Estamos assistindo no Brasil a um movimento de abertura do sistema financeiro que promete mudar a cara do setor. Trata-se do open banking. A novidade está baseada nos processos de digitalização que facilitam o compartilhamento de dados pessoais do consumidor com outras instituições financeiras. A regulamentação veio do Conselho Monetário Nacional e do Banco Central do Brasil, por meio da Resolução Conjunta nº 01/2020.
Os objetivos do open banking estão relacionados ao incentivo à inovação, à promoção da concorrência, ao aumento da eficiência do Sistema Financeiro Nacional e do Sistema de Pagamentos Brasileiros, e à promoção da cidadania financeira.[1] Visto que o sistema se alimenta dos dados pessoais dos consumidores e que o compartilhamento desses dados deve ocorrer dentro de robustos padrões de segurança, a atração da aplicação da Lei Geral de Proteção de Dados Pessoais (LGPD) é certa.
Já comentei aqui que a LGPD é uma lei extremamente abrangente e que se aplica à maior parte das atividades que envolvem dados pessoais. Da mesma forma, cabe lembrar o conceito de dados pessoais trazidos pela lei: informação relacionada à pessoa natural identificada ou identificável.[2] Nesse sentido, os dados envolvidos nas operações de open banking, dados cadastrais, histórico financeiro do consumidor, uso de cartão de crédito, operações de crédito, transações de conta corrente e investimentos, são todos classificados como dados pessoais.
Para que o compartilhamento possa acontecer é necessário o estabelecimento de uma base legal dentre as hipóteses que autorizam o tratamento de dados pessoais segundo a LGPD. A resolução que estabeleceu o open banking apontou o consentimento do titular de dados, consumidor dos serviços bancários, como base legal. Trouxe, inclusive, a definição do consentimento como manifestação livre, informada, prévia e inequívoca de vontade, feita por meio eletrônico, pela qual o cliente concorda com o compartilhamento de dados ou de serviços para finalidades determinadas.[3]
Nota-se que o consentimento a ser aplicado ao open banking deve ser feito por meio eletrônico, o que significa um detalhamento maior daquele previsto na LGPD, pois a lei não prevê forma específica. Logo, é possível afirmar que o consentimento no open banking se dará por senha, reconhecimento facial ou qualquer outra forma de biometria. Outra novidade do consentimento para o open banking é a sua limitação temporal a 12 meses de validade, com a necessária renovação caso seja do interesse do titular. Porém, em linha com a LGPD, o cliente poderá revogar seu consentimento a qualquer momento.
Mais uma questão a ser observada é o conjunto de direitos do titular dos dados pessoais que se soma aos direitos já estabelecidos pela LGPD, a exemplo da confirmação da existência de tratamento, do acesso aos dados, da correção de dados e da portabilidade. Ao cliente do open banking é facultada a possibilidade de conhecer os detalhes do compartilhamento além da oportunidade de revogar o consentimento pelo mesmo canal de atendimento pelo qual foi concedido. Portanto, um dos desafios do sistema aberto é estruturar os procedimentos para a concretização dos direitos dos titulares, bem como da gestão do consentimento.
Em conclusão, chamo a atenção para dois pontos fundamentais de convergência entre o open banking e Lei Geral de Proteção de Dados:
(i) Tanto o novo sistema, quanto a nova lei estão baseados na autodeterminação informativa dos consumidores. Ou seja: cabe ao cliente do sistema financeiro decidir com quem e quanto quer compartilhar suas informações pessoais. A nota divulgada no site do Banco Central do Brasil quando do início do processo de implantação do open banking ratifica esse entendimento:
Em linha com a recém aprovada Lei de Proteção de Dados Pessoais, o open banking parte do princípio de que os dados bancários pertencem aos clientes, e não às instituições financeiras.[4]
Da mesma forma, a noção de controle dos dados pessoais faz parte dos fundamentos da LGPD.[5]
(ii) A aderência ao open banking é facultativa para instituições de menor porte, ou seja, aquelas classificadas como S3, S4 e S5 de acordo com a Resolução nº 4.553 do Banco Central.[6] Para tais instituições a adequação à LGPD é uma etapa essencial a ser cumprida para a entrada no sistema aberto. No mesmo sentido, é esperado que as instituições S1 e S2 pelo porte, composição e atividade internacional já estejam plenamente em conformidade com a Lei de Proteção de Dados Pessoais.
O open banking é parte da transformação digital do sistema financeiro nacional, e a Lei Geral de Proteção de Dados é um dos seus pilares.
[1] . Art. 3º da Resolução Conjunta nº 01/2020.
[2] Art. 5o, II, LGPD.
[3] Art. 2º, VIII da Resolução Conjunta nº 01/2020
[4] Ver a nota completa em https://www.bcb.gov.br/detalhenoticia/16733/nota
[5] Art. 2º A disciplina da proteção de dados pessoais tem como fundamentos: II – a autodeterminação informativa.
[6] Art. 2º As instituições relacionadas no art. 1º devem se enquadrar em um dos seguintes segmentos: § 3º O S3 é composto pelas instituições de porte inferior a 1% (um por cento) e igual ou superior a 0,1% (um décimo por cento) do PIB. § 4º O S4 é composto pelas instituições de porte inferior a 0,1% (um décimo por cento) do PIB. § 5º O S5 é composto: I – pelas instituições de porte inferior a 0,1% (um décimo por cento) do PIB que utilizem metodologia facultativa simplificada para apuração dos requerimentos mínimos de Patrimônio de Referência (PR), de Nível I e de Capital Principal, exceto bancos múltiplos, bancos comerciais, bancos de investimento, bancos de câmbio e caixas econômicas; e II – pelas instituições não sujeitas a apuração de PR.