Open Banking e a LGPD: alinhe estratégias conforme a lei

As regras para o Open Banking e a LGPD (Lei Geral de Proteção de Dados) convergem para um mesmo princípio: a proteção dos dados pessoais.

Com regras definidas sobre o uso de dados, o novo sistema bancário poderá estruturar seu funcionamento em consonância à LGPD.

Um dos princípios fundamentais da legislação, a autodeterminação informativa, já foi adotado como base dos processos do Open Banking.

Desse modo, além de assegurar o direito do cliente de controlar e proteger seus dados, as instituições financeiras poderão compartilhar informações em conformidade com a lei.

A seguir, veja outros pontos de intersecção entre o Open Banking e a LGPD e como as empresas do setor financeiro podem se adequar à nova legislação.

Open Banking e a LGPD: consentimento como base legal

Com implantação em curso até dezembro deste ano, o Open Banking prevê que a coleta e compartilhamento dos dados cadastrais, transacionais e de operações de crédito deverão ser previamente autorizados pelo cliente. Essa diretriz segue uma das bases legais da LGPD, o consentimento do titular.

“O dado pessoal vai muito além do dado cadastral. Ele é o que mostra preferências e hábitos. Abrange o registro de transações financeiras, de pesquisa, de compras e o histórico médico, por exemplo. Nesse sentido o Open Banking tem muitas simetrias com a LGPD”, explica Marcel Leonardi, advogado e especialista em privacidade e proteção de dados.

No entanto, um simples contrato de adesão não será suficiente. Isso porque a LGPD determina três requisitos para que o consentimento seja considerado válido. Conforme a lei, ele deve ser:

1. Livre. Dar a opção ao titular de concordar ou não com o compartilhamento dos seus dados, sem qualquer tipo de pressão
2. Informado. O titular deve receber informações claras e concisas sobre o que será feito com seus dados pessoais e com qual finalidade
3. Inequívoco. A empresa deve ser capaz de demonstrar que o titular consentiu com o uso dos seus dados

No contexto envolvendo o Open Banking e a LGPD, um dos desafios jurídicos é, primeiro, entender quais dados serão usados e para quais finalidades. Em seguida, deve-se identificar uma das 10 bases legais da LGPD mais apropriada para justificar o uso dessas informações.

“No cenário financeiro nos deparamos com empresas que acreditam que por ser B2B não precisam se preocupar com a LGPD. Elas esquecem que nas relações B2B você tem acesso a dados de procurador, de representante legal, de representante comercial e outras situações em que dados pessoais estão envolvidos”, alerta o advogado.

Definição de papeis no Open Banking e na LGPD

Marcel Leonardi revela uma dúvida comum envolvendo o Open Banking e a LGPD. Ela diz respeito ao papel do Diretor de Compartilhamento de Dados e do Encarregado (DPO).

Segundo a LGPD, toda empresa ou indivíduo que atua como controlador de dados deve indicar um Encarregado ou Data Protection Officer. Sua tarefa é servir de interface entre o controlador, o titular e a Autoridade Nacional de Proteção de Dados (ANPD).

No caso do Open Banking, um diretor responsável pelo compartilhamento de dados deve ser designado pelas instituições participantes. A ele cabe entregar um relatório semestral com demandas de clientes, incidentes de violação da segurança de dados, entre outras informações.

É provável que as instituições financeiras do Open Banking acumulem essas duas funções, já que os temas são muito próximos.

“Empresas de médio e grande porte estão estruturando comitês e grupos de trabalho para que o DPO tenha apoio multidisciplinar. Assim como o Open Banking exige a estruturação de uma série de sistemas e procedimentos internos para funcionar, não se prepara uma empresa para a LGPD achando que o trabalho envolve só o departamento jurídico ou o de compliance”, diz.

Responsabilidade por vazamento de informações

A culpa por um eventual vazamento de dados no Open Banking é outra questão recorrente. Isso porque a regulação do Banco Central não é muito clara a esse respeito.

Nessa situação, com base na LGPD, o entendimento jurídico é a de que uma violação à segurança dos dados poderia configurar responsabilidade subjetiva com culpa presumida. Ou seja, caso não haja clareza sobre o papel de cada instituição no Open Banking, a responsabilidade pode ser solidária.

Entretanto, Leonardi afirma que é possível mitigar esse problema por meio de Data Processing Agreements. Os DPAs são contratos que esclarecem os direitos e obrigações de cada parte quanto à segurança e proteção dos dados. A tendência, no Open Banking, é que as grandes instituições financeiras exijam dos seus parceiros a assinatura desses contratos.

“É esperado que os DPAs, normalmente utilizados para parcerias em geral, sejam implantados também no cenário de Open Banking. É uma ferramenta que serve tanto para garantir conformidade à LGPD, quanto ao Open Banking”.

Open Banking e a LGPD: transferência internacional de dados

A LGPD estabelece regras sobre a transferência internacional de dados, o que impacta diretamente o Open Banking. A lei também dispõe sobre o uso de infraestruturas estrangeiras de armazenamento de dados (clouds).

Porém, a LGPD se baseou no modelo europeu de Regulamento Geral sobre a Proteção de Dados (GDPR). Ou seja, o Brasil permite a transferência internacional de informações pessoais sem qualquer burocracia apenas aos países que contam com legislação e autoridade de proteção de dados equivalentes às nacionais.

Como resultado, assim como acontece na União Europeia, a lista de países considerados adequados será muito reduzida. Diante disso, como as instituições do Open Banking poderão transferir ou armazenar dados em clouds internacionais “inseguros”?

De acordo com Marcel Leonardi, há duas opções. A primeira é homologar Normas Corporativas Globais junto às autoridades de proteção de dados locais. Esse documento permite que um banco internacional, por exemplo, transfira dados pessoais apenas dentro do seu grupo corporativo. Mesmo que algumas filiais estejam em países que não fornecem um nível adequado de proteção segundo a LGPD.

Outro caminho é permitir que a própria autoridade de proteção de dados estipule cláusulas-padrão. O documento descreve as condições e obrigações que a empresa deve cumprir na transferência internacional de dados. No entanto, a minuta desse tipo de contrato com a ANPD ainda não existe no Brasil.

“Por mais que sejam bem-vindas as iniciativas para estimular a concorrência no setor financeiro e regular a lógica do Open Banking de maneira colaborativa, por meio de consulta pública, existem entraves operacionais que a LGPD pode representar e que precisam ser resolvidos”, conclui o especialista.

Conheça o Open Finance Forum e saiba como adequar sua empresa às exigências legais, tecnológicas e de segurança desse novo sistema financeiro.

Sobre o autor

Artigos relacionados

ESTÁVAMOS COM SAUDADE

Estávamos com saudades, voltamos com o calendário presencial de 2022.  Em 20 de dezembro de 201aiyuk jersey fsu jersey brandon aiyuk jersey penn state football

Leia Mais »

Estratégias baseadas em grandes ideias vencem

Cadastre-se para receber mais artigos como este e domine sua função

Ao enviar este formulário você está concordando com nossos termos de uso e política de privacidade

Formulário enviado com sucesso

Clique para fechar

Open Finance Forum

Inscrições abertas! Condições especiais por tempo limitado.

Open Finance forum

Você faz parte do futuro!

Confira na prática o que as principais empresas do mercado têm feito para alavancar suas estratégias de crescimento através de um mundo de possibilidades oferecidas pelo sistema financeiro aberto.

Usamos cookies e outras tecnologias semelhantes para melhorar a sua experiência com nossos serviços, personalizar publicidade e recomendar conteúdos de seu interesse. Ao continuar navegando, você concorda com tal monitoramento. Para mais informações, clique aqui.