Regulação e Novas Tecnologias

Novas tecnologias

A recepção do open banking pelo Banco Central

Um follow up sobre a proteção de dados pessoais

Sede do Banco Central. Crédito: Wikimedia Commons

Em meados de outubro de 2018, publicou-se nesta coluna de Regulação e Novas Tecnologias artigo referente ao anúncio do Banco Central do Brasil (BC), que preparava modelo de regulamentação de um sistema de open banking nacional. Naquele se questionou algumas peculiaridades desta tecnologia considerando os instrumentos legais e regulatórios disponíveis no cenário institucional brasileiro, bem como levantou a preocupação de se esta regulamentação incorporaria os preceitos que a Lei Geral de Proteção de Dados (LGPD) passou a oferecer com sua promulgação, de forma a garantir a segurança dos usuários.

No dia 24 de abril do presente ano, o BC divulgou através do Comunicado nº 33.455, os requisitos fundamentais para a implementação, no Brasil, do Sistema Financeiro Aberto (open banking)1. Após reunião colegiada no órgão, aprovou-se o objetivo, definição, escopo do modelo e a estratégia de regulação e as ações necessárias para a implementação deste sistema inovativo no país. Assim, a proposta do presente artigo é realizar um follow up neste tema, respondendo às questões pontuadas anteriormente, agora com embasamento oficial do Banco Central, acerca das diretrizes a serem tomadas pelo órgão.

O Banco já vinha incentivando o desenvolvimento deste sistema financeiro no Brasil, à prova da Resolução nº 4.656/18, que autoriza fintechs a conceder empréstimos por meio de plataformas eletrônicas. No entanto, com este posicionamento recepcionando este modelo na ordem econômica, tem-se um primeiro passo para a solidificação de um estatuto regulatório eficaz, que garanta o pleno amadurecimento do open banking no país. A partir deste momento, permite investimentos mais seguros no setor emergente, bem como maior operacionalização do sistema, por parte das empresas, que tem agora seu campo de atuação mais bem delimitado, e garantida os meios para uma competição segura.

O modelo de open banking recepcionado pelo BC é uma aproximação do modelo Inglês, Payment Services Revised Directive (PSD2) – diretiva revisada sobre os serviços de pagamento. Este modelo retira o monopólio dos bancos sobre os serviços de pagamento e informações de seus clientes, permitido que estes se utilizem de outras empresas e iniciativas como fintechs para administrar suas finanças. Com esta diretiva, os bancos ficam obrigados a fornecer as contas de seus clientes a estes terceiros, através de Interfaces de Programação de Aplicativos (APIs), podendo estas novas empresas do setor utilizarem-se da base de dados e infraestrutura dos bancos, para sua atividade.

Constatou-se que não seria possível frear a inovação e o desenvolvimento tecnológico. Assim, a Comissão Europeia regulatória que instituiu o PSD2 utilizou um modelo baseado em duas pedras fundamentais: o primeiro de um mercado europeu unificado em oposição à diversos mercados nacionais esparsos; o segundo da presença de bancos e não bancos em um mesmo ambiente econômico, em detrimento do monopólio dos bancos na ordem econômica. Assim, prevê-se um aumento nas oportunidades de entrada no sistema bancário para empresas que não possuem licença bancária, mas possuem todo o aparato e investimento para operar neste setor de forma eficaz e legítima.

A ideia central deste sistema, na Europa, é garantir o desenvolvimento da inovação financeira e tecnológica, fortalecer a proteção ao consumidor e a segurança de meios de pagamento online, bem como o compartilhamento de dados que coexistem na União Europeia. Facilitando o acesso à informação, garante maior celeridade e flexibilidade na utilização dos serviços bancários, agora ofertados por startups financeiras que se consolidam no mercado global.

A tendência com esta regulamentação europeia, é que os bancos baseados no continente passem a utilizar APIs de forma crescente, adequando-se ao sistema up or out deste novo mercado de tecnologias disruptivas, a fim de não se desestruturar com a perda desta grande parcela de serviços oferecidos. Outra tendência que se percebe, é a unificação do mercado europeu, com a abertura do sistema bancário. A Comissão Europeia que editou esta diretiva previu instrumentos de harmonização das regulações nacionais, como a permissão que terceiros operem em toda a União Europeia, após obtenção de licença financeira emitida pela autoridade competente de cada país, visando adequar o open banking ao ideal da união econômica do continente Europeu.

Em se tratando da LGPD, no último artigo levantamos alguns pontos a serem observados pelo BC, na regulamentação deste modelo, quais sejam: a (i) necessidade do consentimento prévio, expresso e específico, a (ii) criação da figura do encarregado, (iii) exclusão definitiva dos dados pessoais fornecido a determinada aplicação de internet e a (iv) transferência de dados pessoais apenas a países que apresentem um nível adequado de proteção de dados. Dessa forma, abordaremos como cada ponto foi tratado pelo Comunicado nº 33.455 do BC. Vale ressaltar que o objetivo de tal iniciativa do BC foi o de aumentar a eficiência no mercado de crédito e de pagamentos no Brasil, promovendo um ambiente inclusivo e competitivo. Assim sendo, ficou estabelecido que o modelo de open banking contemplaria, no mínimo, dados relativos aos produtos e serviços oferecidos pelas instituições participantes e dados cadastrais e transacionais dos clientes.

Com isso, dentre os requisitos estabelecidos para o compartilhamento dos dados cadastrais e transacionais dos clientes está o prévio consentimento dos mesmos. O item 06 do comunicado propõe que os procedimentos para viabilizar tal consentimento devem ter como diretriz a promoção de uma experiência simples, eficiente e segura para o cliente. Entretanto, como se dará a prática disso ficou à cargo de cada empresa, para que essas estabeleçam a padronização tecnológica e dos procedimentos operacionais, assim como a implementação das interfaces com os clientes, respeitando sempre a própria regulação. O comunicado do BC, embora esteja a um passo de reforçar o art. 7º, I da LGPD, não faz exigência para que esse consentimento seja expresso e específico, o que abre margem para o estabelecimento de consentimentos genéricos e amplos, expondo os dados pessoais dos usuários.

A criação da figura do encarregado deixou de representar um problema para os sistemas de open banking com a promulgação da MP nº 869/2018. Isso pois, essa possibilitou que o encarregado possa ser tanto pessoa jurídica quanto natural. Desse modo, o sistema de APIs, que visa a atuação essencialmente eletrônica, que teria que se adequar para ter uma pessoa física atuando como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados, poderá manter suas operações essencialmente virtuais. Já no que se refere à exclusão de dados, com base no art. 60, X da LGPD, passou-se a entender que uma vez reconhecido como um sistema financeiro, o as empresas que operam na modalidade open banking, poderão manter os dados pessoais de seus clientes por motivo de cumprimento de interesse legítimo a partir de situações concretas para o apoio e promoção de atividades do controlador; e proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, como o de crédito. Embora esses dois pontos não tenham sido abordados pelo comunicado, entendemos que os pontos da LGPD que tratam de sistemas financeiros passam a abarcar também os sistemas de open banking.

Já no que se refere à transferência de dados pessoais apenas a países que apresentem um nível adequado de proteção de dados, o comunicado não adentrou em tais especificações, mas deixou claro que o Banco Central do Brasil vem acompanhando as discussões internacionais e as iniciativas locais ao mesmo tempo que estão se baseando na LGPD. O fato do tratamento desse ponto pelo comunicado ter sido superficial, nos faz questionar como que a imposição feita pelo art. 33, I da LGPD não se tornará um entrave no caso de países em que não se tem regulamentação para proteção de dados pessoais. Visto que para que haja a transferência é necessário a elaboração de contrato, nos termos da referida lei, que deverá ser certificado pelo órgão responsável (art. 35), tornando o procedimento extremamente burocrático.

O sistema de open banking reconhecido e regulamentado de forma inicial pelo BC muito interessantemente abarcou grande parte dos pontos principais abordados no artigo anterior em questão. O órgão regulador do Sistema Financeiro Nacional transparece com o Comunicado que bem compreendeu o objeto regulado, e isso se comprova no engajamento da instituição em discussões e fóruns com o setor público e privado para aprimorar sua atividade. A priori, respondendo à questão inicial prévia, o órgão tentou atender ao máximo os requisitos de segurança da LGPD, garantindo confiabilidade entre as partes envolvidas, e maior possibilidade de eficácia destas novas plataformas de transações bancárias.

———————–


Faça o cadastro gratuito e leia até 10 matérias por mês. Faça uma assinatura e tenha acesso ilimitado agora

Cadastro Gratuito

Cadastre-se e leia 10 matérias/mês de graça e receba conteúdo especializado

Cadastro Gratuito