A Lei nº 13.709/18 ("LGPD") surgiu a partir da necessidade de regrar especificamente a proteção de dados pessoais no Brasil. Há quem entenda que a LGPD demorou a ser promulgada, tendo em vista que diversos outros países (e, em particular, a União Européia) regulamentaram a matéria anteriormente e de forma ampla, abrangendo todas as atividades econômicas, tanto no meio virtual, quanto no ambiente físico. Esse cenário internacional fez com que o Poder Legislativo formulasse uma norma ampla, aplicável a todos os setores da economia.
No setor financeiro, especificamente, algumas normas já previam, ainda que de maneira esparsa, determinados parâmetros e requisitos para o tratamento de dados pessoais e outras informações sigilosas, como a Lei Complementar nº 105/01 (Lei do Sigilo Bancário), a Lei nº 12.414/11 (Lei do Cadastro Positivo), bem como a Resolução nº 4.658/18 e Circular nº 3.909/18 ("Normas de Segurança Cibernética").
No início deste mês, o Banco Central do Brasil ("BCB") e o Conselho Monetário Nacional ("CMN") publicaram a Resolução Conjunta nº 01/20 e a Circular nº 4.015/20, que instituíram a tão esperada regulamentação do Open Banking, ou Sistema Financeiro Aberto. O Open Banking consiste no compartilhamento padronizado de dados e serviços por meio da abertura e integração de sistemas entre instituições financeiras, instituições de pagamento e demais instituições autorizadas a funcionar pelo BCB ("Instituições Participantes"). A norma entrará em vigor em 1º de junho de 2020, observadas as etapas sequenciais de implementação descritas no referido diploma legal.
Ainda que o Open Banking e a LGPD tenham objetivos e focos diferentes, é importante fazer um paralelo entre as duas normas, harmonizando suas disposições nos pontos de interseção. Esta necessidade decorre do fato de que o compartilhamento de dados, atividade essencial no contexto do Open Banking, é uma forma de tratamento definida pelo artigo da 5º, inciso X, da LGPD. Cabe aqui salientar que a LGPD não revoga ou impede de alguma maneira as normas setoriais que também regulam a tutela de dados pessoais, devendo ser observadas as regras do artigo 2º do Decreto-Lei nº 4.657/1942 (Lei de Introdução às normas do Direito Brasileiro), para se interpretar qual norma deve ser aplicada em cada situação concreta.
O tema tem muitas nuances e merece um aprofundamento teórico. De toda forma, o presente artigo tem como objetivo somente levantar breves apontamentos e reflexões sobre quais serão os desafios para a implementação segura do Open Banking pelos participantes e demais envolvidos à luz do que dispõe a LGPD.
Em primeiro lugar, não somente há possibilidade concreta de adiamento da LGPD para 2021, como é importante frisar que ainda não foi efetivamente criada a Autoridade Nacional de Proteção de Dados ("ANPD"). Dentre as muitas obrigações estabelecidas para esta entidade, destaca-se a sua competência para interpretar, orientar, criar regras, procedimentos e diretrizes quanto às normas estabelecidas na LGPD e leis relacionadas. Assim, a ANPD pode ter papel relevante na harmonização dos diplomas legais que envolvem compartilhamento de dados, respeitadas, claro, a competência de reguladores setoriais (como CMN e BCB).
Um ponto relevante a se considerar é que o BCB já definiu a escolha da base legal para o compartilhamento dos dados: o consentimento - adotando definições da LGPD - bem como as práticas vedadas (i.e. contrato de adesão e formulário de aceite previamente preenchido). O consentimento deve ser livre, informado, prévio e inequívoco de vontade, pela qual o cliente (titular dos dados) concorda, por meio eletrônico, com o compartilhamento de dados/serviços para finalidades determinadas, limitado a 12 meses (podendo ser estendido para transações de pagamento sucessivas, se aplicável).
A LGPD contém diversas disposições sobre o assunto, mas a ANPD ainda precisa estabelecer ações e/ou interpretação quanto às definições sobre o consentimento, como também definir ferramentas para sua comprovação. Esse movimento já tem sido feito pela autoridade europeia de proteção de dados que, em 4 de maio de 2020, publicou os Guidelines 05/2020, tratando sobre o consentimento sob a égide da General Data Protection Regulation ("GDPR"), lei de privacidade europeia, tamanha a importância do regramento sobre a utilização do consentimento para tratamento de dados pessoais.
Outrossim, deve ser feita também a compatibilização de padrões técnicos de segurança e procedimentos operacionais da LGPD com as regras do Open Banking. Este ponto está em processo de autorregulamentação no âmbito do Open Banking, nos termos do artigo 23 da Resolução Conjunta nº 01/20. As Instituições Participantes deverão submeter para aprovação do BCB os padrões técnicos de suas interfaces dedicadas ao compartilhamento ("API"), por meio da Convenção descrita no art. 44 da Resolução Conjunta nº 01/20. Esse assunto ganha contornos ainda mais complexos ao ter de ser harmonizado também com as Normas de Segurança Cibernética.
É importante salientar que as Instituições Participantes têm até o dia 1º de setembro de 2020 para apresentar ao BCB os procedimentos operacionais e os padrões tecnológicos e de leiaute para as interfaces e segurança. Ocorre que a ANPD, quando criada, nos termos do artigo 46, § 1º da LGPD, tem o papel de dispor sobre padrões técnicos mínimos para tornarem as medidas de segurança, técnica e administrativas aptas a proteger dados pessoais. Diante disso, as Instituições Participantes poderão se deparar com a necessidade de, posteriormente, ter que adequar novamente seus processos relacionados ao Open Banking com base na regulamentação a ser editada pela ANPD.
Por outro lado, considerando que o regulador bancário está em estágio bastante avançado em matéria de segurança da informação, principalmente porque as Normas de Segurança Cibernética foi editada há mais de dois anos e o BCB liderou todo o estudo para implementação do Open Banking, a ANPD poderia, na medida do que for aplicável, se beneficiar da estrutura que já começou a ser elaborada pelas Instituições Participantes em conjunto com o BCB.
Apenas como um paralelo, podemos usar o exemplo do Reino Unido, referência na implementação do Open Banking no contexto mundial, que já opera à luz das disposições da GDPR. Nesse sentido, é importante verificar que a Financial Conduct Authority (FCA) tem feito algumas críticas no sentido de que a GDPR sozinha não forneceria uma estrutura para o desenvolvimento do Open Banking. Por isso, em dezembro de 2019, a FCA publicou o "Call for Input: Open finance" com questionamentos sobre quais direitos e proteções são necessários para manutenção da inovação sob os interesses dos clientes, caso não estejam especificamente definidos na GDPR.
Com base no exposto acima, é fundamental que a ANPD seja efetivamente criada e passe a operar o quanto antes, a fim de não apenas orientar a interpretação e aplicação da LGPD, como também trabalhar com o BCB para harmonizá-la com o Open Banking. Esse trabalho conjunto dos reguladores é essencial para a orientação das Instituições Participantes na implementação do Open Banking e na sua harmonização com a LGPD. As entidades envolvidas no Open Banking precisam de segurança para implementá-lo e desenvolvê-lo, sem o receio de terem que mudar substancialmente seus procedimentos no médio prazo, por força da regulamentação de requisitos de segurança da informação ou mesmo de manifestação de consentimento pela ANPD.
No limite, os desafios e a insegurança decorrentes das disposições da LGPD poderão reduzir o número de participantes facultativos no Open Banking e potencializar fricções entre os participantes obrigatórios, o que prejudicaria os esforços do BCB em aumentar a concorrência, a inovação financeira e a bancarização da população brasileira.
Assim, é oportuno que, ao definir um programa para implementação do Open Banking, as Instituições Participantes e parceiros, em conjunto com o BCB: (i) verifiquem todos os requisitos para adequação à LGPD, e (ii) participem ativamente das discussões sobre a criação da ANPD e consequentes regulamentações a serem editadas por ela, em particular as normas que possam afetar diretamente o funcionamento do Open Banking.
*Leticia Becker Tavares, advogada atuante na área empresarial do Cascione Pulino Boulos Advogados, bacharel em Direito pela UFRJ e pós graduanda pela FGV-SP
Referência Bibliográficas:
Centro de Direito, Internet e Sociedade do Instituto Brasiliense de Direito Público; Center for Information, Policy Leadership (CIPL). O papel da Autoridade Nacional de Proteção de Dados Pessoais (ANPD) conforme a nova Lei Geral de Proteção de Dados Pessoais (LGPD). 17 de abril de 2020. Disponível em: https://www.idp.edu.br/centro-de-pesquisa-cepes/centro-de-estudos-de-direito-internet-e-sociedade-cedis/. Acesso em 05 de maio de 2020.
Financial Conduct Authority (FCA). Call for Input: Open finance. Dezembro de 2019. Disponível em: https://www.fca.org.uk/publication/call-for-input/call-for-input-open-finance.pdf. Acesso em 06 de maio de 2020.
Leonardi, Marcel. Fundamentos do Direito Digital / Marcel Leonardi - São Paulo: Thomson Reuters Brasil, 2019.
Lima, Marcelo; Gonçalves, Ana; Nogueira, Thássila. Questões atuais e perspectivas futuras na regulamentação dos meios de pagamento - open banking e pagamentos instantâneos. In: Fábio de Souza Aranha Cascione; Marcelo Padua Lima; Aaron Papa de Morais. (Org.). Direito e Tecnologia. 1ª ed. São Paulo: Editora LiberArs Ltda., 2019, v. 1, p. 137-172.
