Instituições financeiras: a segunda fase de implementação do open banking

1) Introdução
O banco central implementará a segunda fase do open banking no próximo mês, em mais um passo na jornada de maior integração regulatória, devendo as instituições financeiras adotarem o Manual de Segurança do Open Banking descritas na Instrução Normativa do BCB Nº 99, de observância obrigatória por parte das instituições participantes.

2) Considerações sobre o Manual de Segurança do Open Banking
Para garantir a segurança do open banking no Brasil, a Instrução Normativa do Banco Central nº 99 estabelece a obrigatoriedade de se cumprir uma série de medidas, entre as quais prescreve os requisitos mínimos necessários de governança corporativa em segurança cibernética e LGPD.

Entre os requisitos, o item 2.2 compõem, de forma não exaustiva, o rol de atos normativos cuja observância é essencial pelas instituições participantes do open banking:

"III – a Lei Geral de Proteção de Dados Pessoais (LGPD – Lei nº 13.709, de 2018).
2.3 O plano de ação e resposta a incidentes das instituições participantes deve abranger os procedimentos e os controles a serem utilizados na prevenção e resposta a incidentes que afetem sistemas, APIs e outros recursos relacionados à implementação e à operação do Open Banking, de forma compatível com a política de segurança cibernética da instituição e com a regulamentação vigente.
2.4 As instituições participantes devem definir procedimentos e controles voltados à prevenção e ao tratamento de incidentes a serem adotados pelas empresas prestadoras de serviços a terceiros que manuseiem dados ou informações requeridos para a condução das atividades relativas ao Open Banking, em compatibilidade com a política de que trata o item 2.3 e com a regulamentação vigente."

3) A Lei Geral de Proteção de Dados Pessoais (LGPD)
Não é novidade que a Lei Geral de Proteção de Dados traz grandes transformações para todas as organizações brasileiras, sendo inclusive aplicada a todas, indistintamente, até mesmo as instituições financeiras, corretoras, fintechs, cooperativas de crédito, entre outras organizações.

Nesse sentido, conforme previsto na instrução normativa e no próprio sitio da estrutura inicial do open banking "a LGPD serviu como base para a construção do Open Banking no Brasil, e todas as instruções de operação de dados devem obedecer fielmente a essa lei, protegendo o cidadão e oferecendo plena visibilidade sobre como os seus dados estão sendo gerenciados".

Diferentemente de outras bases legais da LGPD, no open banking a portabilidade dos dados sempre necessitará o consentimento do titular.

Além disso, algumas características peculiares deste consentimento nos termos do artigo 10 da Resolução Conjunta 1, devendo este ser:

a) Solicitado com linguagem clara e adequada;

b) Referir-se a finalidades determinadas;

c) Ter prazo de validade compatível com as finalidades, limitado a 12 meses;

d) Discriminar a instituição transmissora de dados ou detentora da conta, conforme o caso;

e) Discriminar os dados ou serviços que serão objeto de compartilhamento;

f) Incluir a identificação do cliente;

g) Ser obtido após a data de entrada em vigor da resolução conjunta;

h) Tendo alterações das condições do segundo ao quinto item, novo consentimento deverá ser obtido.

Sendo vedado obter o consentimento do cliente:

a) Por meio de contrato de adesão;

b) Por meio de formulário com opção de aceite previamente preenchida; ou

c) De forma presumida, sem manifestação ativa do cliente.

Devendo a organização participante informar ao cliente, no mínimo:

a) A identificação das instituições participantes;

b) Dados e serviços objeto do compartilhamento;

c) Período de validade do consentimento;

d) Data de requisição do consentimento; e

e) Finalidade do consentimento, no caso em que a instituição em tela seja iniciadora de transações de pagamento ou receptora de dados.

Seguindo ainda a linha da LGPD, a Resolução Conjunta nº 1 (BCB) dispõe que o consentimento poderá ser revogado, a qualquer tempo, por meio de um processo seguro, ágil, preciso e conveniente, sendo essa revogação disponível no mesmo canal de atendimento no qual ele foi concedido, se ainda existir. Além de armazenar e processar os dados discriminados na etapa de consentimento segundo a finalidade para a qual foram compartilhados e de maneira segura, observadas a legislação e a regulamentação vigentes.

No tocante à responsabilidade, o artigo 31 da LGPD dispõe que: "A instituição participante é responsável pela confiabilidade, pela integridade, pela disponibilidade, pela segurança e pelo sigilo em relação ao compartilhamento de dados e serviços em que esteja envolvida, bem como pelo cumprimento da legislação e da regulamentação em vigor".

4) Conclusão
Percebemos que a Lei Geral de Proteção de Dados, no caso do compartilhamento de dados para fins de open banking, caminha juntamente com a inovação, instituindo a privacidade e a segurança como um padrão desse novo sistema.

As instituições financeiras que desejam ser parte dessa nova iniciativa, além de estarem adequadas à lei, também deverão adequar seus processos internos, sendo de máxima importância a adoção de segurança cibernética e proteção de dados.  

Referências bibliográficas
Resolução Conjunta nº 1, de 2020: https://www.bcb.gov.br/estabilidadefinanceira/exibenormativo?tipo=Resolu%C3%A7%C3%A3o%20Conjunta&numero=1.

Resolução CMN nº 4.893, de 2021** https://www.bcb.gov.br/estabilidadefinanceira/exibenormativo?tipo=Resolu%C3%A7%C3%A3o%20CMN&numero=4893.

Lei Geral de Proteção de Dados (LGPD – Lei nº 13.709, de 2018): http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm.

https://www.migalhas.com.br/depeso/332747/os-objetivos-do-open-banking–suas-implicacoes-em-seguranca-da-informacao-e-cases-da-api–application-programming-interf.

https://www.migalhas.com.br/depeso/343724/instituicoes-financeiras-politica-de-seguranca-cibernetica.

https://www.conjur.com.br/2021-jan-23/opiniao-open-banking-lei-sigilo-bancario.