LGPD: Como o setor bancário e fintechs irão se adequar a nova lei

Por Antonio Araújo Junior

Lei geral de proteção de dados

A criação da Lei Geral de Proteção de Dados Pessoais (LGPD)¹ brasileira criou um diferente cenário regulatório para o setor bancário, embora este já possuísse regulamentação própria para a proteção de dados.

Levando em consideração que a sua aplicação se dá para agentes públicos e privados, a LGPD impactará de maneira significativa o setor financeiro, pois criará um padrão que deverá ser integrado às relações específicas de cada setor.

Isso inclui fintechs, que devem estar atentas aos processos de conformidade das atividades às normas do sistema financeiro e de proteção de dados.

O Banco Central define o sistema financeiro como o ‘’conjunto de instituições financeiras e instrumentos financeiros que visam transferir recursos dos agentes econômicos (pessoas, empresas, governo) superavitários para os deficitários’’².

O setor financeiro é composto por instituições do mercado monetário, mercado de crédito, mercado de capitais, instituições de câmbio e, mais recentemente, e também as fintechs.

Fintech³ é um termo que surgiu da união das palavras financial e technology. Fintech são majoritariamente startups que trabalham para inovar e otimizar serviços do sistema financeiro. Essas empresas possuem custos operacionais muito menores comparadas às instituições tradicionais do setor.

O setor financeiro lida com dados pessoais extremamente importantes, tais como:

  • Nome
  • CPF
  • Perfil de crédito
  • Ativos de dívidas do indivíduo (é necessária maior proteção por parte do Estado pois são questões que interferem diretamente na economia e vida do cidadão).

Diante do significativo aumento de usuários pela internet e por consequência fraudes, as instituições financeiras, sendo os principais alvos dos ataques cibernéticos, investir em peso na área da segurança da informação, uma vez que dados divulgados pela Federação Brasileira de Bancos (Febraban), e noticiados pelo jornal O Estado de S. Paulo4, as perdas pelas fraudes chegaram ao valor exorbitante de R$ 1,8 bilhão em 2015, apenas quatro anos atrás.

No entanto, é essencial saber que sempre existiram leis para proteger dados pessoais dos clientes do sistema financeiro, cuja legislação é encontrada em diversas áreas do direito (penal, civil, empresarial etc.). O direito à privacidade, por exemplo, é contemplado na Constituição Federal5 em seu artigo 5º, X, e na Lei de Sigilo Bancário (lei complementar 105/01)6.

A leis que protegem os dados pessoais dos usuários do sistema financeiro permeiam diversas áreas, por exemplo:

  1. Constituição Federal (Direito à Privacidade – artigo 5º, X)
  2. Sociedades Anônimas (Lei nº 6.404/1976);
  3. Valores Mobiliários (Lei nº 6.385/1976);
  4. Código do Consumidor (Lei nº 8.078/1990);
  5. Lavagem de Dinheiro (Lei nº 9.613/1998, atualizada em 2003 e 2012);
  6. Sigilo Bancário (Lei Complementar nº 105/2001);
  7. Código Civil (Lei nº 10.406/2002);
  8. Banco de Dados para histórico de Crédito (Lei nº 12.414/2011);
  9. Acesso à informação (Lei nº 12,527/2011);
  10. Crimes Cibernéticos (Lei nº 12,737/2012);
  11. Princípio de Garantias e Direitos para uso da Internet (“Marco Civil da Internet”) (Lei nº 12,965/2014);
  12. Regulação do Marco Civil da Internet (Decreto Federal 8.771/2016, sobre a proteção de dados pessoais na Internet).

Dessa forma, pode-se perceber como sendo uma regra geral do sistema financeiro a preservação do sigilo dos dados pessoais e bancários dos seus usuários.

No entanto, existem algumas regras para determinar tanto o sigilo como a divulgação dos dados: como informações que podem afetar o mercado, ou dados que não podem ficar sob sigilo; ou, em alguns casos em que informações ou fatos poderiam ser considerados confidenciais e não poderiam ser divulgados.

LGPD

Conforme a LGPD

A LGDP também exige que medidas de segurança sejam tomadas pelo controlador dos dados.

Entre as obrigações de segurança, destaca-se a utilização de mecanismos de proteção contra acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

Os fundamentos que regem a LGPD estão elencados nos incisos do artigo 2º da lei: I – o respeito à privacidade; II – a autodeterminação informativa; III – a liberdade de expressão, de informação, de comunicação e de opinião; IV – a inviolabilidade da intimidade, da honra e da imagem; V – o desenvolvimento econômico e tecnológico e a inovação; VI – a livre iniciativa, a livre concorrência e a defesa do consumidor; e VII – os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.

Portanto, a LGPD apesar de punir as empresas que não se adequarem as novas de segurança, visa a proteção dos dados dos clientes, bem como estimular os bancos e fintetchs melhores soluções de segurança informacional e tecnológica, também, desta forma, estimulando a concorrência.

Dados Financeiros

São aqueles originados de operações financeiras e serviços prestados por instituições financeiras. Essa definição advém da prática, e não existe uma legislação específica definindo este termo.

Dados financeiros podem envolver informações sobre indivíduos específicos ou empresas, como também podem conter valores referentes às operações, datas de transação e assim por diante.

Dados sigilosos

Podem ser classificados como aqueles ocultados por determinação legal, judicial ou legal. Existem dados sigilosos que são e que não financeiros.

Ao focar no lado financeiro, a Lei Complementar n. 105, de 10 de janeiro de 2001, figura fortemente na regulação do sigilo das operações de instituições financeiras.

Dados Pessoais

Na LGPD, Dados Pessoais são aquelas informações relacionadas a pessoa natural identificada ou identificável.  Também, no que tange os dados sensíveis, podem versar sobre origem racial ou étnica, convecção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, bem como dado genético ou biométrico e relacionado à saúde ou vida sexual5.

Quando se fala em “tratamento de dados” estamos usando a linguagem estabelecida pelo artigo 5°, inciso X da LGPD, que define como:

toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”.

A LGPD é o resultado de uma discussão no Congresso Nacional iniciada já há alguns anos, e concluída em 2018. Desde o início dos debates legislativos, a FEBRABAN veio se preparando para receber a nova legislação, participando das diversas audiências públicas realizadas em Brasília.

 No caso específico dos bancos, o ponto de partida são os contratos já existentes com os clientes e o legítimo interesse do cliente ter acesso aos produtos e serviços que sejam mais adequados para ele. Em alguns casos será necessário obter o consentimento do cliente também. 

A responsabilidade quanto ao tratamento destes dados é assumida pelo controlador (no caso, o banco) e quando for o caso de existir um operador, alguma empresa parceira do banco, a responsabilidade é solidária.

A chegada da LGPD é um divisor de águas na relação entre os clientes e as instituições financeiras, por deixar claro que o cidadão é o dono de seus dados, adquirindo direitos que até então não estavam definidos. É o caso do direito de exclusão (ou direito ao esquecimento), pelo qual o cliente pode solicitar que seus dados sejam excluídos.

No caso de encerramento de conta corrente, de financiamentos imobiliários ou relacionados ao pagamento de FGTS, por exemplo, o Banco Central exige que os bancos mantenham os dados arquivados por determinado período, assim não se pode apagar dados quando há uma obrigação legal vigente.

Assim que a LGPD entrar em vigor, o cliente poderá também exercer o seu “direito de oposição”, o que vai exigir por parte dos bancos uma comunicação ainda mais transparente a respeito do tratamento dos dados, em especial quando estão sendo compartilhados.  Transpondo para o mundo real, o “direito de oposição” equivale ao aviso “Não Perturbe” usado pelo hóspede em seu quarto de hotel. Ou seja, caso o cliente se sinta incomodado por ofertas que não estejam de acordo com o seu perfil, ele pode exigir do banco que tais informações não sejam mais usadas para a oferta de outros produtos, mesmo que a instituição esteja usando com boa fé, agindo dentro de interesses legítimos. Nestas situações, os dados não precisam ser apagados.

A lei vai permitir aos bancos, porém, que possam trabalhar os dados essenciais preservando o anonimato, sem identificar o usuário. 

Fintechs

Contudo os bancos e as fintechs ainda precisam se preparar melhor para evitar casos como o do Banco Inter. Reconhecido como o pioneiro em relação a ser 100% digital e ter tarifas zero, não possuindo agência física ou quaisquer taxas bancárias, além de ser, apenas recentemente, a primeira Fintech a abrir capital na bolsa de valores, confirmou o vazamento de dados cadastrais de 19.961 correntistas, e destes dados, 13.207 continham informações bancárias7.  Dessas, 13.207 continham dados bancários, como número da conta, senha, endereço, CPF e telefone.

O banco reconheceu o erro, culpando uma pessoa autorizada a entrar no sistema pelo vazamento de dados, considerado ser de baixo impacto. Neste sentido, se faz realmente importante uma atenção maior a maneira como os bancos e fintechs lidam com seu banco de dados.

Desta maneira, a exemplo do Banco Inter, apesar da grande exigência para se enquadrar às necessidades atuais frente ao presente regime de proteção de dados, vê-se um grande ganho não só para os usuários do sistema financeiro, mas também para as próprias instituições financeiras, que vêm suportando altos prejuízos decorrentes dos crimes cibernéticos.

Isto posto, além de se moldar às regras e propiciar mais segurança a seus usuários, as instituições, hoje, devem considerar que tratam até mesmo de um investimento a longo prazo, uma vez que diminuirão seus gastos com os prejuízos supracitados.

“Para tanto, visando a prevenção de incidentes nas violações da LGPD, recomenda-se às instituições financeiras um regime de proteção de dados, como “remédio” jurídico mais adequado para reduzir os riscos inerentes às atividades de tratamento de dados pessoais de usuários pessoa física”8.

Então, mesmo que as fintechs não façam uso dos dados para nenhum dado específico, apenas a coleta da informação através de outra base de dados ou arquivamento destes dados já será considerada atividade de tratamento de dados. As fintechs precisarão ser cuidadosas e constar a diferenciação de dado financeiro e pessoal.

Gostou deste artigo? Compartilhe nas suas redes sociais, para que outras pessoas também possam conhecê-lo.

Por Antônio Araújo Junior – Especialista em LGPD e direito Digital

Referências

¹ BRASIL. Presidência da República. Lei nº 13.853, de 8 de julho de 2019. Altera a Lei nº 13.709, de 14 de agosto de 2018, para dispor sobre a proteção de dados pessoais e para criar a Autoridade Nacional de Proteção de Dados; e dá outras providências. Brasília, DF: Presidência da República, 2019. Disponível em: http://www.planalto.gov.br/ccivil_03/_Ato2019-2022/2019/Lei/L13853.htm#art2. Acesso em: 24 out. 2019.

 ² BANCO CENTRAL DO BRASIL (Brasil). Sistema Financeiro Nacional (SFN). [2019]. Disponível em: https://www.bcb.gov.br/estabilidadefinanceira/sfn. Acesso em: 14 nov. 2019.

³ WIKIPÉDIA. Fintech. [2019]. Disponível em: https://pt.wikipedia.org/wiki/Fintech. Acesso em: 14 nov. 2019.

4 CULTURA digital, cibercrime faz bancos perderam R$ 1,8 bilhão. O Estado de São Paulo, 21 dez. 2015. Disponível em: https://link.estadao.com.br/noticias/cultura-digital,cibercrime-faz-bancos-perderem-r-18-bilhao,10000028721. Acesso em: 13 nob. 2019.

5 BRASIL. Constituição da República Federativa do Brasil de 1988. Brasília, DF: Presidência da República, [2019]. Disponível em: http://www.planalto.gov.br/ccivil_03/constituicao/constituicaocompilado.htm. Acesso em: 15 nov. 2019.

6 BRASIL. Lei Complementar nº 105, de 10 de janeiro de 2001. Dispõe sobre o sigilo das operações de instituições financeiras e dá outras providências. Brasília, DF: Presidência da República, [2001]. Disponível em: http://www.planalto.gov.br/ccivil_03/LEIS/LCP/Lcp105.htm. Acesso em: 14 nov. 2019.

7 BANCO Inter vai pagar R$ 1,5 milhão por vazamento de dados de clientes. Veja, 19 dez. 2018. Disponível em: https://veja.abril.com.br/economia/banco-inter-vai-pagar-r-15-milhao-por-vazamento-de-dados-de-clientes/. Acesso em: 15 nov. 2019.

8 LGPD e Fintetchs: um novo cenário para o compliance digital. BaptistaLuz [Blog], 6 set. 2019. Disponível em: https://baptistaluz.com.br/institucional/lgpd-e-fintechs-um-novo-cenario-para-o-compliance-digital/. Acesso em: 14 nov. 2019.

Deixe um comentário

Faça o login usando um destes métodos para comentar:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google

Você está comentando utilizando sua conta Google. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s