Open Banking e LGDP

O Banco Central do Brasil iniciou a implantação do Open Banking no Brasil, ao publicar em 28.11.2019, o Edital de Consulta Pública nº. 73/2019. Nos termos do referido Edital, os interessados poderão encaminhar sugestões e comentários à minuta do normativo até 31.1.2020.

Os principais objetivos contemplados na minuta de regulamentação proposta são: incentivar a inovação, aumentar a eficiência (entenda-se, redução de custos ao consumidor final) no mercado de crédito e de pagamentos, promovendo aumento na competitividade e maior inclusão financeira.

O compartilhamento de dados será de início, opcional para as instituições autorizadas, com exceção feita àquelas participantes dos conglomerados prudenciais S1 (composto apenas pelos bancos múltiplos, bancos comerciais, bancos de investimento, bancos de câmbio e caixas econômicas com porte igual ou superior a 10% do PIB) e S2 (considera as mesmas instituições do segmento S1, mas com porte inferior a 10% do PIB e igual ou superior a 1% do PIB). A obrigatoriedade poderá ser estendida às demais instituições (instituições financeiras de outros segmentos prudenciais e demais instituições autorizadas).

Deverá ser compartilhada uma ampla gama de dados relativos ao cliente, desde informações cadastrais, dados relativos a contas de depósito e operações de crédito, até mesmo termos e condições contratuais e custos financeiros de produtos. Num primeiro momento serão compartilhados dados sobre produtos e serviços oferecidos pelas instituições financeiras. Posteriormente serão compartilhados dados cadastrais e de operações financeiras.

A possibilidade de que terceiros participantes do Open Banking possam iniciar transações de pagamento também está prevista na minuta da norma. Desse modo, o cliente poderá, por exemplo, permitir que fintechs comandem pagamentos e transferências diretamente nas contas bancárias ou de pagamento detidas por este mesmo cliente em outras instituições.

O Banco Central adotará uma estratégia híbrida para regulamentar o Open Banking quanto à convenção entre participantes. Na minuta de norma proposta, o Banco Central, apesar de ter reservado para si a prerrogativa de estabelecer os requisitos mínimos para implementação do modelo tecnológico e de procedimentos operacionais e regras de governança contidas na minuta da norma, facultou aos participantes acordarem entre si as condições específicas e padronizações necessárias por meio de uma convenção.

De toda forma, o Banco Central terá a palavra final quanto ao conteúdo da convenção elaborada pelos participantes, de modo a garantir o acesso não discriminatório e a representatividade dos segmentos participantes no Open Banking.

Buscando evitar dificuldades experimentadas em outros países, o Banco Central propõe conferir uma boa dose de liberdade para o desenvolvimento das tecnologias que estarão por trás do Open Banking, em especial no que diz respeito aos procedimentos de segurança e implementação das interfaces (i.e., APIs) que permitirão o fluxo de informações entre os participantes.

O Banco Central estabeleceu ainda as condições mínimas que regerão a contratação, por instituições autorizadas, de terceiros (não autorizados), interessados em prestar serviços que viabilizem o compartilhamento de dados e iniciação de pagamentos. O racional deste modelo é similar àquele existente nas normas aplicáveis à contratação de correspondentes bancários.

A iniciação de pagamentos, ao ser implementado numa etapa posterior, envolverá, simultaneamente, todas as instituições autorizadas a prestar serviços de pagamento. A implementação ocorrerá de forma coordenada com o lançamento da infraestrutura para pagamentos instantâneos pelo Banco Central.

Compartilhamento de Dados e Alinhamento com a LGPD

A própria definição de Open Banking, prevista no art. 2º, I, da minuta do normativo proposto pelo Banco Central já destaca que a principal característica deste novo modelo é o compartilhamento de dados. Não é possível, portanto, falar em Open Banking sem falar na Lei Geral de Proteção de Dados Pessoais, Lei nº 13.709, de 14 de agosto de 2018.

É importante frisar que a nova regulamentação está alinhada com a LGPD, trazendo entre seus princípios a segurança e privacidade de dados (art. 4º), além de prever expressamente a necessidade de se obter o prévio consentimento do cliente (titular dos dados) para compartilhamento dos dados de cadastro, transações e serviços.

A obrigatoriedade de se obter o consentimento prévio e demais disposições é tratada nos arts. 10 a 15 da minuta de normativo, observando as regras e princípios previstos na LGPD, em especial o de limitar o tratamento de dados a uma finalidade determinada e ao mínimo necessário para alcançar tal finalidade.

Por outro lado, diante da obrigatoriedade de o compartilhamento ser feito por meio de interfaces dedicadas, ainda que seja possível, à luz da LGPD, obter o consentimento por meio digital, isso implicará na necessidade das instituições desenvolverem meios técnicos capazes de demonstrar a efetiva manifestação de vontade do titular, livre de vícios de consentimento, lembrando que o opt-out não será mais uma alternativa viável.

A responsabilidade pelo compartilhamento e DPO

A LGPD, assim como as demais legislações sobre proteção de dados, tem como uma das principais figuras o Encarregado ou, como é comumente chamado, o DPO ou Data Protection Officer, que é a pessoa física indicada para atuar como canal de comunicação entre o controlador, os titulares dos dados e a autoridade competente. A minuta de normativo proposta pelo Banco Central prevê a obrigatoriedade de designação de um diretor que será responsável pelo compartilhamento nela previsto. Diante das atribuições deste diretor designado, é bastante provável que nas instituições participantes este papel acabe sendo assumido pelo DPO.

Por força do disposto no art. 15 da LGPD, o tratamento de dados pessoais será encerrado quando (a) a finalidade for alcançada; (b) o período de tratamento for encerrado; (c) por solicitação do titular (inclusive na hipótese de revogação do consentimento); e (d) por determinação da autoridade nacional; devendo ser eliminados após o término do tratamento.

Novamente, a regulamentação do Open Banking está alinhada à LGPD assegurando ao cliente (titular dos dados) a possibilidade de revogar seu consentimento a qualquer momento. Entretanto, é importante ressaltar que, ainda que encerrado o tratamento, sejam por revogação do consentimento, ou por qualquer outro motivo, as instituições participantes, assim como quaisquer pessoas sujeitas à LGPD, estarão autorizadas a conservar tais dados para fins de cumprimento de obrigações legais ou regulatórias.

O art. 35 da minuta de normativo trata em seu §2º da possibilidade de contratação com terceiros localizados no exterior para compartilhamento internacional de dados. Sempre que os dados compartilhados envolverem dados pessoais, deverão ser respeitadas as regras de transferência internacional de dados previstos na LGPD, restringindo tal compartilhamento a países que apresentem um grau de proteção de dados adequado aos níveis previstos na própria LGPD (art. 33 e 34 da LGPD).

Por fim, percebe-se da análise dos artigos da minuta de normativo que tratam do compartilhamento de dados, que houve claramente uma preocupação do Banco Central de permitir o compartilhamento de dados de clientes entre as instituições participantes, e, ao mesmo tempo, assegurar que os direitos dos titulares dos dados que estão sendo compartilhados sejam devidamente respeitados.

*Por João Fernando A. Nascimento, sócio do CSMV Advogados e Carolina Schefer, advogada sênior do CSMV Advogados

*Sobre o CSMV Advogados (Carvalho, Sica, Muszkat, Vidigal e Carneiro Advogados): o Escritório nasceu do desejo de seus sócios de realizar uma advocacia empresarial com qualidade, mas mantendo o envolvimento direto dos sócios na condução dos casos, todos oriundos das mais importantes bancas jurídicas do país. O comprometimento em alcançar os melhores resultados aos seus clientes está enraizado na cultura do CSMV Advogados e o modelo de atuação se mostrou vitorioso