A proteção de dados pessoais tem sido muito discutida recentemente. Desde 2020, o tema é regulado no Brasil pela Lei Geral de Proteção de Dados (LGPD), a Lei nº 13.709/2018.
O Open Banking parte da base legal na LGPD, mas avança sobre a sua implementação no dia a dia do sistema financeiro. Enquanto a LGPD é uma legislação voltada para proteger a privacidade das pessoas naturais em qualquer ramo de atividade, o Open Banking estabelece um padrão para compartilhamento desses dados e outros no contexto específico do sistema financeiro.
A LGPD define dados pessoais como todo tipo de informação que permita identificar alguém, por exemplo: nome, CPF, endereço, telefone, etc. É muito comum fornecer essas informações quando abrimos uma conta ou contratamos algum serviço financeiro. Esse tipo de informação pode ser necessário para que uma empresa consiga atender adequadamente o consumidor.
No entanto, os dados fornecidos por uma pessoa com uma finalidade específica podem acabar sendo utilizados para outros fins sem a sua autorização, a exemplo de venda dos dados para terceiros e da oferta indesejada de produtos. A LGPD foi criada para trazer transparência para o titular dos dados – a pessoa física – sobre o uso que a controladora faz de seus dados pessoais.
As novas tecnologias que permitem o compartilhamento de dados no sistema financeiro aberto, dentro do marco do Open Banking, reforçam a discussão sobre a coleta, uso e proteção das informações dos clientes pelas empresas do setor financeiro.
| Confira a entrevista: Open Banking – modelo de governança e uso de dados
LGPD e o Open Banking: o cliente no controle dos seus dados
Um princípio fundamental por trás da implementação do Open Banking e da LGPD é dar mais poder de escolha para o consumidor, que é quem gera aqueles dados na base das instituições.
Com a LGPD, entende-se que os donos das informações (os titulares) são as pessoas a quem os dados dizem respeito. As empresas e organizações que fazem a coleta, tratamento e armazenamento dos dados são definidas como controladoras, mas não têm direitos de propriedade sobre esses dados.
A partir da entrada em vigor da LGPD, qualquer organização precisa fundamentar o tratamento de dados pessoais por alguma das dez bases legais previstas na lei – dentre elas, o consentimento pelo titular, a execução de contrato ou e o cumprimento de obrigação legal.
Havendo ou não consentimento do titular dos dados, a controladora deve informar a pessoa sobre o tratamento de dados e a finalidade específica dessa ação. Em alguns casos, a LGPD determina que o titular de dados possa solicitar a eliminação de suas informações do banco de dados da empresa, sendo devidamente informado sobre as consequências dessa ação (por exemplo, a interrupção de um serviço).
Já no quadro normativo do Open Banking, o consentimento do cliente é a única base legal para iniciar o compartilhamento de dados. Isto é, todas as instituições financeiras e demais participantes do sistema financeiro devem obter o consentimento expresso do cliente sobre a coleta de dados para fins do Open Banking.
Conforme explicou João André Pereira, Chefe do Departamento de Regulação do Sistema Financeiro do Banco Central, o Open Banking foi construído seguindo as normas da LGPD. “O Open Banking é uma forma organizada de se implementar a LGPD dentro do sistema financeiro. O princípio é exatamente o mesmo”, afirmou durante o evento de lançamento do programa.
A autorização para coleta e uso desses dados é válida apenas para a finalidade e duração informadas ao cliente e pode ser revogada a qualquer momento por solicitação do mesmo. A pessoa ou empresa também deve poder ver quais informações suas estão sendo compartilhadas e corrigir informações incompletas, desatualizadas ou incorretas.
Portabilidade e compartilhamento de dados no sistema financeiro aberto
Um elemento importante da LGPD para o contexto do sistema financeiro aberto é o da portabilidade. Sendo o consumidor o dono dos seus dados pessoais, ele tem o direito de solicitar a transferência desses dados para outro fornecedor de serviços ou produtos.
No caso do Open Banking, não se trata apenas da portabilidade de uma empresa a outra, mas do compartilhamento dos dados entre todas as instituições autorizadas pelo cliente. A partir da segunda fase do Open Banking, que deve começar até 15 de julho de 2021, os clientes poderão solicitar o compartilhamento desses dados que ficam sob controle da instituição financeira onde têm conta para outros provedores de serviço.
Seguindo a LGPD, esse compartilhamento deve ser restrito à finalidade acordada pelo cliente. Mas as normativas do Open Banking vão além e determinam também que o consentimento para compartilhamento e tratamento de dados deve ter um prazo definido de no máximo 12 meses. Encerrado esse período, o titular de dados (pessoa física ou jurídica) poderá renovar, ou não, a autorização. O compartilhamento dos dados entre instituições participantes do Open Banking é feito por um padrão comum de APIs que oferece a segurança necessária ao sistema financeiro.
Diferenças entre o Open Banking e a LGPD
O diferencial do Open Banking é oferecer um padrão para as empresas atuantes no sistema financeiro compartilharem informações entre si, de maneira segura e respeitando a autonomia do cliente.
Ao contrário da LGPD, que trata apenas da proteção de dados de pessoas naturais, o Open Banking abrange todos os clientes do sistema financeiro, sejam eles pessoa física ou jurídica.
As empresas também expõem dados ao acessar serviços bancários e financeiros em geral e poderão usufruir da maior clareza sobre o tratamento de seus dados, bem como dos benefícios em ofertas de produtos e serviços que o Open Banking traz ao mercado.
Além disso, o compartilhamento de dados do Open Banking também inclui dados relativos aos próprios serviços prestados pelas instituições financeiras, sendo este o alvo da primeira fase do Open Banking, em curso desde 1º de fevereiro de 2021.
Já a terceira fase do Open Banking trata de outro tipo de informação: os comandos para iniciação de pagamentos. A partir desta fase, os provedores de serviços autorizados poderão iniciar pagamentos do cliente usando sua conta bancária em outra instituição financeira.
| Leia o artigo de Carlos Ragazzo e Bruna Cataldo, pesquisadores do Instituto Propague, sobre o Open Banking: Open Banking e Demanda: Programas de Capacitação Financeira
Obs.: Esta matéria foi revisada em 24 de fevereiro de 2021.