Os casos de vazamento de informações envolvendo o Pix, sistema de pagamento instantâneo criado pelo Banco Central, preocupam a Autoridade Nacional de Proteção de Dados (ANPD). Gratuidade do serviço não pode servir de justificativa para a falta de segurança da informação, diz Nairane Rabelo Leitão, diretora do órgão, responsável por zelar pela proteção de dados pessoais no País.O Banco Central já confirmou três vazamentos em seis meses, somando 576.785 chaves Pix, considerando incidentes no Banco do Estado de Sergipe (Banese), na Acesso Soluções de Pagamento e na Logbank Soluções em Pagamento.Segundo a diretora, a ANPD abriu processos para analisar os casos, e sanções podem ser aplicadas ao BC e às instituições financeiras, com base na Lei Geral de Proteção de Dados.O BC, em todos os episódios, afirmou que as causas foram falhas pontuais nos sistemas das instituições financeiras. A autoridade monetária ainda admite que novos incidentes podem ocorrer se os participantes do Pix não adotarem as medidas previstas em seu regulamento.Além disso, o BC argumenta que os vazamentos ocorridos têm baixo impacto por só envolver dados cadastrais, e não informações sensíveis ou sigilosas, que permitiriam, por exemplo, movimentar recursos nas contas.Diante do Banco Central, que minimiza o impacto dos recentes vazamentos no Pix, a diretora da Autoridade Nacional de Proteção de Dados (ANPD), Nairane Rabelo Leitão, adota cautela. Ela afirma que uma apuração em andamento avalia os possíveis danos e riscos e que só com ela vai se saber o impacto. A seguir, os principais trechos da entrevista concedida ao Estadão:A ANPD foi avisada sobre os vazamentos? Já há algum processo aberto?Sim. A ANPD foi comunicada oficialmente. Existem processos abertos para tratar desses casos e podem levar a sanções, para o Banco Central ou às instituições financeiras envolvidas.Há prazo para a apuração? Quais seriam as sanções?Não há prazo. A sanção pode ser qualquer uma das elencadas no artigo 52 da LGPD (a Lei Geral de Proteção de Dados Pessoais prevê punições que vão de advertência a multa de R$ 50 milhões por infração), com exceção da multa pecuniária caso a penalidade seja aplicada ao Banco Central, já que o inciso II somente se aplica a pessoas jurídicas de direito privado.A recorrência de incidentes é preocupante?Sim, especialmente porque o Pix vem sendo cada vez mais utilizado pelos cidadãos, por ser um serviço instantâneo e gratuito. Entretanto, gratuidade do serviço não pode servir de justificativa para a falta de segurança da informação. A LGPD assegura os direitos dos titulares e estabelece obrigações que devem ser cumpridas pelas instituições financeiras e pelo Banco Central. Nossas coordenações de Fiscalização e de Tecnologia e Pesquisa estão avaliando as medidas adotadas de segurança ou de mitigação do impacto do incidente sobre os titulares, bem como a necessidade de medidas adicionais.Ao divulgar os casos, o Banco Central tem dito que o impacto é baixo sobre os afetados, pois não são dados sensíveis. O que a LGDP diz?A LGPD protege todos os dados, apesar de conferir uma proteção maior para os dados sensíveis. E, na LGPD, não há uma relação estabelecida entre dados não sensíveis e baixo impacto. Isso não é necessariamente verdadeiro. No momento, nós não podemos responder se esse caso seria de alto ou de baixo impacto, já que ainda está sendo analisado pela nossa Coordenação Geral de Fiscalização e pela Coordenação Geral de Tecnologia e Pesquisa.