Gratuidade do Pix não pode ser justificativa para falta de segurança, diz diretora da ANPD

Banco Central divulgou três episódios de vazamento de informações em seis meses, envolvendo 576,7 mil chaves Pix; Nairane Rabelo Leitão fala em medidas de segurança adicionais

Publicidade

PUBLICIDADE

Por Thaís Barcellos
3 min de leitura

BRASÍLIA - Os casos de vazamento de informações envolvendo o Pix, sistema de pagamento instantâneo criado pelo Banco Central, estão na mira e preocupam a Autoridade Nacional de Proteção de Dados (ANPD), especialmente diante da popularização do serviço. "Gratuidade do serviço não pode servir de justificativa para a falta de segurança da informação", diz Nairane Rabelo Leitão, diretora do órgão responsável por zelar pela proteção de dados pessoais no País.

O Banco Central divulgou três episódios de vazamento de informações em seis meses, envolvendo, no total, 576.785 chaves Pix, considerando os incidentes no Banco do Estado de Sergipe (Banese), na Acesso Soluções de Pagamento e na Logbank Soluções em Pagamento.

Leia também

Segundo a diretora da ANPD, já foram abertos processos no órgão para analisar os casos, e sanções podem ser aplicadas ao Banco Central e às instituições financeiras, com base na Lei Geral de Proteção de Dados (LGPD).

Nairane Rabelo Leitão: 'Existem processos abertos para tratar desses vazamentos e podem levar a sanções'. Foto: Edilson Rodrigues/Agência Senado - 19/10/2020

O BC, em todos os episódios, afirmou que as causas foram falhas pontuais nos sistemas das instituições financeiras. A autoridade monetária ainda admite que novos incidentes podem ocorrer se os participantes do Pix não adotarem as medidas previstas em seu regulamento. 

Além disso, o BC argumenta que os vazamentos ocorridos têm baixo impacto por só envolver dados cadastrais (nome, CPF, instituição de relacionamento, número da agência e da conta) e não informações sensíveis ou sigilosas, que permitiriam, por exemplo, a movimentação de recursos nas contas das pessoas afetadas. 

Mas Nairane afirma que essa relação não necessariamente é verdadeira e que é preciso uma apuração dentro do órgão para avaliar o impacto. Na lei, dados sensíveis são aqueles que podem gerar discriminação, como origem racial, convicção religiosa e opções políticas. 

Continua após a publicidade

Dentre as sanções aplicáveis em casos de vazamento de dados, a LGPD determina advertência, multas (somente para pessoas jurídicas de direito privado), publicidade da infração depois de confirmada ocorrência, além de bloqueio e eliminação de dados pessoais a que se refere a infração. Após ser aplicada ao menos uma dessas sanções, para o mesmo caso concreto, ainda é possível determinar a suspensão da atividade de tratamento de dados a que se refere a infração ou proibição total ou parcial da atividade. 

Leia abaixo os principais trechos da entrevista:

A ANPD foi avisada sobre os vazamentos envolvendo o Pix? Já há algum processo aberto? Se sim, quem poderia ser afetado por sanções: as instituições financeiras ou o Banco Central também?

Sim. A ANPD foi comunicada oficialmente. Existem processos abertos para tratar desses casos e podem levar a sanções, seja para o Banco Central ou as instituições financeiras envolvidas.

Há prazo para a apuração? Quais seriam as sanções aplicáveis?

Não há prazo. A sanção pode ser qualquer uma das aplicáveis elencadas no art. 52 da LGPD, com exceção da multa pecuniária caso a penalidade seja aplicada ao Banco Central, já que o inciso II somente se aplica a pessoas jurídicas de direito privado.

A recorrência de incidentes de segurança no Pix é preocupante?

Continua após a publicidade

Sim, especialmente porque o Pix vem sendo cada vez mais utilizado pelos cidadãos brasileiros, por ser um serviço instantâneo e gratuito. Entretanto, gratuidade do serviço não pode servir de justificativa para a falta de segurança da informação. A LGPD assegura os direitos dos titulares e estabelece um conjunto de obrigações que devem ser cumpridas pelas instituições financeiras e pelo Banco Central. No momento, nossas coordenações de Fiscalização e Tecnologia e Pesquisa estão avaliando as medidas adotadas de segurança ou de mitigação do impacto do incidente sobre os titulares bem como a necessidade de medidas adicionais.

Ao divulgar os casos, o BC tem dito que o impacto é baixo sobre os afetados, pois não são dados sensíveis. O que a LGDP diz sobre isso?

LGPD protege todos os dados, apesar de conferir uma proteção maior aos dados sensíveis. E na LGPD não há uma relação estabelecida entre dados não sensíveis e baixo impacto. Isso não é necessariamente verdadeiro. No momento, não podemos responder se esse caso seria de alto ou baixo impacto, já que ainda está sendo analisado pela nossa Coordenação Geral de Fiscalização e pela Coordenação Geral de Tecnologia e Pesquisa.

A ANPD está em contato com o BC sobre os casos? A ANPD avalia que são necessários aprimoramentos no regulamento do Pix para evitar casos desse tipo?

Sim e também com as demais instituições financeiras envolvidas. A avaliação sobre aprimoramentos e eventuais recomendações poderão ocorrer após as análises da Coordenação de Fiscalização e da Coordenação Geral de Tecnologia e Pesquisa.

Comentários

Os comentários são exclusivos para assinantes do Estadão.