Entra em vigor em 2020 a Lei Geral de Proteção de Dados (LGPD) para os bancos e demais empresas que lidam com dados de usuários e os têm como ativos valiosos para seus modelos de negócios. O objetivo da lei é garantir transparência na relação entre pessoas e instituições em relação à coleta e ao tratamento dessas informações, além de garantir a segurança dos dados de titulares e o sigilo de seus cadastros.
Por isso, desde já é importante que bancos, fintechs e empresas do mercado financeiro em geral comecem a entender cada ponto do texto legal e as regras que deverão seguir, especialmente porque o segundo semestre de 2020 é a previsão de funcionamento do open banking. Será ainda mais importante ter boas práticas de tratamento de dados no futuro ambiente de um sistema com APIs abertas e integradas movimentando dados.
Veja o que a Lei 13.709, sancionada em 2018, exige das instituições para que elas possam tratar dados de seus clientes.
Quando os dados podem ser tratados
A LGPD exige que haja consentimento do titular das informações para tratamento de seus dados, e ele deve ser dado por meio de uma ação na qual entenda que seus dados serão usados e autorize o tratamento para os fins expostos.
Isso pode ser feito de algumas formas, como:
- assinatura de contrato no qual uma cláusula específica e individual deixe claro o tratamento dos dados;
- de forma escrita por iniciativa do titular das informações;
- eletronicamente, em resposta a uma pergunta da instituição ou marcação de campo de múltipla escolha.
Mesmo depois do consentimento, o titular ainda pode retirá-lo, solicitando à empresa que não faça mais o tratamento de seus dados a partir daquele momento.
Outra situação que exige cuidado com a autorização é no caso de mudança da finalidade do tratamento, quando outra autorização tem de ser obtida junto ao titular.
Existe ainda uma terceira possibilidade a ser observada: quando a pessoa apenas consente com coleta e uso de parte de suas informações, não autorizando o mesmo para outras. Então, o pedido deve ser respeitado conforme o detalhamento do titular.
Como os dados podem ser tratados
A Lei Geral de Proteção de Dados para os bancos define que o tratamento de dados engloba as seguintes ações por parte de quem os obtém:
- coleta;
- classificação e segmentação;
- processamento em sistemas internos;
- arquivamento;
- análise;
- eliminação;
- comunicação;
- difusão;
- transferência.
Ou seja, uma instituição não pode vender informações a outras corporações mesmo com o consentimento dos titulares para coleta e demais práticas de tratamento. Porém, pode cedê-las, em transferência ou difusão, a empresas do mesmo grupo e filiais se isso ficar exposto às pessoas na solicitação de consentimento e autorização.
Quais medidas de segurança e sigilo devem ser tomadas
Em suma, as instituições financeiras precisam assegurar boas práticas de tratamento de dados e protegê-los das variadas ameaças cibernéticas às quais seus sistemas podem ser expostos. Algumas medidas exigidas pelo Banco Central (Bacen) e pela LGPD são:
- autenticação para acessos aos sistemas;
- criptografia de informações;
- segmentação de redes de trabalho;
- prevenção contra vazamentos de dados;
- medidas preventivas periódicas para varredura de sistemas e diagnósticos de performance e segurança;
- recursos de detecção de intrusos em bancos de dados e redes;
- ferramentas de proteação contra arquivos e programas maliciosos;
- realização de cópias de segurança.
Esses e outros tópicos precisam ser absorvidos por diferentes setores e seus gerentes para que recebam a devida atenção dentro das estratégias empresariais, como governança corporativa, plano de contingência em TI e código de ética empresarial.
O que significam outros termos da LGPD
Tratamento de dados é o termo mais utilizado, e ao qual mais se dá atenção nesse contexto, mas existem outros também importantes e que devem ser corretamente interpretados em tarefas internas e bem utilizados nas ações de comunicação com os titulares das informações coletadas. São eles:
- dado sensível: é chamado dessa forma porque refere-se a questões como orientação religiosa ou sexual, etnia, filiação sindical ou política, saúde, genética e biometria. Não são classificadas como sensíveis informações cadastrais mais comuns, como nome completo, CPF, RG e endereço;
- controlador: é a instituição que trata os dados e toma decisões sobre eles — respeitando os limites de consentimento do titular;
- operador: é o responsável pelo tratamento dos dados e que terá contato direto com eles, como profissionais do setor de análise de crédito e da área de marketing.
Por exemplo, um banco que esteja no guarda-chuva de uma holding deve deixar claro se o controlador será apenas ele ou a holding em si.
Qual é a relação entre open banking e LGPD
O open banking tem como base a integração de APIs em uma plataforma para padronizar uma camada de tecnologia na qual os dados de usuários podem ser inseridos. Dessa forma, os clientes podem levar as suas informações para onde quiserem e as instituições podem utilizá-las para oferecer produtos e serviços e em demais operações.
Como esse sistema aberto lida diretamente com os dados dos titulares, ponto central da Lei Geral de Proteção de Dados para os bancos, os assuntos têm relação. Portanto, o desenvolvimento do open banking no Brasil, que está em processo de implantação, já observa regras e exigências dessa legislação. Logo, as instituições participantes do sistema também deverão obrigatoriamente atentar às práticas exigidas para estarem dentro dele.
Tendo isso em vista, o Bacen já divulgou as suas diretrizes para o sistema bancário aberto no país. Veja o que diz o Comunicado 33.455 sobre compliance e a LGPD para as instituições que pretendem participar do open banking.
