Perfis fakes em aplicativos de mensagens: a responsabilidade por fraudes decorrentes da utilização de dados pessoais vazados

Perfis fakes em aplicativos de mensagens: a responsabilidade por fraudes decorrentes da utilização de dados pessoais vazados

Carolina da Rosa Roncatto e Júlia Gessner*

03 de junho de 2022 | 08h00

Carolina da Rosa Roncatto e Júlia Gessner. FOTOS: DIVULGAÇÃO

Há um certo tipo de fraude que tem ganhado força ultimamente, consistente na criação de uma conta falsa em um aplicativo de troca de mensagens, através da utilização de nome e foto de terceiro. A partir daí, o golpista passa a enviar mensagens para familiares e conhecidos desse terceiro, afirmando que este teria trocado de número, para posteriormente solicitar a transferência de algum valor, sob as mais criativas justificativas.

A dinâmica deste golpe, ao contrário do que muitos podem pensar, não abrange qualquer complexidade tecnológica, tampouco acesso à respectiva agenda de contatos do terceiro ou às mensagens do respectivo aplicativo. Na verdade, o municiamento dos golpistas geralmente ocorre a partir da aquisição, por meio de fóruns anônimos na internet, de imensas listas de dados pessoais vazadas de órgãos públicos e/ou empresas, com informações pessoais básicas de milhões de pessoas, como nome completo, número de telefone e nomes dos pais. A partir de então, o fraudador simplesmente busca uma foto do terceiro, normalmente em redes sociais ou no próprio aplicativo de mensagens, e, de posse dos números de telefone dos familiares e conhecidos, obtidos pela mesma lista adquirida, passa a enviar as mensagens fraudulentas.

Não obstante a possibilidade de responsabilização da empresa e/ou órgão perante os órgãos regulatórios, o que se pretende analisar aqui é a relação individual entre o agente cujos dados pessoais tratados foram vazados (empresa e/ou órgão) e a vítima da fraude decorrente da utilização do produto do vazamento (dados pessoais).

Nesse sentido, cabe esclarecer inicialmente que o Código Civil Brasileiro prevê a necessidade do preenchimento de três requisitos básicos para a concessão de indenizações em geral: (i) a existência de um ato ilícito – doloso ou culposo –, (ii) a demonstração de um dano efetivo e (iii) o nexo de causalidade entre o ato ilícito e o dano. De forma complementar, o Código de Defesa do Consumidor prevê, para situações em que haja risco para a segurança – mesmo que apenas patrimonial – do consumidor, a responsabilidade objetiva do fornecedor, que relativiza a necessidade do dolo ou culpa, de modo que somente há necessidade de demonstração do ato – mesmo que sem dolo ou culpa –, dano e nexo causal.

Já a Lei Geral de Proteção de Dados (LGPD) estabelece que o tratamento de dados pessoais que cause danos ao titular – como na ocorrência de vazamentos – poderá ensejar a configuração da responsabilidade civil dos agentes de tratamento, desde que presentes: (i) a atividade de tratamento de dados pessoais, (ii) o dano e (iii) o nexo de causalidade entre um e outro. E a própria LGPD dispõe que as hipóteses de violação do direito do titular no âmbito das relações consumeristas permanecem sujeitas às regras de responsabilidade previstas na legislação pertinente, o que torna inequívoca a necessidade de análise conjunta de ambas as legislações (CDC e LGPD) quando o tratamento de dados pessoais ocorre dentro do ambiente de consumo.

Pois bem, presumindo-se a ocorrência de um efetivo vazamento de dados pessoais tratados por algum fornecedor de bens e serviços, tanto a legislação consumerista, como de proteção a dados pessoais, preveem a responsabilidade do agente de tratamento por eventuais danos causados a terceiros, salvo nas hipóteses previstas em ambas, de exclusão de responsabilidade, o que deve ser verificado caso a caso.

O dano material sofrido pela vítima de eventual golpe será bastante evidente quando houver transferência de valores, podendo, em situações específicas, também ser moral, quando houver danos à imagem ou situação de profundo abalo psíquico, por exemplo.

No entanto, o nexo causal entre o ato e o dano, terceiro requisito para estabelecimento do dever de indenizar, parece ser quase impossível de ser demonstrado em situações concretas. Isso porque, sem que o titular saiba qual a origem do vazamento de seus dados pessoais, jamais poderá estabelecer relação de causa e consequência entre o uso indevido e o prejuízo sofrido. Neste ponto, seria indispensável ao postulante comprovar que a fraude da qual foi vítima foi realizada com a utilização de dados vazados de uma fonte específica, qual seja, a parte ré na ação indenizatória, o que muito provavelmente seria possível apenas com a apreensão do material usado pelo fraudador.

Finalmente, cabe esclarecer que, mesmo em relações regidas pela lei consumerista, não seria possível a concessão de eventual indenização simplesmente pela ocorrência de algum vazamento, caso não demonstrado o dano – que deve ser efetivo, jamais hipotético ou potencial –, indispensável inclusive para balizar o valor da reparação. Nestes casos, caberia tão somente a atuação do órgão regulatório competente.

Conclui-se, assim, que os vazamentos de dados pessoais, a partir de invasões a bancos de dados de instituições públicas e privadas, têm alimentado um grande mercado de fraudes, o qual se encontra em franca expansão, razão pela qual o seu combate é medida de interesse público. Diante desse cenário, no plano coletivo, está na ordem do dia o enraizamento de boas práticas no tratamento de dados por agentes públicos e privados, incluindo uma comunicação ágil quando da ocorrência de incidentes de segurança que possam acarretar riscos aos titulares, apta a permitir a adoção de medidas para evitar e/ou minorar tais riscos.

No plano individual, no entanto, mesmo que aplicadas as legislações protetivas do consumidor e de dados pessoais, eventual concessão de indenizações a tal título, dependerá, não apenas da demonstração do dano sofrido, mas também do nexo de causalidade com algum vazamento específico.

*Carolina da Rosa Roncatto e Júlia Gessner Strack, advogadas, são sócias de Silveiro Advogados

Tudo o que sabemos sobre:

Artigo

Comentários

Os comentários são exclusivos para assinantes do Estadão.