Open Finance & LGPD: erros que sua Fintech não pode cometer ao compartilhar dados

O Open Finance, que corresponde ao desdobramento do Open Banking, assunto que já tratamos aqui e aqui, foi lançado pela Comissão Monetária Nacional (CMN) com a aprovação da Resolução Conjunta nº 4, tendo como intuito reforçar o Sistema Financeiro Aberto (SFA) e facilitar o compartilhamento de dados e informações relacionados aos serviços financeiros.

Em relação aos benefícios do Open Finance para as Fintechs, já tratamos deste assunto aqui, abarcando a possibilidade de compartilhamento de dados do crédito rural, o acesso a mais informações e a segurança na troca de informações.

As Fintechs participantes do Open Finance sujeitam-se ao cumprimento das normas estabelecidas em conjunto pela CMN e pelo Banco Central do Brasil (Bacen ou BCB). Além disso, como se trata do compartilhamento de dados e informações de clientes, também será importante adequar-se em relação à Lei Geral de Proteção de Dados (LGPD), já tratamos aqui quanto ao Open Banking e LGPD.

Neste artigo abordaremos a respeito dos principais erros que a sua Fintech não poderá cometer ao compartilhar os dados e informações de seus clientes no Open Finance.

1. CONSENTIMENTO PARA O COMPARTILHAMENTO

O primeiro erro que a sua Fintech não pode cometer ao realizar o compartilhamento de dados dos clientes é fazê-lo sem o respectivo consentimento específico.

Uma vez que o usuário se encontra enquadrado como titular de seus dados pessoais, será imprescindível o seu consentimento para o compartilhamento das suas informações bancárias com as outras Fintechs participantes do Open Finance.

Também é importante ter em mente que o consentimento não é vitalício, o período de duração será de no máximo 12 (doze) meses, após este período é possível que o usuário autorize novamente.

No momento em que a sua Fintech solicitar o consentimento para o compartilhamento de dados dos consumidores, deverá levar em consideração os seguintes pontos:

1. Utilização de linguagem clara e adequada;

2. Apresentação das instituições participantes do Open Finance;

3. Quais dados e serviços serão compartilhados;

4. Período de validade do consentimento;

5. Data de requisição do consentimento;

6. Especificação da finalidade pela qual os dados serão compartilhados.

Por fim, o consentimento deve ser colhido do usuário exclusivamente de maneira eletrônica, sendo vedado a sua obtenção através de contrato de adesão ou de formulário com opção de aceite previamente preenchida.

2. REVOGAÇÃO DO CONSENTIMENTO

É importante que a sua Fintech esclareça aos clientes a respeito da possibilidade de revogação, a qualquer momento, do consentimento anteriormente concedido.

Dessa maneira, será necessário disponibilizar ao consumidor, no mesmo canal de atendimento eletrônico em que foi concedido o consentimento, um processo ágil e simples para operar a respectiva revogação.

A sua Fintech estará descumprindo a LGPD caso não ofereça a possibilidade de revogação do consentimento a qualquer momento.

3. PROTEÇÃO E SEGURANÇA DOS DADOS PESSOAIS E INFORMAÇÕES COMPARTILHADAS

O Open Finance é um sistema bastante seguro, mas não se pode descartar a possibilidade de vazamento de dados pessoais. Por isto é importante que a sua Fintech não cometa o erro de deixar de lado os procedimentos e controles internos que visam mitigar o risco de vazamento e incidentes de segurança, que estão atrelados ao crescimento dos índices de criminalidade cibernética. 

Com este objetivo, é importante que a Fintech aplique o privacy by design (privacidade desde a concepção). Nesta metodologia a proteção de dados pessoais será realizada desde o início de um processo, produto ou projeto, neste caso seria o compartilhamento das informações viabilizado pelo Open Finance.

Também é importante que a Fintech aplique o privacy by default, que tem como objetivo o estabelecimento de procedimentos padronizados para verificar a proteção de dados nas atividades desenvolvidas nas empresas, ou seja, será determinado quais procedimentos serão seguidos como padrão no dia a dia para garantir a proteção dos dados compartilhados no Open Finance.

4. DESIGNAÇÃO DO DIRETOR RESPONSÁVEL PELO COMPARTILHAMENTO

Semelhante a figura do Encarregado de Dados Pessoais (DPO, também conhecido como “Data Protection Office”), que é a pessoa responsável por atuar como um canal de comunicação entre o controlador dos dados, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD), foi criado a figura do Diretor Responsável pelo Compartilhamento (DRC).

O DRC será o diretor designado pelas Fintechs participantes do Open Finance como  responsável pelo compartilhamento de dados pessoais e informações.

Dessa forma, a sua Fintech não pode cometer o erro de iniciar o compartilhamento de dados sem que tenha designado o DRC, vez que a Resolução Conjunta nº 1 do Bacen e CMN estabelece que este diretor ficará responsável pela elaboração de relatório semestral contendo detalhes sobre o compartilhamento de dados via Open Finance.

Além disso, neste relatório deverá conter informações a respeito das demandas do canal de atendimento e dos eventuais incidentes de segurança registrados pela Fintech.

CONCLUSÃO

Dito isso, a participação da sua Fintech trará inúmeras vantagens para o seu crescimento e fortalecimento do mercado de negócios no mercado financeiro, para isto será bastante importante observar, não só a regulamentação específica trazida pelo Bacen e pela CMN, mas também os princípios e políticas para o tratamento adequado de dados pessoais com base na LGPD. 

Caso a sua Fintech esteja participando ou se programando para participar do Open Finance, é importante que esteja amparada de Advogados Especializados em Fintechs e Proteção de Dados Pessoais para orientação e acompanhamento do correto compartilhamento e tratamento de dados pessoais no Open Finance.

Por Júlia Logrado Gomes