DPO e DRC: diálogo entre LGPD e open banking?

No dia 29 de outubro, o Sistema Financeiro Aberto (SFA), chamado de open banking, iniciou sua Fase 3, passando a permitir serviços de iniciação de pagamento e o compartilhamento de histórico financeiro de clientes entre as instituições participantes.

O open banking foi criado pelo Banco Central (BC) com a intenção de aumentar a eficiência no mercado de crédito e de pagamentos no Brasil, mediante a promoção de ambiente de negócio mais inclusivo e competitivo, preservando a segurança do sistema financeiro e a proteção dos consumidores, como indicado no Comunicado nº 33.455, de 24 de abril de 2019.

O regramento do open banking estabelece que as instituições participantes, as quais podem ser instituições financeiras ou de pagamentos, são obrigadas a garantir a interoperabilidade entre suas bases de dados e a compartilhar informações entre si, desde que o cliente assim peça. A ideia é que o cliente não esteja mais “preso” à sua instituição de origem, podendo cotar produtos em outras instituições e até compartilhar todo o seu histórico financeiro se desejar. Desta forma, o SFA estimula tanto o empoderamento do cliente quanto a concorrência no setor financeiro e de pagamentos, como forma de melhorar a qualidade dos serviços e promover a bancarização no país, itens presentes nas Agendas BC+ e BC#, as quais têm servido de vetor para elaboração e alteração das normas bancárias brasileiras.

Inaugurado pela Resolução Conjunta nº 1 de 2020 (Res. Conj. Nº 01/20), editada pelo BC e pelo Conselho Monetário Nacional (CMN), o open banking significa um aumento massivo no fluxo de dados no sistema financeiro, iniciando uma nova onda de compartilhamento entre os players. Logo, é natural que o arcabouço normativo do SFA esteja intimamente ligado à Lei Geral de Proteção de Dados (LGPD), adotando o conceito de “consentimento” de forma similar, mas não idêntica à LGPD, além de elencar princípios consagrados pela lei, como a transparência, segurança, qualidade e não discriminação.

Segundo a LGPD, a proteção de dados pessoais deve ser implementada a partir de medidas técnicas e administrativas, ou seja, de soluções tecnológicas e de governança corporativa. Tal trabalho requer supervisão constante e diálogo multidisciplinar, unindo profissionais de tecnologia da informação e de segurança cibernética, além de juristas e do corpo administrativo das empresas.

Para coordenar a implantação, fiscalização e atualização deste complexo programa, a lei determina a nomeação de um “data protection officer” (DPO ou encarregado). De forma semelhante, a Res. Conj. nº 01/20 , que rege o open banking, cria a figura do diretor responsável pelo compartilhamento (DRC). Enquanto o DPO, segundo a LGPD (art. 5º, VII), é o profissional designado para atuar como ponto de contato entre os agentes de tratamento, os titulares de dados e as autoridades, a Res. Conj. nº 01/20 estabelece (art. 33, §1º) que o DRC é responsável pela elaboração de relatório semestral contendo detalhes sobre o compartilhamento de dados via open banking.

Em tal cenário, como se relacionam as figuras do DRC e do DPO?

• Obrigatoriedade da nomeação: tanto a LGPD quanto a Res. Conj. nº 01/20 determinam que a nomeação é obrigatória, devendo o DPO ser nomeado por todos os agentes de tratamento, enquanto toda instituição participante do open banking deve nomear o DRC. A Autoridade Nacional de Proteção de Dados (ANPD) recentemente enviou proposta de regulamentação prevendo a dispensa de DPO para pequenas e médias empresas. Contudo, caso aprovada, a norma não será aplicada às instituições credenciadas a participar do SFA. Além de instituições financeiras e de pagamento dificilmente serem qualificadas como microempresas ou empresas de pequeno porte, o texto prevê que o tratamento de alto volume ou de alto risco não terá direito à dispensa de DPO.
• Natureza da função: tanto o DPO quanto o DRC possuem funções ligadas à governança corporativa, buscando garantir a concretização de princípios legais como a transparência e a prestação de contas e a mitigação do risco de violação de direitos nas atividades de tratamento. No caso do DRC, a Res. Conj. nº 01/20 determina que a instituição participante do open banking deverá adotar práticas de governança corporativa proporcionais ao risco de sua atividade (art. 37, I), em linha com a Res. CMN nº 2.554/98, a Res. CMN nº 4.553/2017 e a Res. CMN nº 4.557/2017.
• Escopo de trabalho: as funções atribuídas ao DRC são menos numerosas que as do DPO. O primeiro tem como atribuição a compilação de relatório que devem ser enviados ao BC a cada semestre, contendo detalhes sobre os pedidos de compartilhamento realizados por clientes, as demandas do canal de atendimento e os incidentes de segurança registrados. Já o DPO deve atender a demandas de titulares de dados, atender determinações das autoridades, coordenar os funcionários em matéria de proteção de dados e cumprir com as determinações do controlador e das normas de proteção de dados. Como se vê, o escopo de trabalho do DPO é largo, podendo o trabalho do DRC ser “contido” pela atribuição genérica de atender pedidos de autoridades e cumprir determinações legais.
• Possibilidade de cumulação: conforme mencionado acima, a função do DRC pode ser incluída no escopo de trabalho de um DPO. A viabilização e registro do compartilhamento de dados bancários são atividades ligadas ao ferramental do cargo de DPO e ao trabalho na área de “data privacy”. Mas o que o ordenamento diz sobre a licitude da cumulação? Neste sentido, a LGPD é silente. Na Europa, a General Data Protection Regulation (GPDR) prevê (art. 38.6) que o DPO não poderá cumular função que resulte em conflito de interesses, já que possui a responsabilidade de notificar incidentes às autoridades, devendo sua atuação ser independente. Tal exigência é repetida pela normativa do open banking (art. 32, p. ú.), que estabelece que o DRC pode cumular funções que não representem conflito de interesses. Entendemos que não há impedimento para que o DPO também cumpra a função de DRC. Afinal, dentre as atividades definidas como “tratamento de dados” pela LGPD (art. 5º, X), inclui-se o verbo “compartilhar”, sendo evidente que falar de open banking significa falar de “data privacy”.
• Possibilidade de terceirização: diante da dificuldade de nomeação de um quadro interno para o cargo de DPO, muitas empresas estão recorrendo ao chamado “DPO as a service”, contratando profissionais ou consultorias externas para a prestação dos serviços de encarregado. A Res. Conj. nº 01/20 não possibilita que a função de DRC seja exercida por pessoa estranha à instituição, de modo que o responsável pelo exercício do cargo deve ser expressamente indicado em estatuto social ou contrato social, a depender do tipo societário adotada pela instituição participante, para fins de responsabilização da entidade supervisionada e/ou do diretor. Não é necessário que a pessoa natural indicada para exercício da função de DRC participe da composição societária da instituição participante do open banking, sendo suficiente a eleição/nomeação para exercício do cargo, por tempo determinado. Conclui-se, portanto, que, na hipótese de utilização de “DPO as a service”, não será possível cumular as funções de DPO e DRC.

A vigência da LGPD ainda é recente, assim como a criação da ANPD, tendo ambos um ano recém-completado. Assim, é de se esperar que a autoridade, responsável por regulamentar temas de proteção de dados, venha a adensar a legislação aplicável ao cargo de DPO, dando maior clareza à possibilidade de cumulação com outras funções; o mesmo pode se dizer do open banking, que terá regulação ajustada em conformidade com os objetivos do BC quando da implementação do sistema e com os retornos obtidos a partir da experiência das instituições participantes e da sociedade civil consumidora.

Neste momento, parece haver grande sintonia entre a legislação federal e as normas editadas pelo CMN e pelo BC, o que é essencial para o sucesso do open banking. É de se esperar que o DPO seja figura-chave na gestão do compartilhamento de dados no SFA, não havendo motivo para falar em conflito de interesses no exercício da função de DRC. Ao contrário, entendemos que tal cumulação pode ser, diante da pertinência temática e das aptidões profissionais, um caminho desejável, desde que respeitados os requisitos dispostos em ambas as normas.

Daniel Becker – Sócio fundador do BBL Advogados. Diretor de Novas Tecnologias do CBMA e membro das Comissões de Assuntos Legislativos e 5G da OAB-RJ
Eduardo Bruzzi – Sócio do BBL Advogados e responsável pela área consultiva regulatória de Payments, Banking, Fintech & Crypto. Mestre em Direito da Regulação pela FGV Direito Rio. Visiting Scholar pelo Institute for Law & Finance da Goethe-Universität de Frankfurt. Professor da pós-graduação em Direito Regulatório da UERJ. Autor e coordenador do livro “Banking 4.0: Desafios jurídicos e regulatórios do novo paradigma bancário e de pagamentos”
Frederico Boghossian Torres – Advogado do Lima ≡ Feigelson Advogados, integrante grupo de pesquisa em Direito e Tecnologia da PUC-Rio (DROIT) e mestrando em Teoria do Estado e Direito Constitucional pela PUC-Rio.
Aylton Gonçalves – Associado sênior da área consultiva regulatória de Payments, Banking, Fintech & Crypto do BBL Advogados. Mestrando em Direito pelo IDP. Pós-graduado em Direito Societário (EBRADI), Direito Processual Civil (IDP) e Direito Digital e Proteção de Dados (EBRADI). Pesquisador do Grupo de Pesquisa em Regulação Econômica e Direito Regulatório do IDP (GEDIR-IDP)