Open Banking e a Lei Geral de Proteção de Dados

Cada instituição é responsável pela segurança e sigilo nas jornadas de autenticação do cliente, gestão dos consentimentos, uso e compartilhamento de dados

Atento às transformações do setor bancário e à necessidade de aumentar a competitividade entre as instituições financeiras e instituições de pagamento, o Banco Central do Brasil publicou a Resolução Conjunta nº 1, em maio de 2020, que dispõe sobre a implementação do Sistema Financeiro Aberto. O open banking é definido como o compartilhamento de dados e serviços mediante a abertura e integração de sistemas por parte das instituições financeiras e demais instituições autorizadas pelo Banco Central do Brasil. 

Conforme cronograma imposto pelo Banco Central do Brasil, o open banking será implementado em quatro fases. 

A primeira fase, cuja implementação foi recentemente postergada para 1º de fevereiro de 2021, versará sobre a disponibilização das informações sobre os canais de atendimento e produtos oferecidos pelas instituições participantes. Nessa etapa, não há compartilhamento de informações pessoais e a intenção do regulador é permitir o fácil acesso às informações sobre dependências próprias (agências), correspondentes bancários e canais eletrônicos disponíveis aos clientes.

A partir da segunda fase, o cliente poderá compartilhar seus dados cadastrais e transacionais relacionados a contas de depósito à vista, poupança, operações de crédito e investimento, mediante consentimento do titular da conta. Também será possível realizar transações de pagamento.

A implementação das quatro fases do open banking ocorrerá gradativamente até o final do segundo semestre de 2021. O cronograma –extremamente arrojado– deve ser cumprido pelas instituições reguladas em paralelo com outros projetos regulatórios que visam à conformidade a leis e regulações, tais como Lei Geral de Proteção de Dados (LGPD) e Pagamentos Instantâneos (Pix). 

Com relação ao arcabouço de regras que visam proteger dados pessoais, é interessante notar as similaridades no rol de princípios da LGPD e da Resolução Conjunta nº 1 que regulamentou a implementação do open banking no Brasil. 

Partindo da análise temporal de ambos os normativos, é válido mencionar que o Banco Central do Brasil acompanhou a evolução legislativa do projeto de lei 5.276 que tramitou na Câmara dos Deputados e, posteriormente, foi convertido em lei por meio da aprovação da Câmara dos Deputados e do Senado Federal. Nessa linha, é nítido notar que o arcabouço de regras da LGPD trouxe maior segurança jurídica para viabilidade da implementação do open banking no Brasil. Este fato fica muito evidente quando nos deparamos com o rol de princípios que norteiam a interpretação de ambas as normas. 

Tanto na LGPD, como na resolução do open banking constam os seguintes princípios de forma idêntica:

a.    Princípio da transparência

O princípio da transparência deve ser seguido para que haja garantia aos titulares no recebimento de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento. 

Este princípio norteia as ações que visam comunicar, de forma clara e objetiva, sobre o uso dos dados pessoais, por exemplo, via aviso de privacidade disponível publicamente no site ou portal, Política de Privacidade interna que rege o uso dos dados sob responsabilidade da instituição.

b.    Princípio da segurança

O princípio da segurança dispõe que durante todo ciclo de vida do tratamento de dados sejam adotadas medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.

Este princípio é significativamente relevante para fins do open banking, visto que após o consentimento do cliente, as instituições transmissoras e receptoras de dados, conceituadas no artigo 2, da Resolução do Open Banking, adotarão procedimentos para troca de dados cadastrais e transacionais dos clientes que desejam compartilhar seu histórico bancário entre as instituições participantes. 

Nesse ponto, é prudente lembrar que além da observância da LGPD, da Resolução do Open Banking, as instituições participantes estão obrigadas a zelar pelo sigilo dos dados, em conformidade aos termos da Lei Complementar n. 105/2001.

c.    Princípio da qualidade de dados

Além de ser indicado como princípio, também é um direito dos titulares dos dados que as instituições adotem procedimentos para garantir a exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento. 

A falha em garantir a qualidade dos dados tratados pode resultar em prejuízos aos titular.

d.    Princípio do tratamento não discriminatório

O princípio do tratamento não discriminatório proíbe a realização do tratamento para fins discriminatórios ilícitos ou abusivos. Ou seja, em consonância com o princípio da finalidade e da transparência, os dados devem ser tratados de forma lícita, para fins legítimos e que não gerem consequências negativas aos titulares.

Além da base principiológica da LGPD e do open banking serem particularmente idênticos, outros assuntos da Resolução do Open Banking guardam semelhanças com as diretrizes da LGPD, como é o caso da adjetivação do consentimento.

O consentimento é conceituado na Resolução do Open Banking como a manifestação livre, informada, prévia e inequívoca de vontade, feita por meio eletrônico, pela qual o cliente concorda com o compartilhamento de dados ou de serviços para finalidades determinadas. É interessante notar que a expressão “manifestação livre, informada e inequívoca” é idêntica ao conceito indicado art. 5, inciso XII, da LGPD.

Cumpre esclarecer que as regras para o consentimento, estipuladas na Resolução do Open Banking, são mais específicas se comparadas ao texto indicado na LGPD. Isto, porque, para fins do consentimento do Open Banking deve ter validade compatível com a finalidade, a norma estipula o prazo determinado de 12 meses de validade da autorização, exceto para os casos de pagamentos sucessivos.

No ato do consentimento é obrigatório que haja indicação dos nomes das instituições transmissora e receptora de dados. Outra regra importante versa sobre a vedação da obtenção dos termos do consentimento em cláusulas constantes nos contratos de adesão, impossibilitando a livre escolha do titular dos dados. A revogação do consentimento deve ser possibilitada aos titulares, a qualquer momento, mediante procedimento facilitado e de forma gratuita.

A conformidade aos princípios elencados acima, tanto na Resolução do Open Banking, quanto na LGPD, é condição basilar para que os participantes do open banking não gerem riscos aos clientes, às demais instituições e ao próprio setor. Significa dizer que cada instituição participante do open banking é responsável pela segurança e sigilo nas jornadas de autenticação do cliente, gestão dos consentimentos, uso e compartilhamento de dados, devendo adotar as melhores práticas para proteção dos dados dos clientes.

Artigo escrito por: por Renato Opice Blum – Mestre pela Florida Christian University; advogado; economista; professor coordenador dos cursos de Proteção de Dados e Direito Digital do Insper e de Direito 4.0 da Faap; presidente da Associação Brasileira de Proteção de Dados e Florence M. Dencker Terada – gestora da área de Bancário Digital no Opice Blum, Bruno e Vainzof Advogados Associados.