Regras de confidencialidade vão além da lei de proteção de dados
BC fortalece processo para consentimento do compartilhamento de informações pessoais
são paulo O compartilhamento de dados sensíveis via open banking levanta dúvidas em relação à proteção das informações no setor financeiro.
Dados como saldo disponível em conta, histórico de crédito e seguros contratados serão compartilhados no setor via API —protocolos que permitem que um sistema se conecte a outro para consumir dados de maneira padronizada— e não estão imunes a vazamentos.
Para entrar no detalhe da discussão, é preciso ter em mente que os princípios do open banking seguem os da LGPD (Lei Geral de Proteção de Dados). Segundo as regras, o dado pessoal pertence ao indivíduo que o originou: o correntista é dono de suas informações, e não mais o banco.
Nascido após a LGDP, o open banking avança na proteção de dados e inclui um maior detalhamento na discriminação de etapas necessárias na autorização do cliente para o compartilhamento de dados entre instituições.
“O BC [Banco Central] se baseou muito na LGPD e o open banking ficou mais amplo que a LGPD”, afirma Larissa Arruy, sócia do escritório de advocacia Mattos Filho.
Segundo a resolução do BC, a autorização deve ser “por meio de linguagem clara, objetiva e adequada; referir-se a finalidades determinadas; ter prazo de validade compatível com as finalidades [...], limitado a doze meses; discriminar a instituição transmissora de dados ou detentora de conta, conforme o caso; discriminar os dados ou serviços que serão objeto de compartilhamento e incluir a identificação do cliente”.
Além disso, o open banking abrange pessoas jurídicas, que não estão contempladas no texto da LGPD.
Em caso de vazamento de dados das instituições financeiras que participam do open banking ou uso indevido das informações, há, além da LGPD, a aplicação da lei que trata do sigilo bancário.
Segundo essa lei, a quebra de sigilo constitui crime e sujeita os responsáveis à pena de reclusão —de um a quatro anos— e multa.
“Mas é leite derramado. A pessoa tem direito a saber se dados foram vazados e alterar informações sensíveis, como senhas”, diz Paulo Brancher, sócio do escritório de advocacia Mattos Filho.
“Além disso, empresas têm que detalhar qual seu mecanismo de segurança e o que falhou, estando sujeitas a sanções. Pelo lado do Banco Central, pode haver advertência e cassação de funcionamento”, afirma Brancher.
De acordo com o advogado, o BC tem as determinações da estrutura de cibersegurança necessária. “O setor financeiro está sempre muito preparado, mas é impossível dar a garantia contra a invasão. É importante ver com quem você vai escolher compartilhar seus dados.”
“Os maiores riscos do open banking são relacionados ao fluxo intenso de informação, assim, as instituições têm que adotar mais segurança, nenhum sistema é infalível”, diz Lorena Pretti Serraglio, advogada coordenadora da área de proteção de dados do escritório Azevedo Sette.
Segundo Lorena, o consumidor também pode entrar em contato com o Procon ou acionar a Justiça. “A ANPD [Autoridade Nacional de Proteção de Dados] ainda não está atuante, mas, no futuro, terá que trabalhar junto com o BC, pois não dá para caminhar separado.”
O Senado confirmou a primeira diretoria da ANPD em 20 de outubro, para um mandato de quatro anos. Apesar da definição dos nomes dos cinco diretores da agência, a estrutura do órgão ainda não está definida.
O temor de possíveis falhas levou a um pedido de adiamento da implementação da primeira fase do open banking, feito ao BC pelos bancos. A solicitação foi aceita: a data inicial, que seria nesta segunda (30) passou para 21 de fevereiro de 2021.
De acordo com reportagem da Folha, fontes do setor relatam que as informações serão majoritariamente compartilhadas dos bancos para as instituições menores, o que gera preocupações de que elas seriam responsabilizadas por qualquer problema, como um vazamento de informações.
O argumento principal seria de que o mercado ainda não estaria com suas infraestruturas completamente adaptadas para comportar a primeira fase do open banking de maneira apropriada até o fim de novembro.
Para Lorena, o argumento não se sustenta. As fintechs, por serem empresas mais tecnológicas e atuais, nasceriam com estruturas para privacidade de proteção de dados, enquanto os bancos já se prepararam para tamanho fluxo. “O PIX já os deixou com uma boa segurança de informação”.
“Vivemos uma época em que dados são um backup [cópia de segurança] da personalidade, valem muito. Por isso há tanta tentativa de hackeamento e invasão, mas as empresas estão investindo muito em segurança. Não dá para ter risco zero, mas medidas tem que ser as mais seguras possíveis”, afirma Lorena.
Para o presidente do BC, Roberto Campos Neto, o controle de dados é o grande ativo do mundo financeiro hoje. “Acreditamos que essa é a corrida do ouro”, disse em evento virtual do Itaú BBA, no último 18.
A discussão sobre segurança de dados cresce, mas atrelada a eventos distantes do setor financeiro. No último mês, o Ministério da Saúde disse que há indícios de que a pasta foi alvo de ataque, a exemplo do que ocorreu no STJ (Superior Tribunal de Justiça). A ação teria causado falhas no sistema de acompanhamento dos casos da Covid-19.