LGPD e Open Banking

Uma série de fatores têm convergido para tornar o mercado financeiro brasileiro mais eficiente, ágil, competitivo e aberto.

Fatores esses como a LGPD, o novo sistema de Open Banking do Banco Central de compartilhamento de informações via API entre os diversos atores do ecossistema financeiro, tantos Bancos quanto Fintechs e o novo sistema de pagamentos instantâneo PIX que entrou em vigor no final do segundo semestre de 2020.

Em comum, todos possuem como elemento basilar o uso responsável e consentido dos dados dos usuários (consumidores) para facilitar as transações eletrônicas entre todas as organizações que estão ligadas ao sistema financeiro do país, estimulando também a análise e concessão de crédito de forma transparente e ágil, o que ajudará a proporcionar um aumento da inclusão financeira daqueles que estão atualmente à margem do sistema e que só utilizam do dinheiro físico em suas rotinas diárias.

A questão da Privacidade e a Segurança da Informação

Um dos grandes desafios das leis de privacidade de dados pelo mundo é garantir o equilíbrio delicado entre a privacidade dos dados e dos benefícios que o compartilhamento dos mesmos permite para ajudar a melhorar a análise do risco das operações de crédito e permitir que mais pessoas possam ter acesso a serviços financeiros.

Com a introdução do Open Banking no Brasil, o LGPD como ocorreu com o GDPR na Europa vai ser uma forma de permitir o compartilhamento dos dados entre as instituições financeiras que fazem parte do ecossistema do Open Banking, permitindo que se estabeleça a base legal para o uso dos dados entre as várias instituições, sendo seu uso condicionado ao consentimento do dono dos dados, de forma a permitir um maior grau de personalização, com melhores taxas e condições dos serviços ofertados.

Existe uma experiência similar à nossa atual de introdução de um sistema de Open Banking que ocorreu no Reino Unido. Uma maior visibilidade dos parâmetros do cliente por todas os membros do ecossistema do Open Banking, além de permitir uma análise mais acurada sobre o perfil do cliente, permite que que serviços sejam feitos sob medida para as necessidades singulares de cada cliente.

O cadastro positivo tinha sido um primeiro passo nessa direção, mas com o avanço do Open Banking e com o aumento das transações digitais, cada vez mais será possível se construir uma descrição mais acurada e detalhada dos hábitos de consumo e das necessidade de crédito, levando em conta a sazonalidade de gastos que para cada um pode mudar em função de cada contexto específico.

A grande preocupação em função disso, é que com maior acesso aos dados pessoais de gastos, uma política de Segurança da Informação muito mais rígida e estrita às melhores práticas de mercado como a PCI DSS, ISO 27001/ISO 27002 por exemplo são necessárias para se obter uma maior grau de proteção e com isso evitar possíveis vazamentos de dados.

Para isso, que os dados devem ser sempre ser manuseados anonimizados e todo o tratamento dos dados, manejo do consentimento (por exemplo, fornecer a revogação do mesmo, como por exemplo com uma opção de opt-out do consentimento) e atividades relacionadas serem previstas dentro da Estratégia de Governança de Dados da organização.

LGPD e o uso consentido dos dados

A LGPD que foi promulgada em 2018 (LEI Nº 13.709, DE 14 DE AGOSTO DE 2018) começará a aplicar as multas em Agosto de 2021. Há uma série de previsões legais sobre o uso consentido dos dados, como no artigo 7º, parágrafo 5º, que descreve:

" § 5º O controlador que obteve o consentimento referido no inciso I do caput deste artigo que necessitar comunicar ou compartilhar dados pessoais com outros controladores deverá obter consentimento específico do titular para esse fim, ressalvadas as hipóteses de dispensa do consentimento previstas nesta Lei."

E importante ainda notar a questão da finalidade que no seu artigo 6º, item 1 descreve:

" Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios: I - finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;"

Para os casos das hipóteses de que o consentimento não seja necessário, é importante verificar em qual dos itens da lei acaba por se adequar, para que se possa fazer uso dos dados com o devido respaldo jurídico, como no caso do chamado "legítimo interesse" no qual se necessita se consultar um advogado especializado em Direito Digital para se poder emitir um parecer sobre se é o caso ou não da adequação dentro do referido item.

Assim, podemos concluir que uma análise detalhada de fatores de risco de Segurança da Informação e um plano de Gerenciamento de Risco que cubra todos os fatores previstos dentro da LGPD para o bom uso das vantagens do Open Banking é condição mandatória para que se tenha todo o respaldo legal necessário quanto à gestão das questões de privacidade de dados e do uso consentido dos dados para o oferecimento de serviços financeiros pelas Instituições que fazem parte do ecossistema do Open Banking.

Referências:

LGPD e Open Banking. Quais as vantagens do Open Banking? - YouTube

O que é Open Banking? A nova tecnologia para sistema financeiro (fcamara.com.br)

Blog FCamara - O que esperar do Open Banking no Brasil?

Como foi a implementação do Open Banking em UK e análise Brasil (fcamara.com.br)

O que são as APIs? Como o Open Banking utiliza APIs? - YouTube

Quais são as fases do Open Banking? COMPLETO - Perguntas e Respostas Open Banking - YouTube

L13709 (planalto.gov.br)

Estratégias para adaptação à Lei Geral de Proteção de Dados - LGPD (lgpdbrasil.com.br)

O que diz a LGPD sobre legítimo interesse? | Security Report

O que é o PCI DSS e quais são seus requisitos? (pagbrasil.com)

Como a ISO 27001 pode ajudar a sua empresa com a LGPD (infranewstelecom.com.br)