LGPD: Cláusulas de reforço contra vazamento de dados do COAF

A segurança de informações sob titularidade do Conselho de Atividades Financeiras (COAF) requer estruturas contratuais específicas para mitigar riscos de vazamento de dados, conforme argumenta procurador com base nos princípios da Lei Geral de Proteção de Dados Pessoais. O posicionamento reflete preocupação institucional com a integridade de bases sensíveis relacionadas a operações financeiras e transações que alimentam o sistema de prevenção à lavagem de dinheiro.

Contexto

O COAF, enquanto órgão responsável pela inteligência financeira e pela detecção de operações suspeitas, detém acesso a dados altamente sensíveis. A convergência entre a agenda de proteção de dados pessoais (LGPD — Lei 13.709/2018) e a necessidade de manter a confidencialidade de informações críticas para segurança nacional e combate ao crime financeiro cria um ambiente de tensão regulatória.

Antes do regime consolidado da LGPD, as obrigações de sigilo de informações financeiras eram disciplinadas principalmente pela Lei de Sigilo Bancário (Lei Complementar 105/2001) e normativas setoriais do Banco Central e da Secretaria de Tesouro Nacional. A Lei Geral de Proteção de Dados introduziu uma camada adicional de exigências, particularmente quanto a bases de dados do setor público que contenham dados pessoais. O tratamento de dados pelo COAF, ainda que em contexto de inteligência financeira, não fica totalmente isento dessas obrigações quando pessoas físicas estão envolvidas.

A questão central é: como estruturar contratos com terceiros (processadores, prestadores de serviço de tecnologia, consultores) que acessam ou processam informações do COAF, de forma a garantir conformidade com a LGPD e, simultaneamente, prevenir vazamentos que comprometam operações de investigação e inteligência?

O que foi decidido

O procurador posicionou-se favoravelmente à inclusão de cláusulas de reforço em contratos celebrados por órgãos que lidam com dados do COAF. Essas cláusulas funcionariam como camadas adicionais de proteção além das obrigações genéricas de confidencialidade e segurança já presentes no contrato padrão.

O argumento central é que a mera repetição de termos convencionais (dever de sigilo, obrigações genéricas de segurança) não é suficiente para afastar riscos específicos inerentes ao tratamento de dados financeiros sensíveis. Cláusulas reforçadas permitiriam:

1. Definição explícita de sanções contratuais diferenciadas em caso de vazamento;
2. Obrigações de notificação imediata em caso de suspeita de acesso não autorizado;
3. Restrições adicionais quanto a subcontratação ou transferência de dados para terceiros;
4. Mecanismos de auditoria mais robustos e com direito de acesso irrestrito aos contratos pelo COAF e pelas autoridades competentes.

A defesa dessas cláusulas não implica mudança na legislação, mas sim aprimoramento da prática contratual dos órgãos públicos federais.

Base normativa e precedentes

• Art. 5.º, LGPD — Define os princípios de proteção de dados, incluindo segurança, responsabilidade e adoção de medidas técnicas e administrativas para proteger dados pessoais contra acesso não autorizado.

• Art. 32, LGPD — Estabelece que o controlador e o operador devem adotar medidas técnicas e administrativas adequadas à proteção de dados pessoais, tais como pseudonimização, encriptação e testes de segurança.

• Art. 33, LGPD — Impõe dever de notificação à Autoridade Nacional de Proteção de Dados (ANPD) em caso de incidente de vazamento ou acesso não autorizado.

• Lei Complementar 105/2001 — Disciplina o sigilo de informações e operações bancárias, sendo referencial complementar para dados financeiros em poder do COAF.

• Jurisprudência consolidada em direito administrativo — Reconhece que a Administração Pública, ao celebrar contratos envolvendo dados sensíveis, tem faculdade de impor cláusulas mais rigorosas que as do direito privado, desde que fundadas em interesse público legítimo.

Impacto prático

Para órgãos públicos federais (COAF, Receita Federal, autoridades de inteligência financeira):

• Necessidade de revisão de modelos contratuais com prestadores de serviços de tecnologia, consultoria e processamento de dados.
• Inclusão de linguagem específica sobre incidentes, com prazos de notificação (ex.: em até 24 horas após detecção).
• Possibilidade de rescisão contratual imediata sem necessidade de prévio aviso em caso de violação comprovada.
• Exigência de seguros de responsabilidade civil específicos para cobertura de vazamentos.

Para procuradores e defensores públicos:

• Argumento adicional em demandas por danos morais e materiais decorrentes de vazamentos de dados de clientes e investigados.
• Possibilidade de fundamentar pedidos de reparação em violação de cláusula contratual + violação de LGPD simultaneamente.

Para empresas fornecedoras de serviços:

• Antecipação de que contratos com órgãos públicos tendem a incorporar obrigações cada vez mais rigorosas quanto a proteção de dados.
• Necessidade de investimento em conformidade, certificações de segurança (ISO 27001) e seguros.

O que observar

A proposta de reforço contratual não resolve completamente a fragilidade sistêmica de algumas bases de dados públicas brasileiras, frequentemente alvo de ataques sofisticados. O aumento de cláusulas punitivas, embora importante, não substitui investimento em arquitetura de segurança (criptografia ponta a ponta, segregação de dados, testes de penetração recorrentes).

Além disso, permanece em aberto a questão de como cláusulas contratualmente reforçadas contra terceiros processadores poderão abarcar riscos originários de compromisso da segurança interna do próprio COAF ou de órgãos que compartilham os dados com ele. A responsabilidade civil por danos causados por vazamento envolve imputação causal complexa e pode gerar litígios prolongados.

Esperasse que a ANPD, no exercício de sua competência reguladora, ofereça direcionamentos complementares sobre modelos de cláusulas recomendadas para dados financeiros e de inteligência, evitando fragmentação entre órgãos públicos federais e criando padrões mínimos robustos de proteção.