Open banking no Brasil: Bacen publica comunicado, dando início à implementação do sistema

O Banco Central do Brasil publicou em 24.04.2019 o Comunicado 33.455, dando início à implantação do Open Banking – Sistema Financeiro Aberto. 

O que é Open Banking?

O Open Banking, referido pelo Banco Central do Brasil como Sistema Financeiro Aberto, é um sistema que permite que dados e serviços de clientes de instituições financeiras tradicionais sejam compartilhados com outras empresas por meio de API abertas. O compartilhamento pressupõe autorização do cliente – já que todo o sistema se baseia no princípio de que os dados bancários pertencem ao cliente.

Um exemplo no Brasil mais próximo ao conceito de compartilhamento de dados, um dos pilares do open banking, é o do aplicativo Guiabolso. Por meio do acesso aos extratos de contas bancárias e cartões de crédito de seus usuários, o app funciona como um guia financeiro, organizando e categorizando as transações, além de oferecer outras funcionalidades como monitoramento do CPF do usuário e possibilidade de contratação de crédito.

O Open Banking já é uma realidade no exterior

É fato que o Open Banking veio para ficar. Em recente painel promovido pela Capital Aberto e o BSH Law, constatamos ainda que a expectativa de fintechs, bancos tradicionais e especialistas em regulação é de que o Open Banking promoverá uma mudança mais profunda para população desbancarizada brasileira (em 2018, cerca de 60 milhões de brasileiro não possuíam conta em banco, segundo o IBGE). Espera-se que o Open Banking democratize principalmente o acesso a serviços de pagamento e linhas de crédito.

No exterior, o Open Banking já é uma realidade. A União Europeia, por exemplo, já adota uma série de normas que regulam a atividade (como a PSD2 – Payment Services Directive), tratando desde os protocolos mínimos de segurança a serem observados tanto por bancos como pelas aplicações OTT (como são conhecidos os aplicativos de open banking por serem “over the top”), até a questão da neutralidade no tratamento das OTTs pelas instituições financeiras e da responsabilidade pelo custo da aplicação e vazamento de dados.

O que se pode esperar no Brasil, a partir do Comunicado 33.455 do Bacen?

O Comunicado ressalta, logo em seu início, que a implementação do Open Banking “tem como objetivo aumentar a eficiência no mercado de crédito e de pagamentos no Brasil, mediante a promoção de ambiente de negócio mais inclusivo e competitivo, preservando a segurança do sistema financeiro e a proteção dos consumidores”. A discussão sobre a regulação para o Open Banking ganha contornos mais relevantes, também, em razão da LGPD – Lei Geral de Proteção de Dados, cuja entrada em vigor está prevista para agosto de 2020.

Espera-se que os atos normativos do Bacen sejam submetidos à consulta pública já no 2º semestre de 2019. O Comunicado menciona ainda iniciativas de autorregulação das instituições participantes (bancos, instituições de pagamento e demais instituições autorizadas a funcionar pelo Bacen) em relação a padronização tecnológica, processos operacionais e padrões e certificados de segurança.

Para os entusiastas do Open Banking que o enxergam como uma ferramenta essencial para democratizar os serviços financeiros e fomentar um ambiente de negócios mais competitivo e transparente, a regulação do Bacen será bem-vinda, sobretudo se não dificultar o acesso de novos players para fornecer o recurso.

 

MP nº 869/2018: criação da ANPD e outras alterações na LGPD

Histórico – LGPD. Em 14 de agosto de 2018, a Lei n.º 13.709 foi publicada no Brasil. Essa lei foi logo alcunhada de Lei Geral de Proteção de Dados – LGPD, e sua edição, amplamente celebrada. Contudo, a LGPD, isoladamente, não esgota a questão de proteção de dados.

Por conta disso, o texto da LGPD submetida à sanção presidencial previa a criação de uma Autoridade Nacional de Proteção de Dados (“ANPD”) para tratar dos detalhes associados com a lei. A criação da ANPD acabou sendo vetada no texto final da LGPD, sob a alegação de que havia um vício de iniciativa na criação de um órgão da administração pública pelo Congresso. Esse veto foi acompanhado de uma promessa de que seria editada uma norma que suprisse a lacuna criada. Essa promessa foi cumprida dia 27 de dezembro de 2018 com a edição da Medida Provisória n.º 869.

Assuntos tratados na MP. Apesar de ter sido prometido que a norma viria a tratar da criação da ANPD, e de fato tê-lo feito, a MP 869/18 também abordou outros assuntos relacionados com a LGPD. Tratou da figura do encarregado pelo processamento de dados, permitindo que empresas indiquem pessoas jurídicas para exercer essa função; alterou questões relacionadas com os dados de saúde, permitindo a comercialização desses dados em determinadas hipóteses; modificou previsões sobre a obrigatoriedade de revisão de perfil dos titulares dos dados, que agora pode ser feita por meio automatizado; ampliou significativamente a possibilidade de compartilhamento de dados pela Administração Pública com entidades privadas; e excluiu artigos da LGPD.

Além disso, a MP 869/18 também adiou o início da vigência da LGPD, de 16 de fevereiro de 2020 para 16 de agosto de 2020. Com isso, as empresas terão seis meses adicionais para se adequar à LGPD.

Porém, as regras para criação e estruturação da ANPD passaram a vigorar já no dia 28 de dezembro de 2018. A vigência quase imediata das regras relacionadas com a criação da ANPD se mostra acertada. Assim, essa autoridade poderá se estruturar e estar preparada para auxiliar empresas e indivíduos a se adequarem à LGPD antes de a lei começar a produzir outros efeitos.

ANPD. A Agência Nacional de Proteção de Dados Pessoais foi criada basicamente com a mesma estrutura pensada inicialmente, composta pelo Conselho Diretor, que passou de 3 para 5 membros, nomeados pelo Presidente da República; e pelo Conselho Nacional de Proteção de Dados Pessoais e da Privacidade – CNPDP. A estrutura regimental da ANPD ainda será definida por ato do Presidente da República. Até tal momento, a ANPD receberá apoio técnico e administrativo da Casa Civil para exercício de suas atividades. Apesar do aumento da estrutura da ANPD, a MP 869/18 determina que a criação da ANPD não deve acarretar aumento de despesa.

Status. Outra novidade foi a migração da ANPD, originalmente concebida como órgão integrante do Ministério da Justiça, para a estrutura da Presidência da República. Também foi alterada a previsão de que a ANPD seria uma autarquia especial, com independência administrativa, ausência de subordinação hierárquica e estabilidade de seus dirigentes. Foi mantida apenas a autonomia técnica no texto da Medida Provisória.

Na prática, as alterações impactam pouco na independência da ANPD. O maior risco enfrentado pela ANPD será no controle das suas receitas, que poderão sofrer cortes e restrições pela Presidência da República com base em controle orçamentário.

Competência. A maioria das atribuições da ANPD previstas na Medida Provisória encontra similaridade com o texto vetado da LGPD. A ANPD continuará com a tarefa de interpretar a LGPD, receber e averiguar solicitações dos titulares de dados sobre violações da LGPD, podendo requisitar informações aos controladores e operadores de dados pessoais e aplicar sanções em caso de violação das disposições legais. Além disso, ficará responsável por editar resoluções para regulação específica de matérias de proteção de dados, podendo realizar consultas públicas, oitiva de entidades ou órgãos da administração pública.

Apesar da migração da ANPD do Ministério da Justiça para a Presidência da República, há previsão de que a ANPD deverá articular sua atuação com o Sistema Nacional de Defesa do Consumidor (Senacon) do Ministério da Justiça e com outros órgãos e entidades com competências sancionatórias e normativas relacionadas ao tema de proteção de dados pessoais. A ANPD não deixará, contudo, de ser o órgão central de interpretação da LGPD e do estabelecimento de normas e diretrizes para a sua implementação.

Fiscalização do Poder Público. A MP ainda retirou algumas regras que importariam em maior controle da ANPD sobre o compartilhamento de dados pela Administração Pública, mas sem impor vedações dessas atividades. Na prática, a ANPD continuará sendo a responsável por fiscalizar e controlar o uso de dados pessoais, tanto por pessoas naturais quanto jurídicas, no âmbito privado ou público.

Sanções. A Medida Provisória ainda prevê que a aplicação das sanções previstas na LGPD compete exclusivamente à ANPD, prevalecendo a competência da ANPD sobre as competências correlatas de outras entidades ou órgãos da administração pública. Com isso, por mais que exista uma cooperação para fiscalizar a aplicação da LGPD, evita-se que ocorram punições reiteradas sobre a mesma situação. Assim, aqueles que eventualmente cometerem alguma infração terão certeza de que deverão tratar com a ANPD para solucionar a questão.

Ainda há uma incerteza. Em geral, a edição da MP 869/18 se mostra acertada, mas também gera o risco de questionamentos caso não venha a ser convertida em lei dentro do prazo regulamentar. Nesse caso, em não havendo a criação definitiva da ANPD, poderemos enfrentar nova alteração do início da vigência da LGPD. Ou, ainda, termos a vigência da LGPD sem uma autoridade que acompanhe essa norma, tornando a sua fiscalização inócua e seus efeitos interessantes majoritariamente para o campo dos estudos. Resta aguardar se a nova legislatura aprovará ou rejeitará a proposta da MP 869/18.

Sancionada a Lei Geral de Proteção de Dados Pessoais – veja o que foi vetado e o que isso significa na prática

Foi sancionada a Lei Geral de Proteção de Dados Pessoais – LGPD. O projeto de lei nº 53/2018 foi convertido na Lei nº 13.709 de 14 de agosto de 2018. A partir de agora, empresas e empresas públicas terão 18 meses para se adaptar aos novos padrões de proteção de dados pessoais.

Uma análise detalhada sobre o que a nova LGPD determina pode ser encontrada aqui. Nesse artigo, abordaremos o que foi vetado do PLC 53/2018 e não chegou a virar lei, bem como as implicações desses vetos. Os vetos podem ser divididos em três categorias (a) vetos de obrigações que seriam aplicáveis às pessoas jurídicas de direito público, limitando o compartilhamento de dados pessoais pelo Poder Público; (b) vetos de penalidades previstas na lei; e (c) vetos à criação da Autoridade Nacional de Proteção de Dados e do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade.

Mais flexibilidade para compartilhamento de dados pelo Poder Público. Foram vetados alguns dispositivos que proibiam o Poder Público de compartilhar dados no âmbito do Poder Público e com pessoas jurídicas de direito privado, ou que impunham severas restrições para que o Poder Público pudesse realizar esse compartilhamento. Com o veto, o Poder Público poderá compartilhar dados nos termos da LGPD, sem obrigatoriedade de previsão legal específica que o permita ou contrato, convênio ou instrumento similar que respalde essa transferência.

Ainda, foi vetada a obrigação do Poder Público dar publicidade sobre a comunicação ou uso compartilhado de dados pessoais entre órgãos e entidades de direito público. Com isso, o Poder Público poderá compartilhar dados de forma mais ampla, sem precisar informar ativamente sobre esse compartilhamento.

Vetadas algumas sanções. Foram vetadas algumas penalidades previstas no PLC 53/2018, e mantidas as situações que levam à dosimetria dessas sanções e que podem levar a uma pena mais severa ou mais branda. Foram excluídas as hipóteses de o infrator ser punido com a suspensão do funcionamento do banco de dados; com suspensão do exercício da atividade de tratamento; e com a proibição do exercício de atividades relacionadas com o tratamento. Dessa forma, somente serão bloqueados ou eliminados os dados específicos relacionados com a infração. Será necessário identificar e segregar esses dados do resto da base de dados do infrator e aguardar que todos os dados armazenados sejam comprometidos para que a atividade seja suspensa.

Autoridade Nacional de Proteção de Dados. A Presidência da República alegou vício de iniciativa com relação a criação da Autoridade Nacional de Proteção de Dados – ANPD e do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade. Afirmou que apenas o Poder Executivo poderia criar uma autoridade de fiscalização. A criação por lei de iniciativa do Poder Legislativo, portanto, violaria essa norma constitucional.

Alegando querer evitar maiores discussões sobre o tema da iniciativa e constitucionalidade da criação da ANPD, os artigos relacionados foram vetados sob a promessa de que a Presidência da República encaminhará um projeto de lei para criar autoridade semelhante à prevista no Projeto 53/2018 (ANPD). Se essa autoridade, ou outra empresa não for criada até a entrada em vigor da LGPD, alguns de seus dispositivos permanecerão sem regulamentação necessária. E mais: a fiscalização da aplicação da LGPD pode ficar prejudicada.

Todas as demais disposições da LGPD permaneceram no texto final. A partir de hoje, 15 de agosto de 2018, data da publicação da LGPD, começa a ser contado o prazo de dezoito meses para que empresas, públicas ou privadas, se adequem ao texto legal. Aqueles que não cumprirem os dispositivos legais estarão sujeitos a penalidades que irão desde advertência até multa que pode chegar a R$ 50.000.000,00 (cinquenta milhões de reais).

Os 15 principais pontos do Projeto da Lei Geral de Proteção de Dados Pessoais, aprovado nessa semana

Após aproximados 8 anos de debate sobre a proteção de dados pessoais no Brasil[1], o texto do Projeto de Lei nº 53/2018 (“PLC 53/2018”, também denominado Lei Geral de Proteção de Dados Pessoais, ou “LGPD”[2]), foi aprovado nessa semana pelo Senado e segue para sanção presidencial.

Recentemente, dois acontecimentos internacionais impulsionaram uma aceleração do processo de aprovação PLC 53/2018: o escândalo do uso de dados dos usuários do Facebook, envolvendo a Cambridge Analytica na campanha presidencial de Donald Trump (e o temor de que o mesmo aconteça no Brasil sem medidas protetivas); e a entrada em vigor da GDPR (sigla em inglês para Regulamentação Geral de Proteção de Dados da União Europeia), estabelecendo mais restrições para a transferência de dados de cidadãos europeus para quem não estiver em conformidade com a Regulamentação.

O PLC 53/2018, se sancionado, estabelecerá princípios gerais de proteção de dados pessoais, suprindo a ausência de tal norma no Brasil. Atualmente, existem apenas normas setoriais e esparsas tratando sobre o tema.

A legislação atual, como o Marco Civil da Internet, o Código de Defesa do Consumidor e a Lei de Acesso à informação, além de ser dispersa, também é insuficiente para regular a proteção de dados pessoais. A sanção do PLC 53/2018 afetará toda e qualquer empresa ou pessoa que colete e processe dados pessoais, sejam elas bancos, operadoras de planos de saúde, concessionárias de serviços públicos e demais entes da iniciativa privada, além de órgãos governamentais.

Principais inovações da LGPD

O PLC 53/2018, ao longo de seus 65 artigos trata de diversos aspectos sobre o uso, tratamento e proteção de dados pessoais, dos quais destacamos os seguintes:

1. Aplicação. A LGPD aplica-se ao tratamento de dados pessoais, inclusive nos meios digitais, por empresas privadas ou órgãos públicos, não se aplicando a pessoas naturais que realizem o tratamento de dados para fins exclusivamente pessoais.

2. Extraterritorialidade. A LGPD também é a aplicável a (a) tratamento de dados realizado no Brasil; (b) tratamento de dados para ofertar produtos ou serviços, ou relacionado com indivíduos localizados no Brasil; ou (c) dados que tenham sido coletados no Brasil (de pessoas localizadas no Brasil no momento da coleta). Tudo isso, independentemente do domicílio de quem está coletando e processando os dados.

3. Responsável, Operador e Encarregado. Foram definidas e diferenciadas as obrigações e responsabilidades de cada parte do processo de tratamento de dados pessoais. O Responsável determina como o tratamento de dados deve ocorrer. O Operador realiza o tratamento propriamente dito. O Encarregado será a pessoa responsável por receber e responder comunicações dos titulares dos dados e órgãos competentes, além de orientar os demais funcionários da empresa sobre as práticas para proteção de dados pessoais.

4. Categorias de dados. Foram definidos conceitos essenciais para os propósitos da LGPD, além de direitos e responsabilidades para o tratamento relacionado com cada categoria de dados: (a) dado pessoal, (b) dados sensíveis, e (c) dado anonimizado. Além disso, crianças e adolescentes gozam de proteção diferenciada.

5. Consentimento. A LGPD determina que o consentimento pelo titular dos dados deve ser informado e inequívoco para que uma empresa ou órgão público tenha acesso e possa usar um dado pessoal.

6. Exceções ao consentimento. Foram estabelecidas exceções ao consentimento, sendo as mais importantes o tratamento dos dados tornados manifestamente públicos pelo titular ou para atender legítimo interesse do Responsável.

7. Direitos do titular. Foram estabelecidos os direitos do titular dos dados. Além dos direitos de informação, acesso, correção e revogação do consentimento, existe o direito de requerer a portabilidade dos dados pessoais ou anonimização dos dados considerados excessivos à finalidade informada pelo Responsável.

8. Padrões de segurança. A Autoridade Nacional de Proteção de Dados (ANPD), criada pela LGPD, estabelecerá as medidas de segurança, técnicas e administrativas, necessárias para proteger os dados pessoais. Elas devem ser adotadas por todos os envolvidos com o tratamento dos dados pessoais.

9. Comunicação de incidentes. O Responsável deve comunicar à ANPD, em prazo razoável, os incidentes de segurança que possam acarretar risco ou dano relevante aos titulares dos dados pessoais.

10. Término do tratamento. O término do tratamento de dados pessoais deverá ocorrer (a) depois de atingida a finalidade da coleta do dado pessoal, (b) ao final do período de tratamento, (c) mediante recebimento de comunicação do titular, inclusive no exercício do seu direito de revogação do consentimento, ou (d) por determinação pelo órgão competente.

11. Transferência internacional de dados. Nos moldes do disposto em outras legislações semelhantes, a transferência internacional de dados somente será permitida para quem proporcione grau de proteção de dados pessoais adequado ao disposto na LGPD, o que pode ser feito, por exemplo, por (a) declaração da ANPD, (b) cláusulas contratuais, ou (c) obtenção de certificação de adoção de normas protetivas suficientes para garantir essa proteção aos dados pessoais.

12. Vazamento de dados; danos resultantes do tratamento. Há responsabilidade solidária entre os responsáveis diretamente envolvidos no tratamento. Além disso, caso o Operador descumpra as obrigações legais de proteção de dados ou as instruções lícitas do Responsável, o Operador responde solidariamente com o Responsável.

13. Penalidades. As penalidades variam desde (a) advertência, (b) multa simples ou diária, de até 2% do faturamento da pessoa ou conglomerado no Brasil no último exercício, limitada a cinquenta milhões de reais por infração, (c) publicização da ocorrência, (d) bloqueio de dados pessoais; (e) eliminação dos dados pessoais, (f) suspensão parcial ou total do funcionamento do banco de dados, (g) suspensão das atividades de tratamento de dados pessoais, ou (h) proibição do exercício de atividades relacionadas ao tratamento de dados.

14. Órgãos. São criados a Autoridade Nacional de Proteção de Dados, órgão competente para as definições e fiscalização definidas na lei, entidade integrante da administração pública federal indireta, submetido a regime autárquico especial e vinculado ao Ministério da Justiça, e um Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, com membros de órgãos públicos, privados e representantes civis.

15. Entrada em vigor. A lei passará a vigorar após 18 meses de sua publicação, para que haja tempo hábil para as empresas se adaptarem.

A nova legislação estabelece um prazo considerável para o atendimento das suas disposições. Ao mesmo tempo, estabelece severas punições para aqueles que não atendam às suas disposições. Assim, a recomendação é a de que as empresas iniciem o processo de adequação às novas normas o quanto antes após a sanção presidencial do PLC 53/2018.

Especificamente em relação a gestores de bancos de dados destinados à formação de histórico e score de crédito (sendo a Serasa e o SPC os mais conhecidos no País), o PLC 53/2018 não possui disposição que revogue expressamente dispositivos da lei específica aplicável a tais bancos de dados (Lei nº 12.414/2011, regulamentada pelo Decreto nº 7.829/2012).

 

[1] Em 2010 o Ministério da Justiça lançou uma consulta pública sobre proteção de dados pessoais, disponível em http://pensando.mj.gov.br/dadospessoais2011/justica-usa-blog-para-elaborar-lei-de-protecao-a-dados-pessoais/.

[2] Projeto 4060/2012 na Câmara dos Deputados.