Os desafios da proteção de dados no open banking

E o que é o Open Banking?

É um conjunto de sistemas e tecnologias que permite o compartilhamento de dados e informações financeiras entre instituições financeiras e que, com isso, permitirá aos consumidores acessarem serviços e produtos bancários tradicionais através de novos meios digitais, como aplicativos, plataformas web, software e similares.

O Open Banking representa um grande um avanço em serviços bancários, e com isso traz alguns desafios para aqueles que atuarão com esta nova tecnologia, especialmente o de dados, tendo em vista que em sua essência haverá o compartilhamento de informações financeiras.

Paralelo entre a Resolução Conjunta n. 1 e a LGPD

Inicialmente, importante realizar breve contextualização do cenário.  Espelhando o General Data Protection Regulation ou Regulamento Geral de Proteção de Dados (GDPR) da União Europeia, o Brasil aprovou Lei específica para a proteção de dados, a Lei nº 13.709, de 14 de agosto de 2018, mais conhecida como Lei Geral de Proteção de Dados (LGPD).

A existência de lei específica de proteção de dados, além de garantir os direitos individuais, também possibilita o desenvolvimento de um ambiente mais competitivo e propício para a inovação, ao passo que permite desenvolver uma economia em que o principal ativo são os dados pessoais.

E neste contexto desenvolveu-se a ideia do Open Banking, que tem como escopo central o compartilhamento padronizado de dados e serviços por meio de abertura e integração de sistemas, em razão disso, um dos princípios norteadores da Resolução Conjunta n. 1 é justamente a segurança e privacidade de dados e informações sobre serviços compartilhados neste novo sistema (art. 4º), princípios esses que também estão destacados na Lei Geral de Proteção de dados (art. 1º, 2º e 6º), compreende-se, portanto, que há alinhamento entre as duas normas.

Consentimento no compartilhamento de dados

A LGPD já trazia um conceito sobre o que seria o consentimento e a importância dele, que se resume na manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada (art. 5, XII), de modo que somente após fornecido o consentimento é que o tratamento dos dados seria possível (art. 7, I LGPD).

Vale destacar ainda que o consentimento deve sempre refletir a finalidade determinada para o qual ele é requisitado, sendo que qualquer autorização genérica para o tratamento de dados pessoais será considerada nula. No caso do Open Banking ainda, deve haver consentimento expresso do titular para que os dados sejam compartilhados com terceiros, haja vista o escopo central do novo sistema e a necessidade de atendimento da LGPD neste aspecto.

No Open Banking, a RC além de acolher a disposição contida na LGPD sobre consentimento, também foi além, detalhou o procedimento de obtenção, incluiu como regra o prazo de validade da concessão e práticas vedadas para obtenção do consentimento, tais como a inclusão de pedido de consentimento em contrato de adesão ou formulário com opção de aceite previamente preenchido.

A obtenção do consentimento, de acordo com o que prevê o artigo 8º e 44 da RC, pode ser realizada através de interface dedicada, em meio digital, gratuito ao público, sendo disponibilizada a lista dos dados que serão coletados e tratados, com possibilidade de personalização de parâmetros e visualização de todas as instituições que terão acesso aos dados compartilhados, bem como os serviços prestados.

O procedimento de obtenção de consentimento exigirá que as instituições desenvolvam meios técnicos capazes de demonstrarem a efetiva manifestação de vontade do titular e livre de vícios de consentimento.

Vale destacar ainda que, tal como previsto na LGPD, o consentimento poderá ser revogado a qualquer momento, mediante manifestação expressa do titular, por procedimento gratuito e facilitado.  Sobre o canal de solicitação, a RC exige que as instituições permitam a revogação do consentimento ao menos através do mesmo canal que o cliente o concedeu, devendo as instituições ainda observar o prazo previsto na RC para que seja efetuada a revogação, sendo de (i) até 1 dia, contado a partir da solicitação do cliente, no caso do compartilhamento de serviço de iniciação de transação de pagamento, e (ii) forma imediata, para os demais casos.

Quais dados serão compartilhados no Open Banking?

O artigo 5º, I, da Resolução Conjunta dispõe lista mínima de dados que podem ser compartilhados através do Open Banking, dentre eles, canais de atendimento, produtos e serviços, cadastro de clientes e representantes, transações de clientes. Faculta-se também a inclusão de outros dados e serviços ao escopo do Open Banking, desde que observados os princípios e requisitos dispostos na Resolução Conjunta.

Importante também destacar que a Resolução Conjunta, no parágrafo 4º do artigo 5º, veda o compartilhamento de dados classificados como sensíveis pela legislação, remetendo ao conceito de dado sensível previsto na LGPD e que está conceituado no inciso II art. 5º da referida Lei, compreendendo assim: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

Observa-se assim que a preocupação com dados sensíveis está em linha com o que dispõe a LGDP, devendo ser observada obrigatoriamente pelos participantes do Open Banking, e, portanto, caso haja a coleta de dados sensíveis dos seus clientes, de maneira alguma poderão compartilhá-los com os demais integrantes do sistema.

Com quem os dados do Open Banking serão compartilhados?

Com todos aqueles que a regulamentação obriga ou permite, e que estiverem participando do Open Banking. Ou seja, aqueles que devem obrigatoriamente participar, como: Grandes bancos enquadrados nos Segmentos 1 (S1) e 2 (S2) de que trata a Resolução nº 4.553, de 30 de janeiro de 2017. E também com aqueles que de forma voluntária aderirem ao Open Banking, Instituições financeiras, instituições de pagamento e demais instituições autorizadas a funcionar pelo Banco Central do Brasil.

Vale lembrar que, qualquer participação deverá seguir o princípio da reciprocidade, ou seja, quem recebe dados deverá também compartilhá-los.

Como serão compartilhados dados no Open Banking?

Considerando o escopo central do Open Banking, o compartilhamento de dados e serviços, um dos pontos chaves para a operacionalização é o canal, o meio pelo qual esse compartilhamento será realizado. Neste sentido, a regulamentação dispõe que as instituições participantes devem disponibilizar interfaces dedicadas ao compartilhamento de dados e serviços, as quais deverão ser desenvolvidas observando uma lista de requisitos, desde o desenho da interface até padrões e certificados de segurança.

Problemas na interface de compartilhamento do Open Banking?

A indisponibilidade temporária, em virtude de instabilidades técnicas ou de conexão é um cenário que pode ocorrer ao conectar plataformas/sistemas via integração. Nessa situação, a própria RC trouxe um caminho a ser seguido: a instituição transmissora de dados ou detentora da conta, deve disponibilizar alternativa para o compartilhamento às demais instituições participantes no caso de indisponibilidade das interfaces.

A RC não define ou detalha qual seria a “alternativa”, mas é claro que exige que a instituição tenha um “plano B”. Ademais, se a indisponibilidade gerar situação de crise na instituição, o Bacen deverá ser informado, tempestivamente.

Fica evidente, desta forma, que há um grande desafio tecnológico em manter a “ponte” de interface operante e segura, haja vista que conectará diversos players em tempo real.

Exigências práticas na implementação do Open Banking

Além dos aspectos vinculados à interface, compartilhamento de dados e consentimento do titular, a Resolução Conjunta também trouxe outras duas exigências que merecem destaques:

Figura do Responsável: assim como prevista na LGPD, a RC em seu artigo 32 preocupou-se em tornar obrigatória a designação de um diretor que será responsável pelo compartilhamento de dados e serviços, e que dadas as suas atribuições, possivelmente nas instituições participantes, essa função seja desempenhada pela figura do encarregado, criada pela LGPD, ou, como é normalmente conhecido, o DPO ou Data Protection Officer, que é justamente pessoa física ou jurídica indicada para atuar como canal de comunicação entre o controlador, os titulares dos dados e a autoridade competente (art. 5º, VIII LGPD).

Controles e autorias: diante de toda complexidade da operação, que reúne integrações, interfaces, fluxos de coleta de consentimento do cliente, compartilhamento de dados, há exigência pela RC de que sejam instituídos mecanismos de acompanhamento e controle, que assegurem a confiabilidade, disponibilidade, integridade, segurança e sigilo da operação. Nessa linha, a resolução conjunta lista requisitos, como definição de processos, testes, trilhas de auditoria e definição de métricas e indicadores compatíveis.  Afinal, o fluxo de dados compartilhados será altíssimo e permeará por sistemas de vários players.

Quais serão os principais desafios do Open Banking?

Como resultado do paralelo entre o novo normativo do Open Banking e a LGPD evidenciam-se alguns desafios no que diz respeito à Proteção dos Dados:

• Consentimento:  deve a instituição avaliar importantes questionamentos que nortearão o processo de implantação do novo modelo, em compliance com as regulamentações de Proteção de Dados, e para isso algumas perguntas podem ajudar a mensurar o grau de desafio que será enfrentado no processo de adequação e proteção de dados:

• Interface: a construção da interface possibilitará tanto obter o consentimento dos clientes, quanto realizar o gerenciamento e compartilhamento de dados com outras instituições, sendo necessário inclusive a construção de plano alternativo caso a interface apresente instabilidades. Ademais, a construção da interface, deverá ser desenvolvida com base em dois pilares: i) um deles, tecnológico, para alcançar todos os padrões técnicos exigidos; ii) o outro pilar, jurídico, para estar em compliance com todas as normas e requisitos da resolução conjunta, bem como exigências da Lei Geral de Proteção de Dados.

• Cyber Segurança – Adoção de processos, controles para efetiva para garantir segurança: outro grande desafio a ser tratado, não só no Open Banking, mas em qualquer software baseado em utilização de dados é o da Cyber Segurança. Com o altíssimo volume de dados pessoais, principalmente dados bancários que serão trafegados pelas interfaces no Open Banking, o cenário torna-se extremamente atrativo para hackers.

Destaca-se que um dos maiores vilões das empresas, no que diz respeito às vulnerabilidades de sistema, é o Ransomware – que são “softwares maliciosos” criados com o intuito de restringir ou bloquear o acesso a arquivos ou sistema infectado e, cobram resgate para que o acesso possa ser restabelecido. Além é claro de eventuais vazamentos de dados que podem ocorrer dentro da própria empresa.

Portanto, é evidente a relevância do trabalho aprofundado de especialista em infraestrutura de rede, que cuidará de todas as ferramentas de firewall, configurações dos servidores e métodos para tornar a segurança digital mais robusta.

• Instrumentalização – Atualização/construção de documentos em compliance com a Resolução Complementar e LGPD para atuar neste novo cenário: destaca-se também a relevância de instrumentalização jurídica adequada dos documentos que regulam a relação da instituição com clientes, parceiros, funcionários ou prestadores de serviços, os quais devem estar em compliance com as normas relativas à Proteção de dados.

Uma construção jurídica adequada, por profissionais especializados, garante a mitigação de riscos decorrentes da operação centrada em dados.  A título de exemplo, são alguns deles:

• Política de Privacidade
• Política de Segurança de Dados
• Política de Cookies
• Termos do desenvolvedor (para implementar APIs)
• Termos de confidencialidade

Tais documentos permitem que as empresas estejam resguardadas em situações de adversidade, perante seus clientes, perante o regulador, bem como aos futuros fiscalizadores que serão instituídos de acordo com a LGPD.

A implementação do Open Banking será feita em etapas. Quais são elas?

O Open Banking será implementado em 4 (quatro) etapas, para que todos os participantes possam adequar suas operações gradativamente:

Diante de todo o exposto, não restam dúvidas de que o Open Banking representa uma grande inovação e competitividade no setor financeiro, oportunidades que acompanham desafios os quais, sendo trabalhados com profundidade, representarão maior segurança às instituições financeiras bem como aos clientes tomadores dos serviços.

Autores:

Kael Moro – Advogado, sócio do escritório Vanzin & Penteado, Advisor board member da Lexnautas, Coordenador Geral dos Grupos Permanentes de Discussão da Comissão de Inovação e Gestão da OAB/PR, Coordenador técnico do Curitiba Legal Hackers. Graduado pela Pontifícia Universidade Católica do Paraná (PUCPR), MBA em Gestão Estratégica de Empresas e LLM em Direito Empresarial pela Fundação Getúlio Vargas (FGV).

Vanessa Naunapper – Advogada, sócia do escritório Vanzin & Penteado, membro da Comissão de Inovação e Gestão da OAB/PR. Graduada pelo Centro Universitário Curitiba (UNICURITIBA), com especialização em Direito Processual Civil pelo Instituto Romeu Felipe Bacellar. MBA em Gestão e Business Law pela Fundação Getúlio Vargas.