O avanço do Open Banking, o compartilhamento de dados e a LGPD: como fica esse fluxo na prática?
Autora: Maísa Beatriz A. Evangelista
O Open Banking é um conjunto de regras e tecnologias que vai permitir o compartilhamento de dados e serviços de clientes entre instituições financeiras por meio da integração de seus respectivos sistemas, mediante o consentimento do próprio cliente. Um conceito que parece simples e centrado no cliente – e realmente é –, mas que demanda, na prática, muita adequação dos players envolvidos.
De acordo com a Resolução 1/20 do Banco Central (que dispõe sobre a implementação do Open Banking), esse compartilhamento de dados vai depender, exclusivamente, do consentimento do cliente. Ou seja: se um cliente do Banco A desejar compartilhar todos os seus dados, histórico de transações e até de crédito com o Banco (ou com a fintech) B, coletado o consentimento válido do cliente pelas instituições, o Banco A deverá realizar o envio dos dados conforme solicitado.
Ora, se o compartilhamento se der mediante autorização do cliente, haverá uma atividade de tratamento de dados pessoais fundada no consentimento, base legal prevista no art. 7º, I da Lei Geral de Proteção de Dados (LGPD), e que deve, portanto, ser realizada em conformidade com os conceitos da Lei e da própria Resolução 1/20. Para aqueles que já conhecem a letra da LGPD, surge um sinal de alerta na execução dessa prática: como obter e gerir os consentimentos desses clientes de maneira legítima sem engessar – ou até mesmo impossibilitar – a operação?
A LGPD determina que o consentimento do titular – neste caso, o cliente da instituição – deve ser obtido por escrito ou por outro meio que demonstre sua vontade. A Resolução n. 1/20, em complemento ao que prevê a LGPD, afirma que o consentimento não pode ser obtido por meio de contrato de adesão, formulário pré-preenchido ou de forma presumida. Parece até simples obter uma assinatura individual escrita autorizando o compartilhamento de seus dados, certo? Agora multiplique essa contagem por milhares, ou até mesmo milhões, de clientes… o cenário muda completamente.
Além disso, a LGPD determina que é obrigação da instituição controlar e gerir toda a legalidade, manutenção, armazenamento, pedidos de esclarecimentos e até mesmo as revogações dos consentimentos coletados: os titulares de dados pessoais têm, pela LGPD, a prerrogativa de exercer diversos direitos sobre os seus dados, requisitando informações, esclarecimentos, acesso e até mesmo pedindo a revogação do consentimento anteriormente concedido.
O desafio é, portanto, operacionalizar na prática – sistemicamente e de maneira orgânica – todos os conceitos e determinações dessa integração de legislações e regulações sobre o assunto. A contratação de sistemas de integração, como CRMs, e outras APIs (Application Programming Interface) será de extrema importância para possibilitar que esse fluxo aconteça de modo harmônico e independente de mão de obra e esforço humanos.
A comunicação entre plataformas, sistemas e banco de dados é pressuposto essencial de participação no sistema Open Banking, e todas as tecnologias que estão por trás dessas APIs, por exemplo, deverão funcionar para que o cliente consiga navegar entre as diversas opções de instituição existentes de maneira segura e livre – ou quase – de fraudes.
O próprio Banco Central publicou um manual específico para divulgar as especificações das APIs necessárias para operacionalizar os serviços no escopo do Open Banking, estabelecendo padrões de desenvolvimento de APIs, contemplando o seu desenho e versionamento, protocolos de transmissão e os requisitos mínimos de disponibilidade. Pode-se afirmar, então, que a API implementada pela instituição participante deve ser simples, padronizada, moderna e, principalmente, segura. A adoção de alguns mecanismos de proteção facilita essa aderência e segurança, como por exemplo, a utilização de tokens de validação e criptografia nas transações.
Cabe aos aderentes do sistema Open Banking o cuidado na adoção de medidas técnicas adequadas para a contratação de tecnologias suficientes para a operacionalização desse fluxo, sem deixar de lado, é claro, as obrigações e diretrizes trazidas pela LGPD e pela própria Resolução 1/20, que colocam, no centro de todo esse processo, a vontade do cliente.
Maisa Beatriz Antoniazi Evangelista (OAB/PR 69511) é advogada Cível no Martinelli Advogados.
