O Banco Central do Brasil (“BACEN”) e o Conselho Monetário Nacional (“CMN”) deram início, no dia 4 de maio, ao programa de implementação do Sistema Financeiro Aberto (“Open Banking”), por meio da Resolução Conjunta nº 01 (“Resolução”) e da Circular nº 4.105 (“Circular”), que entrarão em vigor em 01 de junho 2020.

Nos últimos anos, o tema do Open Banking tem-se destacado mundialmente no contexto das inovações tecnológicas aplicadas ao sistema financeiro e, por consequência, tem despertado o interesse das instituições financeiras, dos acadêmicos, consumidores, órgãos reguladores e supervisores de diferentes jurisdições. O sistema financeiro aberto já é uma realidade, por exemplo, em diversos países do mundo – o Reino Unido já possui um modelo de Open Banking implementado; Estados Unidos e Japão já iniciaram o caminho para esse novo formato.

Alinhado ao contexto global, o programa de implementação do Open Banking no Brasil pelo BACEN leva em consideração os seguintes fatores: (i) uso cada vez mais intensivo e inteligente de dados granulares por diversos setores da economia; (ii) incentivo às inovações tecnológicas, que trazem mudanças rápidas e de forma constante ao sistema financeiro nacional; (iii) demanda da sociedade por um maior empoderamento de suas informações; e (iv) entrada de novos players no mercado, tais como as fintechs, aumentando a competitividade, sustentabilidade e eficiência do mercado financeiro.

Com o Open Banking, o consumidor financeiro pode consentir com o compartilhamento padronizado de seus dados por meio de abertura e integração de sistemas de instituições financeiras e de pagamento, caso entenda que exista algum benefício com esse compartilhamento. Trata-se, no fundo, de um projeto centrado no consumidor, no princípio de que o consumidor é o proprietário dos seus dados pessoais e que a ele cabe escolher o que fazer com esses dados, na busca de serviços melhores e mais baratos.

De acordo com a regulamentação, a disciplina do Open Banking passará por 4 grandes fases de implementação no Brasil, sendo a primeira finalizada até o dia 30 de novembro de 2020 e a última até 25 de outubro de 2021:

  • Fase I: acesso ao público a dados de instituições participantes do Open Banking sobre canais de atendimento e produtos e serviços relacionados com contas de depósito à vista ou de poupança, contas de pagamento ou operações de crédito;
  • Fase II: compartilhamento entre instituições participantes de informações de cadastro de clientes e de representantes, bem como de dados de transações dos clientes acerca dos produtos e serviços relacionados na Fase I;
  • Fase III: compartilhamento do serviço de iniciação de transação de pagamento entre instituições participantes, bem como do serviço de encaminhamento de proposta de operação crédito entre instituição financeiras e correspondentes no país eventualmente contratados para essa finalidade; e
  • Fase IV: expansão do escopo de dados para abranger, entre outros, operações de câmbio, investimentos, seguros e previdência complementar aberta, tanto no que diz respeito aos dados acessíveis ao público quanto aos dados de transações compartilhados entre instituições participantes.

Uma vez terminada a implementação, o Open Banking irá representar uma completa abertura e compartilhamento, de modo padronizado, de dados e serviços entre instituições financeiras, instituições de pagamento e demais instituições autorizadas pelo BACEN, representando um grande marco no sistema financeiro brasileiro. Talvez a maior revolução que o mercado bancário já presenciou nas últimas décadas.

A partir do intercâmbio de informações e serviços, será permitido às instituições, que atuam no mesmo mercado, a promoção de atividades, produtos e serviços que venham a competir pelos clientes. A intenção do programa é, a partir do estímulo a essa competição, alcançar a diminuição de custos ao consumidor, assim como o aumento da eficiência dos prestadores de serviço. Assim, na medida em que uma instituição, de atuação concorrente, tenha, por exemplo, acesso ao fato de determinado cliente ter recorrido ao empréstimo do cheque especial, essa instituição poderá então fornecer condições mais favoráveis ao consumidor. E esse cenário tende a promover uma maior inclusão da sociedade no sistema financeiro.

Adicionalmente, o Open Banking permitirá a propagação de novos modelos de negócio para o sistema financeiro ao proporcionar, sobretudo, a customização dos seus serviços em relação aos seus clientes, a partir de uma plataforma integrada. Novos exemplos de negócios podem incluir comparadores de produtos e serviços financeiros, serviços de aconselhamento financeiro, gestão financeira e iniciação de transação de pagamento em um ambiente mais familiar e conveniente para os consumidores.

Importante ressaltar que o compartilhamento de dados, inclusive pessoais, dos clientes das instituições, que venham a participar do sistema de Open Banking no Brasil, é um dos pilares desse modelo, em linha com a Lei 13.709/2018 (Lei Geral de Proteção de Dados Pessoais, “LGPD”). Essencial dizer que a estruturação de práticas de governança, a respeito de segurança e prevenção de violações de dados pessoais, é fortemente encorajada pela LGPD, não só por prevê-las como princípios ao longo do documento, como também por servir como meios de prova de que os agentes tomaram todas as medidas tecnológicas relevantes, disponíveis e razoáveis, sob a pena de responderem por tratamentos em desacordo com a LGPD.

Primeiramente, é fundamental observar que o conceito de cliente para a Resolução emitida pelo BACEN engloba não só pessoas físicas como também pessoas jurídicas. Diante disso, é importante ressaltar que nem todo dado que circulará no Open Banking será dado pessoal, pelo menos não para os fins da LGPD, que outorga a sua proteção apenas às informações relacionadas a pessoas naturais. Além disso, o texto da Resolução deixa ainda mais clara a essencialidade dos dados pessoais em relação ao sistema financeiro aberto, ao prever os princípios que o regerão: transparência; segurança e privacidade dos dados; qualidade dos dados; tratamento não discriminatório; reciprocidade e interoperabilidade. Os quatro primeiros estão textualmente presentes no art. 6º da LGPD. São, portanto, princípios inafastáveis da proteção de dados pessoais no Brasil.

  • No caso da transparência, a precisão e a clareza, assim como a facilidade de acesso ao que é realizado com os seus dados pessoas, são bases para que o Open Banking seja operável. Sem tais garantias aos consumidores, ficam impossibilitadas a customização e o poder de escolha outorgado aos clientes, que são inerentes ao sistema aberto, único e integrado do Open Banking, frustrando totalmente o seu propósito.
  • A respeito da segurança e da privacidade, a Resolução, assim como a LGPD, são enfáticas: a privacidade só se efetiva a partir da garantia de segurança da informação. Se houver qualquer divulgação ou publicização dos dados, a privacidade é corrompida, na medida que os direitos individuais dos titulares dos dados vazados são infringidos. No ambiente do Open Banking, o fluxo de dados pessoais será gigantesco: milhões de dados acessíveis entre diversas instituições. O risco é potencialmente alto, por isso a estruturação operacional desse sistema é tão fundamental e, ao mesmo tempo, tão complexa. Exigirá uma troca profunda e incessante de conhecimento de cibersegurança, mesmo, e principalmente, após a sua integral implementação em 2021.
  • A qualidade dos dados – da mesma forma que a transparência – não pode ser negada ao ambiente do sistema financeiro aberto. No caso da qualidade, o interesse é maior para os entes que participam desse sistema do que para os clientes propriamente ditos, pois, caso qualquer das instituições venha negar acesso à totalidade dos dados, ou a dados desatualizados, haverá a redução significativa da efetividade do modelo de Open Banking tal como concebido pelas autoridades financeiras nacionais.
  • O princípio do tratamento não discriminatório é afeito diretamente ao titular dos dados pessoais, como instrumento de diversos fundamentos da disciplina da proteção de dados no Brasil, e que vão normatizar também o regime do sistema financeiro. A não discriminação é tão relevante à disciplina da LGPD, que outorga ao titular o poder de solicitar a revisão de decisões tomadas unicamente em tratamento automatizado, especialmente aquelas destinadas a fazer seu profiling de consumo e de crédito, que serão, inevitavelmente, um mote a ser seguido por todas as instituições que participem do sistema de Open Banking no Brasil.

Adicionalmente, nota-se que, ainda no âmbito da LGPD, a proposta de o Open Banking colocar o usuário dos serviços bancários como titular e dono dos seus dados, escolhendo o que fazer com eles, é um sintoma claro da autodeterminação informativa, que vem na raiz de todo o processo de fortalecimento da privacidade e da proteção de dados, a partir do elevado grau de reconhecimento dos direitos humanos ao redor do mundo.

Outro ponto de bastante relevância, tanto na LGPD quanto na Resolução, é a necessidade de consentimento para o tratamento de dados pessoais de clientes no âmbito e para os fins do Open Banking, qualificada na Resolução como “manifestação livre, informada, prévia e inequívoca de vontade, feita por meio eletrônico, pela qual o cliente concorda com o compartilhamento de dados ou de serviços para finalidades determinadas.” Dessa forma, o ingresso no Open Banking é facultativo ao consumidor. Ele só entra se concordar – por isso a manifestação ser necessariamente prévia – e, no caso, consentir com o tratamento dos seus dados pessoais para os respectivos fins, que devem, necessariamente, serem detalhados, conforme requer a LGPD.

A Resolução detalha bastante a necessidade do consentimento, com dispositivos extremamente alinhados às diretrizes da LGPD, inclusive em relação às formas, meio e prazos pertinentes à revogação do consentimento e seus efeitos, servindo, portanto, como inspiração para que outras regulações já nasçam compliant com a legislação de proteção de dados pessoais nacional. A própria LGPD prevê expressamente o princípio do privacy by design – atrelado diretamente à ideia de nascer adequado a essa legislação –, pelo qual as medidas de garantia de segurança e sigilo dos dados devem ser observadas desde a concepção do produto ou do serviço. Se os desenvolvedores do mercado devem respeitar esse princípio, por que os reguladores nacionais também não o deveriam seguir?

Não obstante essa escolha pelo consentimento traçada pelo BACEN, que impõe o risco da revogação, já devidamente considerado na Resolução, é importante frisar que as instituições financeiras, quando atuando fora do ambiente do Open Banking, poderão continuar se socorrendo das demais bases legais constantes da LGPD. Nesse sentido, se destaca a possibilidade do tratamento de dados pessoais ser realizado para a proteção do crédito e o uso de dados sensíveis – em geral biométricos – para prevenir fraudes e para garantir a segurança do próprio titular, nos comuns procedimentos de autenticação utilizados pelos bancos.

A Resolução institui, ainda, a figura do “parceiro contratado”, que pode ser, justamente, contratado pelas instituições participantes do Open Banking, com o objetivo de compartilhar dados e serviços objeto desse sistema. Contudo, parece que a figura do operador constante na LGPD, como sendo aquele que realiza tratamento em nome do controlador, não é a mesma prevista na Resolução. Essa constatação precisa ser melhor analisada à luz da Lei Geral de Proteção de Dados Pessoais – e não apenas da normativa do BACEN e do CMN –, já que tanto instituição como parceiro contratado realizarão tratamentos de dados e podem, nesta medida, serem entendidos como co-controladores, e, portanto, responsáveis solidários. Seguindo o exposto na Resolução, é da instituição participante, na qualidade de controladora dos dados pessoais, a responsabilidade perante os titulares em relação à confiabilidade, integridade, disponibilidade, segurança e sigilo desses dados, assim como quanto à legislação em vigor, notadamente a LGPD. Nesse ponto, LGPD e Resolução caminham juntas.

Outro aspecto importante demonstrado pela publicação da Resolução é a presença de mais um órgão que exercerá suas correspondentes fiscalização e sanção individualmente, com base na LGPD e nos guidances da Autoridade Nacional de Proteção de Dados, ainda não criada no Brasil. Além dos já incorporados inquéritos e investigações constantemente abertas no âmbito do Ministério Público e das Secretarias Nacionais e Estaduais do Consumidor, a proteção de dados ganha mais força no mercado brasileiro, exigindo ainda mais atenção pelos players desse novo sistema.

É notório o fato de que o Open Banking representa a demonstração do reconhecimento, por parte do Governo Federal, da relevância da legislação de proteção de dados no país. Reconhece, sobretudo, que ela já faz parte da regulação nacional, tendo que ser considerada desde já por todos aqueles que atuam empresarialmente no Brasil. A postergação constante da entrada em vigor da LGPD desprestigia o país frente ao mundo, impedindo não só a valorização e o fortalecimento comercial a partir da entrada da OCDE (Organização para Cooperação e Desenvolvimento Econômico) – que exige uma legislação em vigor para o ingresso como membro – mas também a inovação, pois diversas empresas estrangeiras deixam de fomentar novos negócios no país, por não encontrarem aqui um ambiente regulatoriamente seguro para implementar suas atividades.