163 views 6 mins

Open banking e LGPD: o desafio das instituições na proteção de dados

em Opinião
quarta-feira, 07 de julho de 2021

Tamiris Guidugli e Maurício Figueiredo (*)

O cliente é o dono dos seus dados, não o banco.

Essa é a proposta do Open Banking, responsável por permitir que o usuário seja o protagonista no controle e permissão do acesso das instituições financeiras às suas informações pessoais. Na mesma onda do PIX e do incentivo à competitividade no sistema financeiro presentes na agenda do Banco Central, o modelo de Open Banking busca ampliar as ofertas de produtos e serviços bancários por menores custos.

Entretanto, o grande desafio será criar os meios adequados para a coleta e a gestão do consentimento para o tratamento de dados pessoais. O Open Baking é o caminho para ampliar as ofertas de produtos e serviços bancários por menores custos, criando uma espécie de competição mais saudável entre os bancões e as fintechs. Mas, neste cenário, o grande desafio será criar os processos adequados para a coleta e gestão do consentimento do cliente para participar deste novo modelo, assim como do tratamento desses dados pessoais, considerando a LGPD.

Neste modelo ditado pelo BC, as instituições financeiras classificadas como S1, ou seja, aquelas que possuem porte igual ou superior a 10% do PIB ou que tenham atividade internacional relevante, e S2, instituições de porte entre 1% e 10% do PIB, serão obrigadas a participar do Open Banking. Assim, os grandes bancos atuantes no Brasil terão participação compulsória, desde que o cliente autorize o compartilhamento dos dados.

Já as demais instituições, como empresas de pagamento e fintechs, terão participação voluntária e deverão também compartilhar os dados de seus clientes para os seus concorrentes. Tal cenário favorece uma prática fundamental do Open Banking: a reciprocidade, considerando que todas as empresas aderentes terão o direito de receber dados de seus concorrentes e o dever de compartilhá-los, desde que haja consentimento dos clientes.

Como resultado, há a ampliação da livre concorrência e favorecimento do maior interessado, o consumidor, que terá em suas mãos a escolha acerca do compartilhamento dos seus dados, que será digital e realizado dentro de um ambiente seguro e supervisionado pelo BC. O processo estará de acordo com a LGPD, seguindo um fluxo padrão de consentimento pelo cliente semelhante ao do acesso à instituição por meio do aplicativo ou internet banking via reconhecimento facial, biometria ou senha.

Em termos práticos, a ideia é a seguinte: se o cliente quiser que o banco A, no qual tem conta, compartilhe os dados dele com a fintech B, deverá solicitar o compartilhamento ao B, que avisará o A sobre a solicitação. Feito isso, o banco confirmará com o cliente se ele realmente solicitou a liberação e coletará seu consentimento para realizar sua transmissão. Pelo fato do Open Banking ter como premissa o consentimento, uma das bases legais da LGPD, o cliente poderá a qualquer momento permitir o compartilhamento via autorização, assim como revogá-lo.

Vale ressaltar que essa aceitação é específica, ou seja, o cliente está permitindo apenas que determinados dados sejam partilhados com um banco terceiro, não sendo aplicável de forma geral a todos os dados ou a todas as instituições. Para compartilhar essas informações com uma outra instituição, será necessário a coleta de um novo consentimento do titular. Isso significa que as instituições recebedoras dos dados terão o papel de controladoras perante à LGPD.

Desse modo, a determinada instituição deverá controlar de forma transparente o processo de armazenamento deste dado, além de possuir um atendimento eficaz e prático para titulares que revogaram o seu consentimento ou solicitaram eventuais esclarecimentos acerca do tratamento de suas informações. A utilização de sistemas CRM (Customer Relationship Management), entre outras ferramentas de gestão, poderá facilitar a execução desse novo processo.

A criação de registros que indiquem a forma de coleta destes dados pessoais e onde estão armazenados é uma obrigação legal que reflete a importância da transparência da instituição financeira. A empresa também deverá ter uma política de retenção de informações que observe os requisitos legais para guardá-los. Nesse caso, o consentimento será a base legal para justificar a retenção de determinado dado até sua revogação ou expiração.

Assim, o tratamento de dados pessoais será um critério essencial a ser levado em consideração por uma instituição financeira ao aderir ao Open Banking. Novos processos e demandas serão criadas junto com essa inovação do mercado bancário, assim como o desenvolvimento de soluções que deverão acompanhar o respeito à privacidade e à proteção de dados pessoais.

(*) – São consultores na área de Data Privacy da ICTS Protiviti, empresa especializada em soluções para gestão de riscos.