Resolução Conjunta BCB 06/2023 e os direitos de titulares de dados pessoais

Em 23/5/2023 o Banco Central publicou a Resolução Conjunta 06/2023 [1], a qual prevê a criação de um mecanismo de compartilhamento de informações de suspeita de fraudes entre instituições financeiras.

Esse processo ocorrerá por meio de sistema eletrônico, identificando a pessoa responsável pela tentativa de execução de fraude; a descrição dos indícios da ocorrência ou da tentativa de fraude; a identificação da instituição responsável pelo registro dos dados e das informações; e a identificação dos dados da conta destinatária e de seu titular, em caso de transferência ou pagamento de recursos.

São exemplos de situações a serem tratadas por meio deste mecanismo, a prestação dos serviços de pagamento, bem como a abertura e manutenção de contas de depósitos e de pagamento.

A norma prevê ainda que as instituições deverão obter o consentimento prévio e geral dos clientes os quais possuem relacionamento, para o registro dessas informações.

Neste sentido, surge a questão mais inquietante em termos de proteção aos direitos de proteção de dados pessoais.

Nos casos de abertura de contas fraudulentas, por meio de uso de documentos extraviados, roubados ou furtados, ou até mesmo por meio de dados que foram comprometidos por incidentes de segurança cibernéticos, muito provavelmente o consentimento que será obtido não será do real titular dos dados, mas sim do próprio fraudador.

É inegável a necessidade de aprimoramento do ambiente de segurança, a fim combater práticas fraudulentas, mas há que se avaliar quais serão as consequências do compartilhamento destas informações para os titulares destes dados, que foram vítimas de fraudadores.

Se por um lado, esse mecanismo permitirá as instituições frear tentativas de contratação de novas operações de forma fraudulenta, o que também é de interesse do titular dos dados, muito provavelmente irá dificultar que estes mesmos titulares voltem a realizar operações financeiras legítimas de forma regular.

Ainda que haja previsão na própria Lei Geral de Proteção de dados (LGPD) [2], quanto à possibilidade de tratamento dos dados dos titulares para fins de prevenção de fraudes e irregularidades, deve ser observado o objetivo de proteção dos direitos fundamentais de liberdade, privacidade e desenvolvimento da pessoa natural, conforme disposto neste mesmo texto legal.

Nesse contexto, mostra-se premente a necessidade de que as Instituições aprimorem seus mecanismos de autenticação de usuários a fim de alterar a forma como ocorre a validação da identidade de seus usuários, que hoje é pautada basicamente por meio da validação de documentos, dados pessoais e apresentação de selfies.

Um caminho possível, seria uma cooperação conjunta para a criação de uma plataforma de autenticação, similar à conta gov.br [3] disponibilizada pelo governo federal, que permitiria a manutenção e compartilhamento de dados biométricos e múltiplos fatores de autenticação, facilitando a governança deste mecanismo, ao centralizá-lo em ambiente único, que permitiria um maior controle.

Essa iniciativa poderia ser coordenada pela própria Federação Brasileira de Bancos (Febraban) que já vem atuando em conjunto com o Conselho Nacional de Justiça (CNJ) para disponibilizar a primeira versão do Diário de Justiça Eletrônico (DJE) [4], que será utilizado inicialmente pelas instituições financeiras e que futuramente será de adesão obrigatória por todas as pessoas jurídicas e de uso facultativo por pessoas físicas.

O compartilhamento destes dados hoje não tem previsão regulatória, mas está em linha com o que já vem sendo previsto por meio do open finance [5], mecanismo por meio do qual são compartilhadas informações cadastrais e transacionais dos clientes entre diferentes instituições financeiras, para que esses dados propiciem melhores condições de crédito.

Isso permitiria ainda o combate à lavagem de dinheiro, pois facilitaria o processo "Conheça seu Cliente", que é pautado especialmente em informações cadastrais e informações históricas que compõe o perfil de risco do cliente, observando a necessidade de preservação do sigilo das transações e situações suspeitas já reportadas por cada instituição ao Conselho de Controle de Atividades Financeiras (Coaf). Hoje já ocorre o compartilhamento de dados de risco de crédito entre Instituições por meio do Sistema de Informações de Crédito (SCR) [6].

A Resolução Conjunta BCB 06/2023 entrará em vigor em 1/11/2023, sendo que ainda será objeto de regulamentação as funcionalidades do sistema eletrônico; o escopo dos dados e das informações a serem registradas; o detalhamento dos parâmetros sobre os acordos de níveis de serviços na execução das funcionalidades do sistema; os requisitos técnicos de segurança para funcionamento do sistema e demais requisitos técnicos para funcionamento do sistema.

Ainda haverá espaço para que seja avaliado quais medidas serão necessárias para que o objetivo da norma seja atendido, no combate a práticas fraudulentas, preservando o direito dos titulares dos dados, que além das consequências de terem seus dados e documentos comprometidos poderão sofrer restrições na capacidade de realização de operações bancárias, caso não seja estabelecido meios para que isso seja evitado.