Vazamentos no Pix estão na mira de autoridade nacional de proteção de dados

 

Brasil

Os casos de vazamento de informações envolvendo o Pix, sistema de pagamento instantâneo criado pelo Banco Central, preocupam a Autoridade Nacional de Proteção de Dados (ANPD).

“Gratuidade do serviço não pode servir de justificativa para a falta de segurança da informação”, diz Nairane Rabelo Leitão, diretora do órgão, responsável por zelar pela proteção de dados pessoais no país.

O Banco Central já confirmou três vazamentos em seis meses, somando 576.785 chaves Pix, considerando incidentes no Banco do Estado de Sergipe (Banese), na Acesso Soluções de Pagamento e na Logbank Soluções em Pagamento.

Segundo a diretora, a ANPD abriu processos para analisar os casos, e sanções podem ser aplicadas ao BC e às instituições financeiras, com base na Lei Geral de Proteção de Dados.

O BC, em todos os episódios, afirmou que as causas foram falhas pontuais nos sistemas das instituições financeiras. A autoridade monetária ainda admite que novos incidentes podem ocorrer se os participantes do Pix não adotarem as medidas previstas em seu regulamento.

Além disso, o BC argumenta que os vazamentos ocorridos têm baixo impacto por só envolver dados cadastrais, e não informações sensíveis ou sigilosas, que permitiriam, por exemplo, movimentar recursos nas contas.

Diante do Banco Central, que minimiza o impacto dos recentes vazamentos no Pix, a diretora da Autoridade Nacional de Proteção de Dados (ANPD), Nairane Rabelo Leitão, adota cautela. Ela afirma que uma apuração em andamento avalia os possíveis danos, riscos e que só com ela vai se saber o impacto. A seguir, os principais trechos da entrevista concedida ao Estadão:

Sim. A ANPD foi comunicada oficialmente. Existem processos abertos para tratar desses casos e podem levar a sanções, para o Banco Central ou às instituições financeiras envolvidas.

Não há prazo. A sanção pode ser qualquer uma das elencadas no artigo 52 da LGPD (a Lei Geral de Proteção de Dados Pessoais prevê punições que vão de advertência a multa de R$ 50 milhões por infração), com exceção da multa pecuniária caso a penalidade seja aplicada ao Banco Central, já que o inciso II somente se aplica a pessoas jurídicas de direito privado.

Sim, especialmente porque o Pix vem sendo cada vez mais utilizado pelos cidadãos, por ser um serviço instantâneo e gratuito. Entretanto, gratuidade do serviço não pode servir de justificativa para a falta de segurança da informação. A LGPD assegura os direitos dos titulares e estabelece obrigações que devem ser cumpridas pelas instituições financeiras e pelo Banco Central.

Nossas coordenações de Fiscalização e de Tecnologia e Pesquisa estão avaliando as medidas adotadas de segurança ou de mitigação do impacto do incidente sobre os titulares, bem como a necessidade de medidas adicionais.

A LGPD protege todos os dados, apesar de conferir uma proteção maior para os dados sensíveis. E, na LGPD, não há uma relação estabelecida entre dados não sensíveis e baixo impacto. Isso não é necessariamente verdadeiro.

No momento, nós não podemos responder se esse caso seria de alto ou de baixo impacto, já que ainda está sendo analisado pela nossa Coordenação Geral de Fiscalização e pela Coordenação Geral de Tecnologia e Pesquisa.