Open banking e LGPD: maior concorrência e transparência no mercado de consumo

20/10/2021

O open banking, de tradução simples "sistema financeiro aberto", foi instituído no Brasil pela Resolução Conjunta nº 1, do Banco Central e Conselho Monetário Nacional [1]. A sua ideia é compartilhar de forma padronizada os dados e serviços do sistema financeiro brasileiro [2], através de abertura e integração de sistemas. É dizer que os dados relacionados às transações financeiras, tais como empréstimos, financiamentos, pagamentos realizados, produtos financeiros adquiridos ao longo da vida relacional com uma determinada instituição financeira, que sempre foram de propriedade da respectiva instituição, passam por uma mudança integral de titularidade, que explicaremos a seguir.

Entender a mudança de titularidade integral dos dados financeiros é um exercício que requer, primeiro, considerar que uma pessoa, seja natural ou jurídica, que abre uma conta em um banco no Brasil atual, autoriza esse banco a ser o detentor dos seus dados bancários e, portanto, também o seu proprietário — pois, caso precise, por exemplo, contrair um empréstimo com outra instituição financeira e esta, para uma análise mais assertiva do risco daquela operação de crédito, solicitar o histórico sobre a vida financeira dessa pessoa, o banco poderá negar e não conceder esse acesso — e, por isso, falar, inicialmente, em titularidade mitigada dos dados financeiros [3].

Com o open banking, há uma maior possibilidade de compartilhamento de dados [4]. Esses dados poderão ser compartilhados, à escolha do consumidor — e aqui já visualizamos a titularidade integral dos dados, já que o consumidor pode decidir sobre o uso e gozo de seus dados financeiros — através de tecnologia de integração de sistemas, as APIs (application programming interface).

O uso de API não é uma novidade no mercado financeiro, cada vez mais afeito às tecnologias e à chamada 4ª Revolução Industrial, baseada na transformação digital e no uso dos dados como moeda principal dos novos negócios. O conceito de negociação de produtos e serviços financeiros, antes restritos aos grandes bancos, que eram os detentores dos históricos financeiros de seus clientes (a definir um score por conta do dito "relacionamento" com o banco), hoje se afigura evoluído. Não significa extinção dos bancos e existência apenas das fintechs, mas, sim, um novo modus de agir neste atual mercado de consumo [5].

A União Europeia foi palco das tratativas iniciais acerca do open banking e também da proteção de dados, com a vigência da Diretiva Europeia de Serviços de Pagamento (Payment Services Revised Directive — PSD2) e do Regulamento Geral sobre Proteção de Dados (General Data Protection Regulation — GDPR), iniciados no primeiro semestre de 2018. Ambas as legislações defendem a titularidade do indivíduo sobre os seus dados pessoais, cabendo a estes as definições sobre o seu compartilhamento [6].

No Brasil, tem-se esse modelo que conta com: a) a edição de normativos por parte do Banco Central; e b) a celebração de convenção através da colaboração das instituições participantes, mediante aprovação do regulador, a fim de definir aspectos necessários para a implementação, tais como os padrões tecnológicos e os procedimentos operacionais para este consumidor hipervulnerável [7].

É fato que as empresas tem o poder da informação e do controle dos dados pessoais de seu público, mas agora com autodeterminação informativa e esse viés, de que a titularidade dos dados pessoais pertence ao consumidor, acredita-se que haja proveito para estes também [8]. Aqui, como nos ensina o professor português Jorge Morais Carvalho, a influência dos big data (metadados) na contratação dos serviços financeiros tende a personalizar os próprios bens e serviços, possibilitando, por exemplo, a análise de risco individualizada que trará como consequência limites ou precificações diferenciadas para o acesso a determinados bens e ser serviços [9].

A fim de estabelecer uma adequação do mercado e atendimento à garantia do equilíbrio econômico dos players, o Banco Central entendeu por inserir o open banking de maneira faseada, em quatro momentos, sendo que dois deles já foram iniciados [10].

Alfin, existem algumas distinções relevantes entre as legislações ora apresentadas, que merecem ser pontuadas, tais como o fato de que a Lei Geral de Proteção de Dados (LGPD) protege apenas o tratamento de dados de pessoas naturais, enquanto que a implementação do open banking abrange os dados de pessoas naturais e também de pessoas jurídicas. Além disso, o consentimento, na LGPD, diz respeito a uma "manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada". Já, no âmbito do open banking, tem-se ainda que deve ser prévio; expresso, sendo vedada a sua obtenção por meio de contrato de adesão, de formulário com aceite previamente preenchido ou de forma presumida; necessariamente feito por meio eletrônico; com validade limitada a 12 meses; e, que através dele o cliente concorda não somente com o compartilhamento de dados, mas também de serviços para finalidades determinadas.

A resolução conjunta define que a instituição receptora de dados ou iniciadora de transação de pagamento deve obter o consentimento, ao passo que a LGPD prevê que o consentimento deverá ser obtido pelo controlador. Acredita-se, assim, na necessidade de um duplo consentimento, de modo que o controlador, instituição transmissora de dados, deve solicitar o consentimento para compartilhamento de dados pessoais, nos termos do artigo 7º da LGPD; o que deve ser seguido por uma solicitação de consentimento, autenticação e confirmação deste compartilhamento da instituição receptora de dados e da instituição iniciadora de transação de pagamento, consoante artigo 10 da resolução conjunta.

Vê-se assertivamente o posicionamento do regulador ao estabelecer a necessidade das etapas de consentimento, autenticação e confirmação, haja vista que eles alcançam os planos previstos na clássica "escada ponteana" [11]. Desse modo, tem-se que: a) o consentimento compreende a manifestação de vontade do titular dos dados, compreendendo o pressuposto mínimo para que o compartilhamento de dados aconteça e preenchendo assim o plano da existência; b) a autenticação qualifica o titular dos dados e valida a segurança da transação, preenchendo assim o plano da validade; e, por fim, c) a confirmação do conteúdo de compartilhamento estabelece a relação entre as partes firmando os direitos e deveres, preenchendo assim o plano da eficácia.

O compartilhamento padronizado de dados e serviços do sistema financeiro brasileiro, garante agilidade e segurança no compartilhamento de dados e permite a abertura e integração de sistemas, através de tecnologia APIs. A LGPD viabiliza uma maior segurança da informação, além de que estabelece novos direitos e deveres, a exemplo da titularidade dos dados pessoais ao consumidor que assume; enquanto o open banking decorre de uma regulamentação híbrida, com normativos do Banco Central e outros decorrentes de uma autorregulamentação assistida; e apresentando especificidades ao consentimento e à aplicação da LGPD no âmbito do sistema financeiro e de pagamentos.

A inclusão digital, como motriz da nossa sociedade, é uma forma não apenas de apresentação do mundo tecnológico à população, mas também de inserção no novo mercado que exsurge em tempos hodiernos [12].

O open banking é um projeto que visa tanto a maior escalabilidade e eficiência econômica do negócio quanto a conferir maiores possibilidades e controle ao consumidor; que, em razão de sua complexidade, está sendo inserido de maneira faseada; e que requer a interação articulada do Banco Central com a ANPD e o Sistema Nacional de Defesa do Consumidor para garantir a eficiência dessa implantação, em um harmonioso diálogo das fontes [13], assegurando o respeito à autonomia das vontades, sem olvidar da legislação vigente no Brasil.

[1] Resolução Conjunta nº 1, do Banco Central e Conselho Monetário Nacional. Disponível em: <https://www.in.gov.br/en/web/dou/-/resolucao-conjunta-n-1-de-4-de-maio-de-2020-255165055>. Acesso em 10 out. 2021. A partir deste momento, neste texto, será abreviada para Resolução Conjunta.

[2] Aqui, apesar da terminologia mais intuitiva ser "sistema bancário", é utilizado o termo "sistema financeiro", vez que não estamos tratando apenas de serviços e dados constantes nos bancos brasileiros, como também relacionados a instituições de pagamento e outras instituições autorizadas a funcionar, neste âmbito, pelo Banco Central do Brasil.

[3] Uma vez que o consumidor, cliente do banco em questão, não detém a titularidade integral dos dados, já que não pode fazer o que bem entender com eles, ficando restrito à manifestação de vontade do banco, ora titular destas informações.

[4] Há a possibilidade de compartilhamento de dados sobre canais de atendimento relacionados com dependências próprias, correspondentes aqui no Brasil, canais eletrônicos e demais canais disponíveis aos clientes, produtos e serviços e transações de clientes, relacionados com: contas de depósito e de poupança, contas de pagamento pré-pagas e pós-pagas, operações de crédito e de câmbio, serviços de credenciamento em arranjos de pagamento (maquininhas de cartão), contas de depósito a prazo e outros produtos com natureza de investimento, seguros e previdência complementar aberta, bem como de serviços de iniciação de transação de pagamento e de encaminhamento de proposta de operação de crédito. Estes e outros mais previstos no artigo 5º da Res. Conjunta nº 1, do Bacen e CMN.

[5] Neste sentido, Nydia Remolina aduz "It is undeniable the digital transformation trend that is affecting all types on industries too and it will re-shape the financial services. Even though, the use of APIs is nothing new in the financial sector, now many banks have realized that digital is about services, not about digital features and data-driven finance is a very important component in this shift on the views of what the financial sector is. Accordingly, banks will not disappear, but the way this industry conceives business will change thanks to open banking." (REMOLINA, Nydia. Open banking: regulatory challenges for a new form of financial intermediation in a data-driven world. Disponível em: <https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3475019>. Acesso em 10 out. 2021)

[6] DELOITTE. PSD2 and GDPR: friends or foes? Disponível em: <https://www2.deloitte.com/lu/en/pages/banking-and-securities/articles/psd2-gdpr-friends-or-foes.html>. Acesso em 11/10/2021.

[7] Aqui fala-se em "hipervulnerabilidade", considerando a dinâmica atual deste mercado de consumo envolto de mecanismos tecnológicos e virtuais e para melhor entendimento a Prof. Cláudia Lima Marques trouxe esta terminologia, aceita na doutrina e consolidada na jurisprudência do Superior Tribunal de Justiça (STJ), como uma escada de gradação da vulnerabilidade, própria do consumidor. Mais em: MARQUES, Cláudia Lima e MIRAGEM, Bruno. O novo direito privado e a proteção dos vulneráveis. 2. ed. rev. atual. e ampl. São Paulo: Revista dos Tribunais, 2014, p. 197.

[8] ALVES, Branca. WANDERLEY, Thiago. O direito do consumidor e a proteção de dados pessoais. In: LAMACHIA, Claudio. MIRANDA, Marié. MARQUES, Cláudia Lima (org.). Estudos de direito do consumidor. Brasília: OAB, Conselho Federal, 2018.

[9] CARVALHO, Jorge Morais. Manual de direito do consumo. 5. ed. Coimbra: Almedina, 2018, p. 46.

[10] Mais detalhes no site do Banco Central dedicado ao open banking. Disponível em: <https://www.bcb.gov.br/estabilidadefinanceira/openbanking>. Acesso em 10 out. 2021.

[11] Planos de existência, de validade e de eficácia. Ler mais em TARTUCE, Flávio. Direito civil: lei de introdução e parte geral. 13. ed. rev. atual. e ampl. Rio de Janeiro: Forense, 2017, p. 370.

[12] BEZERRA, Lindojon. A Abusividade do Bloqueio do Serviço de Internet Banda Larga Fixa no Brasil. Revista Brasileira de Direito do Consumidor 108, São Paulo, nov.-dez. 2016.

[13] Sobre o tema Diálogo das Fontes, ver mais em MARQUES, Cláudia Lima (coord.). Diálogo das fontes: do conflito à coordenação de normas do direito brasileiro. São Paulo: Revista dos Tribunais, 2012.

Fonte: Conjur