Instituições financeiras: a segunda fase de implementação do open banking
17 de julho de 2021, 13h13
1) Introdução
O banco central implementará a segunda fase do open banking no próximo mês, em mais um passo na jornada de maior integração regulatória, devendo as instituições financeiras adotarem o Manual de Segurança do Open Banking descritas na Instrução Normativa do BCB Nº 99, de observância obrigatória por parte das instituições participantes.
A partir dessa fase, os clientes, se quiserem, poderão solicitar o compartilhamento entre instituições participantes de seus dados cadastrais, de informações sobre transações em suas contas, cartão de crédito e produtos de crédito contratados
2) Considerações sobre o Manual de Segurança do Open Banking
Para garantir a segurança do open banking no Brasil, a Instrução Normativa do Banco Central nº 99 estabelece a obrigatoriedade de se cumprir uma série de medidas, entre as quais prescreve os requisitos mínimos necessários de governança corporativa em segurança cibernética e LGPD.
Entre os requisitos, o item 2.2 compõem, de forma não exaustiva, o rol de atos normativos cuja observância é essencial pelas instituições participantes do open banking:
"III – a Lei Geral de Proteção de Dados Pessoais (LGPD – Lei nº 13.709, de 2018).
2.3 O plano de ação e resposta a incidentes das instituições participantes deve abranger os procedimentos e os controles a serem utilizados na prevenção e resposta a incidentes que afetem sistemas, APIs e outros recursos relacionados à implementação e à operação do Open Banking, de forma compatível com a política de segurança cibernética da instituição e com a regulamentação vigente.
2.4 As instituições participantes devem definir procedimentos e controles voltados à prevenção e ao tratamento de incidentes a serem adotados pelas empresas prestadoras de serviços a terceiros que manuseiem dados ou informações requeridos para a condução das atividades relativas ao Open Banking, em compatibilidade com a política de que trata o item 2.3 e com a regulamentação vigente."
3) A Lei Geral de Proteção de Dados Pessoais (LGPD)
Não é novidade que a Lei Geral de Proteção de Dados traz grandes transformações para todas as organizações brasileiras, sendo inclusive aplicada a todas, indistintamente, até mesmo as instituições financeiras, corretoras, fintechs, cooperativas de crédito, entre outras organizações.
Nesse sentido, conforme previsto na instrução normativa e no próprio sitio da estrutura inicial do open banking "a LGPD serviu como base para a construção do Open Banking no Brasil, e todas as instruções de operação de dados devem obedecer fielmente a essa lei, protegendo o cidadão e oferecendo plena visibilidade sobre como os seus dados estão sendo gerenciados".
Diferentemente de outras bases legais da LGPD, no open banking a portabilidade dos dados sempre necessitará o consentimento do titular.
Além disso, algumas características peculiares deste consentimento nos termos do artigo 10 da Resolução Conjunta 1, devendo este ser:
a) Solicitado com linguagem clara e adequada;
b) Referir-se a finalidades determinadas;
c) Ter prazo de validade compatível com as finalidades, limitado a 12 meses;
d) Discriminar a instituição transmissora de dados ou detentora da conta, conforme o caso;
e) Discriminar os dados ou serviços que serão objeto de compartilhamento;
f) Incluir a identificação do cliente;
g) Ser obtido após a data de entrada em vigor da resolução conjunta;
h) Tendo alterações das condições do segundo ao quinto item, novo consentimento deverá ser obtido.
Sendo vedado obter o consentimento do cliente:
a) Por meio de contrato de adesão;
b) Por meio de formulário com opção de aceite previamente preenchida; ou
c) De forma presumida, sem manifestação ativa do cliente.
Devendo a organização participante informar ao cliente, no mínimo:
a) A identificação das instituições participantes;
b) Dados e serviços objeto do compartilhamento;
c) Período de validade do consentimento;
d) Data de requisição do consentimento; e
e) Finalidade do consentimento, no caso em que a instituição em tela seja iniciadora de transações de pagamento ou receptora de dados.
Seguindo ainda a linha da LGPD, a Resolução Conjunta nº 1 (BCB) dispõe que o consentimento poderá ser revogado, a qualquer tempo, por meio de um processo seguro, ágil, preciso e conveniente, sendo essa revogação disponível no mesmo canal de atendimento no qual ele foi concedido, se ainda existir. Além de armazenar e processar os dados discriminados na etapa de consentimento segundo a finalidade para a qual foram compartilhados e de maneira segura, observadas a legislação e a regulamentação vigentes.
No tocante à responsabilidade, o artigo 31 da LGPD dispõe que: "A instituição participante é responsável pela confiabilidade, pela integridade, pela disponibilidade, pela segurança e pelo sigilo em relação ao compartilhamento de dados e serviços em que esteja envolvida, bem como pelo cumprimento da legislação e da regulamentação em vigor".
4) Conclusão
Percebemos que a Lei Geral de Proteção de Dados, no caso do compartilhamento de dados para fins de open banking, caminha juntamente com a inovação, instituindo a privacidade e a segurança como um padrão desse novo sistema.
As instituições financeiras que desejam ser parte dessa nova iniciativa, além de estarem adequadas à lei, também deverão adequar seus processos internos, sendo de máxima importância a adoção de segurança cibernética e proteção de dados.
Referências bibliográficas
Resolução Conjunta nº 1, de 2020: https://www.bcb.gov.br/estabilidadefinanceira/exibenormativo?tipo=Resolu%C3%A7%C3%A3o%20Conjunta&numero=1.
Resolução CMN nº 4.893, de 2021** https://www.bcb.gov.br/estabilidadefinanceira/exibenormativo?tipo=Resolu%C3%A7%C3%A3o%20CMN&numero=4893.
Lei Geral de Proteção de Dados (LGPD – Lei nº 13.709, de 2018): http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm.
https://www.migalhas.com.br/depeso/343724/instituicoes-financeiras-politica-de-seguranca-cibernetica.
https://www.conjur.com.br/2021-jan-23/opiniao-open-banking-lei-sigilo-bancario.
Encontrou um erro? Avise nossa equipe!