerado por uma quebra do dever de cuidado que também pertence ao consumidor, o qual é o principal guardião de suas próprias senhas e informações pessoais.