Os direitos decorrentes do regime jurídico da proteção de dados pessoais repercutem nas mais diversas áreas, sendo passíveis de fundamentar ações, por parte dos titulares de dados, capazes de posicioná-los diferentemente em relações antigas e tradicionais, como aquelas mantidas com as instituições bancárias.
Recentemente, o Tribunal de Justiça de São Paulo determinou o processamento de um pedido incidental de exibição de documentos sistêmicos de um banco, para instruir uma ação movida por um cliente que, segundo alega, foi vítima de transações pecuniárias na conta mantida junto à instituição financeira, após tê-la informado ter sofrido um assalto e solicitado os devidos bloqueios (Agravo de Instrumento nº 2046862-29.2022.8.26.0000).
Um dos fundamentos deste pedido foi a Lei Geral de Proteção de Dados – LGPD (Lei nº 13.709/2018), o que chama a atenção para a gradativa percepção, pelos brasileiros, do poder de acesso às informações que envolvam seus dados pessoais.
Consta do processo mencionado que, em resposta aos pedidos formulados extrajudicialmente pelo cliente, limitou-se a instituição financeira a fornecer cópia de documentos comuns às partes, com base nos dispositivos legais que preveem a exibição de documentos.
Contudo, de fato, a LGPD lhe faculta acesso a muito mais, mesmo em se tratando de documentos operacionais ou sistêmicos, internos à instituição.
Afinal, a Lei garante ao titular o direito de acesso aos seus dados tratados por terceiros, a qualquer momento, com indicação, dentre outros, dos critérios utilizados para o tratamento e a sua finalidade, devendo o responsável, inclusive, armazenar os dados em formato que favoreça o exercício do direito de acesso pelo titular. Em casos como o deste processo, em que o tratamento se funda no consentimento, pode o titular inclusive requerer cópia eletrônica integral dos seus dados pessoais (arts. 18 e 19).
O objetivo central da LGPD é assegurar ao titular dos dados a possibilidade real de exercer o controle sobre o tratamento dos seus dados por terceiros.
Por outro lado, imputa a Lei, ao agente de tratamento de dados, o dever de adotar medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados (art. 46), instituindo a sua responsabilidade indenizatória em caso de dano patrimonial ou moral causado ao titular, em razão da atividade de tratamento de dados por ele realizada (art. 42).
No processo citado, o cliente do banco alega que pretende demonstrar a falibilidade do sistema utilizado pela instituição financeira para a validação de transações atípicas nas contas dos clientes, para o quê pretende submeter os documentos sistêmicos desta a uma prova pericial em juízo. Trata-se de informações internas do banco, mas que incidiram sobre dados pessoais do cliente.
Dito de outro modo, se a conta bancária do autor da ação foi fraudulentamente movimentada por terceiros, tem ele o direito de demonstrar que houve acesso indevido aos seus dados pessoais, possibilitado pelo sistema e pelos critérios utilizados para o tratamento dos dados pela instituição financeira, a quem a LGPD incumbe o dever de, na condição de agente de tratamento de dados, implementar medidas aptas a proteger os dados de acessos não autorizados (art. 46).
Uma vez que o direito de acesso aos dados inclui o direito de ser informado sobre como os dados são e/ou foram tratados, pode o cliente do banco utilizar a LGPD como fundamento para requerer judicialmente o acesso aos documentos sistêmicos da instituição financeira (respeitados eventuais segredos comerciais), para demonstrar como se deu a autenticação do usuário infrator e a validação das operações fraudulentas na sua conta (significa ter conhecimento dos “critérios utilizados para a operação de tratamento de dados” – art. 19 da LGPD).
Esta articulista não teve acesso à petição do processo, apenas à decisão judicial que menciona a citação da LGPD pelo autor, o que motivou o presente desenvolvimento do tema com o intuito de ampliar a percepção do alcance dos direitos decorrentes do direito fundamental à proteção de dados pessoais e contribuir para a cultura da proteção de dados no Brasil.