LGPD e o impacto no setor bancário e financeiro

Aplicação da LGPD nos serviços de Buffet
25/04/2023
Aplicação da LGPD aos organizadores de eventos – Cuidados e responsabilidades em relação ao tratamento de dados pessoais dos participantes
09/05/2023
Aplicação da LGPD nos serviços de Buffet
25/04/2023
Aplicação da LGPD aos organizadores de eventos – Cuidados e responsabilidades em relação ao tratamento de dados pessoais dos participantes
09/05/2023
* Flávia Alcassa /  Nilton da Cunha Pereira Filho   
RESUMO

Não é novidade que a Lei Geral de Proteção de Dados traz grandes transformações para todas as organizações brasileiras, sendo inclusive aplicada a todas, indistintamente, até mesmo as instituições financeiras, corretoras, fintechs, cooperativas de crédito, dentre outras organizações. Apesar da massiva coletânea de leis aplicadas no setor financeiro, a LGPD não traz apenas regulamentação sobre coleta e tratamento de dados, mas também traz regras quanto à relação das empresas com seus parceiros, funcionários e fornecedores.

            Neste cenário, o presente artigo, fundamentado em análise bibliográfica e experiência prática dos autores, buscou tecer breves considerações acerca da abrangência da Lei de proteção de Dados brasileira, além de enfatizar a necessidade de que as instituições financeiras se adequem plenamente a LGPD.

Palavras-Chave: Lei Geral de Proteção de Dados (LGPD), Direito Digital, Direito Bancário. Financeiras.

1.    INTRODUÇÃO

Toda e qualquer informação que se relacione a uma pessoa identificada ou identificável é considerada um dado pessoal. Por isso, informações de perfil comportamental, econômico, social e cadastros também se enquadram neste conceito. De outro lado, temos os dados anonimizados, sendo estas as informações que não permitem identificação imediata ou posterior do titular. Como exemplo, dados sobre o percentual de homens que existem em uma carteira de clientes ou a média contratada de financiamentos por pessoas de certa faixa etária. Esses dados são meramente estatísticos, que após anonimizados, não podem retornar ao estado anterior e, portanto, não sujeitos às regras da LGPD.

A LGPD traz novos direitos aos titulares dos dados, dentre eles a portabilidade. Este direito em particular, é relevante e oportuno diante do Open Finance, que tem como escopo a portabilidade de informações entre diferentes stakeholders do mercado financeiro.

Além da LGPD, outra regulamentação importante e objeto deste artigo é a Lei de Sigilo Bancário (LCP 105), que estabelece várias regras pertinentes ao dever de sigilo que as organizações do âmbito financeiro devem observar em suas operações, tanto passivas como ativas. A maior parte das informações contidas nestas operações são dados pessoais, como:

  • Nome
  • Endereço
  • CPF/MF
  • Saldo em conta corrente
  • Histórico de movimentação financeira
  • Contratação de produtos e serviços financeiros

A violação do sigilo estabelecido pela LCP 105 é punida com reclusão de um a quatro anos e multa, sem prejuízo de punições na esfera civil e administrativa, com possibilidade de pagamento de indenização. Neste sentido, o dever de sigilo apenas poderá ser quebrado em hipóteses previstas na LCP 105, em casos de comunicação de ilícitos penais ou administrativos, terrorismo, tráfico de entorpecentes, lavagem de dinheiro, entre outros.

Contudo, como adentrar às inovações trazidas pelo mercado tecnológico financeiro sem violar a LGPD e a Lei de Sigilo Bancário?

É o que veremos adiante.

  1. A LGPD no mercado financeiro e as resoluções do Banco Central

O mercado financeiro vem se transformando significativamente desde sua origem até os dias atuais. A evolução da atividade bancária acompanha a evolução tecnológica e em grande parte a incentiva, com a tecnologia impulsionado o sistema financeiro e este estimulando o desenvolvimento tecnológico com crescente alocação de recursos para o setor[1]. A inclusão de novas tecnologias nas atividades bancárias reestruturou o sistema financeiro sob diversos aspectos. A partir da ideia de uma padronização no controle de dados, estimulando a competitividade, houve a necessidade crescente de interação entre os sistemas tecnológicos das instituições financeiras e de outros parceiros comerciais, com a possibilidade de compartilhamento de dados entre estes dois tipos de atores econômicos[2].

Contudo, a introdução de novas tecnologias implementadas no setor financeiro se mostra uma faca de dois gumes. Se por um lado possibilita o desenvolvimento, o barateamento dos serviços ao consumidor e novas facilidades relacionadas a atividade bancária, por outro expõe vulnerabilidades que deixam o mercado sujeito a ataques cibernéticos e ao roubo de dados.

         O advento de novas tecnologias no setor financeiro exigiu mudanças por parte das autoridades reguladoras. No Brasil, Banco Central editou a Resolução de nº 85, de abril/2021, a qual cuida de forma conjunta da política de segurança cibernética e da contratação dos serviços de processamento e armazenamento de dados em nuvem por instituições financeiras e demais instituições autorizadas a funcionar pelo Bacen.  No artigo 2º da referida resolução fica claro o intuito do legislador, onde é estabelecida a necessidade de se programar e manter uma política de segurança cibernética formulada com base em princípios que busquem assegurar a confidencialidade, a integridade e a disponibilidade dos dados[3].

No entanto, a política de segurança cibernética das instituições financeiras é autorregulatória, pois não há um órgão capaz de fiscalizar os arquivos internos de cada instituição. Todavia, as resoluções mencionadas preconizam elementos mínimos a serem cumpridos, conforme o porte, perfil de risco e modelo de negócio de cada instituição. Neste tipo de regulamento o legislador apresenta as diretrizes e as instituições empenham seus esforços para proceder o cumprimento de forma autônoma. Porém, ainda que não haja um controle ostensivo por parte do órgão regulador, caso apareçam falhas caberá as instituições as sanções correspondentes.

A Resolução 85 e a LGPD, compartilham diversos aspectos em comum. Como por exemplo a confidencialidade assegurada pela legislação, tanto na Resolução quanto na LGPD. Contudo, o artigo 7º, da Lei 13.709/2018[4] enumera algumas situações excepcionais nas quais os dados poderão ser tratados mesmo sem o consentimento do titular, o que não se aplicaria as instituições financeiras sob nenhum aspecto, exceto aquele referente a proteção ao crédito, conforme observamos:

“Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:

…..   

X – para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente[5].”

           Outro aspecto de preocupação com a LGPD está no site do Bacen onde encontramos diversas informações sobre o tratamento de dados pessoais na instituição e qual base legal é utilizada para o tratamento.

            O tratamento de dados pessoais é, hoje em dia, uma atividade essencial tanto para a prestação de serviços financeiros como para serviços públicos. Como exemplo, podemos citar os próprios serviços prestados pelo Banco Central onde os dados são usados principalmente para:

  • executar políticas públicas pevistas em leis e regulamentos ou permitidas em contratos, convênios ou instrumentos similares;
  • cumprir alguma norma;
  • avaliar os serviços, identificar problemas, melhorar a segurança e a navegação nas páginas, aplicativos e serviços digitais; e
  • dar proteção ao crédito.

                O Banco Central possui controles internos para garantir a proteção dos dados pessoais, além de atender aos princípios da LGPD e de outras leis que tratam do assunto. Os dados pessoais são armazenados nos bancos de dados do Banco Central, cumprindo padrões de segurança, confidencialidade, integridade e privacidade.

                    Se as informações forem protegidas por alguma espécie de sigilo, o Banco Central (BC) irá tratá-las seguindo as normas que se aplicam aos casos específicos de sigilo.

                    As empresas e instituições contratadas para realizar serviços relacionados ao site, aos aplicativos e aos serviços digitais oferecidos pelo BC devem observar e se adequar à Política de Privacidade.

                 Além disso, seus dados somente são compartilhados no cumprimento de competência, de acordo com previsão legal ou por determinação judicial.

  • Em vigor novas regras para contratação de Correspondentes Bancários, os quais devem ser certificados sobre CDC e LGPD – Resolução CMN 4.935/21

Em vigor desde 01 de fevereiro de 2022, a resolução CMN 4.935/21 dispõe sobre a contratação de correspondentes (sociedades, empresários, associações, prestadores de serviço notariais e de registro e empresas públicas) que atuam como prestadores de serviços às instituições financeiras e pelas instituições autorizadas a funcionar pelo Banco Central do Brasil.

A prestação de serviços, de que trata esta resolução, pode se dar pessoalmente ou por meio eletrônico site na internet, aplicativo ou outras plataformas de comunicação em rede) e o correspondente atua por conta e sob as diretrizes da instituição contratante, sendo que esta assume inteira responsabilidade pelo atendimento prestado aos clientes e usuários por meio do correspondente contratado.

Cabe à instituição contratante garantir a integridade, a confiabilidade, a segurança e o sigilo das transações realizadas por meio do contratado, bem como o cumprimento da legislação e da regulamentação relativas a essas transações.

E aqui vale o lembrete do que prevê a Lei Geral de Proteção de Dados Pessoais – LGPD (lei 13.709/18): controladores (instituições contratantes) também podem ser corresponsabilizados por atos cometidos pelos operadores (correspondentes contratados), como a falta de implementação de medidas de segurança da informação e boas práticas sobre governança em privacidade.

Como as atividades do correspondente contratado podem envolver o acesso, a recepção e armazenamento de dados pessoais, há aplicação também da LGPD – por força do artigo 5º, X -, sendo elas:

(i)  recepção e encaminhamento de propostas de abertura de contas de depósitos e de pagamentos mantidos pela instituição contratante;

(ii) realização de recebimentos, pagamentos e transferências eletrônicas visando à movimentação de contas de depósitos e de pagamentos de titularidade de clientes mantidas pela instituição contratante;

(iii) recebimentos e pagamentos de qualquer natureza, e outras atividades decorrentes da execução de contratos e convênios de prestação de serviços mantidos pela instituição contratante com terceiros;

(iv) execução ativa e passiva de ordens de pagamento realizadas pela instituição contratante por solicitação de clientes e usuários;

(v) recepção e encaminhamento de propostas de operações de crédito e de arrendamento mercantil concedidas pela instituição contratante, bem como outros serviços prestados para o acompanhamento da operação;

(vi) recebimentos e pagamentos relacionados a letras de câmbio de aceite da instituição contratante; e

(vii) realização de operações de câmbio de responsabilidade da instituição contratante.

Sendo exigida a governança em privacidade de instituições que realizam tratamento de dados pessoais, a Resolução, no artigo 16, traz uma novidade: a exigência da certificação dos correspondentes.

A qualidade técnica de atendimento da equipe do correspondente deve ser atestada por exame de certificação, sendo que os integrantes da equipe devem conhecer: (i) aspectos técnicos das operações de crédito e arrendamento mercantil, (ii) a lei 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais – LGPD), (iii) a lei 8.078, de 11 de setembro de 1990 (Código de Defesa do Consumidor – CDC), (iv) ética e (v) ouvidoria.

O mercado financeiro brasileiro tem sido dinâmico, acompanhando a evolução tecnológica e legislativa. A inclusão de novas tecnologias nas atividades bancárias reestruturou o sistema financeiro sob diversos aspectos, seja no onboarding de novos clientes, transações mais rápidas e confiáveis, e conformidade às tendências regulatórias mundiais.

  • AUTORREGULAÇÃO de proteção de dados pessoais para instituições financeiras- FEBRABAN institui o Normativo de Proteção de Dados Pessoais (SARB 025/21)

              Outro ponto que merece destaque é a Autorregulação da Federação Brasileira de Bancos – FEBRABAN que é regida pelo Código de Conduta Ética e Autorregulação Bancária, pelos Normativos aprovados pelo Conselho de Autorregulação e pelas decisões da Diretoria de Autorregulação e do Conselho de Autorregulação, as quais não se sobrepõem, mas se harmonizam à legislação vigente.

                 As normas da Autorregulação abrangem todos os produtos e serviços ofertados ou disponibilizados pelas instituições participantes (Signatárias) a qualquer pessoa física, cliente ou não cliente e, ainda, não devem ser interpretadas pela pessoa jurídica em desacordo com as disposições previstas nas normas e regulamentação vigentes, inclusive aquelas expedidas pelos órgãos reguladores e entidades setoriais.

                 Nesse sentido, o Sistema de Autorregulação Bancária da FEBRABAN institui o NORMATIVO DE PROTEÇÃO DE DADOS PESSOAIS (SARB 025/21), que estabelece princípios e diretrizes a serem adotados por suas Signatárias nos relacionamentos com os titulares de dados pessoais.

               Importante destacar o CAPÍTULO IV – PROGRAMA DE GOVERNANÇA EM PRIVACIDADE e o CAPÍTULO V – PROCEDIMENTOS OPERACIONAIS PARA TRATAMENTO DE DADOS PESSOAIS, os quais incluem determinadas obrigações às instituições financeiras.:

                 De início, em previsão similar ao artigo 52 da Lei Geral de Proteção de Dados Pessoais – LGPD, o Normativo dispõe que: as instituições financeiras elaborarão e implementarão programa de governança em privacidade que estabeleça procedimentos mínimos e boas práticas para a adoção de medidas eficazes e capazes de demonstrar a observância e o efetivo cumprimento das normas de proteção de Dados Pessoais dos Titulares.

                 Dentre outras obrigações para demonstrar governança em privacidade, o Normativo prevê que as instituições financeiras providenciem:

1) Ações educativas dos quadros funcionais

As instituições disponibilizarão treinamento, instrução ou capacitação a seus colaboradores e administradores, a respeito da proteção dos Dados Pessoais e privacidade, de acordo com o risco envolvido em suas atividades.

2) Nomeação de Encarregado (Data Protection Officer – DPO)

As instituições financeiras nomearão um Encarregado pelo Tratamento de Dados Pessoais (“Encarregado”), conforme disposto na LGPD, exceto se houver dispensa de indicação pela ANPD.

O Encarregado pode, a critério das Signatárias, ser nomeado para uma ou mais empresas do conglomerado das Signatárias.

3) ROPA

Necessidade de registros das operações de Tratamento de Dados Pessoais que realizarem, nos termos da legislação vigente.

4) Medidas técnicas de privacidade e Segurança da informação

Poderão se valer das medidas adotadas em atenção a normas setoriais regulatórias com o objetivo de cumprimento de aspectos técnicos e operacionais da LGPD, tais como as relativas à privacidade, segurança da informação e proteção de dados pessoais.

5) Adequação Contratual

Deverão adotar medidas para adequação dos contratos que entenderem necessários com prestadores de serviços, para inclusão de cláusulas ou referência a cláusulas a respeito do Tratamento de Dados Pessoais.

              O Normativo entrou em vigor no dia 20 de fevereiro de 2022. Além das sanções previstas pela Lei Geral de Proteção de Dados Pessoais – LGPD, em especial no artigo 52, e que podem ser aplicadas pela Autoridade Nacional de Proteção de Dados – ANPD, o descumprimento do Normativo importará na aplicação das sanções previstas na Seção IX, do Capítulo II, do Código Conduta Ética e Autorregulação Bancária, como, dentre outras: recomendação de ajustes em condutas, suspensão ou exclusão de sua participação no Sistema de Autorregulação Bancária.

3.    Conclusão

              Como vimos através deste artigo, não obstante as instituições financeiras já preverem políticas de segurança de armazenamento e coleta de dados, mesmo antes do advento da LGPD, algumas práticas de boas condutas devem ser sempre observadas, para se evitar infringir a lei.

              A Lei de Sigilo Bancário também abriu espaço para uma interpretação nova, não mais correndo o risco de haver sua violação e não mais sendo um entrave para que a nova sistemática financeira funcione em nosso país, deixando cada vez mais simples e facilitado o acesso a novos produtos e serviços que as instituições têm a oferecer no mercado.

Sendo assim é preciso que as instituições financeiras atualizem com frequência suas diretrizes de privacidade de dados, visando conferir a máxima segurança aos usuários. Outrossim, ainda que não haja uma legislação globalizada visando o tratamento uniforme dos dados pessoais, praticamente todos os países atualmente possuem seus próprios regramentos. Além disso, especificamente no que concerne as instituições financeiras existem padrões de regulação baseados na natureza da atividade, como o dever de sigilo, por exemplo.

             A Lei de Sigilo Bancário também abriu espaço para uma interpretação nova, não mais correndo o risco de haver sua violação e não mais sendo um entrave para que a nova sistemática financeira funcione em nosso país, deixando cada vez mais simples e facilitado o acesso a novos produtos e serviços que as instituições têm a oferecer no mercado.

A adequação plena das instituições financeiras aos ditames da LGPD, traz benefícios tanto para os usuários, quanto para as próprias empresas, dentre eles: Maior credibilidade e confiança, evitar danos na reputação da instituição devido a vazamentos de dados, vantagem competitiva, além de evitar perdas de contratos e convênios.

Por todo o exposto, restou inequívoco a necessidade de que as instituições financeiras atuem de acordo com o que determina a Lei e que trabalhem acima de tudo com transparência e lisura, garantido a preservação da intimidade e da privacidade dos usuários, posto que este é o princípio norteador da LGPD.

*Autores:
  1. Flávia Alcassa: Sócia-fundadora do escritório Alcassa & Pappert Advogados. Certificada pela Exin Privacy and Data Protection, Especializada em Direito Digital, MBA USP/Esalq em Digital Business, Professora convidada na Universidade Presbiteriana Mackenzie, Autora dos livros “LGPD e Contratos” e LGPD e Cartórios (Ed. Saraiva). Coordenadora do livro “LGPD e Direito do Trabalho. (Ed. Saraiva).
  2. Nilton da Cunha Pereira Filho: Executivo de Inovação, Produtos Financeiros PF e PJ | Transformação Digital | Pix | Open Finance | Canais – APP e Internet Banking | LGPD em sistemas digitais
Bibliografia-Referências:
  1. Temas atuais de proteção de dados [livro eletrônico]. — 1. ed. — São Paulo: Thomson Reuters Brasil, 2020.
  1. Lei nº 13.709 de 14 de agosto de 2018. Disponível em http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/Lei/L13709.htm. Acesso em 14 de janeiro de 2021.
  1. UNIÃO EUROPEIA. Parlamento Europeu. (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation). Disponível em https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex%3A32016R0679. Acesso em 15 de janeiro de 2021.
  2. link: https://www.migalhas.com.br/depeso/359542/a-autorregulacao-de-protecao-de-dados-pessoais-para-financeiras/ Adrianne Lima, Flávia Alcassa.
  1. link: https://www.migalhas.com.br/depeso/359219/novas-regras-em-contratacao-de-correspondentes-bancarios-cdc-e-lgpd/ Adrianne Lima/Flávia Alcassa
  1. FEBRABAN: https://www.autorregulacaobancaria.com.br/pagina/17/16/pt-br/normativos
  2. Código de Conduta Ética e Autorregulação: https://www.novaconcursos.com.br/arquivos-digitais/erratas/17004/25384/item5-codigo-conduta-etica-autorregulacao-bancaria.pdf
  3. https://www.bcb.gov.br/acessoinformacao/lgpd?modalAberto=registro_de_incidentes_com_d%20ados_pessoais
  1. PINHEIRO, P. Proteção de Dados Pessoais: Comentários à Lei nº13709/2018 (LGPD). 3ª Edição, 17 maio 2021.
  1. GOETTENAUER, C. O Sistema Financeiro Brasileiro, Política de Segurança Cibernética e Proteção de Dados Pessoais: uma Abordagem sob a Ótica da Regulação Policêntrica. Revista de Direito, Estado e Telecomunicações, Brasília, v. 12, nº 2, p. 172-186, outubro de 2020.

[1] GOETTENAUER, C. O Sistema Financeiro Brasileiro, Política de Segurança Cibernética e Proteção de Dados Pessoais: uma Abordagem sob a Ótica da Regulação Policêntrica. Revista de Direito, Estado e Telecomunicações, Brasília, v. 12, nº 2, p. 172-186, outubro de 2020.

[2] ZETZSCHE, Dirk A. et al. Regulating a revolution: From regulatory sandboxes to smart regulation. Fordham J. Corp. & Fin. L., v. 23, p. 31, 2017.

[3]BRASIL, https://www.legisweb.com.br/legislacao/?id=412501#:~:text=Disp%C3%B5e%20sobre%20a%20pol%C3%ADtica%20de,pelo%20Banco%20Central%20do%20Brasil.

https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm Acesso em Out. 2021.

[4]  BRASIL https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm

[5] Ibidem

Pular para o conteúdo