Inquietações acerca do compartilhamento e proteção de dados frente à implementação do Open Finance e Open Insurance

A evolução constante da sociedade desperta a necessidade de formação de mecanismos que agilizem a rotina do ser humano. Foi nesse sentido que surgiu o Open Banking – ou Sistema Financeiro Aberto, que tem por objetivo principal aprimorar a oferta, pelas instituições financeiras, de produtos e serviços ao consumidor.

Implementado pela Resolução Conjunta n. 1, de 4 de maio de 2020, do Banco Central, o Open Banking visa incentivar a inovação, promover a concorrência, aumentar a eficiência do Sistema Financeiro Nacional e do Sistema de Pagamentos Brasileiro e promover a cidadania financeira. Posteriormente passou a ser chamado de Open Finance, em razão da Resolução Conjunta n. 4, de 24 de março de 2022, do Banco Central, publicada para ampliar a estratégia e abarcar dados sobre outros serviços financeiros, como de credenciamento, câmbio, investimentos, seguros e previdência. A alteração da nomenclatura também tem o condão de facilitar a compreensão por parte do público em geral.

Tal iniciativa, tomada pelo Banco Central do Brasil, também busca promover a concorrência no sistema financeiro, de modo que as instituições financeiras terão a oportunidade de oferecer propostas que entenderem mais vantajosas ao consumidor e este, por sua vez, terá total autonomia para analisar propostas e fechar o negócio.

Não muito atrás, surgiu também o Open Insurance (ou Sistema de Seguros Aberto), que, similarmente ao Open Banking, cede ao consumidor a possibilidade de permitir o compartilhamento de informações. Entretanto, no caso do Open Insurance, os dados são produtos e serviços de seguros, previdência complementar aberta e capitalização. Esse sistema, por sua vez, foi implementado pela Resolução CNSP n. 415, de 20 de julho de 2021, buscando promover o Sistema de Seguros Aberto pelas sociedades seguradoras, entidades abertas de previdência complementar e sociedades de capitalização.

O que se espera é que o cliente seja colocado em posição central e tenha autonomia para decidir se permite ou não o compartilhamento de informações entre determinadas instituições financeiras – ou no caso do Open Insurance, entre seguradoras – permitindo ou não que elas se conectem diretamente às plataformas de outras instituições participantes e acessem exatamente os dados autorizados pelo cliente. Frisa-se que será permitido o acesso exclusivamente de informações das quais o titular concedeu a permissão para compartilhamento[1].

Em um primeiro momento, esses mecanismos podem ser vistos como algo extraordinário e de grande valia ao cliente, ao sistema financeiro e ao sistema de seguros. Contudo, qualquer novidade traz consigo, ainda que de forma oculta, pontos inquietantes que não podem ser ignorados.

Ao se falar em Open Finance e Open Insurance, deve-se ter em mente que o objeto desses sistemas são justamente os dados dos clientes, os quais devem ser tratados com muita cautela. Foi exatamente em razão dessa necessidade de cuidado que o direito à proteção dos dados pessoais foi incluído como garantia fundamental na Constituição Federal, por meio da Emenda Constitucional n. 115 de 10 de fevereiro de 2022. Somente após o reconhecimento de que os dados pessoais estão protegidos expressamente pela Constituição que rege o país (art. 5, LXXIX, CF), é que lhes foi dada maior importância. Até então, muito embora houvesse alertas de que os dados seriam o “novo petróleo”, a devida importância não era dada ao assunto[2].

Algo que deve ser ponderado é a forma pela qual os dados dos clientes serão colhidos, tratados, armazenados e, por fim, compartilhados. Atrelada à evolução do sistema financeiro e de seguros está, ou ao menos deveria estar, a preocupação com a privacidade dos clientes e a necessidade de que todas essas transições ocorram da forma mais segura possível.

É nesse momento que a legislação vigente faz seu protagonismo. Nesse assunto em especial, é imprescindível a análise sobre a aplicabilidade da Lei Geral de Proteção de Dados Pessoais (Lei n. 13.709/2018), a qual regulamenta o tratamento de dados pessoais, inclusive nos meios digitais, visando também proteger os direitos fundamentais de liberdade e de privacidade, além do livre desenvolvimento da personalidade da pessoa natural.

Não se pode, simplesmente, após o consentimento do cliente, compartilhar os dados previamente captados entre instituições financeiras ou seguradoras participantes, sem que seja tomado o devido cuidado com a transferência. Existe a possibilidade de que esses dados se percam durante o caminho e sejam utilizados para finalidades distintas das quais o titular concedeu sua autorização.

A culpabilidade por esse vazamento e, ainda, potenciais danos ao titular, recairá sobre aquele que não fez o tratamento adequado, ou seja, no caso do Open Finance, a responsabilidade deverá ser suportada pela instituição financeira participante. Em relação ao Open Insurance, a responsabilidade será da seguradora participante. A Lei Geral de Proteção de Dados Pessoais indica que “os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito” (art. 46 da Lei n. 13.709/2018).

O cuidado nesse momento é crucial. Embora a Resolução Conjunta n. 1 do Banco Central disponha, na Seção III, acerca da autenticação do cliente e da instituição receptora de dados ou iniciadora de transação de pagamento, é necessário que a segurança seja reforçada com a verificação em mais de uma etapa. Nos dias atuais, não é difícil ou raro que alguém se passe por outrem a fim de obter informações pessoais do indivíduo e utilizá-las para finalidades diversas.

A título de exemplo, um dos riscos que as instituições bancárias podem enfrentar, em caso de incidentes, é o da perda de sua reputação e confiabilidade. E isso está diretamente relacionado aos desafios de segurança da Open-API, como proteção a terceiros potencialmente fraudadores, intrusão, personificação, uso ilícito de dados e manutenção da privacidade do cliente[3].

Assim como qualquer novidade, os novos sistemas despertam a curiosidade do cliente em experimentar as funcionalidades e facilidades que essas modernas ferramentas oferecem. A questão é que as novidades vêm camufladas por uma história de vida e desenvolvimento perfeita, na qual a tecnologia figura, normalmente, como a principal responsável por tornar as coisas mais fáceis, sem que, por outro lado, os possíveis riscos e consequências de seu uso indiscriminado sejam facilmente identificáveis.

Não é necessário regressar muito para se identificar uma “novidade” que trouxe consigo problemas em relação ao vazamento de dados dos usuários. É o caso do mecanismo de pagamento instantâneo Pix, criado pelo Banco Central do Brasil em 2020, que causou inquietação na grande maioria dos brasileiros. A proposta é que o cliente use uma Chave Pix para receber/efetuar transferências instantaneamente para outras contas. Essa Chave é gerada utilizando o número de telefone, CPF/CNPJ ou e-mail fornecidos pelo usuário, ou com a utilização de uma chave aleatória gerada pelo próprio aplicativo.

Desde que a tecnologia Pix começou a ser utilizada, o Banco Central já informou pelo menos três casos de vazamento de dados que, segundo o mesmo órgão, foram ocasionados por falhas nas instituições financeiras e/ou falha humana. Os principais dados vazados são telefone, CPF e e-mail, os quais são, coincidentemente, dados informados nas Chaves Pix utilizadas pela maioria da população. Nesse caso, é possível identificar a escassez de políticas públicas de conscientização do usuário que o incentivem a tomar as precauções necessárias quando do fornecimento dessas informações, e que afastem a responsabilização exclusiva das instituições financeiras (a respeito: TJSP, Apelação Cível n. 1029442-53.2021.8.26.0100; Rel.: Des. Benedito Antonio Okuno, 14.ª Câmara de Direito Privado; J. 02.08.2021).

Quando se ouve falar em Open Finance, o que chama a atenção da população em geral é a facilidade conferida ao cliente para obter propostas de instituições financeiras distintas e ter a liberdade de escolher a que mais lhe agrada. O mesmo acontece com o Open Insurance, em que o cliente poderá averiguar as propostas de seguro que lhe forem mais vantajosas. A partir do momento em que o bolso do consumidor é atingido, sobretudo em se tratando de benesses, eventuais consequências que possam surgir em razão de um consentimento súbito normalmente se tornam irrelevantes.

Na verdade, o que o consumidor busca – e com certa razão – é a proposta que mais lhe traz vantagens financeiras. A sociedade não está madura o suficiente para reconhecer a importância dos dados pessoais e a necessidade de que eles sejam preservados o máximo possível, o que faz com que os consumidores acabem por compartilhá-los desenfreadamente para obter vantagens rasas, deixando à mercê de terceiros alguns de seus direitos fundamentais, como a liberdade e a privacidade.

É mais que necessário, antes de se decidir acerca do consentimento para utilização do Open Finance e do Open Insurance, buscar a fundo informações sobre quais dados serão compartilhados, qual o mecanismo utilizado para tal partilha, bem como quais plataformas de autenticação serão utilizadas, a fim de averiguar o nível de segurança que será prestado, evitando, com isso, possíveis ciberataques às APIs, aplicativos Web e de negação de serviço distribuído (DDoS). Não se pode simplesmente aceitar o compartilhamento de seus dados pessoais, considerados atualmente alguns dos bens mais importantes relacionados à integridade dos direitos da personalidade, sem, ao menos, buscar entender para quais fins serão utilizados.

A criação de mecanismos que envolvem dados pessoais, principalmente dados sensíveis, deve estar acompanhada da conscientização aprofundada do titular, de forma esclarecedora e transparente, sem a utilização de métodos ilusórios que levam o cliente a acreditar que seu consentimento é a solução para o acesso a vantagens financeiras sedutoras. É eminentemente por essa razão que além das providências a serem tomadas pelas instituições participantes da implementação do Open Finance e do Open Insurance, mostra-se também necessária a cooperação dos titulares de dados para que tomem as devidas precauções ao fornecerem suas informações.

Micaela Mayara Ribeiro é a dvogada no escritório Medina Guimarães Advogados. Mestranda em Ciências Jurídicas na UniCesumar. Especialista em Advocacia no Direito Digital e Proteção de Dados pela EBRADI.

1] Dispõe o art. 5, § 3.º da Resolução Conjunta n. 1, de 4 de maio de 2020 do Banco Central que “É necessário obter consentimento do cliente, nos termos do art. 10, para fins do compartilhamento de dados de cadastro e de transações e de serviços de que tratam os incisos I, alíneas "c" e "d", e II, do caput, bem como dos que tratam o § 1º, no caso de dados e serviços a ele relacionados”. Disponível em: https://www.in.gov.br/web/dou/-/resolucao-conjunta-n-1-de-4-de-maio-de-2020-255165055. Acesso em: 09 mai. 2022.

[2] O termo que se refere aos dados como o recurso mais valioso do mundo atual foi utilizado pelo jornal The Economist https://www.economist.com/leaders/2017/05/06/the-worlds-most-valuableresource-is-no-longer-oil-but-data. Acesso em: 09 mai. 2022 e pelo Relatório de Indústria do Fórum Econômico Mundial. Disponível em: https://www.weforum.org/reports/data-science-in-the-new-economy-a-new-race-for-talent-in-the-fourth-industrial-revolution/. Acesso em: 09 mai. 2022.

[3] GOZMAN, Daniel. (2018). Open Banking: Emergent Roles, Risks & Opportunities. In ECIS 2018 Proceedings Association for Information Systems. AIS Electronic Library (AISeL). Disponível em: https://research-api.cbs.dk/ws/portalfiles/portal/58899604/Gozman_Hedman_Sylvest.pdf. Acesso em: 10 mai. 2022.