Por João Fernando A. Nascimento* e Carolina Schefer**, sócio e advogada sênior do CSMV Advogados***
O Banco Central do Brasil iniciou a implantação do Open Banking no Brasil, ao publicar em 28.11.2019, o Edital de Consulta Pública nº. 73/2019. Nos termos do referido Edital, os interessados poderão encaminhar sugestões e comentários à minuta do normativo até 31.1.2020.
Os principais objetivos contemplados na minuta de regulamentação proposta são: incentivar a inovação, aumentar a eficiência (entenda-se, redução de custos ao consumidor final) no mercado de crédito e de pagamentos, promovendo aumento na competitividade e maior inclusão financeira. O compartilhamento de dados será de início, opcional para as instituições autorizadas, com exceção feita àquelas participantes dos conglomerados prudenciais S1 (composto apenas pelos bancos múltiplos, bancos comerciais, bancos de investimento, bancos de câmbio e caixas econômicas com porte igual ou superior a 10% do PIB) e S2 (considera as mesmas instituições do segmento S1, mas com porte inferior a 10% do PIB e igual ou superior a 1% do PIB). A obrigatoriedade poderá ser estendida às demais instituições (instituições financeiras de outros segmentos prudenciais e demais instituições autorizadas).
Deverá ser compartilhada uma ampla gama de dados relativos ao cliente, desde informações cadastrais, dados relativos a contas de depósito e operações de crédito, até mesmo termos e condições contratuais e custos financeiros de produtos. Num primeiro momento serão compartilhados dados sobre produtos e serviços oferecidos pelas instituições financeiras. Posteriormente serão compartilhados dados cadastrais e de operações financeiras.
A possibilidade de que terceiros participantes do Open banking possam iniciar transações de pagamento também está prevista na minuta da norma. Desse modo, o cliente poderá, por exemplo, permitir que fintechs comandem pagamentos e transferências diretamente nas contas bancárias ou de pagamento detidas por este mesmo cliente em outras instituições.
O Banco Central adotará uma estratégia híbrida para regulamentar o Open Banking quanto à convenção entre participantes. Na minuta de norma proposta, o Banco Central, apesar de ter reservado para si a prerrogativa de estabelecer os requisitos mínimos para implementação do modelo tecnológico e de procedimentos operacionais e regras de governança contidas na minuta da norma, facultou aos participantes acordarem entre si as condições específicas e pradronizações necessárias por meio de uma convenção. De toda forma, o Banco Central terá a palavra final quanto ao conteúdo da convenção elaborada pelos participantes, de modo a garantir o acesso não discriminatório e a representatividade dos segmentos participantes no Open Banking.
Buscando evitar dificuldades experimentadas em outros países, o Banco Central propõe conferir uma boa dose de liberdade para o desenvolvimento das tecnologias que estarão por trás do Ope Banking, em especial no que diz respeito aos procedimentos de segurança e implementação das interfaces (i.e., APIs) que permitirão o fluxo de informações entre os participantes.
O Banco Central estabeleceu ainda as condições mínimas que regerão a contratação, por instituições autorizadas, de terceiros (não autorizados), interessados em prestar serviços que viabilizem o compartilhamento de dados e iniciação de pagamentos. O rationale deste modelo é similar àquele existente nas normas aplicáveis à contratação de correspondentes bancários.
A iniciação de pagamentos, ao ser implementado numa etapa posterior, envolverá, simultaneamente, todas as instituições autorizadas a prestar serviços de pagamento. A implementação ocorrerá de forma coordenada com o lançamento da infraestrutura para pagamentos instantâneos pelo Banco Central.
Compartilhamento de Dados e Alinhamento com a LGPD
A própria definição de Open Banking, prevista no art. 2º, I, da minuta do normativo proposto pelo Banco Central já destaca que a principal característica deste novo modelo é o compartilhamento de dados. Não é possível, portanto, falar em Open Banking sem falar na Lei Geral de Proteção de Dados Pessoais, Lei nº 13.709, de 14 de agosto de 2018.
É importante frisar que a nova regulamentação está alinhada com a LGPD, trazendo entre seus princípios a segurança e privacidade de dados (art. 4º), além de prever expressamente a necessidade de se obter o prévio consentimento do cliente (titular dos dados) para compartilhamento dos dados de cadastro, transações e serviços.
A obrigatoriedade de se obter o consentimento prévio e demais disposições é tratada nos arts. 10 a 15 da minuta de normativo, observando as regras e princípios previstos na LGPD, em especial o de limitar o tratamento de dados a uma finalidade determinada e ao mínimo necessário para alcançar tal finalidade. Por outro lado, diante da obrigatoriedade de o compartilhamento ser feito por meio de interfaces dedicadas, ainda que seja possível, à luz da LGPD, obter o consentimento por meio digital, isso implicará na necessidade das instituições desenvolverem meios técnicos capazes de demonstrar a efetiva manifestação de vontade do titular, livre de vícios de consentimento, lembrando que o opt-out não será mais uma alternativa viável.
A Responsabilidade pelo Compartilhamento e DPO: A LGPD, assim como as demais legislações sobre proteção de dados, tem como uma das principais figuras o Encarregado ou, como é comumente chamado, o DPO ou Data Protection Officer, que é a pessoa física indicada para atuar como canal de comunicação entre o controlador, os titulares dos dados e a autoridade competente. A minuta de normativo proposta pelo Banco Central prevê a obrigatoriedade de designação de um diretor que será responsável pelo compartilhamento nela previsto. Diante das atribuições deste diretor designado, é bastante provável que nas instituições participantes este papel acabe sendo assumido pelo DPO.
Por força do disposto no art. 15 da LGPD, o tratamento de dados pessoais será encerrado quando (a) a finalidade for alcançada; (b) o período de tratamento for encerrado; (c) por solicitação do titular (inclusive na hipótese de revogação do consentimento); e (d) por determinação da autoridade nacional; devendo ser eliminados após o término do tratamento. Novamente, a regulamentação do Open Banking está alinhada à LGPD assegurando ao cliente (titular dos dados) a possibilidade de revogar seu consentimento a qualquer momento. Entretanto, é importante ressaltar que, ainda que encerrado o tratamento, sejam por revogação do consentimento, ou por qualquer outro motivo, as instituições participantes, assim como quaisquer pessoas sujeitas à LGPD, estarão autorizadas a conservar tais dados para fins de cumprimento de obrigações legais ou regulatórias.
O art. 35 da minuta de normativo trata em seu §2º da possibilidade de contratação com terceiros localizados no exterior para compartilhamento internacional de dados. Sempre que os dados compartilhados envolverem dados pessoais, deverão ser respeitadas as regras de transferência internacional de dados previstos na LGPD, restringindo tal compartilhamento a países que apresentem um grau de proteção de dados adequado aos níveis previstos na própria LGPD (art. 33 e 34 da LGPD).
Por fim, percebe-se da análise dos artigos da minuta de normativo que tratam do compartilhamento de dados, que houve claramente uma preocupação do Banco Central de permitir o compartilhamento de dados de clientes entre as instituições participantes, e, ao mesmo tempo, assegurar que os direitos dos titulares dos dados que estão sendo compartilhados sejam devidamente respeitados.
João Fernando A. Nascimento* é o sócio do CSMV Advogados responsável pela área de Direito Bancário e FinTechs. A advogado assessora diversas entidades em temas regulatórios relevantes, como Meios de Pagamento e a regulação do Open Banking pelo Banco Central do Brasil. Tem contribuído para as discussões visando à implementação do Open Banking no Brasil junto aos principais stakeholders envolvidos no tema. Com ampla experiência no setor bancário, foi novamente reconhecido pelo Who’s Who Legal, dessa vez como um dos maiores especialistas em FinTechs da América Latina, ocupando posição de destaque no seleto grupo de Global Elite Thought Leaders. Também atuou como international associate no escritório Hughes Hubbard & Reed LLP e possui o título de LL.M. pela Universidade da Califórnia – Berkeley.
Carolina Cavalcante Schefer** é advogada sênior do CSMV Advogados e possui larga experiência em Propriedade Intelectual, Direito do Entretenimento e Direito Empresarial. Atua há mais de 15 anos assessorando clientes nesta área e, em razão da promulgação da LGDP, Lei Geral de Proteção de Dados Pessoais, participa ativamente nesta área também. Possui Mestrado (LL.M.) em Propriedade Intelectual pela Universidade de Alicante – Espanha, é Pós-Graduada em Direito do Entretenimento e da Comunicação Social pela Escola Superior de Advocacia da OAB/SP, e é também Membro da comissão de Direito da Moda da OAB-SP.
*CSMV Advogados (Carvalho, Sica, Muszkat, Vidigal e Carneiro Advogados) – O Escritório nasceu do desejo de seus sócios de realizar uma advocacia empresarial com qualidade, mas mantendo o envolvimento direto dos sócios na condução dos casos, todos oriundos das mais importantes bancas jurídicas do país. O comprometimento em alcançar os melhores resultados aos seus clientes está enraizado na cultura do CSMV Advogados e o modelo de atuação se mostrou vitorioso. O CSMV Advogados vem registrando expressivo crescimento, resultado também da equipe de advogados altamente qualificada que incorporou ao longo dos últimos anos. A união da expertise do corpo de profissionais, que entrega um trabalho de alto padrão, com um modelo personalíssimo de atendimento fez o Escritório crescer mais de 60% em 2016, um número muito expressivo. A evolução se deu em consequência do maior volume de clientes, atraídos pela excelente relação custo-benefício. Dessa maneira, a equipe teve de ser reforçada também e o número de advogados cresceu em torno de 30% no ano passado. O CSMV está estruturado para ser “full service”, ou seja, atuar nas mais diversas áreas. Mas tem atuação destacada, principalmente, em Contencioso Cível/Consumidor, Empresarial, Imobiliário, Esportes e Entretenimento, Tributário, Planejamento Patrimonial e Sucessões, Trabalhista e Ambiental, para ressaltar apenas as principais. Desta maneira, atende grandes empresas importantes para o desenvolvimento socioeconômico brasileiro e instituições dos mais variados setores, como automotivo, alimentação, esportivo, financeiro, varejo, energia e moda, entre outras áreas. Com forte foco na área empresarial, o Carvalho, Sica, Muszkat, Vidigal e Carneiro Advogados tem sólida atuação em Direito Societário, na constituição, reorganização e extinção de Sociedades; Fusões e Aquisições, fazendo Auditoria Legal, assessorando na estruturação de negócios, em todas as etapas de negociação e implementação, além de análises dos aspectos tributários dessas operações; Private Equity, desde a estruturação, aspectos tributários, negociação e acompanhamento dos investimentos até desinvestimentos; e Operações Financeiras Estruturadas, englobando securitização, estruturação de fundos de Investimento, operações de financiamento e concessão de crédito e análise dos aspectos tributários, além de consultas e estruturação de investimentos internacionais. O CSMV Advogados atua em todas as fases dos processos, seja na mediação, na arbitragem ou em demandas judiciais, e sempre de modo vigoroso e com estratégias diferenciadas.