Inquietações acerca do compartilhamento e proteção de dados frente à implementação do Open Finance e Open Insurance
Micaela Mayara Ribeiro
A evolução constante da sociedade
desperta a necessidade de formação de mecanismos que agilizem a rotina do ser
humano. Foi nesse sentido que surgiu o Open Banking – ou Sistema Financeiro
Aberto, que tem por objetivo principal aprimorar a oferta, pelas instituições
financeiras, de produtos e serviços ao consumidor.
Implementado pela Resolução Conjunta n.
1, de 4 de maio de 2020, do Banco Central, o Open Banking visa incentivar a
inovação, promover a concorrência, aumentar a eficiência do Sistema Financeiro
Nacional e do Sistema de Pagamentos Brasileiro e promover a cidadania
financeira. Posteriormente passou a ser chamado de Open Finance, em razão da
Resolução Conjunta n. 4, de 24 de março de 2022, do Banco Central, publicada
para ampliar a estratégia e abarcar dados sobre outros serviços financeiros,
como de credenciamento, câmbio, investimentos, seguros e previdência. A
alteração da nomenclatura também tem o condão de facilitar a compreensão por
parte do público em geral.
Tal iniciativa, tomada pelo Banco
Central do Brasil, também busca promover a concorrência no sistema financeiro,
de modo que as instituições financeiras terão a oportunidade de oferecer
propostas que entenderem mais vantajosas ao consumidor e este, por sua vez,
terá total autonomia para analisar propostas e fechar o negócio.
Não muito atrás, surgiu também o Open
Insurance (ou Sistema de Seguros Aberto), que, similarmente ao Open Banking,
cede ao consumidor a possibilidade de permitir o compartilhamento de
informações. Entretanto, no caso do Open Insurance, os dados são produtos e
serviços de seguros, previdência complementar aberta e capitalização. Esse
sistema, por sua vez, foi implementado pela Resolução CNSP n. 415, de 20 de
julho de 2021, buscando promover o Sistema de Seguros Aberto pelas sociedades
seguradoras, entidades abertas de previdência complementar e sociedades de capitalização.
O que se espera é que o cliente seja
colocado em posição central e tenha autonomia para decidir se permite ou não o
compartilhamento de informações entre determinadas instituições financeiras –
ou no caso do Open Insurance, entre seguradoras – permitindo ou não que elas se
conectem diretamente às plataformas de outras instituições participantes e
acessem exatamente os dados autorizados pelo cliente. Frisa-se que será
permitido o acesso exclusivamente de informações das quais o titular concedeu a
permissão para compartilhamento[1].
Em um primeiro momento, esses mecanismos
podem ser vistos como algo extraordinário e de grande valia ao cliente, ao
sistema financeiro e ao sistema de seguros. Contudo, qualquer novidade traz consigo,
ainda que de forma oculta, pontos inquietantes que não podem ser ignorados.
Ao se falar em Open Finance e Open
Insurance, deve-se ter em mente que o objeto desses sistemas são justamente os
dados dos clientes, os quais devem ser tratados com muita cautela. Foi
exatamente em razão dessa necessidade de cuidado que o direito à proteção dos
dados pessoais foi incluído como garantia fundamental na Constituição
Federal, por meio da Emenda Constitucional n. 115 de 10 de fevereiro de 2022.
Somente após o reconhecimento de que os dados pessoais estão protegidos
expressamente pela Constituição que rege o país (art. 5, LXXIX, CF), é que lhes
foi dada maior importância. Até então, muito embora houvesse alertas de que os
dados seriam o “novo petróleo”, a devida importância não era dada ao assunto[2].
Algo que deve ser ponderado é a forma
pela qual os dados dos clientes serão colhidos, tratados, armazenados e, por
fim, compartilhados. Atrelada à evolução do sistema financeiro e de seguros
está, ou ao menos deveria estar, a preocupação com a privacidade dos clientes e
a necessidade de que todas essas transições ocorram da forma mais segura
possível.
É nesse momento que a legislação vigente
faz seu protagonismo. Nesse assunto em especial, é imprescindível a análise
sobre a aplicabilidade da Lei Geral de Proteção de Dados Pessoais (Lei n.
13.709/2018), a qual regulamenta o tratamento de dados pessoais, inclusive nos
meios digitais, visando também proteger os direitos fundamentais de liberdade e
de privacidade, além do livre desenvolvimento da personalidade da pessoa
natural.
Não se pode, simplesmente, após o
consentimento do cliente, compartilhar os dados previamente captados entre
instituições financeiras ou seguradoras participantes, sem que seja tomado o
devido cuidado com a transferência. Existe a possibilidade de que esses dados
se percam durante o caminho e sejam utilizados para finalidades distintas das
quais o titular concedeu sua autorização.
A culpabilidade por esse vazamento e,
ainda, potenciais danos ao titular, recairá sobre aquele que não fez o
tratamento adequado, ou seja, no caso do Open Finance, a responsabilidade
deverá ser suportada pela instituição financeira participante. Em relação ao
Open Insurance, a responsabilidade será da seguradora participante. A Lei Geral
de Proteção de Dados Pessoais indica que “os agentes de tratamento devem adotar
medidas de segurança, técnicas e administrativas aptas a proteger os dados
pessoais de acessos não autorizados e de situações acidentais ou ilícitas de
destruição, perda, alteração, comunicação ou qualquer forma de tratamento
inadequado ou ilícito” (art. 46 da Lei n. 13.709/2018).
O cuidado nesse momento é crucial.
Embora a Resolução Conjunta n. 1 do Banco Central disponha, na Seção III, acerca
da autenticação do cliente e da instituição receptora de dados ou iniciadora de
transação de pagamento, é necessário que a segurança seja reforçada com a
verificação em mais de uma etapa. Nos dias atuais, não é difícil ou raro que
alguém se passe por outrem a fim de obter informações pessoais do indivíduo e
utilizá-las para finalidades diversas.
A título de exemplo, um dos riscos que
as instituições bancárias podem enfrentar, em caso de incidentes, é o da perda
de sua reputação e confiabilidade. E isso está diretamente relacionado aos
desafios de segurança da Open-API, como proteção a terceiros potencialmente
fraudadores, intrusão, personificação, uso ilícito de dados e manutenção da
privacidade do cliente[3].
Assim como qualquer novidade, os novos
sistemas despertam a curiosidade do cliente em experimentar as funcionalidades
e facilidades que essas modernas ferramentas oferecem. A questão é que as
novidades vêm camufladas por uma história de vida e desenvolvimento perfeita, na
qual a tecnologia figura, normalmente, como a principal responsável por tornar
as coisas mais fáceis, sem que, por outro lado, os possíveis riscos e
consequências de seu uso indiscriminado sejam facilmente identificáveis.
Não é necessário regressar muito para se
identificar uma “novidade” que trouxe consigo problemas em relação ao vazamento
de dados dos usuários. É o caso do mecanismo de pagamento instantâneo Pix,
criado pelo Banco Central do Brasil em 2020, que causou inquietação na grande
maioria dos brasileiros. A proposta é que o cliente use uma Chave Pix para
receber/efetuar transferências instantaneamente para outras contas. Essa Chave
é gerada utilizando o número de telefone, CPF/CNPJ ou e-mail fornecidos pelo
usuário, ou com a utilização de uma chave aleatória gerada pelo próprio
aplicativo.
Desde que a tecnologia Pix começou a ser
utilizada, o Banco Central já informou pelo menos três casos de vazamento de
dados que, segundo o mesmo órgão, foram ocasionados por falhas nas instituições
financeiras e/ou falha humana. Os principais dados vazados são telefone, CPF e
e-mail, os quais são, coincidentemente, dados informados nas Chaves Pix
utilizadas pela maioria da população. Nesse caso, é possível identificar a
escassez de políticas públicas de conscientização do usuário que o incentivem a
tomar as precauções necessárias quando do fornecimento dessas informações, e
que afastem a responsabilização exclusiva das instituições financeiras (a
respeito: TJSP, Apelação Cível n. 1029442-53.2021.8.26.0100; Rel.: Des.
Benedito Antonio Okuno, 14.ª Câmara de Direito Privado; J. 02.08.2021).
Quando se ouve falar em Open Finance, o
que chama a atenção da população em geral é a facilidade conferida ao cliente
para obter propostas de instituições financeiras distintas e ter a liberdade de
escolher a que mais lhe agrada. O mesmo acontece com o Open Insurance, em que o
cliente poderá averiguar as propostas de seguro que lhe forem mais vantajosas.
A partir do momento em que o bolso do consumidor é atingido, sobretudo em se tratando
de benesses, eventuais consequências que possam surgir em razão de um
consentimento súbito normalmente se tornam irrelevantes.
Na verdade, o que o consumidor busca – e
com certa razão – é a proposta que mais lhe traz vantagens financeiras. A
sociedade não está madura o suficiente para reconhecer a importância dos dados
pessoais e a necessidade de que eles sejam preservados o máximo possível, o que
faz com que os consumidores acabem por compartilhá-los desenfreadamente para
obter vantagens rasas, deixando à mercê de terceiros alguns de seus direitos
fundamentais, como a liberdade e a privacidade.
É mais que necessário, antes de se
decidir acerca do consentimento para utilização do Open Finance e do Open
Insurance, buscar a fundo informações sobre quais dados serão compartilhados,
qual o mecanismo utilizado para tal partilha, bem como quais plataformas de
autenticação serão utilizadas, a fim de averiguar o nível de segurança que será
prestado, evitando, com isso, possíveis ciberataques às APIs, aplicativos Web e
de negação de serviço distribuído (DDoS). Não se pode simplesmente aceitar o
compartilhamento de seus dados pessoais, considerados atualmente alguns dos
bens mais importantes relacionados à integridade dos direitos da personalidade,
sem, ao menos, buscar entender para quais fins serão utilizados.
A criação de mecanismos que envolvem
dados pessoais, principalmente dados sensíveis, deve estar acompanhada da
conscientização aprofundada do titular, de forma esclarecedora e transparente,
sem a utilização de métodos ilusórios que levam o cliente a acreditar que seu
consentimento é a solução para o acesso a vantagens financeiras sedutoras. É
eminentemente por essa razão que além das providências a serem tomadas pelas
instituições participantes da implementação do Open Finance e do Open
Insurance, mostra-se também necessária a cooperação dos titulares de dados para
que tomem as devidas precauções ao fornecerem suas informações.
Micaela Mayara Ribeiro é a dvogada no
escritório Medina Guimarães Advogados. Mestranda em Ciências Jurídicas na
UniCesumar. Especialista em Advocacia no Direito Digital e Proteção de Dados
pela EBRADI.
1]
Dispõe o art. 5, § 3.º da Resolução Conjunta n. 1, de 4 de maio de 2020 do
Banco Central que “É necessário obter consentimento do cliente, nos termos do
art. 10, para fins do compartilhamento de dados de cadastro e de transações e
de serviços de que tratam os incisos I, alíneas "c" e "d",
e II, do caput, bem como dos que tratam o § 1º, no caso de dados e serviços a
ele relacionados”. Disponível em:
https://www.in.gov.br/web/dou/-/resolucao-conjunta-n-1-de-4-de-maio-de-2020-255165055.
Acesso em: 09 mai. 2022.
[2]
O termo que se refere aos dados como o recurso mais valioso do mundo atual foi
utilizado pelo jornal The Economist
https://www.economist.com/leaders/2017/05/06/the-worlds-most-valuableresource-is-no-longer-oil-but-data.
Acesso em: 09 mai. 2022 e pelo Relatório de Indústria do Fórum Econômico
Mundial. Disponível em:
https://www.weforum.org/reports/data-science-in-the-new-economy-a-new-race-for-talent-in-the-fourth-industrial-revolution/.
Acesso em: 09 mai. 2022.
[3] GOZMAN, Daniel. (2018). Open Banking: Emergent Roles, Risks & Opportunities. In ECIS 2018 Proceedings Association for Information Systems. AIS Electronic Library (AISeL). Disponível em: https://research-api.cbs.dk/ws/portalfiles/portal/58899604/Gozman_Hedman_Sylvest.pdf. Acesso em: 10 mai. 2022.
Nenhum comentário