Intersecções entre a regulação financeira e a LGPD no interesse dos titulares de dados pessoais
O sistema financeiro aberto, ou open banking, estava originalmente previsto para começar a ser implementado no último dia 30 de Novembro, mas o Conselho Monetário Nacional (CMN) e a Diretoria Colegiada do Banco Central do Brasil adiaram a primeira fase (de quatro ao todo) para 1º de Fevereiro de 2021[1], atendendo à demanda das instituições financeiras, que vinham apontando dificuldades para o cumprimento do calendário previsto, em parte pelos desafios extras trazidos pela pandemia, em parte porque já há outras novidades que têm demandado atenção dos operadores e usuários do sistema financeiro, como a Lei Geral de Proteção de Dados (Lei 13.709/19 ou LGPD), em vigor desde Agosto deste ano, e o PIX[2], novo meio de pagamento instântâneo que começou a funcionar em Novembro.
Apesar do adiamento do open banking, a chegada do novo sistema é certa, e será em breve, o que justifica sua imediata atenção tanto pelos profissionais do setor financeiro envolvidos na implementação, inclusive da área jurídica, quanto por todos os usuários de serviços financeiros.
O open banking pode ser entendido, de uma maneira simples, como um sistema criado por regulação para dar incentivos aos agentes econômicos que atuam no mercado financeiro para oferecerem serviços melhores a todos os usuários. Como? Tirando dos prestadores de serviços o controle sobre os dados dos clientes, que, afinal, são deles próprios.
Com a nova regulação financeira, a organização e a oferta de serviços neste setor pressupõem que (i) a decisão de compartilhamento de dados pertence aos próprios titulares das contas, que devem decidir sobre o melhor uso, o que se relaciona com o conceito de portabilidade; e (ii) deve ocorrer, por parte dos integrantes do sistema financeiro, dos prestadores de serviços, a integração de suas plataformas tecnológicas e da infraestrutura utilizada, o que se relaciona com o conceito de interoperabilidade.
A busca por melhores serviços não é uma novidade neste setor. Depois de finalmente controlada a hiperinflação no final do século XX, o Banco Central, não se abstendo do seu papel de autoridade monetária e banco dos bancos, passou também a promover a inovação, a modernização e a melhoria dos serviços para todos os usuários. As mudanças ocorridas nos arranjos de pagamento são um exemplo neste processo. O open banking vem como mais uma etapa e se baseia na premissa de que a infraestrutura de serviços financeiros tem que ser desenhada e implantada de forma a viabilizar o controle efetivo dos dados pelos usuários.
Se hoje apenas a instituição financeira com a qual uma pessoa mantém relação contratual possui acesso a seus dados e histórico de relacionamento, com o open banking, a critério do titular da conta, suas informações serão compartilhadas com outras instituições financeiras em ambiente controlado, para que, com as informações obtidas, elas possam oferecer serviços ao titular que optou pelo compartilhamento.
Desta maneira, o usuário dos serviços financeiros tem o poder de decidir sobre ter acesso a uma gama ampliada de ofertantes. Com os dados compartilhados, outros tipos de serviços eventualmente não oferecidos pela instituição de origem, ou talvez os mesmos serviços, porém personalizados conforme seu perfil de uso, ou sob melhores condições comerciais, poderão ser ofertados por terceiros.
As instituições, por sua vez, estarão com o sistema financeiro aberto em ambiente em que há aumento da competição entre si, o que inclui também a possibilidade de oferta de serviços a potenciais novos clientes. Cria-se, assim, um ambiente em que o fluxo de informações oferece mais estímulo à concorrência e à inovação, inclusive com a possibilidade de competidores pequenos entrarem na disputa pelos clientes.
Para o atingimento dessas finalidades, a grande novidade do open banking é o esforço de criação do ambiente de compartilhamento por meio da padronização da infraestrutura tecnológica, de forma a viabilizar a troca de informações pelos usuários e pelos operadores do sistema financeiro e em segurança.
Esse setor sempre teve investimentos em tecnologia para segurança da informação e pode-se dizer que já permitia o compartilhamento dos dados a pedido dos titulares da contas, mas de uma forma ainda muito manual, pouco prática para os clientes.
Ao sistema aberto, que vem sendo planejado há algum tempo, e inclusive foi objeto de consulta pública de forma a permitir a contribuição das próprias partes afetadas, adicione-se ainda a LGPD, finalmente em vigor desde o começo deste semestre. Ainda que não vigore em sua plenitude, considerando o adiamento da vigência dos dispositivos referentes às sanções administrativas, a norma já tem força suficiente para impor aos agentes de tratamento a necessidade de firme conformidade regulatória, inclusive sob pena de responsabilidade civil perante os titulares prejudicados.
A LGPD em verdade diz respeito a algo muito maior, na medida em que se refere a todos os dados de pessoas naturais e em qualquer situação que se vincule a seus interesses patrimoniais ou existenciais que se projetam em relações com terceiros, e não apenas nas relações com instituições financeiras. Mas, sem dúvida, ela reforça a perspectiva da titularidade e da autonomia do usuário dos serviços financeiros, ao colocar a pessoa como o foco de atenções e o centro da proteção jurídica.
Para chegarmos no atual momento de proteção de dados conjugado ao empoderamento dos titulares das contas bancárias, as trajetórias de regulação jurídica não foram simultâneas, mas convergiram.
As normas não se sobrepõem, mas têm uma interseção: de um lado, as relativas à proteção de dados pessoais que protegem todas as pessoas naturais, e de outro, as de regulação do sistema financeiro, mais especificamente, as referentes ao sistema aberto, que protegem todos os titulares de contas, inclusive pessoas jurídicas.
Referidas normas, portanto, foram produzidas a partir de demandas distintas e visando tutelas também distintas, mas as interseções se fortalecem reciprocamente, em benefício da experiência da pessoa natural no ambiente de contratações financeiras.
Nos contratos financeiros, se em relações paritárias, as partes se conduzem pelas normas gerais de obrigações e contratos previstas no Código Civil, e também, como se trata de um setor regulado, nas normas específicas do sistema financeiro.
Entretanto, nas relações não paritárias, há outras normas que se somam na regência das situações. Assim, todas as pessoas naturais e algumas jurídicas que possam ser entendidas como consumidores vão se relacionar com os prestadores de serviços financeiros com base também no Código de Defesa do Consumidor (Lei 8.078/90, ou CODECON).
São consumidores todas as pessoas naturais e todas as pessoas jurídicas que adquirem ou utilizam produtos ou serviços como destinatárias finais, conforme previsto no artigo 2º do CODECON, e ainda, por força da jurisprudência do STJ, que ampliou o conceito do consumidor com base na teoria finalista mitigada, também as pessoa jurídicas que tiverem concretamente constatada sua vulnerabilidade técnica, jurídica ou econômica.
O CODECON oferece tutela diferenciada porque parte da premissa de que há um desequilíbrio entre as posições contratuais, e por isso cria alguns mecanismos de proteção de vulnerabilidades. Por exemplo, ao prever a anulação de cláusulas abusivas (artigo 51) ou ao reduzir, em comparação com a norma geral prevista no Código Civil (artigos 317 e 478), os pressupostos para revisão de condições contratuais (artigo 6º, V), entre outros mecanismos pensados com o objetivo de reequilibrar relações que são essencialmente entre partes desiguais.
Em adição a esses conjuntos de normas, agora a LGPD traz uma nova camada de proteção de interesses, mas apenas para as pessoas naturais. Ou seja, além das normas gerais de contratação previstas na legislação civil, das normas do open banking, e das previstas para proteção ao consumidor, a LGPD, com toda a sistemática por ela inaugurada, traz novos mecanismos de proteção, especificamente criados pra assegurar mais controle pelos titulares dos dados pessoais, e mais responsividade pelos agentes de tratamento, tudo que se soma pra densificar o direito à autodeterminação informativa (artigo 2º, II, da LGPD) e a outros valores apontados como fundamentos da disciplina da proteção de dados.
O open banking, na prática, deverá ser operacionalizado por meio de APIs (application programming interfaces), ou seja, de interfaces básicas de programação de aplicações, que permitem a oferta de soluções programadas que rodem de forma padronizada com o intuito de melhorar a experiência do usuário.
Deverá ser sempre mantida atenção aos protocolos de segurança de entrada e saída de dados que vão ser compartilhados para os prestadores de serviços designados neste ecossistema conforme a determinação do titular da conta ou do serviço financeiro.
As ferramentas tecnológicas poderão incrementar os serviços de intermediação financeira, de oferta de crédito ou de aplicação financeira, dentre outros, promovendo maior diversidade de ofertas. Com uma interface que permita a cada pessoa ter acesso e compartilhar seus dados, por exemplo o histórico de finanças e relacionamento, fica mais fácil fazer uma concorrência entre prestadores de serviços.
Espera-se, assim, um reforço à redução de taxas de juros, mesmo com a queda da SELIC ainda muito alta para empréstimos pessoais, em parte pela falta de competitividade no setor. Há uma assimetria de informação grande entre bancos e clientes, e mesmo entre as instituições ofertantes entre si (especialmente em relação ao histórico de relacionamento e perfil de consumo dos usuários), o que aumenta os custos de transação.
Em outras palavras, hoje o trabalho que cada titular de conta tem para obter informações sobre alternativas de contratação, negociar melhores condições com seu próprio banco ou buscar outra instituição, e eventualmente trocar prestadores de serviços, é grande. Com a redução dos custos de transação, oportuniza-se ao usuário comparar serviços e preços, aumentando seu poder de barganha em relação às instituições financeiras. Há, também, vantagem para elas, no sentido de que tendo acesso (autorizado, lógico, pois o consentimento é uma premissa) a dados de potenciais clientes, aumentam suas possibilidades de captação.
Especificamente com relação às pessoas naturais, tendo em vista a exigência da conformidade com a LGPD, cabem algumas observações sobre como se dará esta dinâmica do compartilhamento e da portabilidade no ambiente do open banking.
Em primeiro lugar, dados sensíveis, definidos no artigo 5º, II, da LGPD (os relativos à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dados referentes à saúde ou à vida sexual, e dados genéticos ou biométricos, quando vinculados a uma pessoa natural) exigem especial cuidado e não são, em princípio, compartilháveis neste sistema, sob risco de causarem discriminação ilícita, portanto não merecedora de tutela.
Para o compartilhamento, conforme previsto no artigo 11, I, da LGPD, as finalidades deverão ser específicas, amparadas na legalidade constitucional, e tem que haver consentimento também específico e destacado do titular. Embora o inciso II do artigo preveja alguns usos sem consentimento, essas situações são excepcionais, não nos parecendo que dados sensíveis possam ser usados em relações com instituições financeiras sem anuência qualificada do titular.
Segundo, o titular escolhe quando e com quem os compartilha, e para quais fins, mas algumas informações vinculadas aos dados pessoais não pertencem ao cliente. Então, pontuações de crédito e notas de perfis de risco, que são definidas por cada instituição conforme critérios e metodologia próprios para fins de oferta de crédito, não serão compartilhadas. Esse é justamente um exemplo de aplicação do conceito de “segredo de negócio”, gênero das espécies segredo comercial e industrial referidos na LGDP em vários dispositivos (artigos 6º, VI, 9º, II, 18, V, e 19, II, entre outros). Aqui, o não compartilhamento é no interesse da instituição, mas com amparo legal.
Uma terceira observação sobre o compartilhamento é que, além dos dados sensíveis e das metodologias de pontuação, também as credenciais ou informações adotadas pra autenticação dos usuários, como Tokens, iTokens, chaves de segurança, entre outros mecanismos de controle de acesso, não serão compartilhadas. A razão aqui não é de proteção específica do usuário ou da instituição, mas de ambos, em verdade da segurança do sistema e de sua confiabilidade no interesse de todos.
Um quarto ponto é que a portabilidade dos dados não pode ser confundida com a transferência dos serviços. Não há, com a portabilidade realizada a pedido do titular de uma conta, o cessamento automático do relacionamento com a instituição de origem. O cliente pode sempre escolher encerrar os serviços contratados, mas se há relacionamento anterior, ele deverá ser extinto conforme as normas para extinção de obrigações incidentes.
Por fim, cabe lembrar que a transferência ou cessação dos serviços não resulta necessariamente na imediata cessação de acesso a dados pela instituição, ou mesmo do seu tratamento.
Esta observação se relaciona às motivações legais para o tratamento de dados pessoais, todas previstas no artigo 7º da LGPD, e com o fato de o consentimento pelo titular ser apenas uma das hipóteses previstas em autorização ao tratamento dos dados.
Há situações em que a instituição, amparada por outras motivações legais previstas no artigo 7º da LGPD, sempre vinculadas a finalidades específicas, deve seguir preservando informações e tratando os dados do seu cliente ou ex-cliente. Destacam-se, principalmente, as hipóteses de tratamento em cumprimento de obrigações legais e regulatórias pelo controlador (conforme artigo 7º, II), e para proteção do crédito (conforme artigo 7, X).
Assim, por exemplo, em questões de governança, de segurança da informação, de auditagem, ou de controle de operações financeiras, inclusive rastreamento de transferências ilícitas (em que há por exemplo, o acesso pelo COAF[3]), os dados seguirão tratados pela instituição, com amparo legal.
https://www.jota.info/artigos/open-banking-dados-pessoais
