LGPD e Open Banking: a proteção dos dados no SFN

LGPD e Open Banking: a proteção dos dados no SFN

Tanto a Lei Geral de Proteção de Dados quanto o Open Banking tratam da proteção de dados pessoais, mas você sabe como essas duas medidas interagem para garantir a proteção de dados no Sistema Financeiro Nacional (SFN)?

A proteção de dados pessoais tem sido muito discutida recentemente. Desde 2020, o tema é regulado no Brasil pela Lei Geral de Proteção de Dados (LGPD), a Lei nº 13.709/2018.

O Open Banking parte da base legal na LGPD, mas avança sobre a sua implementação no dia a dia do sistema financeiro. Enquanto a LGPD é uma legislação voltada para proteger a privacidade das pessoas naturais em qualquer ramo de atividade, o Open Banking estabelece um padrão para compartilhamento desses dados e outros no contexto específico do sistema financeiro.

A LGPD define dados pessoais como todo tipo de informação que permita identificar alguém, por exemplo: nome, CPF, endereço, telefone, etc. É muito comum fornecer essas informações quando abrimos uma conta ou contratamos algum serviço financeiro. Esse tipo de informação pode ser necessário para que uma empresa consiga atender adequadamente o consumidor.

No entanto, os dados fornecidos por uma pessoa com uma finalidade específica podem acabar sendo utilizados para outros fins sem a sua autorização, a exemplo de venda dos dados para terceiros e da oferta indesejada de produtos. A LGPD foi criada para trazer transparência para o titular dos dados – a pessoa física – sobre o uso que a controladora faz de seus dados pessoais.

As novas tecnologias que permitem o compartilhamento de dados no sistema financeiro aberto, dentro do marco do Open Banking, reforçam a discussão sobre a coleta, uso e proteção das informações dos clientes pelas empresas do setor financeiro.

| Confira a entrevista: Open Banking – modelo de governança e uso de dados

LGPD e o Open Banking: o cliente no controle dos seus dados

Um princípio fundamental por trás da implementação do Open Banking e da LGPD é dar mais poder de escolha para o consumidor, que é quem gera aqueles dados na base das instituições.

Com a LGPD, entende-se que os donos das informações (os titulares) são as pessoas a quem os dados dizem respeito. As empresas e organizações que fazem a coleta, tratamento e armazenamento dos dados são definidas como controladoras, mas não têm direitos de propriedade sobre esses dados.

A partir da entrada em vigor da LGPD, qualquer organização precisa fundamentar o tratamento de dados pessoais por alguma das dez bases legais previstas na lei – dentre elas, o consentimento pelo titular, a execução de contrato ou e o cumprimento de obrigação legal.

Havendo ou não consentimento do titular dos dados, a controladora deve informar a pessoa sobre o tratamento de dados e a finalidade específica dessa ação. Em alguns casos, a LGPD determina que o titular de dados possa solicitar a eliminação de suas informações do banco de dados da empresa, sendo devidamente informado sobre as consequências dessa ação (por exemplo, a interrupção de um serviço).

Já no quadro normativo do Open Banking, o consentimento do cliente é a única base legal para iniciar o compartilhamento de dados. Isto é, todas as instituições financeiras e demais participantes do sistema financeiro devem obter o consentimento expresso do cliente sobre a coleta de dados para fins do Open Banking.

Conforme explicou João André Pereira, Chefe do Departamento de Regulação do Sistema Financeiro do Banco Central, o Open Banking foi construído seguindo as normas da LGPD. “O Open Banking é uma forma organizada de se implementar a LGPD dentro do sistema financeiro. O princípio é exatamente o mesmo”, afirmou durante o evento de lançamento do programa.

A autorização para coleta e uso desses dados é válida apenas para a finalidade e duração informadas ao cliente e pode ser revogada a qualquer momento por solicitação do mesmo. A pessoa ou empresa também deve poder ver quais informações suas estão sendo compartilhadas e corrigir informações incompletas, desatualizadas ou incorretas.

Uma pessoa usa um smartphone

Portabilidade e compartilhamento de dados no sistema financeiro aberto

Um elemento importante da LGPD para o contexto do sistema financeiro aberto é o da portabilidade. Sendo o consumidor o dono dos seus dados pessoais, ele tem o direito de solicitar a transferência desses dados para outro fornecedor de serviços ou produtos.

No caso do Open Banking, não se trata apenas da portabilidade de uma empresa a outra, mas do compartilhamento dos dados entre todas as instituições autorizadas pelo cliente. A partir da segunda fase do Open Banking, que deve começar até 15 de julho de 2021, os clientes poderão solicitar o compartilhamento desses dados que ficam sob controle da instituição financeira onde têm conta para outros provedores de serviço.

Seguindo a LGPD, esse compartilhamento deve ser restrito à finalidade acordada pelo cliente. Mas as normativas do Open Banking vão além e determinam também que o consentimento para compartilhamento e tratamento de dados deve ter um prazo definido de no máximo 12 meses. Encerrado esse período, o titular de dados (pessoa física ou jurídica) poderá renovar, ou não, a autorização. O compartilhamento dos dados entre instituições participantes do Open Banking é feito por um padrão comum de APIs que oferece a segurança necessária ao sistema financeiro.

Diferenças entre o Open Banking e a LGPD

O diferencial do Open Banking é oferecer um padrão para as empresas atuantes no sistema financeiro compartilharem informações entre si, de maneira segura e respeitando a autonomia do cliente.

Ao contrário da LGPD, que trata apenas da proteção de dados de pessoas naturais, o Open Banking abrange todos os clientes do sistema financeiro, sejam eles pessoa física ou jurídica.

As empresas também expõem dados ao acessar serviços bancários e financeiros em geral e poderão usufruir da maior clareza sobre o tratamento de seus dados, bem como dos benefícios em ofertas de produtos e serviços que o Open Banking traz ao mercado.

Além disso, o compartilhamento de dados do Open Banking também inclui dados relativos aos próprios serviços prestados pelas instituições financeiras, sendo este o alvo da primeira fase do Open Banking, em curso desde 1º de fevereiro de 2021.

Já a terceira fase do Open Banking trata de outro tipo de informação: os comandos para iniciação de pagamentos. A partir desta fase, os provedores de serviços autorizados poderão iniciar pagamentos do cliente usando sua conta bancária em outra instituição financeira.

| Leia o artigo de Carlos Ragazzo e Bruna Cataldo, pesquisadores do Instituto Propague, sobre o Open Banking: Open Banking e Demanda: Programas de Capacitação Financeira

Obs.: Esta matéria foi revisada em 24 de fevereiro de 2021.

Bem-vindo ao site do Instituto Propague. Para uma melhor experiência de navegação coletamos cookies. Ao continuar acessando este site você concorda com nossa Política de Privacidade.

Aceitar