Na última quarta-feira (09 de outubro), a Cedro Technologies realizou a transmissão ao vivo do webinar “Open Banking e as Legislações de Dados Pessoais: a mudança na Europa e as perspectivas para o Brasil”. Com 68 minutos de duração, os participantes comentaram sobre as principais mudanças e como as empresas já devem se adaptar às exigências da legislação.
A mediação do webinar foi feita por Adriano Ignatti, consultor de negócios da Cedro Technologies focado em processos de compliance, KYC, PLD e mais. Confira quem foram os três convidados para participar da transmissão:
- Andrea de Oliveira, Profª universitária, advogada e Doutoranda em Direito e Relações Internacionais.
- Marcelo Bradaschia, COO (Diretor de Operações) da Torq e co-fundador do portal fintechlab.com.br.
- Herivelton Martins, arquiteto de soluções, agile coach e Product Owner do Cedro.
Confira o webinar na íntegra:
Neste artigo, compilamos algumas das principais questões que surgiram durante a transmissão do webinar, levantadas pelos espectadores na transmissão ao vivo pelo canal do YouTube da Cedro Technologies. Confira:
Fernanda Carvalho – A autorização dos dados, pelos usuários, permite quais condutas das empresas conforme a lei geral de proteção de dados?
Andrea – A LGPD fala em tratamento de dados e eu imagino que a sua pergunta está se referindo ao consentimento deste tratamento, manifestado pelo usuário. Bom, entendendo dessa forma, aquele que vai deter os dados do usuário, na verdade, tem direito a fazer o tratamento de dados. Tratamento de dados é tudo que a lei coloca, um leque muito grande do que pode ser feito com os dados do usuário, por exemplo: coleta, utilização, distribuição, armazenamento, modificação, extração, produção, acesso, distribuição, eliminação, comunicação, recepção, reprodução, processamento, avaliação, transferência, transmissão, arquivamento, controle e difusão. Isso quer dizer que o verbo “tratar” está com um leque extenso de subconceitos pela Lei Geral de Produção de Dados.
Talvez seja uma medida em que o usuário venha a consentir com uma dessas formas e não consentir com outra. Mas, se for um consentimento com relação ao tratamento de dados, engloba todas essas subdivisões.
Gustavo Meireles – Entende-se então que o Open Banking passa a ser uma base legal para os bancos em relação às novas legislações?
Andrea – Sua pergunta é ótima porque nós não temos como dar uma resposta com absoluta certeza. O Banco Central está trabalhando muito em cima do Open Banking. É importante lembrar que o Open Banking é uma sequência da Lei Geral de Proteção de Dados. Durante a transmissão do webinar, foi deixado muito que claro que a implementação do Open Banking no Brasil se dará após a LGPD estar em vigor, inclusive a fiscalização das empresas quanto ao seu cumprimento.
Mas sim, vai servir de base para nortear todas as suas futuras decisões. O Bacen seguirá com várias fases de implementação e não apenas uma única etapa. E isso tem sido dito por seus diretores em todas as suas manifestações. Portanto, todas as novas orientações sobre bancos, possivelmente, estarão lastreadas em todo o Open Banking.
Lucas Entz – Por exemplo: apenas em armazenar na nuvem Azure, já estarei eu, como empresa de TI, adequado?
Marcelo – Não. Gravar informações na nuvem não garante qualquer aderência à LGPD. Pelo contrário, por envolver mais um terceiro, é necessário garantir que ele esteja aderente às normativas para não ter uma questão adicional de risco.
Carlos Collo – Como deve ser tratada a questão da eliminação dos dados quando solicitada pelo cliente? Uma vez que a Receita Federal e outras instituições exigem o armazenamento desses dados por vários anos.
Andrea – Olha, você tocou num ponto excelente. Porque, realmente, não é um caso apenas da Receita Federal. Vamos levantar também a hipótese dos médicos (com prontuários médicos, por exemplo). Esses profissionais são obrigados a armazenar e guardar com um período de tempo longo. Nesses casos, o titular de dados pode exigir o armazenamento sem nenhum processamento ou manipulação de dados. Você colocou muito bem: o tratamento de dados é tudo: coleta, utilização, reprodução, compartilhamento… Quando o usuário diz: “não quero mais” ou “eu quero que apague”, é um direito dele exigir que seja apagado de todas as bases de armazenamento. Nesses casos, que são exceção como o da Receita Federal e de prontuários médicos, não irão apagar. Por que não irão? Porque terão a base legal que é exatamente o cumprimento de determinação legal. Então o que eles farão? Armazenamento. A diferença é que esse armazenamento deve ser como que um arquivo-morto, que é uma base, seja de informática, de papel ou por pasta, não interessa como, que não venha a ser utilizada ou manuseada por ninguém. Então é só isso que irá ser alterado. O que hoje fica guardado e que pode às vezes ser consultado por alguém, após agosto de 2020, caso o titular manifeste esse desejo e aqueles que detém os dados não possam eliminá-los, deve ser feito de maneira que seja armazenado sem qualquer manuseio e sem acesso por ninguém.
Carolina Matias – O fato do tratamento de dados, quando por fintechs, algumas vezes ser por disposição do art. 7, II da LGPD, não exclui a questão da necessidade de consentimento?
Andrea – Você colocou o que realmente temos que deixar bem claro para todos: a sua pergunta demonstra que isso deve ser muito bem repetido para que todos entendam. O artigo 7 vem demonstrar quais são as bases legais para o tratamento de dados. E você colocou muito bem quando ressaltou o inciso II, que é para o comprimento de obrigação legal ou regulatória do controlador. Esse, na verdade, é quando o controlador ou o operador vão ter que manter os dados daquele titular, independente de vontade. Então, o consentimento é outra base legal. Quando médicos devem guardar os prontuários, quando a Receita Federal deve guardar todos os dados fiscais de declaração, é independente do meu consentimento. A diferença é que hoje esses dados podem ser guardados, compartilhados, reproduzidos, entre tantas outras coisas.
Com a vigência da LGPD, em agosto de 2020, isso não poderá mais ser feito. Se o usuário manifestar que não quer mais que seus dados não sejam mais utilizados, reproduzidos… Esses dados continuarão armazenados com base no artigo 7, inciso II, como você colocou, mas não podem ser manipulados por ninguém. Ficam separados em arquivo e só podem ser usados em razão da lei, de uma exigência legal. Agora, o consentimento pode existir nesse sentido. O usuário vai ter que manifestar dessa forma. Mas não quer dizer que o consentimento altere o artigo 7, inciso II.
João Victor Vieira Doreto – Como se dará a relação entre os banco quando um titular suscitar o direito ao esquecimento? A solicitação será repassada a todos os bancos ou ficará vinculada ao CPF/CNPJ?
Andrea – O seu questionamento ainda não está bem definido pelo Banco Central. Nós esperamos que, quando tivermos as diretrizes sobre Open Banking no primeiro semestre de 2020, essa resposta e algumas outras sejam solucionadas. Então, vou responder você como base em como está ocorrendo na Europa. O direito ao esquecimento se pauta, principalmente em determinadas situações em que não há possibilidade de se ter eliminação total dos dados. Até porque, principalmente na parte financeira, isso pode significar um risco maior ainda do que o cumprimento da lei de proteção de dados. Então, o melhor a se fazer realmente é preservar o direito do esquecimento, ou seja, a não manipulação desse dados e que eles fiquem unicamente armazenados. Bom, na Europa ainda não está totalmente implementado, apesar da Inglaterra, por exemplo, estar muito avançada. Como será um sistema financeiro aberto, essas diretrizes têm que ficar claras para todos. Uma comunicação individualizada seria muito perigosa também pois pode ser que tenha alguém que possa ser identificado, não ser comunicado. Então, o melhor a se fazer é se restringir ao próprio titular, através do seu elemento identificador, como o CPF ou CNPJ.
Alberto Caeiro – Uma pergunta: somente as instituições que estão registradas no Bacen terão acesso ao Open Banking num primeiro momento?
Herivelton – Apesar de ainda não ter formalmente esta definição para o Brasil, se ocorrer de forma semelhante ao que foi para o Open Banking Europe, as instituições participantes deverão se registrar em alguma entidade que irá regular o Open Banking. Ainda não sabemos se será diretamente o BC ou algum outro criado especificamente para isso. Também temos que ter em mente que agora além dos Bancos temos terceiros ou TPPs, e outras empresas que desejam se registrar. Estas, de toda forma, devem se cadastrar nos bancos em que desejam consumir suas APIs. Veja um exemplo no Santander de Portugal!
Marcus Empresa – Sendo assim, poderiam dar um exemplo prático de como empresas de serviços ou varejo deverão proceder a fim de atender a LGPD com eficiência?
Andrea – De maneira prática: para empresa de serviços, temos que pensar o passado, o presente e o futuro. Ao passado, você tem que detectar e mapear todos os dados que você tem. E quando eu digo todos os dados, digo todos que estão em contratos, por exemplo. O que você pega: nome, CPF, endereço, estado civil? O que você tem de terceiros? Você é o controlador. Você compartilhou esses dados com alguém? Você deve primeiramente pensar em todos esses aspectos. Após esse mapeamento, é preciso ver como você fará esse tratamento. Se essas pessoas, com quem você negociou, chegarem no seu estabelecimento pedirem pra saber qual a base de dados, como e onde está armazenado, de que maneira (por nuvem, por pendrive, por papel) e pedirem, inclusive, a eliminação desses dados, você precisa estar com tudo pronto. Esse é um ponto que é prático e é urgente. Porque as multas serão dadas em razão dessa situação.
Agora nós temos que pensar presente e futuro. Presente e futuro serão os novos contratos que você irá firmar. Essas são mais fáceis de se adaptar porque o grande problema é realmente o passado, o que já tem. Agora os próximos, você já começa a ter uma base para armazenar. Tudo é feito através de contratos no papel? Através de contratos eletrônicos? De que maneira você faz isso? Você pode armazenar aqueles que são por consentimento numa determinada base, se é que você tem alguma por consentimento. E outras que são armazenadas para cumprimento de obrigações, em razão de contrato, você deve buscar alguma base do artigo 7, da lei 13.709. Então, você deve se organizar nesse sentido. Mas não se esqueça: quem tem que fazer isso é uma pessoa que deve ser contratada por todos, de empresas pequenas, médias e grandes, que é o chamado encarregado ou DPO (Data Protection Officer). Essa pessoa é que vai ter que fazer isso, porque se a fiscalização chegar, vão procurar quem é esse responsável por todo o mapeamento e tratamento de dados na sua empresa. E tem que existir essa pessoa.
Resumindo, então, na prática, você deve fazer o tratamento dos dados que você já tem e organizar para o presente e o futuro.
Gilberto Bragança – Os contratos de serviços já existentes deverão ser aditados ou aditivados para adequação a legislação? Qual a melhor forma de proceder?
Andrea – Sua pergunta é muito importante. Vamos colocar da seguinte forma: nós temos que, nesse instante, antes de agosto de 2020, ter dois focos. Um que é, realmente, o de todos os contratos já existentes e outro que serão os próximos contratos a serem firmados.
Não há necessidade de aditar contratos já existentes. No entanto, o tratamento é obrigatório. É preciso mapear e analisar todos os dados que já foram colhidos. Assim, é preciso buscar uma base de armazenamento, de acordo com o artigo 7. É preciso definir de que forma é armazenado e manipulado, definindo uma base correta. Se o titular pedir para eliminar os dados, esse é um direito. Na Europa, o prazo para deletar é de poucas horas (não são dias ou semanas). É preciso garantir as bases devem ser mantidas e quais devem ser excluídos.
Se você já fez esse trabalho de mapeamento e definição de armazenamento dos contratos já existentes, eu recomendaria que isso ficasse disponível junto com um novo contrato para que você possa apresentar para o titular como esse processo está sendo feito.
Nos novos contratos, é preciso já estabelecer claramente para o titular dos dados: de que maneira, onde e até quando estarão armazenados.
Anderson Delmondes – No que tange LGPD, quando efetivamente a ANPD começará a fiscalizar as instituições? Teremos um prazo adicional para adequação?
Andrea – A Agência Nacional de Proteção de Dados (ANPD) irá fazer a fiscalização exatamente quando que a lei entrar em vigor. Sua pergunta é muito importante. Na Europa, no primeiro dia de fiscalização já houve mais de € 30 milhões em multas. Isso aconteceu porque todos estavam entendendo que poderiam regularizar, estar em conformidade, com uma extensão de prazo. E não foi o que ocorreu. Também não será aqui. No Brasil, já tivemos uma extensão: antes era de 18 meses, agora é de 24 meses. Eu falo isso sempre: ninguém está se atentando. Nós já ultrapassamos mais de 14 meses, então temos um prazo inferior a um ano e muitas pessoas e empresas não conhecem nem o teor da legislação.
Em suma, a fiscalização começa no primeiro dia em que estará vigorando a Lei Geral de Proteção de Dados, em 14 de agosto de 2020. Neste dia, a ANPD já pode fazer autuações. Não haverá extensão desse prazo.
Fernanda Carvalho – A LGPD diz no seu artigo 5, XIV, sobre a eliminação e exclusão de dados, independente do procedimento. Como devem proceder as pessoas físicas para que certifiquem-se que seus dados não serão usados?
Andrea – A eliminação dos dados pessoais a pedido do titular é, realmente, um direito que ele terá e que deveria ter há muito tempo, né. Na verdade, ele só entra nas exceções quando entra nas regras de dados que devem ser guardados em razão de prazo prescricional, determinação legal, entre outras coisas… Mas tirando essas hipóteses, o titular pode solicitar a eliminação. Como ele terá certeza disso? É preciso documentar. O pedido de eliminação não deve ser verbal, até porque ele deve ter um documento que comprove. Caso o usuário exija a eliminação e o controlador dos dados tenha que fazer e não o faça, tem que existir essa prova. Caso isso venha a ser manipulado, transferido ou compartilhado com terceiros, esses dados continuem seus fluxos, por exemplo, independentemente da vontade do usuário, isso irá corresponder ao vazamento de dados. E vazamento de dados terão as consequências da Lei Geral de Dados de Proteção de Dados, que serão todas as incidências de multas, mas também não afasta as outras consequências de outros ordenamentos jurídicos. Podemos ter efeitos criminais, responsabilidade civil, reparação de danos, indenizatórios… então não fica apenas na LGPD. Ela é apenas para sanções e multas. Por isso, tudo deve ser documentado, por escrito, entregue para o usuário e o negócio deve cumprir a vontade do titular dos dados.
Ralph Wesley Baitinga Macedo da Silva – Open Banking não estaria criando um mercado de commodities dos serviços financeiros, e com isso, beneficiando ainda mais os bancos grandes, que conseguiriam menores margens na monetização de APIs?
Herivelton – Esse processo de monetização ainda será discutido pelo BC. Porém, muito provavelmente, o Brasil adotará o mesmo modelo Europeu onde a maior parte das APIs obrigatoriamente são gratuitas. Podendo existir planos premium para outras interfaces ou por consumo maior das APIs.
O sistema bancário aberto do PSD2 exige que o acesso a todas as ‘Contas Transacionais’ seja fornecido pelos IFs aos TPPs gratuitamente.
A FCA define uma conta transacional no manual da FCA como ‘Conta de pagamento’ e uma conta de pagamento é definida no regulamento 2 da FCA como: “uma conta mantida em nome de um ou mais usuários do serviço de pagamento usada para a execução de transações de pagamento”
Várias contas ficam fora do regulamento bancário aberto do PSD2 (por exemplo, contas de financiamentos, contas de investimento etc.). Se um IF oferecer APIs para essas contas bancárias abertas não PSD2, chamadas APIs Premium, ele poderá cobrar TPPs pelo acesso a elas.
Elvisley Souza – Dentro das soluções como iremos tratar a questão da granularidade dos dados? Ex: Para a empresa X eu quero liberar o acesso somente do nome e sobrenome, já para empresa Y quero liberar todos os dados.
Herivelton – Caso a empresa utilize o gerenciamento de consentimento, ela poderá no momento de cadastro ou de login, demonstrar para o usuário os dados aos quais deseja ter acesso essa informação é armazenada no serviço de Federal de Identity (semelhante ao processo quando usamos o login do google em diferentes serviços e cada um solicita acesso às informações do usuário de forma diferente).
Ralph Wesley Baitinga Macedo da Silva – Não seria o principal diferencial dos menores bancos justamente a criação de experiências de usuário diferenciadas e com o Open Banking esse diferencial deixaria de existir?
Herivelton – Sim, o UX pode ser um grande diferencial para os pequenos bancos, porém, temos que nos lembrar que novos players como prestadores de serviços e fintechs já existem e vão surgir serviços que vão além da estrutura de relacionamento entre cliente e o banco. Podendo, por exemplo, agregar informações de várias contas em um só lugar.
Com o surgimento desses novos serviços só o UX não irá suprir todas estas barreiras.
Continue acompanhando a nossa série de webinars!
Este webinar foi o segundo da nossa série sobre Compliance e LGPD. Inscreva-se no nosso canal do YouTube e continue acompanhando as redes sociais da Cedro Technologies: Facebook, LinkedIn e Instagram. Logo mais, teremos notícias sobre as próximas transmissões ao vivo.