Ananda Fernandes Garcia*
O Open Banking (“Sistema Financeiro Aberto”) vem trazendo novas perspectivas de inovação ao setor financeiro. Com grande potencial de impacto, o sistema promete trazer grandes mudanças a um setor que vem cada vez mais sendo moldado por novas tecnologias.
Esse modelo é caracterizado pelo amplo compartilhamento de dados. Isso porque ele permite, de modo padronizado, o compartilhamento de dados bancários pessoais entre clientes e instituições financeiras, instituições de pagamento e demais instituições autorizadas a funcionar pelo Banco Central do Brasil (BCB). Ou seja, permite maior competitividade entre serviços bancários, pois os clientes podem migrar seus dados entre instituições a fim de conseguirem melhores produtos/serviços.
Nesse contexto, surge uma especial preocupação com a privacidade e a segurança dos dados. Afinal, não obstante o Open Banking oferecer competitividade e melhor experiência no uso de produtos e serviços financeiros, o sistema só funcionará bem se houver adesão da população, a qual precisará sentir confiança nesse novo modelo.
Disso extrai-se a evidente importância da Lei Geral de Proteção de Dados (“LGPD”) para a garantia dos direitos dos titulares dos dados. Neste artigo, vamos mostrar quais são esses direitos, os quais estão listados na LGPD (Lei 13.709/18) e na Resolução Conjunta n. 1/2020 do Banco Central do Brasil (“Resolução do Bacen”), a qual dispõe sobre a implementação do Open Banking.
Open Banking e os direitos dos usuários
Do direito de transparência em relação ao consentimento
O consentimento do titular de dados é tido como requisito essencial para os serviços do Open Banking, o que resta consolidado no art. 10 da Resolução do Bacen. Porém, em consonância com a LGPD, uma série de requisitos devem ser cumpridos para que o consentimento seja válido, sendo o cumprimento desses requisitos um direito do titular e uma obrigação das instituições receptoras dos dados.
A LGPD afirma, em seu art. 5º, XII, que o consentimento deve ser livre, informado, inequívoco, e que deve ter finalidade determinada. O consentimento, ainda, deve ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular; e, se fornecido por escrito, deverá constar de cláusula destacada das demais (art. 8º, caput e § 1º). Ainda, é vedado o tratamento de dados pessoais mediante vício de consentimento (art. 8º, § 3º).
Já a Resolução do Bacen traz requisitos na mesma linha dos elencados na LGPD, especificando como obrigações a utilização de linguagem clara, a identificação das instituições participantes do Open Banking, os dados e serviços objeto de compartilhamento, o período de validade do consentimento, a data de requisição do consentimento, e a finalidade do consentimento.
Nesse sentido, alguns autores criticam, na Resolução, o que chamam de “fadiga do consentimento”, situação causada pelo “extenso conteúdo e complexidade na avaliação das consequências da autorização para o tratamento de seus dados pessoais”. Ou seja, a crítica à base legal do consentimento está relacionada à complexidade do fluxo informacional, e a real capacidade de os titulares compreenderem como seus dados serão utilizados antes de consentirem.
Do direito à revogação do consentimento
Em respeito ao princípio da autodeterminação informativa, a LGPD também consagra que o consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado (art. 8º, § 5º). O mesmo direito está previsto na Resolução do Bacen, que afirma que a revogação deve ser feita “mediante solicitação do cliente, por meio de procedimento seguro, ágil, preciso e conveniente, observado o disposto na legislação” (art. 15, caput).
A opção da revogação do consentimento deve ser disponibilizada, ao menos, pelo mesmo canal de atendimento pelo qual o consumidor consentiu previamente, caso o canal ainda exista (art. 15, § 1º, da Resolução do Bacen). Adicionalmente, é vedado à instituição financeira propor ao cliente a revogação do consentimento, com exceção de haver suspeita de fraude (art. 15, § 2º, da Resolução).
No mais, a revogação deverá ser realizada em até um dia, contado a partir da solicitação do cliente, para serviços de transação de pagamento, e de forma imediata para os demais casos (art. 15, § 3º, da Resolução do Bacen).
De fato, deve-se considerar que a mesma facilidade para fornecer o consentimento também deve existir para retirá-lo, o que decorre da lógica da LGPD de que o exercício dos direitos seja acessível e fácil para os titulares dos dados. É no mesmo espírito que a Resolução do Bacen consagra, como já dito, que a revogação do consentimento deve ser disponibilizada pelo mesmo canal no qual foi concedida.
Do direito de portabilidade dos dados
A LGPD reconhece, em seu art. 18, V, o direito do titular de requisitar a portabilidade dos seus dados a outro fornecedor de serviço ou produto, de acordo com regulamentação da Autoridade Nacional de Proteção de Dados Pessoais (ANPD), observados os segredos comercial e industrial.
Porém, o direito de portabilidade suscita controvérsias na medida em que pode envolver direitos de propriedade intelectual, de forma que, “ainda que não definido pelo sistema, entende-se que provavelmente não deverão estar no escopo da portabilidade, como também não integram os compartilhamentos que serão realizados pelo open banking (art. 5º, §4º, I, “b”), os dados considerados inferidos e derivados – que são aqueles gerados ou complementados a partir de tratamentos realizados pela instituição controladora e constituem o seu know-how (inteligência artificial, algoritmos etc)”.
No mais, por ser outro ponto de polêmica, deve-se destacar que o titular pode realizar a portabilidade dos registros de suas atividades bancárias mesmo que contenham dados pessoais de terceiro com quem eventualmente tenha realizado alguma transação financeira, desde que a informação do terceiro esteja inevitavelmente associada ao dado pessoal do titular, e, ainda, que sejam adotadas medidas que restrinjam os tratamentos que poderão ser feitos pelo novo controlador com os dados pessoais do terceiro.
Considerando a data da publicação deste texto, a ANPD ainda não elaborou regulamentação sobre o direito à portabilidade.
Outros direitos do titular no Open Banking
Além dos já descritos, os outros direitos listados na LGPD (art. 18) também são aplicáveis às pessoas naturais no contexto do Open Banking, a qualquer momento e mediante requisição, sendo eles:
- confirmação da existência de tratamento dos dados;
- acesso aos dados;
- correção de dados incompletos, inexatos ou desatualizados;
- anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD;
- eliminação dos dados pessoais tratados com o consentimento do titular, exceto em situações específicas delimitadas na Lei;
- informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados; e
- informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa.
Ressalta-se que um importante ponto a se considerar, quando da análise do assunto, é que a Resolução do Bacen também se aplica aos clientes que são pessoas jurídicas (art. 2º, II), enquanto a LGPD se aplica apenas aos titulares pessoas naturais (art. 1º, caput).
Pode-se concluir que “há um paralelismo importante entre os direitos presentes na LGPD e o que é garantido na regulamentação de open banking”. Assim, ambas as legislações devem necessariamente ser consultadas quando da análise dos direitos do titular dos dados pessoais, quando for pessoa natural.
Leia também: Coleta de dados por IAs para assistentes de voz pessoais
Das sanções decorrentes de violações a esses direitos
A coercitividade das obrigações decorrentes dos direitos dos titulares está nas sanções aplicadas pelo seu descumprimento. Não por um acaso, a LGPD traz, em seu art. 52, uma série de sanções administrativas que podem ser aplicadas pela ANPD, o que inclui advertências, multas, até a suspensão ou mesmo a proibição parcial ou total do tratamento de dados.
A ANPD, ainda, deve se articular com o Cade, o Conselho Monetário Nacional e o Banco Central do Brasil para complementar o regulamento existente, especialmente para que o Open Banking esteja em harmonia com as normas sobre proteção de dados pessoais.
No mais, pensando na perspectiva do consumidor, frisa-se que qualquer das instituições participantes pode vir a ser responsabilizada pelos danos consumeristas independentemente de sua efetiva contribuição, pois pode-se aplicar a responsabilização objetiva prevista no Código de Defesa do Consumidor.
Referências:
LAPIN – Laboratório de Políticas Públicas e Internet. Open Banking & LGPD: Entraves e eficiências. Nov. 2020. Disponível em: <https://lapin.org.br/wp-content/uploads/2020/11/Relatorio-Open-Banking-LGPD_LAPIN.pdf>
ITS – Instituto de Tecnologia & Sociedade do Rio. Open Banking e Proteção de Dados. Nov. 2020. Disponível em: <https://itsrio.org/wp-content/uploads/2020/11/Relatorio-Open-Banking-e-Protecao-de-Dados.pdf
Ananda Fernandes Garcia: Trainee em proteção de dados no Baptista Luz Advogados.