Ao falar sobre a importância da LGPD pensada para o sandbox regulatório, é importante, inicialmente, definir o que é sandbox.

1. O que é Sandbox?

De forma resumida, sandbox é uma plataforma de testes onde podem ser testadas as aplicações de uma solução sem que haja alteração ou interferência no ambiente em si. Ou seja, é possível que os desenvolvedores executem todas as funcionalidades de forma experimental, com o intuito de garantir o bom funcionamento, prevenindo bugs e erros que podem vir a prejudicar o sistema e até mesmo a empresa, tendo em vista que a depender do dano ocasionado, tal situação pode implicar na reputação do negócio perante o mercado. Também é possível o desenvolvimento de novas funções e, por se tratar desse tipo de ambiente, a equipe de desenvolvimento já testa o funcionamento e a aplicabilidade.

Por se tratar de um ambiente de teste, busca-se utilizar dados fictícios, sendo que os reais dados da empresa não são utilizados, de modo que possam estar protegidos. Além disso, no sandbox é possível abrir arquivos suspeitos e/ou executar softwares não confiáveis, o que acaba tornando-o também como uma proteção contra possíveis ameaças e ataques cibernéticos.

2. Qual a diferença entre Sandbox e Sandbox Regulatório?

Em se tratando de Sandbox Regulatório, essa é uma iniciativa que permite que instituições possam testar produtos ou serviços com clientes reais, estando essas instituições autorizadas ou ainda não pelo Banco Central, desde que cumpram alguns requisitos regulatórios específicos.

A CVM concede uma autorização temporária e condicionada para o desenvolvimento de tais inovações em atividades já regulamentadas no mercado de capitais, recebendo ainda orientação da própria Comissão de Valores Mobiliários. É importante salientar que há limitações que são impostas e que podem variar de um participante para o outro, como perfil de cliente atendido, número máximo de clientes, etc.

Em se tratando de fintechs, o Sandbox Regulatório é um excelente aliado, haja vista que facilita a conformidade e regulamentação em conjunto com o rápido desenvolvimento dessas, de modo que o cliente segue seguro. Além disso, há a questão de favorecer os investimentos.

3. Mas afinal, qual a relação entre o Sandbox Regulatório e a LGPD?

A aplicação desse tipo de sandbox não está restrita às fintechs e a área de finanças, podendo ser implementado para a proteção de dados.

Com isso, seria possível fazer testes dos produtos e serviços antes deles entrarem no mercado, analisando possíveis riscos que venham a ocorrer quanto ao tratamento de dados pessoais e garantindo que softwares e plataformas já seriam disponibilizados seguindo os conceitos de privacy by design e privacy by default.

4. Segurança da Informação e Sandbox Regulatório

Algumas pesquisas, como a realizada pela empresa Salt Security, indicam um aumento expressivo em 2021 nos ataques às APIs, que em tradução para português, API se trata de “Interface de Programação de Aplicação”, ou seja, permite que dois sistemas distintos estejam integrados entre si, compartilhando, por exemplo, dados.

Diante disso, tendo em vista que as APIs são soluções presentes em Sadbox Regulatórios, é fundamental que se pense a respeito da segurança da informação e dos dados pessoais, com o intuito de que esses não sejam expostos.

Além das partes que envolvem a equipe de desenvolvimento, é importante que outras medidas sejam tomadas, ter um programa de compliance e governança em proteção de dados pessoais, realizar uma análise de riscos de Segurança da Informação, elaborar Políticas de Segurança da Informação.

Ainda, é primordial que haja controle de acesso, com o intuito de averiguar quem são as possíveis pessoas que tiveram acesso ao sistema e, consequentemente, aos dados. Outro ponto importante e já citado anteriormente, é com relação ao privacy by design e privacy by default, que devem ser observados e seguidos.

No caso de Fintechs, há também a necessidade de elaboração de política de segurança cibernética, conforme Resolução CMN n.º 4.893 de 26/02/2021. Além disso, na Resolução da CVM n.º 29, de 11 de maio de 2021, estão explicitados itens que são observados como critérios mínimos a serem cumpridos para participação no sandbox regulatório, dentre eles, no item V, há: “[...] a) proteção contra ataques cibernéticos e acessos lógicos indevidos a seus sistemas; b) produção e guarda de registros e informações, inclusive para fins de realização de auditorias e inspeções; e c) prevenção à lavagem de dinheiro e ao financiamento do terrorismo;[...]”. Dentre as informações que devem constar na proposta, é preciso constar “[...] IV – análise dos principais riscos associados à sua atuação, incluindo aqueles relativos: a) à segurança cibernética; b) ao tratamento de dados pessoais; e c) à prevenção à lavagem de dinheiro e ao financiamento do terrorismo;[...]”.

Conclusão

Todo e qualquer negócio precisa estar atento à LGPD e seguir medidas que garantam a proteção de dados pessoais. Com as fintechs não é diferente.

Como é possível perceber, dentre as situações que devem ser observadas quando do momento do negócio se inscrever no Sandbox Regulatório na CVM, há itens relacionados à tratamento e proteção de dados pessoais e a LGPD, o que torna a adequação uma necessidade essencial. Caso contrário, há o risco de perder uma grande oportunidade, não apenas para o desenvolvimento da fintech, quanto também para ela perante o mercado.

Diante de tais obrigações e necessidades, é importante que a fintech possua uma assessoria jurídica especializada no assunto e nas suas particularidades, para que, quando oportunidades de tal porte apareçam, ela não corra o risco de perdê-las por não estar devidamente adequada.

Por Ana Luiza da Silveira