Temas Atuais de Proteção de Dados - Ed. 2020

Capítulo 4. Privacidade e Proteção de Dados na Indústria Financeira

Entre no Jusbrasil para imprimir o conteúdo do Jusbrasil

Acesse: https://www.jusbrasil.com.br/cadastro

Autor:

ALAN CAMPOS ELIAS THOMAZ

Advogado e coordenador das áreas de Proteção de Dados e Cybersecurity, Tecnologia e Propriedade Intelectual no Mattos Filho Advogados, onde atuou nos últimos 10 anos. Assessora empresas nacionais e internacionais em questões relacionadas à privacidade, proteção de dados e segurança cibernética, incluindo implementação de projetos de adequação ao General Data Protection Regulation (GDPR) e à Lei Geral de Proteção de Dados (LGPD), regulação de novas tecnologias e aplicações de internet, tecnologia da informação, serviços em nuvem e e-commerce, negociação de contratos, proteção de ativos de propriedade intelectual, entre outros assuntos. É bacharel em Direito pela Universidade Presbiteriana Mackenzie, pós-graduado em Propriedade Intelectual e Novos Negócios pela Fundação Getulio Vargas (FGV), mestre em Direito dos Negócios pela FGV e mestrando (LLM) em Law, Science and Technology pela Stanford Law School. Membro do advisory board da Associação Internacional de Profissionais de Privacidade (IAPP), da Câmara Internacional de Comércio (ICC) e da Associação Brasileira da Propriedade Intelectual (ABPI). Certificado pela IAPP como especialista em legislação europeia de proteção de dados (CIPP/E) e em gestão de programas de privacidade (CIPM), também foi reconhecido como Fellow of Information Privacy (FIP) pela IAPP. É professor e autor de livros e artigos sobre privacidade, proteção de dados e cybersecurity, tecnologia e propriedade intelectual, disponíveis em: www.linkedin.com/in/alanthomaz. athomaz@stanford.edu ou alanthmz@hotmail.com

1. Introdução

O presente artigo tem por objetivo apresentar o impacto das regras relativas à privacidade e proteção de dados pessoais aplicáveis às instituições do setor financeiro.

Como ocorreu em diversas indústrias, o setor financeiro foi objeto de profunda evolução tecnológica. Não me refiro apenas às novas tecnologias aplicadas à forma de atendimento de clientes (caixas eletrônicos, on-line banking, mobile baking etc.), mas à gestão da informação financeira destes que se torna matéria-prima para novos avanços e aprimoramento dos serviços financeiros.

Ao longo das últimas décadas, as informações esparsas e mantidas em papel foram substituídas por bases de dados eletrônicas e incluídas em aplicativos hospedados na nuvem, de modo a permitir a perenidade da informação, a facilidade de acesso e o cruzamento de dados, trazendo para essa indústria um novo horizonte e imprimindo um novo dinamismo.

Assistimos, no Brasil e no mundo, uma proliferação de empresas que aplicam tecnologias de ponta na criação de sistemas de inteligência e análises de mercado (data analytics) com inúmeras finalidades e aplicações no setor financeiro. Hoje, o setor conta com as denominadas fintechs, empresas que aliam serviços financeiros e tecnologia (seja de tratamento de dados ou outras).

A análise sistemática de base de dados que reúne informações de clientes pode trazer benefícios incalculáveis a toda a coletividade e alterar a forma como o serviço é prestado, por exemplo, com a identificação de padrões comportamentais para avaliar perfis de maior ou menor risco de crédito, o reconhecimento de perfis de consumo para oferta customizada e individualizada de produtos e serviços, a elaboração de índices precisos sobre potencial risco de inadimplência e a prevenção à fraude, somente para citar alguns.

No entanto, conforme veremos adiante, esse tipo de atividade deve andar em paralelo com o direito à privacidade e à proteção dos dados pessoais dos usuários desses serviços. O crescimento exponencial no armazenamento de dados pessoais em sistemas informatizados traz, automaticamente, uma maior exposição de tais dados a um incidente de segurança, além de tornar mais fácil a eventual utilização não autorizada de tais informações.

Assim, verificamos uma evolução bastante significativa nas normas que visam regulamentar o uso e proteger informações e dados pessoais contra uso e/ou divulgação não autorizada, entre outros riscos de segurança da informação. A cada dia verificamos uma maior importância no cumprimento das regras de proteção de dados pessoais e segurança da informação por todos os stakeholders que atuam na área financeira, sejam eles bancos, corretoras, instituições de pagamento ou ainda terceiros que atuem em parceria com estes. Como veremos adiante, tais regras podem exigir não somente o consentimento do indivíduo para que este tenha seus dados coletados, mas também a contínua adoção de procedimentos de segurança e políticas corporativas que visem assegurar o correto tratamento de dados dentro das corporações.

Por esse e outros motivos, em 2018 foi aprovada a Lei Geral de Proteção de Dados (Lei nº 13.709/2018 ou “LGPD”), que regulamenta a utilização de dados pessoais por organizações no Brasil. A LGPD dá robustez às regras de tratamento de dados pessoais no setor financeiro, que anteriormente tinha como principais marcos regulatórios no tema o Código de Defesa do Consumidor (Lei nº 8.078/1990), a Lei de Sigilo Bancário (Lei Complementar nº 105/2001 ou “LC 105/2001”) e o Marco Civil da Internet (Lei nº 12.965/2014), regras de aplicação setorial e de alcance limitado. Adicionalmente, também em 2018 foi publicada a Resolução do Conselho Monetário Nacional (“CMN”) nº 4.658/2018 e a Circular nº 3.909/2018, que trouxe a obrigatoriedade de implementação de uma política de segurança cibernética por parte das instituições financeiras e instituições de pagamento, respectivamente. Além disso, a recente atualização da Lei do Cadastro Positivo (Lei Complementar nº 166/2019) passou a permitir a inclusão automática de indivíduos na base de dados do cadastro positivo, ampliando a relevância dessa base de dados para o sistema financeiro nacional. Por fim, há um movimento importante no setor para o desenvolvimento do sistema bancário aberto, denominado popularmente como Open Banking, que tem como fundamento central a facilitação do compartilhamento e acesso aos dados pessoais. Recentemente, foi publicada pelo Banco Central do Brasil a Circular nº 4.015 e, em conjunto com o CMN, a Resolução Conjunta nº 1, que regulamentam como será implementado o Open Banking no Brasil.

Como se pode notar, nos últimos anos tivemos um aumento significativo de normas que visam regulamentar o uso de dados pessoais no âmbito do sistema financeiro. Sem a pretensão de esgotar a matéria neste breve estudo, será analisado o regime jurídico que hoje rege alguns aspectos relevantes de privacidade e a proteção de dados pessoais no setor financeiro no Brasil.

2. Big Data e dados anonimizados no setor financeiro

Como se sabe, aumenta a cada dia a quantidade de dados capturados nos processos que envolvem o sistema financeiro, seja sob a forma de transações financeiras por meios eletrônicos, solicitações de serviços, análises de comportamento, dados sobre histórico de consumo de produtos e serviços, entre outros. A coleta eletrônica desses dados tem possibilitado a criação de bancos de dados significativamente robustos. Esse fenômeno vem sendo denominado Big Data, em referência ao armazenamento de um grande número de dados por sistemas informatizados.

A análise inteligente dessa quantidade massiva de dados é feita pelo que se denominou, na indústria de tecnologia, data mining ou “mineração de dados”, a qual revela tendências, comportamentos, probabilidades e estatísticas de grande valor para os stakeholders e mesmo para o Poder Público, na elaboração de políticas públicas (por exemplo, determinação da taxa-base de juros). Ferramentas de mineração de dados podem responder de forma muito mais eficiente e rápida a perguntas que tradicionalmente levariam anos ou décadas para serem respondidas de modo convencional.

Assim, as grandes bases de dados digitais oferecem uma incrível oportunidade de examinar as tendências que vão mudar fundamentalmente a relação entre as instituições financeiras e seus clientes, ou como produtos e serviços na área financeira podem ou devem ser oferecidos.

Aparentemente, há um interesse público relevante e justificável quanto à inclusão de dados anonimizados nessas bases, ou seja, aqueles que não podem ser associados a uma pessoa determinada ou determinável, de modo a contribuir para o aprimoramento de serviços e também do sistema financeiro como um todo. Com a anonimização de dados e a garantia de que esse processo dissociativo não possa ser revertido, não nos parece haver qualquer afronta ao direito à privacidade, particularmente ao que dispõe a LGPD e/ou ao dever de sigilo bancário estabelecido na LC 105/2001.

3. Proteção e sigilo de dados financeiros no Brasil

3.1. Panorama geral

Os direitos de privacidade e proteção de dados são resguardados como um direito fundamental dos indivíduos, nos termos da Constituição Federal Brasileira: 1

Artigo 5º: Todos são iguais perante a lei, sem distinção de qualquer natureza, garantindo-se aos brasileiros e aos estrangeiros residentes no País a inviolabilidade do direito à vida, à liberdade, à igualdade, à segurança e à propriedade, nos termos seguintes: [...]

X - são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação; [...]

Além da Constituição Federal, o Código Civil brasileiro também reconhece e reforça a ideia de que a privacidade é inerente à personalidade do indivíduo, ao estabelecer 2 que tal direito é inalienável e irrenunciável e não pode ser voluntariamente limitado. 3

3.2. Código de Defesa do Consumidor

O CDC estabeleceu alguns direitos e obrigações referentes à coleta de dados de indivíduos no âmbito de uma relação de consumo, característica da relação entre instituições financeiras e seus clientes. Os principais aspectos/direitos de privacidade e de gestão de banco de dados, segundo o CDC, são:

• o armazenamento de dados pessoais do consumidor (criação de banco de dados) deve ser informado ao consumidor sempre que ele não solicitar expressamente a inclusão no banco de dados;

• os bancos de dados do consumidor (principalmente classificações de crédito realizadas por empresas independentes) não manterão perfil de crédito negativo por mais de 5 anos;

• ao consumidor sempre será concedido o direito de solicitar a imediata retificação de seus dados, o que deve ser feito e informado ao consumidor no prazo de 5 (cinco) dias a contar da data do pedido; e

• bancos de dados de consumidores com classificações de crédito são considerados entidades públicas e, como tal, as informações precisam ser mantidas devidamente atualizadas.

3.3. Marco Civil da Internet

O Marco Civil da Internet foi promulgado em 2014, trazendo certos direitos e obrigações relacionados à proteção e privacidade de dados, no caso de informações coletadas pela internet. O Marco Civil da Internet estabelece, por exemplo, que para possibilitar a coleta de dados, o titular dos dados deve consentir de forma prévia e expressa. Além disso, ele deve ser informado, de forma clara e completa sobre a coleta, uso, armazenamento, tratamento e proteção de seus dados pessoais, os quais somente poderão ser utilizados para finalidades 4 que: (a) justificaram sua coleta; (b) não sejam vedadas pela legislação; e (c) estejam especificadas nos contratos de prestação de serviços ou em termos de uso de aplicações de internet (i.e. as Políticas de Privacidade). Assim, as Políticas de Privacidade devem descrever de forma bastante completa a forma pela qual a coleta, uso e tratamento de dados serão realizados.

Os dados coletados devem ser mantidos em sigilo, observadas as diretrizes de segurança impostas pelo Decreto 8.771/2016 5 . Os provedores de aplicação (i.e., aquele que fornece uma aplicação de internet, como site ou aplicativo) são obrigados a guardar registros de conexão à internet pelo prazo mínimo de seis meses.

3.4. Lei Geral de Proteção de Dados

Com a aprovação da LGPD, em 15 de agosto de 2018, o Brasil passou a ter uma lei que regulamenta de forma abrangente como as organizações passarão a utilizar dados pessoais no Brasil. A LGPD impõe uma profunda transformação no sistema de proteção de dados brasileiro, em boa medida alinhada com o Regulamento Geral de Proteção de Dados na União Europeia (“GDPR”) 6 .

Organizações públicas e privadas de todos os setores estão sujeitas à LGPD, e isso inclui instituições financeiras, instituições de pagamento, corretoras, fintechs e demais organizações do setor financeiro. A LGPD regulamenta não só a coleta e tratamento de dados nas relações dessas organizações com clientes e parceiros de negócio, no ambiente digital ou fora dele, mas também a coleta e uso de dados pessoais no âmbito de suas relações com empregados. Assim, novos desafios terão que ser enfrentados para cumprir com os requisitos previstos na LGPD, na concepção e na oferta de produtos e serviços ao consumidor, incluindo, por exemplo, a análise e concessão de crédito.

A LGPD tem como objetivo regular os “dados pessoais”. Esses são definidos como qualquer informação relacionada à pessoa natural identificada ou identificável. Ficam fora do escopo dessa lei, portanto, os dados relacionados a pessoas jurídicas. Qualquer informação que possa ser relacionada a um indivíduo, já identificado ou passível de identificação, pode ser considerada como um dado pessoal. Assim, informações de cadastro, perfil...

Uma experiência inovadora de pesquisa jurídica em doutrina, a um clique e em um só lugar.

No Jusbrasil Doutrina você acessa o acervo da Revista dos Tribunais e busca rapidamente o conteúdo que precisa, dentro de cada obra.

  • 3 acessos grátis às seções de obras.
  • Busca por conteúdo dentro das obras.
Ilustração de computador e livro
jusbrasil.com.br
20 de Janeiro de 2022
Disponível em: https://thomsonreuters.jusbrasil.com.br/doutrina/secao/1207548512/capitulo-4-privacidade-e-protecao-de-dados-na-industria-financeira-temas-atuais-de-protecao-de-dados-ed-2020