jusbrasil.com.br
27 de Julho de 2021

A aplicação da LGPD no sistema Open Banking

Empresário e pessoa física, saiba como poderá proteger seus dados no sistema Open Banking.

Mário Pedrosa, Advogado
Publicado por Mário Pedrosa
mês passado

De início, vamos saber o conceito de Open Banking. Sistema financeiro aberto, ou Open Banking, é uma via que democratiza o acesso dos clientes das instituições financeiras às oportunidades de créditos e outros serviços ofertados por estas instituições. Isso que dizer que, de forma objetiva, esse sistema possibilitará aos clientes a terem acesso, por exemplo, a oportunidades de realizar empréstimo com melhores condições e escolher as menores taxas bancárias entre diversas instituições, de uma forma padronizada[1] [2].

A pergunta crucial aqui é: como será realizada essa democratização, ou seja, de qual forma os clientes das instituições financeiras terão acesso às oportunidades de créditos e outros serviços, de diversas instituições financeiras diferentes, com conta em apenas uma delas? Essa democratização será feita através do compartilhamento dos dados dos clientes entre as instituições financeiras.

Perceba que todo o histórico de dados dos clientes, construído ao longo do tempo com determinado banco (contas pagas em dia, salários depositados, prestações, empréstimos, perfil de gasto), após a implementação do Open Banking, poderá ser usado pelo cliente, através do compartilhamento desses dados, com fim de participar, por exemplo, de ofertas, promoções e programas oferecidos pelas instituições financeiras, com intuito de obter privilégios os quais o banco atual do cliente não oferece, e isso sem ter que começar um relacionamento do zero com uma nova instituição[3].

Mais e aí, como é que os dados compartilhados serão protegidos?

Vale lembrar que a resolução 1 de 2020[4], do Ministério da Economia em conjunto com o Banco Central, que instituiu o sistema financeiro aberto, determina que as operações realizadas pelo Open Banking, não incluem proteção somente aos dados da pessoa natural, mas também das jurídicas, ao contrário do previsto na lei geral de dados. Como exemplo, podemos obervar que de acordo com a resolução, os diversos tipos societários poderão ter seus dados, que estão registrados em determinada instituição financeira, compartilhados com outra instituição, a fim de conseguir taxas menores para um determinado empréstimo. Veja que, diferentemente da LGPD que só protege dados pessoais, a resolução que institui o Open Banking, permite o compartilhamentos e proteção dos dados de pessoa jurídica.

Mas, e os dados das pessoas físicas, que são a maioria dos clientes das instituições financeiras, serão protegidos? Sim! Essa proteção será feita pela resolução, que prevê um sistema de proteção em suas normas, e pela Lei Geral de Dados.

E como se dará essa comunhão das leis na proteção dos dados? Através da interpretação e aplicação conjunta dessas normas[5].

Neste artigo, irei aos pontos que tenho como os mais importantes dessa aplicação conjunta.

Acredito que o consentimento[6], a autenticação e a finalidade dos dados são os aspectos mais importantes do sistema financeiro aberto. Esses aspectos também são requisitos legais, tanto da resolução quanto da LGPD, e exigem sua observância na sua estruturação. Vejamos.

Em seu capítulo IV, a resolução prevê que o consentimento é um dos requisitos para que o compartilhamento dos dados no sistema financeiro aberto seja considerado legal. O artigo 10 prevê que:

A instituição receptora de dados ou iniciadora de transação de pagamento, previamente ao compartilhamento de que trata esta Resolução Conjunta, deve identificar o cliente e obter o seu consentimento[7].

Além de ser conceituado e ter proteção na própria resolução, é possível levar em consideração o que a LGPD determina sobre o consentimento (lei de proteção dos dados)[8].

Isso porque, como dito, esta lei é a norma geral de proteção dos dados e deverá haver interpretação e aplicação conjunta dessa norma com a resolução, pois todas as leis “que estão abaixo da LGPD” deverão seguir seus preceitos. Como a resolução é uma norma “abaixo” da LGPD, ela deverá respeitar o conteúdo da lei geral.

Na LGPD, o consentimento é um dos pilares fundamentais. Isso se dá sob o fundamento de que a pessoa responsável pelo tratamento dos dados, só possa realmente operar com a autorização expressa do seu titular.

Veja que o tratamento da LGPD sobre o consentimento é mais amplo e abrangente do que o previsto na resolução, fornecendo maior segurança jurídica aos agentes envolvidos no tratar dos dados, pois que é norma geral.

Já a autenticação, apesar de estar prevista na resolução, não teve estabelecida uma definição determinada.

Porém, de acordo com o previsto na resolução sobre como deverá ser feita a autenticação, podemos conceituar esse aspecto como a condição necessária de verificação das informações fornecidas pelos usuários, titulares dos dados, às instituições financeiras. A resolução também prevê que a autenticação deverá ser realizada, impreterivelmente, uma única vez a cada consentimento[9].

Além dessa proteção, para que a autenticação seja considerada válida, sua aplicação deverá observar os requisitos sobre o tratamento dos dados, estabelecidos na LGPD.

Por exemplo, se uma instituição financeira desejar autenticar determinado dado sobre a saúde de seu cliente para disponibilizá-lo a outra instituição, a fim de que ele obtenha com essa transferência, descontos em taxas bancárias, essa operação deverá observar e aplicar o que a LGPD determina sobre o tratamento de dados pessoais sensíveis, sob pena de ser considera ilegal a operação autenticadora. Aqui, notamos mais uma vez a importância da aplicação da LGPD em conjunto com a resolução.

Outro aspecto importante que é a finalidade dos dados, requisito essencial para a legalidade do sistema aberto, tem previsão na própria resolução. O artigo 12 determina que:

A instituição receptora de dados deve assegurar que os dados objeto do compartilhamento sejam pertinentes às finalidades determinadas de que trata o art. 10, § 1º, inciso II[10].

Esse artigo 10[11] exige que o consentimento dos titulares dos dados deva ser para finalidades específicas e determinadas. Por exemplo, se a instituição deseja obter o consentimento do cliente para disponibilizar os dados para que ele possa obter informações sobre as condições de juros para empréstimos de outros bancos, esse consentimento deverá estar disponível, expressamente, só e somente para esse fim específico.

Por outro lado, a LGPD também prever em sua estrutura normativa a exigência de finalidades específicas e determinadas para o compartilhamento dos dados dos titulares.

Inclusive, a finalidade, para a lei geral de dados, é um princípio basilar da sua estrutura de proteção. Esta lei exige que a finalidade seja para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas mesmas finalidades[12].

Assim, a finalidade dos dados que serão tratados no sistema Open Banking deverá estar previsto na hora que o cliente fornecer seu consentimento e também deverá estar em conformidade com a resolução e com a lei geral de proteção de dados.

Por fim, com a implementação do sistema Open Banking, podemos afirmar que os dados compartilhados serão protegidos sim, de forma ampla e segura, como determina a lei geral de dados e a própria resolução que institui o sistema.


[1] https://www.bcb.gov.br/estabilidadefinanceira/openbanking

[2] Essa padronização será feita por APIs. Essa interface é a tecnologia que permitirá o compartilhamento de dados entre bancos e outras instituições financeiras de forma segura, padronizada e integrada (https://www.opus-software.com.br/api-open-banking/).

[3] https://blog.nubank.com.br/o-queeopen-banking/

[4] https://www.in.gov.br/web/dou/-/resolucao-conjuntan1-de-4-de-maio-de-2020-255165055

[5] De acordo com o que estabelece o texto final do artigo 15 da resolução: “as instituições participantes envolvidas no compartilhamento de dados ou serviços devem assegurar a possibilidade da revogação do respectivo consentimento, a qualquer tempo, mediante solicitação do cliente, por meio de procedimento seguro, ágil, preciso e conveniente, observado o disposto na legislação e regulamentação em vigo”r.

[6]Conceituado na resolução como: “art. 2 VIII - consentimento: manifestação livre, informada, prévia e inequívoca de vontade, feita por meio eletrônico, pela qual o cliente concorda com o compartilhamento de dados ou de serviços para finalidades determinadas (...);

[7] https://www.in.gov.br/web/dou/-/resolucao-conjuntan1-de-4-de-maio-de-2020-255165055

[8] A lei de dados, em seu art. 5º, inciso XII estabelece que consentimento é a “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada”

[9] Art. 16. (...) I - no caso da autenticação de cliente, ser realizados uma única vez a cada consentimento. A autenticação das pessoas jurídicas se dará da seguinte forma: Art. 16. II - no caso da autenticação de instituição receptora de dados ou iniciadora de transação de pagamento, ser realizados uma única vez a cada chamada de interface.

[10] https://www.in.gov.br/web/dou/-/resolucao-conjuntan1-de-4-de-maio-de-2020-255165055

[11] Art. 10. A instituição receptora de dados ou iniciadora de transação de pagamento, previamente ao compartilhamento de que trata esta Resolução Conjunta, deve identificar o cliente e obter o seu consentimento. § 1º O consentimento mencionado no caput deve: II - referir-se a finalidades determinadas;

[12] Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios: I - finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades (...);http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm

2 Comentários

Faça um comentário construtivo para esse documento.

Não use muitas letras maiúsculas, isso denota "GRITAR" ;)

Embora a ideia do Open Banking resulte atrativa, vale lembrar que ela depende primeiro do consentimento de cada cliente de querer compartilhar seus dados com outras instituções. Fazendo uma análise mais profunda disso, ao meu modo de ver, o Open Banking só pode ser vantajoso se você possui um nivel de patrimonio, liquidez e caráter que sejam interessantes para que os bancos almejem que essa pessoa vire cliente deles. Já tenho trabalhado em bancos internacionais por quase 20 anos, e sei que os bancos "emprestam o guardachuvas quando sai o sol, e o exigem de volta quando começa a chover".

Dito isso, na realidade, a grande maioria dos clientes no Brasil, se aderirem ao Open Banking, perderão poder de negociação no momento em que o banco X sabe o que você tem ou não no Banco Y, Z e W. A regra básica de qualquer negociação é que a contraparte não conheça a fundo sua posição nem seu desespero, pois senão o Banco X saberá que você não tem alternativas.

Um exemplo prático disso seria que softwares de bancos analisariam dados pessoais de clientes de bancos e decidiriam se é viável conceder ou não um empréstimo para determinada pessoa (mais do que o que já fazem); outros produtos bancários tais como seguros e planos de previdência poderiam também analisar o perfil de pessoas para decidir se fazer ou não um certo contrato, ou até mesmo cobrar mais caro por ele só a você porque você possui um risco maior, segundo o software!

Sem esquecer que temos o risco de vazamento de dados, de exposição da privacidade pessoal, utilização abusiva ou indevida dos nossos dados, o uso do Big Data para oferecer produtos mais adequados para determinadas pessoas de acordo com o perfil de interesses e predisposições. Imaginem uma sociedade onde o OB se soma à compra dos dados do Big Data vendidos pelo Facebook, Tik Tok, Instragram, etc etc, e as pessoas nem percebem o perigo implícito à sua liberdade!

Se lembram da promessa de que as passagens áereas baixariam de preço, caso liberarem cobrar pelas malas há poucos anos atrás?? E o que aconteceu?? Acredito que não preciso explicar que isso é o que realmente acontecerá aqui também. Boas intenções que acabarão por prejudicar a grande maioria dos clientes. Os preços não baixaram, e ainda por cima, agora tem que pagar por levar as malas...

Na verdade, você aderindo ao OB estará fazendo de graça o trabalho dos bancos, que é assumir riscos, com a promessa de obter vantagens que ninguém garante que receberá em troca, ou que na melhor das hipótesis, você não possui as ferramentas para ter certeza de que obteve uma vantagem ou desconto real em comparação com o cenário de não ter compartilhado seus dados. De fato, vale lembrar que já existe o scoring de clientes que classificam as pessoas de acordo com seu histórico de pagamento, e outros conceitos.

Essa é a minha opinião crítica do Open Banking! Mas finalmente cada um decide o que quer fazer... continuar lendo

Excelente texto, esclarecedor. continuar lendo