O Open Banking e a LGPD

Trazendo o cliente como o protagonista dos seus próprios dados, e em total harmonia com a LGPD - lei Geral de Proteção de Dados, o Open Banking (em português, Sistema Financeiro Aberto), regulamentado pelo governo e supervisionado pelo Banco Central, está em sua segunda etapa da fase de implementação, de um total de quatro, e tem previsão para estar operacional no Brasil até final de dezembro de 2021.

Participarão do Open Banking apenas instituições reguladas pelo Banco Central, de forma obrigatória ou voluntária, sendo que as maiores instituições terão participação obrigatória. As instituições participantes deverão e cumprir regras do Conselho Monetário Nacional (CMN) e do Banco Central sobre segurança cibernética, proteção de dados dentre outras, o que traz confiabilidade e segurança ao Sistema.

Mas afinal de contas o que é Open Banking e de que forma ele está relacionado com a LGPD?

Um dos principais fundamentos da LGPD é a autodeterminação informativa, que coloca o titular dos dados (i.é. as pessoas físicas) com o poder de decidir livremente sobre o tratamento de seus dados pessoais em determinadas circunstâncias. O Open Banking está sendo proposto totalmente alinhado com esse conceito de empoderamento das pessoas físicas sobre os seus dados, ele permitirá que, a critério do cliente, haja compartilhamento de seus dados cadastrais, transacionais e sobre os produtos utilizados, entre instituições financeiras de sua escolha. Ou seja, o titular é quem terá o poder de definir se uma instituição financeira poderá enxergar detalhes do seu relacionamento com outra instituição.

Esse compartilhamento poderá beneficiar o cliente, à medida que possibilitará a análise de suas transações financeiras como um todo, e não apenas em determinada instituição. O objetivo é favorecer a concorrência e assim beneficiar o usuário, já que as instituições poderão, a partir da análise do perfil dos clientes, fornecer produtos, serviços e modalidades de crédito que o atendam de forma personalizada, de acordo com a análise obtida e com o tamanho do risco que a instituição deseja assumir.

A LGPD veio promover a inovação e não a impedir, e para isso estabeleceu algumas hipóteses autorizadoras para o tratamento de dados pessoais, que são as chamadas de bases legais, e dentre elas está o consentimento, que é a base legal utilizada no programa.

Para participar do Open Banking, por sua vez, o titular deverá consentir com o compartilhamento de seus dados: O titular irá informar sua intenção de compartilhamento para a instituição receptora, que transmitirá a informação para a instituição de origem (onde estão os dados que deseja compartilhar) e após a confirmação do cliente sobre sua intenção à instituição de origem, a instituição receptora coletará a autorização necessária para efetivá-lo.

Aliás, o modelo do Open Banking de uma certa maneira se mostra alinhado com novos direitos dos titulares previstos na LGPD como a portabilidade, pois os dados não pertencem mais as instituições, e sim pertencem aos seus titulares, que podem dispor dos dados em algumas circunstâncias, inclusive determinando a transferência destes para outras instituições.

É importante ressaltar que o uso do consentimento como base legal possui algumas características: (i) livre: o titular deve manifestar sua vontade sem influência de circunstâncias alheias ou pressões de qualquer tipo; (ii) inequívoco: precisa demonstrar de forma clara a sua intenção de autorizar o tratamento; (iii) informado: recebe, antes da coleta, todas as informações relativas ao tratamento de seus dados.

Além disso, o consentimento pode ser revogado a qualquer momento, ocasião em que o tratamento deve ser interrompido, conforme solicitação do titular. A gestão adequada do uso do consentimento será um dos grandes desafios das instituições, considerando que o titular é quem dará as diretrizes do compartilhamento.  

Na questão da finalidade, a LGPD estabelece que todo tratamento de dados pessoais deve ser pautado em propósitos legítimos, específicos, explícitos e informados. Logo, no decorrer da relação com a instituição financeira, o tratamento dos dados deve ser limitado à finalidade informada. Caso haja qualquer tipo de alteração na finalidade do tratamento, deve ser coletado um novo consentimento. Nesse sentido, a instituição financeira receptora dos dados deverá informar ao cliente, antes da coleta do consentimento: (i) a finalidade do tratamento; (ii) os tipos de dados que serão tratados; (iii) informações sobre compartilhamento; (iv) prazo do tratamento, limitado a 12 meses, e compatível com a finalidade.

É importante ressaltar que todas essas informações, sobre como serão realizados os tratamentos de dados, deverão ser prestadas pelas instituições financeiras de forma clara, objetiva, em linguagem acessível ao cliente, não cabendo informações em termos técnicos ininteligíveis à população em geral, em consonância com o princípio da transparência, trazido pela LGPD.

Após as fases de consentimento, autenticação e confirmação, as informações cadastrais e transacionais do cliente, de até um ano, poderão ser compartilhadas de forma gratuita em ambiente digital seguro e supervisionado pelo Banco Central, através de API (Application Programming Interface, em português Interface de Programação de Aplicativos), que é um conjunto de padrões que permite que duas plataformas com programações diferentes se comuniquem. A automatização do processo de compartilhamento garante maior eficiência e segurança nas operações, à medida que possibilita transferência de dados sem que haja necessidade de controle manual ou migração do banco de dados para novos softwares.

Além disso, as instituições financeiras participantes deverão possuir programas de governança robustos, e utilizar padrões técnicos razoáveis para garantir a segurança dos dados pessoais dos clientes, ratificando os princípios da segurança e da prevenção, adotando medidas preventivas eficazes para prevenir danos, o que mais uma vez, está muito alinhado com a LGPD que requer um programa de governança em proteção de dados bem estruturado, que inclua a gestão do consentimento, monitoramento do correto uso da finalidade, atendimento ao pedido de revogação, dentre outros direitos dos titulares previstos na LGPD.

A iniciativa do Banco Central reafirma que o titular é, de fato, o dono de seus dados, demonstrando claramente que a LGPD não é um evento isolado, mas sim parte do estabelecimento de uma nova era de privacidade, na qual deve-se levar em consideração a proteção de dados desde a concepção do projeto, e por padrão, de todo produto ou serviço que envolva tratamento de dados pessoais, dando efetividade ao conceito do "privacy by design".