Redação • Artigos

Open Finance e LGPD

Para o correto compartilhamento de dados, além das regras do Open Finance impostas pelo Bacen, devem ser atendidas as regras da LGPD.

Open Finance e LGPD Open Finance e LGPD

Por Laura Mallet, Lucas Euzébio e Layon Lopes*

O Open Finance, também denominado de sistema financeiro aberto, instituído pelo Banco Central do Brasil (Bacen), é o compartilhamento padronizado de dados e serviços por meio de abertura e integração de sistemas entre instituições financeiras e de pagamentos. 

 

Conteúdo:

O que é Open finance?

Quais instituições podem aplicar o Open Finance?

Qual é a relação do Open finance com a LGPD?

Quais as consequências da não conformidade?

 

No sistema,  inclui-se dados de serviços e produtos das instituições, vinculados aos dados de seus clientes, pessoas físicas ou jurídicas, com o intuito de promover a competição no mercado financeiro e a consequente melhoria nos produtos e serviços oferecidos aos consumidores. 

 

O que é Open Finance?

O Open Finance permite que as instituições visualizem o relacionamento que as demais instituições possuem com seus clientes, possibilitando a oferta de produtos e serviços competitivos, com base nas informações compartilhadas através do sistema financeiro aberto e do uso compartilhado de dados pessoais dos clientes dessas instituições.

 

 

Na mesma linha, é através do Open Finance que o Bacen possibilita a operacionalização dos serviços de iniciação de transação de pagamento, em que a instituição iniciadora apenas comunica às instituições detentoras de conta das ordens de transferência executadas por seus clientes.

Inicialmente, o Bacen havia instituído o Open Banking que abordava apenas o compartilhamento de informações relacionadas a produtos estritamente financeiros, como aberturas de contas e operações de crédito. Contudo, optou por aumentar a abrangência do sistema a demais produtos, como serviços de câmbio, investimentos, credenciamentos, seguros e previdência, razão pela qual alterou-se a denominação do serviço para Open Finance.

Atualmente, o Open Finance permite:

  • Acesso aos dados abertos de produtos e serviços financeiros;
  • Compartilhamento de dados cadastrais e transacionais; e,
  • Iniciação de transação de pagamento;

 

Quais instituições podem aplicar o Open Finance?

A autarquia, ao regulamentar o Open Finance, determinou instituições que devem, obrigatoriamente, participar do sistema financeiro aberto e aquelas que podem participar facultativamente. Possuem participação obrigatória as instituições financeiras que estejam enquadradas nos segmentos S1, S2, S3 ou S4, conforme estabelece a Res. CMN n. 4.557/17 para realizar o compartilhamento de dados.

Na mesma linha, devem participar obrigatoriamente do Open Finance, as instituições que atuem como iniciadoras de transação de pagamento ou que sejam enquadradas como detentoras de conta, ou seja, que oferecem contas de pagamento ou contas bancárias a usuários finais, para que seja possível o compartilhamento do serviço de iniciação de transação de pagamento.

As demais instituições poderão participar de forma facultativa do Open Finance, desde que, exclusivamente, para realizar o compartilhamento de dados.

 

Qual é a relação do Open finance com a LGPD?

Como há de se observar, dentre os serviços permitidos pelo Open Finance, destaca-se o compartilhamento de informações cadastrais dos clientes entre as instituições participantes do sistema. A Lei Geral de Proteção de Dados Pessoais (LGPD) define o uso compartilhado de dados como a “comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados.”

Para que haja o correto compartilhamento de dados, além da observância às regras do Open Finance impostas pelo Banco Central, também devem ser atendidas as regras da LGPD.

Consentimento dos Titulares dos Dados Pessoais

Um importante instituto imposto pela LGPD é o consentimento dos titulares dos dados pessoais, definido como a manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada. Na mesma linha, a LGPD, em seu art. 7º, traz as hipóteses em que o tratamento de dados é permitido, mediante o consentimento expresso do titular e em demais casos, em que seja necessário, em suma, o tratamento dos dados para a operacionalização ou segurança de serviços contratados.

Tal instituto foi intensamente trabalhado pelo Banco Central na regulamentação do Open Finance. A Resolução Conjunta BCB nº 1, de 04 de maio de 2020, indica que o compartilhamento de dados cadastrais abrange os dados fornecidos diretamente pelo cliente ou obtidos por meio de consulta a bancos de dados de caráter público ou privado, exceto os dados pessoais sensíveis, pontuações de crédito, credenciais e informações utilizadas para efetuar a autenticação do cliente.

Seguindo a linha do que determina a LGPD, a resolução mencionada acima também indica a necessidade de obtenção do consentimento do cliente para o compartilhamento dos dados entre as instituições, pela instituição que está recebendo os dados ou por aquela que realizará a iniciação da transação de pagamento, de forma clara e objetiva, utilizando de linguagem compreensiva, não sendo admitido que tal obtenção ocorra de forma automática, tácita ou mediante contrato de adesão.

Para o consentimento, as instituições participantes deverão informar o abaixo destacado aos clientes:

  • a identificação das instituições participantes;
  • os dados e serviços objeto de compartilhamento;
  • o período de validade do consentimento;
  • a data de requisição do consentimento; e
  • a finalidade do consentimento, no caso de instituição receptora de dados ou iniciadora de transação de pagamento.

Ainda, existem regras relacionadas à revogação do consentimento pelo cliente, que deverá ser considerado nos processos e operações das instituições, de forma que deverá ser deixado claro ao cliente a possibilidade de tal revogação, assim como esta deverá ser realizada de forma imediata, salvo nos casos de iniciação de transação de pagamento, que possui prazo de um dia útil para a realização. 

Portanto, conclui-se que embora haja possibilidade de tratamento de dados pessoais pelas instituições financeiras e de pagamento que se enquadram dentre os tratamentos que não necessitam de consentimento expresso do cliente, para o compartilhamento de dados no âmbito do Open Finance, a manifestação do consentimento pelo cliente é obrigatória.

Contudo, por estarmos tratando do compartilhamento de dados pessoais, não apenas as obrigações oriundas da Resolução Conjunta BCB nº 01, de 04 de maio de 2020, as obrigações da LGPD também devem ser observadas, no que vai além do consentimento do titular dos dados, como as obrigações voltadas aos direitos do titular no âmbito do Open Finance.

Diretor Responsável pelo Compartilhamento de Dados 

A Resolução Conjunta BCB nº 01, de 04 de maio de 2020, também inovou ao trazer o instituto do Diretor Responsável pelo Compartilhamento de Dados (“DRC”), que fica responsável por elaborar relatórios semestrais relativos ao compartilhamento de dados realizado pela instituição no âmbito do Open Finance.

A LGPD já possuía a obrigatoriedade de nomeação do Encarregado – Data Protection Officer (“DPO”) que detém atribuições relacionadas à comunicação com os titulares dos dados pessoais e entre controlador e operador sobre os dados pessoais que estão sendo tratados. Portanto, trata-se de dois institutos relacionados à governança corporativa e compliance, visando atender as exigências legais e regulatórias, podendo, inclusive ambos cargos serem cumulados, de forma que as atribuições do DRC podem integrar o escopo de atribuições do DPO.

Segurança Cibernética

A LGPD traz diversas disposições voltadas à exigência de mecanismos de segurança, com o intuito de proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão. Observe que a Resolução Conjunta BCB nº 01, de 04 de maio de 2020, não dispõe de exigências específicas de segurança de dados pessoais, contudo dispõe expressamente sobre a responsabilidade da instituição quando do compartilhamento de dados, no que concerne à confiabilidade, integridade, disponibilidade, segurança e sigilo dos dados compartilhados e serviços em que a instituição esteja envolvida.

Nesse sentido, a observância das exigências de segurança impostas pela LGPD e por resoluções específicas sobre o tema da Autoridade Nacional de Proteção de Dados (ANPD) deve ser realizada, para evitar responsabilizações da instituição no âmbito do Open Finance.

 

Quais as consequências da não conformidade?

A ausência de conformidade com as regras relativas à proteção de dados no âmbito da Resolução Conjunta n.1/20 podem gerar impactos, a nível de responsabilidade administrativa, no âmbito do Banco Central do Brasil e da Autoridade Nacional de Proteção de Dados (ANPD), pois estará havendo violação também da Lei Geral de Proteção de Dados Pessoais (LGPD).

No âmbito do Banco Central, a instituição que não aderir ao Open Finance quando lhe for obrigatório ou, ao aderir, que não cumpra com as exigências regulatórias, poderá se tornar objeto de processo administrativo sancionador que averiguará o descumprimento da instituição com as normas que lhe são aplicáveis. Tal processo poderá gerar penalidade de multa, calculada com base na modalidade de instituição autorizada, até a inabilitação temporária dos diretores da instituição para atuarem como administradores de instituições autorizadas a funcionar pelo referido órgão regulador.

No âmbito da LGPD, a instituição que não observar as regras previstas na referida legislação para garantir a proteção de dados pessoais, poderá ser objeto de processo administrativo sancionador conduzido pela Autoridade Nacional de Proteção de Dados, caso se evidencie infrações.

Embora se trate de obrigações com origens diferentes, estas se colidem e devem ser avaliadas em conjunto, em razão da atividade executada pelas instituições no âmbito do Open Finance – o compartilhamento de dados pessoais entre instituições.

Para saber mais sobre as regras de participação do Open Finance, a equipe do Silva Lopes Advogados está à disposição.

Dúvidas? A equipe do Silva Lopes Advogados pode te ajudar!

*Lopes é CEO do Silva Lopes Advogados, Euzébio é sócio e Mallet é integrante do time do escritório. 

Outras notícias

Silva Lopes investe R$ 1 milhão em legal techSilva Lopes investe R$ 1 milhão em legal tech
Tiele Alves • abril 17, 2024

Silva Lopes investe R$ 1 milhão em legal tech

Solução visa facilitar o cotidiano do departamento jurídico, seja dentro de startups, fundo de investimentos ou em corporações.

Plataforma gratuita para calcular participação societária é lançada na Gramado SummitPlataforma gratuita para calcular participação societária é lançada na Gramado Summit
Tiele Alves • abril 10, 2024

Plataforma gratuita para calcular participação societária é lançada na Gramado Summit

Ferramenta desenvolvida pelo gestor de tarefas Tasklaw utiliza tecnologia de ponta para simplificar o gerenciamento do patrimônio.

Jantar especial promove networking entre empreendedores na Serra Gaúcha, no dia 10 de abrilJantar especial promove networking entre empreendedores na Serra Gaúcha, no dia 10 de abril
Tiele Alves • abril 9, 2024

Jantar especial promove networking entre empreendedores na Serra Gaúcha, no dia 10 de abril

Evento combina gastronomia e possibilidade de negócios para líderes do ecossistema empreendedor presentes no Gramado Summit.