Opinião

O iminente desafio das instituições financeiras na proteção de dados - Tamiris Guidugli e Maurício FIgueiredo

Tamiris Guidugli e Maurício Figueiredo*

O cliente é o dono dos seus dados, não o banco. Essa é a proposta do Open Banking, responsável por permitir que o usuário seja o protagonista no controle e permissão do acesso das instituições financeiras às suas informações pessoais. Na mesma onda do PIX e do incentivo à competitividade no sistema financeiro presentes na agenda do Banco Central, o modelo de Open Banking busca ampliar as ofertas de produtos e serviços bancários por menores custos. Entretanto, o grande desafio será criar os meios adequados para a coleta e a gestão do consentimento para o tratamento de dados pessoais.

O Open Baking é o caminho para ampliar as ofertas de produtos e serviços bancários por menores custos, criando uma espécie de competição mais saudável entre os bancões e as fintechs. Mas, neste cenário, o grande desafio será criar os processos adequados para a coleta e gestão do consentimento do cliente para participar deste novo modelo, assim como do tratamento desses dados pessoais, considerando a LGPD (Lei Geral de Proteção de Dados).

Neste modelo ditado pelo Banco Central, as instituições financeiras classificadas como S1, ou seja, aquelas que possuem porte igual ou superior a 10% do PIB ou que tenham atividade internacional relevante, e S2, instituições de porte entre 1% e 10% do PIB, serão obrigadas a participar do Open Banking. Assim, os grandes bancos atuantes no Brasil terão participação compulsória, desde que o cliente autorize o compartilhamento dos dados. Já as demais instituições, como empresas de pagamento e fintechs, terão participação voluntária e deverão também compartilhar os dados de seus clientes para os seus concorrentes.

Tal cenário favorece uma prática fundamental do Open Banking: a reciprocidade, considerando que todas as empresas aderentes terão o direito de receber dados de seus concorrentes e o dever de compartilhá-los, desde que haja consentimento dos clientes. Como resultado, há a ampliação da livre concorrência e favorecimento do maior interessado, o consumidor, que terá em suas mãos a escolha acerca do compartilhamento dos seus dados, que será digital e realizado dentro de um ambiente seguro e supervisionado pelo Banco Central.

O processo estará de acordo com a LGPD, seguindo um fluxo padrão de consentimento pelo cliente semelhante ao do acesso à instituição por meio do aplicativo ou internet banking via reconhecimento facial, biometria ou senha.

Em termos práticos, a ideia é a seguinte: se o cliente quiser que o banco A, no qual tem conta, compartilhe os dados dele com a fintech B, deverá solicitar o compartilhamento ao B, que avisará o A sobre a solicitação. Feito isso, o banco confirmará com o cliente se ele realmente solicitou a liberação e coletará seu consentimento para realizar sua transmissão.

Pelo fato de o Open Banking ter como premissa o consentimento, uma das bases legais da LGPD, o cliente poderá a qualquer momento permitir o compartilhamento via autorização, assim como revogá-lo. Vale ressaltar que essa aceitação é específica, ou seja, o cliente está permitindo apenas que determinados dados sejam partilhados com um banco terceiro, não sendo aplicável de forma geral a todos os dados ou a todas as instituições. Para compartilhar essas informações com uma outra instituição, será necessário a coleta de um novo consentimento do titular. Isso significa que as instituições recebedoras dos dados terão o papel de controladoras perante à LGPD.

Desse modo, a determinada instituição deverá controlar de forma transparente o processo de armazenamento deste dado, além de possuir um atendimento eficaz e prático para titulares que revogaram o seu consentimento ou solicitaram eventuais esclarecimentos acerca do tratamento de suas informações. A utilização de sistemas CRM (Customer Relationship Management), entre outras ferramentas de gestão, poderá facilitar a execução desse novo processo.

A criação de registros que indiquem a forma de coleta destes dados pessoais e onde estão armazenados é uma obrigação legal que reflete a importância da transparência da instituição financeira. A empresa também deverá ter uma política de retenção de informações que observe os requisitos legais para guardá-los. Nesse caso, o consentimento será a base legal para justificar a retenção de determinado dado até sua revogação ou expiração.

Assim, o tratamento de dados pessoais será um critério essencial a ser levado em consideração por uma instituição financeira ao aderir ao Open Banking. Novos processos e demandas serão criadas junto com essa inovação do mercado bancário, assim como o desenvolvimento de soluções que deverão acompanhar o respeito à privacidade e à proteção de dados pessoais.

*Consultores na área de Data Privacy da ICTS Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação e proteção e privacidade de dados.