Somos movidos pela satisfação de orientar os clientes na evolução digital, com segurança jurídica e serviços especializados

Telefone +55 (24) 2245-7364

Rua do Imperador, 288/1002
Centro, Petrópolis - RJ

escritorio@svalaw.com.br

Top
m

SV/A - Souza Vasconcellos Advogados

Open Banking nada mais é do que um mecanismo que permite, de modo padronizado, o compartilhamento de dados bancários pessoais entre clientes e instituições financeiras, instituições de pagamento e demais instituições autorizadas a funcionar pelo Banco Central do Brasil (BCB). A regulamentação do Open Banking no país é uma pauta que vem se desenvolvendo de uma forma extremamente dinâmica e interdisciplinar, e vamos abordar outros temas sobre esse assunto na nossa série de artigos sobre Open Banking.

Em 4 de maio de 2020, o BCB e o Conselho Monetário Nacional (CMN) estabeleceram a Resolução Conjunta n. 1/2020 (“Resolução”), que dispõe sobre a implementação do “Sistema Financeiro Aberto” (que aqui chamaremos apenas de “Open Banking”) no Brasil.

A Resolução permite que o cliente possa, por exemplo, solicitar o seu histórico de crédito de alguma instituição financeira e transferi-lo para uma nova instituição. Desse modo, o Open Banking não apenas se apresenta como importante ferramenta para que o cliente possa ter maior controle sobre seus dados e sua vida financeira, como também abre às fintechs novas oportunidades de concorrência no mercado financeiro, ao oferecer acesso às informações que antes apenas grandes instituições financeiras detinham.

Em linhas gerais, a Resolução dispõe sobre o que pode ser compartilhado, de qual maneira e quem deverá realizar o compartilhamento. Também, apresenta um rol não taxativo dos dados mínimos que deverão ser compartilhados, indicando a obrigatoriedade de cada instituição participante. Vale dizer que o rol já é disciplinado pela Circular no 4.015 (BCB), podendo ser expandido, desde que observados os princípios da Resolução.

Por essência, o mecanismo Open Banking envolve o compartilhamento de dados. Quando o cliente é uma pessoa física, o compartilhamento incluirá informações que são classificadas como “dado pessoal”. Por exemplo, os dados de cadastro ou as informações sobre transações financeiras. Inclusive, não foram poucos os desafios regulatórios enfrentados pelo CMN e BCB para que a implementação do Open Banking no Brasil pudesse ter segurança jurídica, especialmente em relação à Lei Geral de Proteção de Dados Pessoais (“LGPD”, Lei n. 13.709/18).

É evidente a preocupação dos reguladores em adotar uma Resolução que dialogue com o atual arcabouço jurídico de proteção de dados do país. Isso se revela, por exemplo, desde os princípios previstos para atingir os objetivos do Open Banking até os requisitos criados para disciplinar o consentimento dos clientes. A seguir, vamos analisar os principais pontos de convergência e divergência da Resolução à luz da LGPD.

Princípios do Open Banking

1 – Incentivo à inovação

2 – Promoção da concorrência

3 – Aumento da eficiência do Sistema Financeiro Nacional e do Sistema de Pagamentos Brasileiro

4 – Promoção da cidadania financeira

Para que esses objetivos sejam alcançados, a Resolução apresenta seis princípios que devem ser observados, sendo quatro deles diretamente relacionados a princípios previstos na LGPD e explicados a seguir:

transparência: tem por objetivo garantir que os titulares tenham acesso a informações claras, precisas e facilmente acessíveis sobre a realização do tratamento de dados pessoais e os agentes de tratamento;

segurança e privacidade de dados: tem por objetivo garantir a implementação de medidas técnicas e administrativas capazes de proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração ou comunicação;

qualidade dos dados: tem por objetivo garantir aos titulares exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

tratamento não discriminatório: tem por objetivo garantir que o tratamento de dados não será realizado para fins discriminatórios, ilícitos ou abusivos. Por exemplo, utilizar dados pessoais sensíveis como características raciais ou étnicas, opinião política, convicções religiosas, filiação sindical ou dados sobre a sua saúde para a análise de elegibilidade na contratação de uma linha de crédito.

Além destes princípios, outros princípios de proteção de dados também estão presentes na Resolução, ainda que implicitamente. Por exemplo, podemos identificar os princípios da necessidade e adequação, quando a Resolução determina quais seriam os dados a serem compartilhados para o Open Banking (art. 5o, caput, incisos I e II), as hipóteses em que seria possível a utilização de outros dados (art. 5o, § 1o), prevendo também vedações (art. 5o, § 4o, inciso I), como o uso de dados sensíveis2 , notas ou pontuações de crédito e credenciais ou outros dados de autenticação de clientes.

Em diversas situações, identifica-se, implicitamente, o princípio da finalidade, por exemplo, quando a Resolução atribui às instituições receptoras de dados o dever de assegurar que os dados objetos de compartilhamento sejam pertinentes às finalidades informadas ao cliente no momento de coleta do consentimento.

São vários os exemplos de dispositivos que, em alguma medida, se aproximam dos princípios previstos na LGPD para o tratamento de dados pessoais, em alguns casos de uma forma mais explícita, em outros, mais implícita.

Consentimento como a base legal do Open Banking

A LGPD prevê dez bases legais para o tratamento de dados pessoais, dentre as quais estão o consentimento, o legítimo interesse e a proteção ao crédito. Quanto a isso, o CMN e BCB fizeram uma escolha regulatória para que o consentimento fosse a base legal do Open Banking.

Ainda que a definição prevista para o consentimento na Resolução seja muito semelhante àquela da LGPD — qual seja de uma “manifestação livre, informada, prévia e inequívoca de vontade, feita por meio eletrônico, pela qual o cliente concorda com o compartilhamento de dados ou de serviços para finalidades determinadas” —, os requisitos de validade do consentimento previstos na Resolução são mais robustos do que aqueles previstos na LGPD.

Quanto à forma, a Resolução traz maior riqueza de requisitos que orientam a maneira adequada para obtenção do consentimento. Em termos de responsabilidade, a Resolução atribui à instituição receptora ou iniciadora

de transação de pagamento a obrigação de obter o consentimento adequado do titular da informação (art. 10o, caput), sendo dela também a obrigação de assegurar que os dados objetos do compartilhamento são pertinentes às finalidades informadas ao titular no momento de obtenção do consentimento.

A seguir, listamos as formas pelas quais não é permitida a obtenção do consentimento:

por meio de contrato de adesão: por exemplo, para fins de Open Banking, não valeria um consentimento dado em Política de Privacidade, devendo ser obtido de forma separada do contrato de adesão;

por meio de formulário com opção de aceite previamente preenchido: por exemplo, não seria possível disponibilizar um check-box pré-selecionado para a obtenção de consentimento válido; e

– de forma presumida, sem manifestação ativa pelo cliente: por exemplo, não seria válido adotar o que na Inglaterra se identifica como “soft opt-in”, em que se presume a anuência por decorrência de uma relação pré-estabelecida entre as partes.

Também, há na Resolução um detalhamento de todas as informações que devem ser disponibilizadas ao cliente no momento de obtenção do consentimento (art. 10, § 1o), bem como as informações que devem ser prestadas, a qualquer momento, em relação ao compartilhamento (art. 14).

Ocorre que além das instituições receptoras ou iniciadoras de transação de pagamento terem obrigação de obter o consentimento dos clientes, há também obrigação por parte das instituições transmissoras em solicitarem confirmação de compartilhamento ao cliente (art. 20), como uma espécie de validação de duplo fator do consentimento para permitir o compartilhamento de dados para o Open Banking.

Outro ponto de atenção é em relação ao “prazo de validade” do consentimento, previsto em, no máximo, 12 meses (art. 10, parágrafo 1o, III). Sendo que, dentro desse prazo, há obrigação de obtenção de um novo consentimento (art. 10, parágrafo § 2o) nos casos em que houver:

alteração das finalidades;
do próprio prazo de validade do consentimento;
da instituição transmissora ou detentora da conta; ou dasinstituiçõescomquemosdadossãocompartilhados.

Direitos dos titulares

Quanto aos direitos que a LGPD garante aos titulares em relação aos seus dados pessoais, a Resolução do Open Banking expressamente menciona um deles: direito à revogação do consentimento.

De acordo com a Resolução, as instituições participantes do Open Banking devem garantir a possibilidade de revogação do consentimento pelos clientes, a qual deve ser disponibilizada por meio do mesmo canal pelo qual o consentimento foi obtido (art. 15, parágrafo § 1o).

Na Resolução, duas questões sobre revogação do consentimento saltam aos olhos:

(i) a vedação à instituição transmissora de dados ou detentora de conta propor ao cliente a revogação de consentimento (exceto em caso de suspeita justificada de fraude) (art. 15, parágrafo § 2o); e

(ii) os prazos previstos para o atendimento da requisição de revogação, sendo ele de um dia para serviços de transação de pagamento, e imediato, para todos os demais casos (art. 15, parágrafo § 3o).

Com relação aos demais direitos previstos na LGPD como, por exemplo, o direito de acesso e de revisão de decisões automatizadas, o mais provável é que estes sejam recebidos e atendidos por meio dos canais de atendimento aos clientes (art. 35, inciso I).

Um importante ponto a se considerar é a aplicação da Resolução também aos clientes que são pessoas jurídicas, enquanto a LGPD traz aplicabilidade apenas aos titulares pessoas físicas:

cliente: “qualquer pessoa natural ou jurídica, exceto as instituições de que trata o art. 1o, que mantém relacionamento destinado à prestação de serviço financeiro ou à realização de operação financeira com as instituições de que trata esta Resolução Conjunta, inclusive para a realização de transação de pagamento” (art. 2o, II).

O caso do WhatsApp Pagamentos e a preocupação com proteção de dados pelo BCB

Poucos dias após seu lançamento no Brasil, o funcionamento do WhatsApp Pagamentos foi suspenso pelo BCB em todo o país. Em ordem direcionada para a Visa e Mastercard, a instituição afirmou temer que, sem uma análise prévia, o novo recurso poderia causar “danos irreparáveis” à concorrência e à privacidade e proteção de dados pessoais. Ainda, afirmou que a ordem de suspensão tinha por objetivo “preservar um adequado ambiente competitivo, que assegure o funcionamento de um sistema de pagamentos interoperável, rápido, seguro, transparente, aberto e barato”.

O serviço, associado à carteira Facebook Pay, estava liberado para clientes do Nubank, Sicredi e Banco do Brasil, com um potencial imediato de atrair cerca de 51 milhões de consumidores no Brasil. Ainda, a Cielo seria a instituição responsável pelo credenciamento das transações.

Com a suspensão, o BCB planeja realizar avaliação de eventuais riscos para o funcionamento adequado do Sistema de Pagamentos Brasileiro (SPB), bem como, verificar a observância dos princípios e das regras previstas na Lei n. 12.865/2013—a lei que define o SPB.

Vale mencionar que, atualmente, o BCB também está desenvolvendo o Pix: uma plataforma que permite a transferência de dinheiro e pagamentos utilizando apenas o CPF ou número de celular atrelado a uma conta. A adesão ao Pix será obrigatória para as maiores instituições financeiras e de pagamentos, e a intenção é que ela seja integrada ao Open Banking, com o objetivo de fomentar a competição.

Ao se valer de parcerias com instituições reguladas, o Whatsapp Pagamentos, em teoria, dispensa a necessidade de se tornar uma instituição bancária para operacionalização da plataforma. Contudo, ainda não está claro para o BCB de que maneira a plataforma pretende evoluir e se uma autorização do Banco Central para seu funcionamento será necessária. Com a plataforma, os usuários poderão transferir dinheiro a seus contatos, sem custos; também, será possível realizar pagamento de compras a comerciantes que usam o WhatsApp Business.

Apesar de ainda nebuloso o funcionamento e a evolução do WhatsApp Pagamentos, é possível relacionar essa iniciativa com a Resolução do Open Banking, uma vez que poderia ser configurada como uma instituição iniciadora de pagamentos. Segundo a Resolução, a instituição iniciadora de transação de pagamento é aquela que “presta serviço de iniciação de transação de pagamento sem deter em momento algum os fundos transferidos na prestação do serviço” (art. 2o, VI).

Como mencionado acima, a Resolução traz uma série de obrigações para as instituições iniciadoras, para além da observância dos princípios e objetivos do Open Banking, como a obrigatoriedade de obtenção de consentimento do cliente, o qual deverá ser coletado a cada nova transação de pagamento, exceto em caso de transações sucessivas, situação em que vale o prazo de validade do consentimento (art. 13, § 4o).

Conclusão

Nota-se, como a Resolução Conjunta do BCB e CMN foram publicadas no Brasil em um momento valioso: não apenas por potencializar a autodeterminação financeira dos clientes e a concorrência e inovação no mercado financeiro, mas também por dar conta de assuntos de extrema relevância não regulados em qualquer outra norma.

A estreia de plataformas como WhatsApp Pagamentos e Pix é o primeiro sinal de uma onda de transformações que chega ao mercado financeiro brasileiro, que contará com a Resolução e com os princípios da LGPD para se desenvolver de maneira proporcional — equilibrando os direitos de privacidade e proteção de dados dos consumidores com iniciativas legítimas de competição e inovação desse mercado.

Fernando Henrique Ferreira de Souza á advogado no SV/A – Souza Vasconcellos Advogados, DPO e entusiasta de inovações no mundo do Direito e dos Negócios.

Fazer um comentário