Mídia (artigos e publicações)

OPEN BANKING E A RESPONSABILIDADE PELAS INFORMAÇÕES

 

Conforme se tem amplamente divulgado, em breve o Banco Central deve implementar um conjunto de regras voltado à implementação do open banking no Brasil.

 

De início, esclarece-se que o conceito de open banking varia de acordo com a jurisdição na qual vem sendo implementado. Não obstante, pode-se dizer que, independentemente do formato ou vertente empregado, a adoção de regras de open banking geralmente resulta em uma mudança profunda de paradigma no modelo de relacionamento entre clientes de serviços financeiros e seus provedores.

 

Isso porque, estabelece-se que o cliente, no contexto do open banking, passa a ser considerado o soberano proprietário dos dados oriundos de seu relacionamento bancário/financeiro, podendo, portanto, dispor livremente destes, inclusive permitindo que terceiros por eles autorizados recebam/acessem tais dados. E o conceito de open banking ainda vai além: permite ao cliente conferir acesso a terceiros para que também iniciem transações de pagamento em seu nome, as quais são então simplesmente executadas pela instituição financeira ou de pagamento.

 

A iminente implementação de regras de open banking pelo Banco Central certamente pegou o mercado de surpresa, entretanto, se acompanharmos o histórico de medidas baixadas pelo regulador nos últimos anos, não há nada de surpreendente: o open banking está completamente alinhado a diversas iniciativas lançadas pelo Banco Central para promover a inclusão financeira, aumentar a competição no setor e diminuir custos dos serviços financeiros no Brasil.

 

Especificamente no que diz respeito ao acesso por terceiros autorizados aos dados de clientes, é certo que, independentemente do modelo de open banking que vier a ser adotado no Brasil, caberá às instituições financeiras “franquear” esse acesso (provavelmente via abertura de APIs padronizadas ou não-padronizadas), permitindo o compartilhamento dos dados cadastrais e outras informações pessoais e financeiras de seus clientes.

 

Neste ponto surgem os questionamentos sobre a possibilidade e obrigatoriedade de tal compartilhamento de dados de clientes pelos bancos, bem como a respeito da alocação de responsabilidade decorrente de eventual defeito desse compartilhamento, bem como da utilização de tais dados.

 

O Banco Central já se posicionou quanto à possibilidade do compartilhamento de dados dos clientes de instituições financeiras com terceiros há algum tempo.

 

Por meio da Resolução n.º 3.401, de 5.9.2006 (“Res. 3401/06”), o regulador deixou claro que os dados cadastrais do cliente devem ser fornecidos ao terceiro por ele autorizado, conforme previsto no artigo 3º da referida norma:

 

“Art. 3º As instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil devem fornecer a terceiros, quando formalmente autorizados por seus clientes, as informações cadastrais a eles relativas, de que trata a Resolução 2.835, de 30 de maio de 2001”

 

Tal dispositivo se encontra em consonância com o que determina a Lei Complementar n.º 105, de 10.1.2001, que dispõe sobre o sigilo das operações de instituições financeiras e da outras providências, uma vez que, em seu artigo 1º, § 3º, inciso V, determina não constituir violação ao dever de sigilo “a revelação de informações sigilosas com o consentimento expresso dos interessados.”

 

Outra questão refere-se à alocação de responsabilidade entre as partes envolvidas nas ações de compartilhamento e utilização de dados. Tal questão precisa ser analisada sob a luz do Código de Defesa do Consumidor (“CDC”) e da Lei n.º 13.709/18, a “Lei Geral de Proteção de Dados” ou “LGPD”, que entrará em vigor em 16.2.20120.

 

A esse respeito, e considerando a natureza altamente dinâmica do intercâmbio de informações entre as partes envolvidas num ambiente de open banking, é necessário que sejam criados métodos suficientemente seguros e eficientes para se determinar, em primeiro lugar, que: (i) os dados estão, de fato, sendo fornecidos para a entidade que foi autorizada pelo cliente da instituição financeira; (ii) não ocorra vazamentos de informações sensíveis; e (iii) caso ocorra um vazamento de dados, qual parte é responsável pelo vazamento.

 

Com efeito, a fim de se isentar de eventuais responsabilidades no tocante aos dados compartilhados, as instituições financeiras deverão tomar todos os cuidados necessários a fim de comprovar que repassaram tais dados apenas para terceiros devidamente autorizados e que, nesta operação (i.e., entrega/transferência de dados), não ocorreu qualquer vazamento indevido de informações.

 

Tal fato se justifica pois, em razão da LGPD (artigo 42 c/c artigo 46), a responsabilidade por eventuais vazamentos é da empresa proprietária do sistema de transmissão de dados. Além disso, de acordo com o artigo 14, do CDC, toda a cadeia de fornecimento de serviços pode ser responsabilizada no caso de algum defeito nessa prestação.

 

Assim, a fim de se eximir de eventuais responsabilidades, conforme preceitua o artigo 14, § 3º, incisos I e II do CDC, bem como o artigo 43, incisos I, II e III, da LGPD, as instituições financeiras devem desenvolver meios de prova para demonstrar que, no compartilhamento de informações delas com seus clientes ou com terceiros, nenhum vazamento de dados ocorreu ou, se isto se sucedeu, a responsabilidade não lhe é imputável. Entendemos que tais provas serão eminentemente técnicas e fundamentadas em protocolos de segurança da informação já existentes no mercado de TI.

 

Nesse cenário, caso algum vazamento de informações ocorra posteriormente à entrega da informação ao cliente ou a terceiro por ele autorizado, não poderia a instituição financeira ser responsabilizada, uma vez que não mais faria parte da relação de consumo em que se verificou eventual infração.

 

Tem-se, dessa forma, que os cuidados com o compartilhamento de dados serão um fator essencial para pleno desenvolvimento do open banking no Brasil, não representando, entretanto, um entrave para sua implantação.