Segundo o art. 2º, inc. II da Resolução Conjunta 1 de 2020, o Open Banking é definido como “o compartilhamento padronizado de dados e serviços, por meio de abertura e integração de sistemas”.1
O presente sistema consiste em uma plataforma que permitirá a integração de APIS (Application Programming Interfaces2), as quais compreendem-se no conjunto de protocolos que asseguram a interoperabilidade entre dois ou mais programas.
A partir deste instrumento, o Open Banking irá proporcionar um certo grau de comunicação entre as instituições participantes, na medida em que habilitará serviços integrados. Por exemplo, consoante a proposta do Banco Central, o correntista poderá compartilhar suas informações financeiras com outras instituições além daquela em que possui conta bancária e, assim, terá a permissão de acessar à diversos produtos e serviços ofertados pelas demais participantes, sejam bancos, iniciadoras de pagamento, fintechs, entre outras, oportunizando maior competividade ao mercado financeiro.
A este respeito, dispõe o diretor de regulação do Banco Central, Otávio Ribeiro Damaso:
a implementação do Open Banking no Brasil constitui um marco notório da regulamentação do Sistema Financeiro Nacional e do Sistema de Pagamentos Brasileiro destinado a incentivar a inovação, a fomentar a concorrência e a aumentar a eficiência no âmbito desses sistemas, assim como a promover a cidadania financeira, em medida prioritária deste Banco Central, circunscrita na Agenda BC, na dimensão Competitividade.3
Desse modo, a implementação do Open Banking traduz se em uma linha inovadora, cujo objetivo é incentivar a tecnologia e a competividade deste setor. Mas, para garantir a efetividade do seu funcionamento, é imprescindível que haja a devida segurança e proteção dos dados dos clientes, em consonância com a LGPD(lei 13.708/18).
Antes de tecer uma análise específica sobre as bases legais que permitem o tratamento de dados através do open banking, é necessária uma breve explicação sobre alguns conceitos básicos da LGPD.
Primeiramente, a LGPD regula as atividades de tratamentos que envolvem dados pessoais de pessoa identificada ou identificável, isso quer dizer que os dados de pessoas jurídicas não são objetos de regulação por esta lei.
Para que o tratamento de dados ocorra de forma adequada é imprescindível determinar qual categoria de dados pessoais será objeto deste tratamento, para então encontrar a base legal adequada para esse tratamento.
Ao observar os dados pessoais compartilhados pelo Open Banking, tem-se que estes se enquadram no disposto no art. 7º da lei 13.708/184, que permite o compartilhamento de acordo com as bases legais elencadas em seus incisos, dentre elas o consentimento.
Há quem defenda a utilização de outras bases legais para o tratamento de dados no contexto do Open Banking, como o cumprimento de obrigação legal ou regulatória, no entanto, o presente estudo busca comparar o instituto do consentimento na Resolução 1/20 e na LGPD.
No tocante ao consentimento, a Resolução 1/20 prevê uma série de requisitos às instituições participantes do Open Banking, ainda que sua definição esteja condizente com àquela prevista na LGPD – qual seja de uma “manifestação livre, informada, prévia e inequívoca de vontade, feita por meio eletrônico, pela qual o cliente concorda com o compartilhamento de dados ou de serviços para finalidades determinadas” – o Open Banking inovou ao estabelecer requisitos de validade mais rígidos se comparados àqueles previstos na lei.
Em síntese, tanto para LGPD, quanto para resolução, o consentimento é a ciência inequívoca do titular de dados sobre a finalidade do tratamento de seus dados pessoais, podendo o titular discordar deste tratamento. O controlador possui o dever de informar ao titular de dados as possíveis consequências do não fornecimento de seus dados.
O consentimento livre, informado, prévio, deverá ser obtido através de linguagem clara e referir-se a finalidades pré-determinadas, sendo vedada a sua obtenção mediante contrato de adesão, por meio de formulário com opção de aceite previamente preenchido e de forma presumida (art. 10, §3º da Resolução)5.
Ademais, a Resolução prevê que as instituições participantes deverão detalhar todas as informações ao cliente no momento da obtenção do consentimento (art.10, §1º), assim como pontuar quais explanações serão prestadas no ato do compartilhamento (art.14), a fim de que o cliente se sinta plenamente seguro ao dar o seu consentimento.
Em outras palavras, caberão às instituições participantes viabilizarem o acesso ao cliente, de modo a garantir que este seja informado sobre quais dados serão coletados, como serão tratados, suas finalidades e ainda, qual o período de compartilhamento.
A respeito disso, o Open Banking traz novas obrigações com relação aquelas já estabelecidas pela LGPD, pois estipula um limite temporal para à validade do consentimento, qual seja, 12 (doze) meses, com exceção dos serviços de iniciação de pagamento, os quais preveem como limite a data de encerramento das transações, mas também determina que as instituições notifiquem o cliente acerca de qualquer alteração da finalidade para tratamento dos dados, devendo, assim, obter novo consentimento (art. 8º, §6º).
Nesse aspecto, é oportuno esclarecer que a Resolução prevê a possibilidade de o cliente revogar o seu consentimento, a qualquer tempo, mediante à sua própria solicitação, através de um procedimento seguro e conveniente, em conformidade com os termos da Lei Geral de Proteção de Dados, consoante disciplina o art. 15 da Resolução.6
Outrossim, no §3º do aludido dispositivo, a Resolução estabelece os prazos de atendimento do pedido de revogação, do seguinte modo: (i) até um dia para os serviços de iniciação de pagamento e (ii) de forma imediata para os demais casos.
Há que se destacar que a ANPD (Autoridade Nacional de Proteção de Dados), recentemente criada, deverá se manifestar e regular sobre algumas lacunas existentes na LGPD, fornecendo diretrizes quanto ao uso do consentimento como base legal para o compartilhamento de dados no Open Banking. Dentre essas lacunas, encontra-se a questão dos prazos para atendimento dos pedidos de revogação.
A partir desta análise, verifica-se que a Resolução está em conformidade com os termos da LGPD, em especial, no tocante aos requisitos do consentimento, pois impõe às instituições uma série de obrigações até mais rígidas do que a própria legislação, assegurando ao cliente um ambiente protegido que lhe proporcione a melhor segurança para dar o seu consentimento.
_____
I - Open Banking: compartilhamento padronizado de dados e serviços por meio de abertura e integração de sistemas;
2- Tradução: Interfaces de programação de aplicativos.
3- Exposição de motivos da Circular 4.032/2020 do Banco Central. Disponível aqui. Acesso em 20 de janeiro de 2021.
4- Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
I - mediante o fornecimento de consentimento pelo titular;
5- Art. 10. A instituição receptora de dados ou iniciadora de transação de pagamento, previamente ao compartilhamento de que trata esta Resolução Conjunta, deve identificar o cliente e obter o seu consentimento.
§ 3º É vedado obter o consentimento do cliente:
I - por meio de contrato de adesão;
II - por meio de formulário com opção de aceite previamente preenchida; ou
III - de forma presumida, sem manifestação ativa pelo cliente.
6- Art. 15. As instituições participantes envolvidas no compartilhamento de dados ou serviços devem assegurar a possibilidade da revogação do respectivo consentimento, a qualquer tempo, mediante solicitação do cliente, por meio de procedimento seguro, ágil, preciso e conveniente, observado o disposto na legislação e regulamentação em vigor.