Os casos de vazamento de informações envolvendo o Pix, sistema de pagamento instantâneo criado pelo Banco Central, preocupam a Autoridade Nacional de Proteção de Dados (ANPD). "Gratuidade do serviço não pode servir de justificativa para a falta de segurança da informação", diz Nairane Rabelo Leitão, diretora do órgão, responsável por zelar pela proteção de dados pessoais no País.
O Banco Central já confirmou três vazamentos em seis meses, somando 576.785 chaves Pix, considerando incidentes no Banco do Estado de Sergipe (Banese), na Acesso Soluções de Pagamento e na Logbank Soluções em Pagamento.
Segundo a diretora, a ANPD abriu processos para analisar os casos, e sanções podem ser aplicadas ao BC e às instituições financeiras, com base na Lei Geral de Proteção de Dados.
O BC, em todos os episódios, afirmou que as causas foram falhas pontuais nos sistemas das instituições financeiras. A autoridade monetária ainda admite que novos incidentes podem ocorrer se os participantes do Pix não adotarem as medidas previstas em seu regulamento.
Além disso, o BC argumenta que os vazamentos ocorridos têm baixo impacto por só envolver dados cadastrais, e não informações sensíveis ou sigilosas, que permitiriam, por exemplo, movimentar recursos nas contas.
Diante do Banco Central, que minimiza o impacto dos recentes vazamentos no Pix, a diretora da Autoridade Nacional de Proteção de Dados (ANPD), Nairane Rabelo Leitão, adota cautela. Ela afirma que uma apuração em andamento avalia os possíveis danos e riscos e que só com ela vai se saber o impacto. A seguir, os principais trechos da entrevista concedida ao Estadão:
A ANPD foi avisada sobre os vazamentos? Já há algum processo aberto?
Sim. A ANPD foi comunicada oficialmente. Existem processos abertos para tratar desses casos e podem levar a sanções, para o Banco Central ou às instituições financeiras envolvidas.
Há prazo para a apuração? Quais seriam as sanções?
Não há prazo. A sanção pode ser qualquer uma das elencadas no artigo 52 da LGPD (a Lei Geral de Proteção de Dados Pessoais prevê punições que vão de advertência a multa de R$ 50 milhões por infração), com exceção da multa pecuniária caso a penalidade seja aplicada ao Banco Central, já que o inciso II somente se aplica a pessoas jurídicas de direito privado.
A recorrência de incidentes é preocupante?
Sim, especialmente porque o Pix vem sendo cada vez mais utilizado pelos cidadãos, por ser um serviço instantâneo e gratuito. Entretanto, gratuidade do serviço não pode servir de justificativa para a falta de segurança da informação. A LGPD assegura os direitos dos titulares e estabelece obrigações que devem ser cumpridas pelas instituições financeiras e pelo Banco Central. Nossas coordenações de Fiscalização e de Tecnologia e Pesquisa estão avaliando as medidas adotadas de segurança ou de mitigação do impacto do incidente sobre os titulares, bem como a necessidade de medidas adicionais.
Ao divulgar os casos, o Banco Central tem dito que o impacto é baixo sobre os afetados, pois não são dados sensíveis. O que a LGDP diz?
A LGPD protege todos os dados, apesar de conferir uma proteção maior para os dados sensíveis. E, na LGPD, não há uma relação estabelecida entre dados não sensíveis e baixo impacto. Isso não é necessariamente verdadeiro. No momento, nós não podemos responder se esse caso seria de alto ou de baixo impacto, já que ainda está sendo analisado pela nossa Coordenação Geral de Fiscalização e pela Coordenação Geral de Tecnologia e Pesquisa.
