O valor (e a proteção) do dado no Open Banking

Atualmente, falar em Open Banking é referir-se ao compartilhamento de dados. Assim, o dado, que não necessariamente possui um viés pessoal, passa a ter não só uma grande importância dentro desse novo sistema financeiro, como também é apresentado como o grande protagonista deste show.

Com a entrada em vigor da Lei Geral de Proteção de Dados (LGPD), ficou mais fácil abordar temas como a segurança de dados e a implementação do Open Banking. No entanto, apesar de ainda existir certo preconceito, as novas diretrizes legais implementadas pela LGPD são fundamentais no processo de viabilização do Open Banking.

Esta nova legislação estabelece não só as regras, como também os limites éticos, facilitando o entendimento a respeito das responsabilidades das partes diante do compartilhamento de dados e informações.

De acordo com Rubia Ferrão, advogada especializada em direito digital e sócia fundadora do escritório de advocacia Pigão, Ferrão e Fioravante, é preciso ter em mente que vivemos em uma comunidade movida a dados, ou seja, estas informações passaram a ser o combustível da sociedade da informação.

“Dentro dessa sociedade movida a dados, é possível perceber que as coisas começam a acontecer, como os próprios movimentos de inovação, e só depois o nosso direito nota as mudanças e identifica a necessidade de proteção”, explica Rubia. Com isso, a advogada ressalta que é preciso desenvolver a compreensão de que o foco de proteção do ordenamento jurídico, são as pessoas físicas.

A LGPD e o sigilo sobre informações

A tecnologia está, cada vez mais, fazendo parte do dia a dia das pessoas, iniciando de forma gradual um movimento de inserção e adaptação dentro dos hábitos e costumes diários do cidadão. Enquanto a sociedade mudava e se moldava às novas realidades que se apresentavam, o direito observava o surgimento dessas mudanças sociais, passando a identificar o crescimento e relevância do dado.

Em determinado momento, a adaptabilidade social deixou de ser suficiente, surgindo a necessidade de garantia, pelo ordenamento jurídico vigente, de um nível de proteção mais específico. É nesse cenário, então, que surge a LGPD, que apesar de ter sido sancionada no ano de 2018, entrou em vigor apenas em setembro de 2020.

Rubia explica que, para fins gerais, o dado pessoal é uma informação relacionada a pessoa natural identificada ou identificável. “É preciso saber disso, pois a LGPD é voltada para os seres humanos, pessoa físicas, então, estamos falando de dados relacionados a um indivíduo”, informa a especialista em direito digital.

No movimento ocasionado pelo Open Banking e ao se analisar a resolução conjunta nº1, é possível verificar que o dado não está apenas relacionado a pessoa natural, mas também à pessoa jurídica. Assim sendo, começam a surgir situações que exigem que dois ou mais ordenamentos e regras coexistam em harmonia, como, por exemplo, nos casos onde nos deparamos com informações que estão sobre a exegese de sigilo bancário.

Com isso, além de ser um dado pessoal, pois está relacionado a uma pessoa física, este também envolve informações de operações ativas e passivas e serviços prestados por instituições financeiras, exatamente como está disposto na Lei Complementar que estabelece o sigilo bancário.

No entanto, engana-se quem acha que todo dado pessoal é sigiloso. “Os dados de cadastro como o nome, número de RG, CPF, não são considerados sigilosos, pois de acordo com a jurisprudência do STF, são informações necessárias para o convívio diário” conta Rúbia.

A especialista ainda explica que estas informações só se tornam confidenciais, caso seja firmado um contrato e neste fique estabelecido, entre as partes, confidencialidade sobre essas informações.

Os agentes e seus papéis dentro da LGPD

Para alguns, pode parecer uma situação óbvia, mas a LGPD devolve ao consumidor o direito sobre seus dados. Antes de sua vigência, muitas empresas viam essas informações pessoais como ativos corporativos.

Com o advento da lei, os dados pessoais deixam de ser vistos sobre esse prisma e retornam para seus titulares, ou seja, a pessoa a quem ele se refere para a ter direito de portabilidade sobre suas informações. Assim, se o dado pessoal pertence a um certo usuário, ele pode levá-lo para qualquer instituição.

Desta forma, no âmbito da LGPD, surge a figura dos agentes de tratamento:

• Controlador: Pessoa natural ou jurídica a quem compete a decisão sobre o tratamento de dados;

• Operador: realiza o tratamento de dados em nome do controlador;

Atualmente, o desafio é entender o papel de determinado agente dentro dessa cadeia de tratamento. Para que isso seja possível, é necessário ter conhecimento a respeito da atividade exercida por cada figura dentro desse ecossistema.

“Tenho visto muitos contratos, onde algumas empresas, e até mesmo bancos, falam que a atividade exercida é de Operador, mas não fazem nenhuma ressalva com relação ao fluxo de dados. No fim, a atividade exercida não é só de Operador, mas também de Controlador”, explica a advogada.

Além disso, também existe uma figura importante dentro dessa nova realidade legal, o Data Protection Office. Este ator, passa a ser o responsável por realizar a comunicação entre o titular, o Controlador e a autoridade nacional de proteção de dados.

O Consentimento, o legítimo interesse e os pilares do Open Banking

Antes da LGPD, o consentimento era uma das principais bases autorizadoras para tratamento de dados. A lei de sigilo bancário, por exemplo, excepciona a violação de sigilo para a hipótese de haver consentimento por parte do cliente. Sendo que este consentimento, para fins de licitude, já é uma excludente.

A LGPD apenas traz novos limites éticos, o objetivo não é causar novas proibições, mas sim fomentar as atividades de inovação que estão elencadas como princípios a serem observados, explica Rubia

Uma das bases legais previstas pela LGPD é o legítimo interesse, sendo que este não está relacionado apenas ao interesse próprio, mas também ao de terceiros, sendo que no caso do Open Banking, a figura do terceiro é representada pela própria sociedade.

Foi em detrimento de bases legais como o consentimento e o legítimo interesse, que o Banco Central conseguiu eleger os pilares de sustentação que inauguram o processo de implementação do Open Banking:

• Inovação;

• Concorrência;

• Eficiência.

A concorrência permite que o usuário exija melhores condições de prestação de serviço, fazendo com que este não seja dependente da vontade das instituições financeiras. “Com esse novo ecossistema, as empresas precisam mostrar para seus clientes que vale a pena permanecer e investir em seus serviços, pois, nesse novo cenário, o cidadão deixa de implorar por melhores condições e passa a ser disputado”, expõe Rubia.

Segurança da informação

Com o advento da LGPD, a segurança da informação deixa de ser apenas um padrão para tornar-se uma obrigação legal. “Não existe a opção de deixar de investir nessa área quando o assunto é tratamento e manipulação de dados”, conta Rubia.

De acordo com a advogada, a LGPD é muito clara, se não houver comprovação de investimento em segurança de tratamento de dados, o tratamento passará a ser irregular. Assim sendo, essas novas diretrizes, viabilizadas pela lei de proteção, surgiram com o intuito de unir duas áreas que já estavam ligadas: a segurança da informação e o direito.

Nessa sociedade da informação, a LGPD foi um pouco mais permissiva, pois ela tira um pouco o foco do consentimento e autoriza o tratamento de dados em diversas situações. No entanto, Rubia explica que na mesma medida que surgem novas possibilidades, também há um aumento no número de exigências. Surgindo assim uma política de bônus e ônus.

Dessa maneira, a LGPD chega para aumentar não só a gama de opções e empresas que podem participar desse novo ecossistema bancário, mas também para dividir os riscos e responsabilidades do exercício dos direitos e deveres. Havendo assim, uma padronização em termos de segurança e proteção de dados.

Este artigo foi escrito por Rubia Ferrão e publicado originalmente em Prensa.li.