A relação entre open banking e LGPD (Lei Geral de Proteção de Dados), tem se tornado cada vez mais clara para as instituições financeiras, conforme avança a implementação do open banking Brasil. Afinal, itens relacionados à segurança, transparência e gestão de consentimento são fundamentais para o bom funcionamento dessa iniciativa, já que eles garantem a preservação das informações dos clientes.
Neste ano, o Banco Central definiu que agora essa iniciativa se chama Open Finance, substituindo o Open Banking. A mudança, que é apenas nominal, facilita o entendimento do público e reforça a ideia de sistema financeiro aberto, justamente porque o Open Finance inclui produtos bancários tradicionais e também serviços financeiros como câmbio, seguros e previdência.
Nesse sentido, essa iniciativa promete aumentar a competitividade nesse mercado, já que será possível obter dados que vão ampliar o entendimento das necessidades do público.
E é aí que a relação entre open banking e LGDP começa a se estreitar, porque é necessário garantir, por meio de tecnologia, que a legislação seja cumprida, para que todos possam desfrutar os benefícios do open banking com segurança.
Além disso, é importante lembrar que a partir da segunda fase do Open Banking Brasil, que já está sendo implementada em ciclos, vai permitir o compartilhamento de dados. Pensando nisso, nesse post nós vamos falar sobre os principais itens da Lei Geral de Proteção de Dados e como eles se relacionam com o open banking.
Como funciona a LGPD?
A Lei Geral de Proteção de Dados (LGPD), ou lei nº 13.709, de 14 de agosto de 2018, dispõem sobre o tratamento dos dados pessoais, inclusive nos meios digitais, com o objetivo de proteger os direitos fundamentais e a titularidade dos dados pessoais, assegurando a liberdade, intimidade e privacidade.
Para as empresas, a LGPD determina que independente da sede ou da localização da base de dados da organização, se há algum tipo de processamento de conteúdo de brasileiros ou no território nacional, as normas da Lei Geral de Proteção de dados deve ser aplicada.
Algumas das ações implementadas nas empresas para se adequar a essas normas são:
– Auditoria sobre o Tratamento de dados (coleta, controle, eliminação etc.);
– Gestão do Consentimento e Anonimização;
– Gestão dos Pedidos do Titular;
– Segurança dos Dados;
– Governança do Tratamento;
– Validação do término do tratamento;
– Prevenção de conflitos;
– Segurança dos Dados;
– Governança do Tratamento;
– Validação do término do tratamento;
– Prevenção de conflitos.
As empresas que não cumprirem essas regras podem serão penalizadas por meio de advertências, multas ou até mesmo com sansões.
>> Leitura recomendada: Open Insurance: entenda a revolução do mercado de seguros
Consentimento na Lei Geral de Proteção de Dados
Nesse contexto, outro elemento fundamental é o consentimento. Segundo a Lei Geral de Proteção de Dados, ele é definido como a “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada”.
Na gestão de consentimento, são observados alguns itens essenciais:
- O que o usuário X consentiu?
- O que o usuário X não quer mais consentir?
- Quais consentimentos o usuário X revogou e como isso te afeta?
Portanto, esse processo de utilização de dados segue alguns pré-requisitos:
1 – É necessário informar previamente a finalidade e necessidade do tratamento de dados. Isso porque, por exemplo, se um determinado dado for analisado somente por meios automatizados para construir um perfil ou ofertar um serviço financeiro como um limite de crédito, o indivíduo pode solicitar a revisão desse processo.
2 – O texto do consentimento deve ser claro, transparente e conciso.
3 – O usuário, mesmo após fornecer o consentimento, pode solicitar que os dados sejam deletados, revogar o consentimento, transferir dados para outro fornecedor de serviços, ou outras ações.
Ou seja, como diz o ditado “o combinado não sai caro”. E é aí que podemos apresentar o conceito de privacy by design.
Privacy by design
O privacy by design, nada mais é do que garantir que todos os projetos desenvolvidos pela organização tenham como guia as regras de privacidade e transparência em relação aos dados do usuário.
Esse conceito, se relaciona diretamente com o open banking e a LGPD, porque esse Mindset garante que essas normas e direcionamentos se incorporem de forma mais natural ao desenvolvimento diário, evitando que essas regras não sejam atendidas ou que seja necessário refazer algum processo que não estava de acordo.
Os principais pilares do privacy by design são:
– Desenvolvimento focado na prevenção de incidentes;
– Dar para o usuário o poder para que ele possa configurar os itens relacionados à privacidade;
– Garantir que a funcionalidade ou programa desenvolvido não dependa do compartilhamento de dados para funcionar;
– Proteção do dado durante todo o ciclo de vida dele;
– Visibilidade e transparência;
– A privacidade do usuário deve ser a preocupação central.
Esses conceitos garantem que os dados utilizados pelas empresas foram consentidos pelos usuários, que ao fazer isso possuem clareza da finalidade de uso dessas informações.
>> Leitura recomendada: Segurança de dados: como proteger os dados no Open Banking
Open Banking e LGPD
Apesar do texto da Lei Geral de Proteção de Dados ter sido formulado em 2018, as normas só passaram a valer em 2020, o que significa que o open banking já foi estruturado para se encaixar na regras da LGPD.
O consentimento – que já destacamos ser um ponto importante da legislação – é conceituado na Resolução do Open Banking como a “manifestação livre, informada, prévia e inequívoca de vontade, feita por meio eletrônico, pela qual o cliente concorda com o compartilhamento de dados ou de serviços para finalidades determinadas”. Ou seja, são ideias complementares.
Como estamos falando sobre dados financeiros sensíveis o open banking também está diretamente relacionado à Lei do Sigilo Bancário (LCP 105), que já estabelece como esses dados devem ser protegidos durante e após as operações.
A maior parte das informações que são processadas em operações bancárias são dados pessoais, históricos financeiros de movimentação, saldo, histórico de movimentação e contratação de produtos e serviços, que são justamente os dados que estão relacionados a segunda e terceira fase da implementação do open banking.
Inclusive, a própria LCP 105 prevê em seu artigo 1º, §3º, que as informações financeiras podem ser compartilhadas com terceiros, desde que haja o consentimento do interessado. Claro, com ressalvas para casos de comunicação de ilícitos penais ou administrativos, terrorismo, tráfico de entorpecentes, lavagem de dinheiro, entre outras implicações legais.
Como no open banking, o compartilhamento dos dados só será permitido após o consentimento, existem algumas regras que devem ser seguidas pelas instituições financeiras participantes no momento dessa solicitação. De acordo com a Resolução Conjunta nº 1, de 4 de maio de 2020, do Banco Central o consentimento deve ser:
— Solicitado com linguagem clara e adequada;
— Referir-se a finalidades determinadas;
— Ter prazo de validade compatível com as finalidades, limitado a doze meses;
— Discriminar a instituição transmissora de dados ou detentora da conta, conforme o caso;
— Discriminar os dados ou serviços que serão objeto de compartilhamento;
— Incluir a identificação do cliente;
— Ser obtido após a data de entrada em vigor da resolução conjunta; e
— Tendo alterações das condições do segundo ao quinto item, novo consentimento deverá ser obtido.
Portanto, não é permitido solicitar o consentimento do cliente no open banking:
— Por meio de contrato de adesão;
— Por meio de formulário com opção de aceite previamente preenchida; ou
— De forma presumida, sem manifestação ativa do cliente.
As organizações participantes devem informar ao cliente no momento do consentimento, no mínimo:
— A identificação das instituições participantes;
— Dados e serviços objeto do compartilhamento;
— Período de validade do consentimento;
— Data de requisição do consentimento; e
— Finalidade do consentimento, no caso em que a instituição em tela seja iniciadora de transações de pagamento ou receptora de dados.
Importante ressaltar também que no open banking o consentimento poderá ser revogado em qualquer momento, por meio de um processo ágil e simples, no mesmo canal de atendimento no qual foi concedido o consentimento.
>>Leitura recomendada: Integração da API open banking: aprenda como fazer
Segurança e consentimento
Renato Opice Blum, advogado; economista e professor coordenador dos cursos de Proteção de Dados e Direito Digital do Insper, em artigo para a FEBRABAN (Federação Brasileira de Bancos), destacou alguns itens importantes que relaciona segurança, open banking e LGPD.
O princípio da segurança diz que durante todo o ciclo de vida do tratamento ou análise de dados é necessário adotar medidas, tanto do ponto de vista tecnológico, quanto dos processos administrativos para que seja possível permitir que os dados sejam protegidos, que eles sejam acessados somente por pessoas autorizadas, evitando qualquer tipo de perda, alteração ou mau uso.
Como já comentamos, esse princípio é 100% compatível com o open banking, já que a segurança e a transparência dos processos devem estar presentes tanto na instituição transmissora quanto na receptora, para que os dados compartilhados pelos clientes estejam protegidos.
Opus Open Banking
Como nós apresentamos nesse post a segurança e adequação à legislação do open banking são itens fundamentais para que seja possível colher bons frutos com essa iniciativa aqui no Brasil. Pensando nisso, nós criamos o Opus Open Banking, uma solução completa, segura, flexível, escalável e 100% aderente às legislações para que as instituições financeiras possam participar do open banking. Se interessou?