Open Finance e LGPD: regras que participantes devem observar?

O Open Finance permite que as instituições visualizem o relacionamento que as demais instituições possuem com seus clientes

Open Finance e LGPD: regras que participantes devem observar? Open Finance e LGPD: regras que participantes devem observar?

Por Laura Mallet, Gustavo Chaves Barcellos e Layon Lopes*

O Open Finance, também denominado de sistema financeiro aberto, instituído pelo Banco Central do Brasil (Bacen), é o compartilhamento padronizado de dados e serviços por meio de abertura e integração de sistemas entre instituições financeiras e de pagamentos. No sistema,  inclui-se dados de serviços e produtos das instituições, vinculados aos dados de seus clientes, pessoas físicas ou jurídicas, com o intuito de promover a competição no mercado financeiro e a consequente melhoria nos produtos e serviços oferecidos aos consumidores. 

Portanto, o Open Finance permite que as instituições visualizem o relacionamento que as demais instituições possuem com seus clientes, possibilitando a oferta de produtos e serviços competitivos, com base nas informações compartilhadas através do sistema financeiro aberto e do uso compartilhado de dados pessoais dos clientes dessas instituições.

Inicialmente, o Bacen havia instituído o Open Banking que abordava apenas o compartilhamento de informações relacionadas a produtos estritamente financeiros, como aberturas de contas e operações de crédito. Contudo, optou por aumentar a abrangência do sistema a demais produtos, como serviços de câmbio, investimentos, credenciamentos, seguros e previdência, razão pela qual alterou-se a denominação do serviço para Open Finance.

Atualmente, o Open Finance permite:

  • Acesso aos dados abertos de produtos e serviços financeiros;
  • Compartilhamento de dados cadastrais e transacionais; e,
  • Iniciação de transação de pagamento;

Como há de se observar, dentre os serviços permitidos pelo Open Finance, destaca-se o compartilhamento de informações cadastrais dos clientes entre as instituições participantes do sistema. A Lei Geral de Proteção de Dados Pessoais – LGPD define o uso compartilhado de dados como a “comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados.”

Para que haja o correto compartilhamento de dados, além da observância às regras do Open Finance impostas pelo Banco Central, também devem ser atendidas as regras da LGPD.

Consentimento dos Titulares dos Dados Pessoais

Um importante instituto imposto pela LGPD é o consentimento dos titulares dos dados pessoais, definido como a manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada. Na mesma linha, a LGPD, em seu art. 7º, traz as hipóteses em que o tratamento de dados é permitido, mediante o consentimento expresso do titular e em demais casos, em que seja necessário, em suma, o tratamento dos dados para a operacionalização ou segurança de serviços contratados.

Tal instituto foi intensamente trabalhado pelo Banco Central na regulamentação do Open Finance. A Resolução Conjunta BCB nº 1, de 04 de maio de 2020, indica que o compartilhamento de dados cadastrais abrange os dados fornecidos diretamente pelo cliente ou obtidos por meio de consulta a bancos de dados de caráter público ou privado, exceto os dados pessoais sensíveis, pontuações de crédito, credenciais e informações utilizadas para efetuar a autenticação do cliente.

Seguindo a linha do que determina a LGPD, a resolução mencionada acima também indica a necessidade de obtenção do consentimento do cliente para o compartilhamento dos dados entre as instituições, pela instituição que está recebendo os dados ou por aquela que realizará a iniciação da transação de pagamento, de forma clara e objetiva, utilizando de linguagem compreensiva, não sendo admitido que tal obtenção ocorra de forma automática, tácita ou mediante contrato de adesão.

Para o consentimento, as instituições participantes deverão informar o abaixo destacado aos clientes:

  • a identificação das instituições participantes;
  • os dados e serviços objeto de compartilhamento;
  • o período de validade do consentimento;
  • a data de requisição do consentimento; e
  • a finalidade do consentimento, no caso de instituição receptora de dados ou iniciadora de transação de pagamento.

Ainda, existem regras relacionadas à revogação do consentimento pelo cliente, que deverá ser considerado nos processos e operações das instituições, de forma que deverá ser deixado claro ao cliente a possibilidade de tal revogação, assim como esta deverá ser realizada de forma imediata, salvo nos casos de iniciação de transação de pagamento, que possui prazo de um dia útil para a realização. 

Portanto, conclui-se que embora haja possibilidade de tratamento de dados pessoais pelas instituições financeiras e de pagamento que se enquadram dentre os tratamentos que não necessitam de consentimento expresso do cliente, para o compartilhamento de dados no âmbito do Open Finance, a manifestação do consentimento pelo cliente é obrigatória.

Contudo, por estarmos tratando do compartilhamento de dados pessoais, não apenas as obrigações oriundas da Resolução Conjunta BCB nº 01, de 04 de maio de 2020, as obrigações da LGPD também devem ser observadas, no que vai além do consentimento do titular dos dados, como as obrigações voltadas aos direitos do titular no âmbito do Open Finance.

Diretor Responsável pelo Compartilhamento de Dados 

A Resolução Conjunta BCB nº 01, de 04 de maio de 2020, também inovou ao trazer o instituto do Diretor Responsável pelo Compartilhamento de Dados (“DRC”), que fica responsável por elaborar relatórios semestrais relativos ao compartilhamento de dados realizado pela instituição no âmbito do Open Finance.

A LGPD já possuía a obrigatoriedade de nomeação do Encarregado – Data Protection Officer (“DPO”) que detém atribuições relacionadas à comunicação com os titulares dos dados pessoais e entre controlador e operador sobre os dados pessoais que estão sendo tratados. Portanto, trata-se de dois institutos relacionados à governança corporativa e compliance, visando atender as exigências legais e regulatórias, podendo, inclusive ambos cargos serem cumulados, de forma que as atribuições do DRC podem integrar o escopo de atribuições do DPO.

Segurança Cibernética

A LGPD traz diversas disposições voltadas à exigência de mecanismos de segurança, com o intuito de proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão. Observe que a Resolução Conjunta BCB nº 01, de 04 de maio de 2020, não dispõe de exigências específicas de segurança de dados pessoais, contudo dispõe expressamente sobre a responsabilidade da instituição quando do compartilhamento de dados, no que concerne à confiabilidade, integridade, disponibilidade, segurança e sigilo dos dados compartilhados e serviços em que a instituição esteja envolvida.

Nesse sentido, a observância das exigências de segurança impostas pela LGPD e por resoluções específicas sobre o tema da Autoridade Nacional de Proteção de Dados (ANPD) deve ser realizada, para evitar responsabilizações da instituição no âmbito do Open Finance.

Para saber mais sobre as regras e como participar do Open Finance, a equipe do Silva Lopes Advogados está à disposição.

PODCAST

Inovação no mercado jurídico: saiba o que mudou com a tecnologia