Opinião & Análise

Open Banking

DPO e a figura do Diretor de Compartilhamento de Dados na Resolução do BACEN

Análise sobre a Resolução Conjunta nº 1

Crédito: Pixabay

O Banco Central regulou, no início de maio, o Open Banking no Brasil (Resolução Conjunta nº 1 que dispõe sobre a implementação do Sistema Financeira Aberto e da Circular nº 4015 que dispõe sobre o escopo de dados e serviços do Sistema Financeiro Aberto, ambas de 04 de maio de 2020), trazendo uma série de novidades para o setor e para a sociedade.

A definição de “open banking” é dada pela própria Resolução (art. 2º, I): “compartilhamento padronizado de dados e serviços por meio de abertura e integração de sistemas”. Em outras palavras, e na tentativa de clarear o “juridiquês”, por meio do “open banking” instituições financeiras e empresas que estejam sujeitas à regulação do BACEN (fintechs, inclusive) poderão, mediante consentimento expresso do titular dos dados, compartilhar dados cadastrais e financeiros com outros integrantes do sistema financeiro igualmente sujeitos à regulação do BACEN.

Por se tratar de compartilhamento de dados pessoais, é totalmente aplicável a Lei Geral de Proteção de Dados (Lei 13709/2018) que entra em vigor a partir de maio/2021 (MP 959/2020). A esse respeito, o BACEN identificou os seguintes princípios que deverão ser observados, todos em consonância com a LGPD: (i) transparência, (ii) segurança e privacidade; (iii) qualidade dos dados; (iv) tratamento não discriminatório; (v) reciprocidade e (vi) interoperabilidade.

O consentimento deve ser solicitado de maneira clara, objetiva e adequada. Deve, ainda, especificar a finalidade do compartilhamento e o prazo de validade de acordo com a finalidade solicitada (máximo 12 meses). Ademais deve indicar quais dados serão compartilhados, mediante identificação do cliente. Por fim, o consentimento deve ser obtido após a data de entrada em vigor da Resolução, a saber 01 de junho de 2020, com as ressalvas previstas no art. 55 da Resolução.

Nos interessa falar, entretanto, de uma novidade em particular, que não poderia passar despercebida: a figura do Diretor de Compartilhamento de Dados, instituída pelo art. 32 da Resolução nº 01/2020 do Banco Central. Assim, estabelece que a Resolução que “as instituições participantes e as instituições contratantes devem designar diretor responsável pelo compartilhamento de que trata esta Resolução”.

Este diretor terá a incumbência de, dentre outras coisas, elaborar relatório semestral referente ao compartilhamento de dados em que a instituição estiver envolvida, com as exigências mínimas previstas (art. 33, §1º).

A principal questão aqui é saber se o Diretor de compartilhamento de dados é equivalente à figura do DPO ou não. Não parece ser o caso. Se fosse a mesma figura, o BACEN provavelmente teria utilizado o termo DPO ao invés da figura do Diretor de compartilhamento de dados. E isso nos leva a outra questão: pode o DPO ser também o Diretor de compartilhamento de dados?

De largada, e considerando a regulamentação tal qual colocada, a função do DPO é muito mais ampla e abrangente do que a do Diretor de Compartilhamento de Dados. Com efeito, o DPO, na legislação brasileira chamado de Encarregado, é a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD), nos termos do art. 5º, inciso VIII, da LGPD.

Nesta linha, as atividades do DPO consistem em (i) aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar previdências; (ii) receber comunicações da ANPD e adotar providências; (iii) orientar os funcionários e contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; (iv) executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares, ex vi art. 41 da LGPD.

Da experiência europeia, extrai-se a necessidade de que o DPO tenha conhecimento jurídico e prático em proteção de dados (art. 37 RGPD) e capacidade de desempenhar as funções listadas no artigo 39 (basicamente as mesmas funções previstas na LGPD).

Além disso, o DPO deve ter autonomia e isenção na realização de suas atividades[1], como preceitua o art. 38.3 do RGPD (“O responsável pelo tratamento e o subcontratante asseguram que o encarregado da proteção de dados não recebe instruções relativamente ao exercício das suas funções. O encarregado não pode ser destituído nem penalizado pelo responsável pelo tratamento ou pelo subcontratante pelo facto de exercer as suas funções. O encarregado da proteção de dados informa diretamente a direção ao mais alto nível do responsável pelo tratamento ou do subcontratante”).

Ainda é interessante notar que o DPO, na legislação europeia, pode sim realizar outras funções e atividades, inclusive dentro da própria empresa, desde que disso não resulte conflito de interesses (art. 38.6 RGPD). Sobre isso, vale relembrar a recente decisão da Autoridade Nacional de Proteção de Dados da Bélgica que autuou determinada empresa pelo fato de uma mesma pessoa titularizar a posição de DPO e Compliance Officer[2]. Típico caso de conflito de interesses, na medida em que as funções podem vir a exigir posturas distintas.

De qualquer forma, é de simples percepção como as obrigações do Diretor (Open Banking), frente a do DPO, são bem mais singelas, tanto em relação às atividades a serem desenvolvidas quanto às exigências pessoais para ocupação da função.

Por outro lado, as funções do DPO parecem também se enquadrar nas funções do Diretor (extração de relatórios sobre a transferência de dados), de modo que aparentemente parece ser possível defender que uma mesma pessoa possa exercer ambas as funções.

Na legislação brasileira, o DPO é uma figura que surgiu em uma lei geral e, como tal, este seria o encarregado de todos os tipos de tratamento de dados pessoais realizado por um controlador (agente de tratamento que realiza decisões sobre os dados pessoais), sendo, portanto, um cargo obrigatório para as instituições financeiras.

A mesma LGPD que criou a figura do DPO (encarregado de dados) prega uma sinergia, articulação da Autoridade Nacional de Proteção de Dados Pessoais (ANPD) com demais autoridades reguladoras públicas para exercer suas competências em setores específicos de atividades econômicas e governamentais sujeitas à regulação (art.55-J, inciso XXIII, da L.13.709/18). Ou seja, ANPD e o Bacen, segundo a Lei Geral de Proteção de Dados Pessoais, devem manter consonância, harmonia em suas ações e regulações.

Considerando estes pontos, além de que o Diretor de Compartilhamento de Dados, tal qual designado na Resolução do Bacen, é o responsável por um dos tipos de tratamento de dados pessoais de uma instituição financeira, ou seja, trata de uma parcela dos fluxos de tratamento de dados pessoais, bem como que este Diretor, pelo parágrafo único, do artigo 32, da Resolução poderia cumular funções desde que não antagônicas (conflito de interesses)

Deste modo as duas funções se complementam, a função de DPO, em verdade, contém a do Diretor de Compartilhamento de Dados, não havendo que se falar, a princípio, em conflitos, o que é passível de observação a começar pela necessidade de a Resolução estar de acordo com a Lei Geral, seguindo pela sinergia imposta pela LGPD às autoridades, bem como pelo fato de que “compartilhamento de dados” ser um tipo de tratamento de dados. Deste modo eventual dúvida só mesmo faria sentido pela criação de um novo cargo com denominação específica.

No entanto, esta denominação pode se dar ao fato de que o tratamento de dados pessoais, ora em comento, é específico e requerer responsabilidades (art.33, da Resolução) e habilidades diferenciadas vinculadas à atividade por parte do seu ocupante, como a emissão de relatório semestral referente ao compartilhamento de dados e serviços, sendo razoável atribuir a este uma denominação específica.

Não se pode ignorar também que o DPO pode ser figura externa (terceirizada), o que parece ser proibido pela regulação do BACEN, a exigir um diretor específico interna corporis. Vale, por fim, ressaltar que pela Resolução Conjunta esta função poderia ser atribuída à Direção diversa da do DPO, desde que com esta, igualmente, não se conflitasse, todavia, pela natureza do cargo, faz-se recomendável que este seja cumulado com o de DPO.

————————————–

[1] https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/accountability-and-governance/data-protection-officers/, acessado em 15 de maio de 2020.

[2] Disponível em https://www.dataguidance.com/news/belgium-belgian-dpa-issues-%E2%82%AC50000-fine-organisation-dpo-appointment-violation. Acessado em 15.05.2020.


Cadastre-se e leia 10 matérias/mês de graça e receba conteúdo especializado

Cadastro Gratuito