A compatibilidade entre o Open Finance e a LGPD (lei 13.709/18) configura-se como questão central para assegurar que a inovação no âmbito do sistema financeiro ocorra de maneira segura, ética e em estrita observância ao ordenamento jurídico vigente. A coexistência harmônica é juridicamente possível, desde que a implementação do Open Finance observe, de forma rigorosa, os princípios, fundamentos e diretrizes estabelecidos pela LGPD, notadamente aqueles relativos à proteção da privacidade, controle do titular e à transparência no tratamento de dados pessoais.
No Brasil, o Open Finance foi regulamentado pelo BCB - Banco Central do Brasil e pelo CMN - Conselho Monetário Nacional. Suas principais diretrizes foram implementadas em quatro fases, no período compreendido entre os anos de 2021 e 2022. O BCB divulgou um comunicado em 2020 mencionando que 1.065 instituições financeiras eram qualificadas como participantes obrigatórias do Open Finance, o que já demonstrava a magnitude do projeto.
Um dos principais objetivos do Open Finance, desde o princípio, foi tornar possível o compartilhamento de dados bancários. Isso porque o mercado de serviços financeiros no Brasil é bastante concentrado, e a dificuldade de acesso a dados representa um dos maiores obstáculos para a entrada de novos concorrentes. Devido ao seu amplo compartilhamento de informações, o Open Finance requer uma estrutura de governança eficaz para garantir a proteção de dados pessoais e privacidade, a fim de operar de maneira adequada.
A LGPD, em seu art. 49, traz que o tratamento de dados pessoais deve observar, dentre outros requisitos legais, os padrões de boas práticas e de governança. Quanto às regras setoriais, podemos destacar as seguintes:
- Resolução conjunta 1, de 2020, editada pelo BCB - Banco Central do Brasil e pelo CMN - Conselho Monetário Nacional, a qual dispõe, em síntese, sobre:
- A obrigação geral de assegurar a segurança da informação no âmbito do compartilhamento de dados no Open Finance (arts. 4º, 31, 39, 40 e 48);
- A exigência de adoção de mecanismos de autenticação específicos para viabilizar o referido compartilhamento (arts. 16 e 17); e
- A imposição de cláusulas contratuais voltadas à segurança da informação nos casos de celebração de parcerias com entidades não autorizadas a funcionar pelo BCB, incluindo o dever de comunicação, por parte do parceiro contratado, sobre eventual ocorrência de incidentes relacionados à segurança da informação (art. 38).
- Resolução 32/20, editada pelo BCB - Banco Central do Brasil: Dispõe sobre a criação de um “Manual de Segurança do Open Finance”, cujo propósito consiste em detalhar os padrões de segurança e os requisitos técnicos aplicáveis ao ecossistema, conforme previsto em seu art. 16.
- Resolução 85/21, editada pelo BCB:
- Exigência de adoção de estruturas de governança voltadas à segurança da informação;
- Estímulo ao compartilhamento de informações relativas a incidentes de segurança entre as instituições participantes, com o objetivo de promover o aprendizado mútuo e o aprimoramento contínuo das práticas de proteção de dados.
À luz da grande escala de informações pessoais que serão compartilhadas para viabilizar a operação do Open Finance, é clara a obrigação de não prejudicar a proteção efetiva dos direitos dos titulares de dados, principalmente os previstos na LGPD.
Direitos previstos na LGPD e aplicáveis às pessoas naturais no contexto do Open Finance
Consentimento livre, específico, informado e inequívoco
O compartilhamento de dados pessoais ou serviços de clientes no âmbito do Open Finance é sempre estabelecido pelo consentimento prévio dos clientes. O consentimento deve ser considerado como uma expressão livre, informada, prévia e inequívoca de vontade feita em uma base eletrônica, através da qual o cliente concorda com o compartilhamento de dados ou serviços para fins determinados.
Revogação do consentimento
O titular dos dados pode exigir que a empresa pare de usar seus dados pessoais, mesmo que o titular dos dados tenha consentido anteriormente, sem necessidade de fundamentação, e o controlador deverá facilitar esse procedimento.
Acesso
O titular terá acesso livre aos seus dados pessoais, os quais devem ser fornecidos imediatamente pelo controlador. Para solicitações relacionadas à origem dos dados, à inexistência de registro, aos critérios utilizados e à finalidade, as informações devem ser fornecidas em até 15 dias.
Correção de dados pessoais
O titular tem o direito de solicitar a correção de seus dados pessoais que estejam errados. Esse direito de correção inclui a possibilidade de atualizar as informações e, se necessário, até mesmo adicionar novos dados ao tratamento.
Portabilidade de dados
O titular tem a possibilidade de solicitar a transferência de seus dados pessoais para outra instituição financeira, o que facilita a comparação de serviços e a busca por melhores condições de crédito ou produtos financeiros.
Eliminação
Para os tratamentos de dados pessoais que têm o consentimento como base legal, o titular pode solicitar a eliminação desses dados. Todavia, as instituições podem reter os dados devido a obrigações legais ou regulatórias, como o cumprimento de contratos ou exigências do Banco Central.
Segurança
No Open Finance, as informações são trocadas entre as instituições de maneira confidencial e segura através de APIs (Interface de Programação de Aplicações). Essa tecnologia consiste em um conjunto de regras que permite a comunicação entre plataformas, utilizando uma série de padrões e protocolos.
Conclusão
A harmonização entre o Open Finance e a LGPD assegura que o compartilhamento de dados financeiros transcorra de maneira segura, transparente e sob a supervisão do titular dos dados, impactando diretamente na eficiência e na qualidade das informações que circulam no mercado financeiro, refletindo, por conseguinte, na efetividade do Open Finance.
_______
https://www.bcb.gov.br/estabilidadefinanceira/openfinance
https://www.gov.br/anpd/pt-br/assuntos/titular-de-dados-1/direito-dos-titulares
https://openfinancebrasil.org.br/2022/11/17/open-finance-medidas-deseguranca/
https://lapin.org.br/wp-content/uploads/2020/11/Relatorio-Open-Banking-LGPD_LAPIN.pdf
https://baptistaluz.com.br/wpcontent/uploads/2022/05/Bluz_PD_AYIP_OpenFinance.pdf