Por Laura Mallet, Daniela Froener e Layon Lopes*
Com a entrada em vigor da LGPD em 2020, a proteção dos dados pessoais se tornou ainda mais importante e as discussões sobre o tema vêm aumentando cada vez mais. No entanto, você já parou para pensar no impacto da LGPD no âmbito de fintechs, que devem atender diversas normativas do Banco Central do Brasil (Bacen) que preveem a coleta e o armazenamento de dados pessoais dos usuários de serviços financeiros e de pagamentos?
A Lei n° 9.613/98 – Lei da Lavagem de Dinheiro, traz imposições de coleta de dados pessoais para identificação de clientes para instituições que atuam no setor financeiro, em razão da necessidade de comunicação de operações suspeitas de lavagem de dinheiro ao Conselho de Atividades Financeiras (COAF), atual Unidade de Inteligência Financeira. Por conta disso, o BCB possui normativas específicas indicando os dados mínimos necessários a serem coletados dos usuários para abertura de contas bancárias ou de pagamento, com o intuito de prevenir o cometimento de atos de lavagem de dinheiro e financiamento ao terrorismo através das instituições reguladas, como por exemplo, a Circular BCB nº 3.978/20, através da identificação e qualificação de seus clientes.
Antes das regras da LGPD, já havia legislações que tratavam sobre o sigilo das operações de instituições financeiras e demais instituições autorizadas pelo BCB e pela Comissão de Valores Mobiliários (CVM), como a Lei do Sigilo Bancário (Lei Complementar nº 105/01), que traz um rol exemplificativo de operações realizadas pelos seus usuários que devem ser mantidas em sigilo, trazendo apenas como ressalva o compartilhamento de tais dados nas seguintes hipóteses:
- Troca de informações entre instituições financeiras e demais autorizadas pelo BCB, para fins cadastrais;
- Fornecimento de informações para entidades de proteção ao crédito;
- Quando for responsável pela retenção e pelo recolhimento da contribuição oriunda de tributos, à Receita Federal;
- Comunicação de suspeita de atos ilícitos penais ou administrativos pelos seus usuários às autoridades competentes;
- Quando possuir consentimento expresso do usuário;
- Fornecimento de dados financeiros e de pagamentos para gestores de bancos de dados, para formação de histórico de crédito – regulado através da Lei do Cadastro Positivo;
- Quando houver quebra de sigilo determinada por autoridade judicial.
A Lei dos Crimes de Sistema Financeiro traz penalidades para os casos de violação de sigilos de operação ou de serviço prestado por instituição financeira, que se estende, inclusive, para os diretores da instituição. Também, o Código de Defesa do Consumidor traz disposições relacionadas ao acesso pelos consumidores aos seus dados pessoais que estejam armazenados pela instituição.
Contudo, é possível observar que não havia legislação própria que tratava sobre a proteção dos dados pessoais no âmbito das instituições reguladas pelo Bacen, visto que as legislações existentes não imputavam o sigilo aos dados pessoais obtidos mediante coleta para fins de cadastro do usuário, ou seja, aqueles que permitem a identificação direta da pessoa natural ou a torne identificável. Sendo assim, a LGPD trouxe novas imposições de compliance a serem observadas por instituições reguladas pelo Baven. Logo, quais são as regras da LGPD mais importantes para fintechs?
Via de regra, as imposições da LGPD se aplicam, integralmente, para fintechs, principalmente no que diz respeito aos direitos dos titulares de dados pessoais. No entanto ressaltamos as seguintes:
Consentimento
A LGPD impõe que para o tratamento de dados pessoais, via de regra, as empresas devem possuir o consentimento expresso do titular de tais dados. Contudo, existem hipóteses em que o tratamento dos dados pessoais é permitido, mesmo sem o consentimento do titular.
Destacamos que a Circular BCB nº 3.978/20, acima referida, indica que os dados coletados para fins de análise de identificação e qualificação dos clientes, para fins de prevenção à lavagem de dinheiro e financiamento ao terrorismo, devem ser armazenados pelo período adicional de 10 anos após o fim do relacionamento com o cliente.
Sendo assim, deve-se analisar as bases legais aplicáveis que permitam tal armazenamento, como por exemplo, o tratamento dos dados pessoais e conservação após o término do tratamento para o cumprimento de obrigação legal e regulatória, ou ainda, o tratamento de dados pessoais sensíveis (como os dados biométricos), que não necessitam de consentimento quando coletados com fins de prevenção à fraude e segurança do titular.
Segurança Cibernética e da Informação
O Bacen impõe às instituições autorizadas que sejam adotados procedimentos de segurança cibernética através de suas normativas, com o intuito de garantir a continuidade dos serviços e a segurança do armazenamento dos dados relacionados às operações, incluindo aqui os dados pessoais. Nesse mesmo sentido, a LGPD traz para os controladores e operadores deveres de segurança da informação, com a obrigação de implementação de procedimentos específicos para a prevenção de incidentes com dados pessoais e definição de plano voltado ao tratamento e comunicação de incidente, caso este ocorra, como o Plano de Resposta ao Incidente de Dados Pessoais.
Sendo assim, as fintechs devem ter processos de observância de regras de segurança cibernética e da informação, com o fim de proteger os dados pessoais coletados e mitigar riscos de incidentes com tais dados.
Para saber mais sobre como adequar a operação da sua fintech às regras da LGPD, a equipe do Silva Lopes Advogados está à disposição.
*Lopes é CEO do Silva Lopes Advogados, Froener é COO e Mallet é integrante do time do escritório.
PODCAST
Qual é o cenário atual do Venture Capital brasileiro?