Aposta ousada
"Tudo muda o tempo todo no mundo", canta Lulu Santos em "Como uma onda no mar". E a mais nova "onda" chama-se open banking (ou sistema bancário aberto, em Português), que deve transformar, em breve, a vida dos brasileiros. O banco de dados bancários compartilhados entre várias instituições (bancos e fintechs) foi idealizado pelo Banco Central e está sendo implementado desde fevereiro. No ano que vem, os cidadãos já poderão autorizar que seus dados financeiros sejam acessados pelos participantes da iniciativa. O objetivo é estimular a competitividade e permitir que os consumidores adquiram serviços em diferentes instituições financeiras sem precisar informar todos os seus dados novamente. Por exemplo, será possível ter conta corrente no banco A, cartão de crédito no banco B e empréstimo no banco C.
Para ajudar você a entender melhor como funciona essa nova estrutura e no que é preciso ficar atento – já que ela envolve compartilhamento de dados pessoais –, conversamos, por telefone, com o especialista em direitos digitais Rafael Zanatta.
RAFAEL ZANATTA é Diretor da Associação Data Privacy Brasil de Pesquisa. É mestre pela Faculdade de Direito da Universidade de São Paulo (USP) e pela Universidade de Turim (Direito e Economia), e doutorando pelo Instituto de Energia e Ambiente da USP. É membro da Rede Latino-americana de Estudos sobre Vigilância, Tecnologia e Sociedade (Lavits) e do Instituto Brasileiro de Responsabilidade Civil (Iberc). Foi líder do programa de Telecomunicações e Direitos Digitais do Idec, de 2015 a 2019, e participou ativamente da construção da Lei Geral de Proteção de Dados Pessoais.
Como você definiria o open banking?
Rafael Zanatta: Open banking é a ideia de interoperabilidade de dados no sistema financeiro para expansão dos mercados de tecnologia e informação em finanças.
E como ele vai afetar a vida dos consumidores? Podemos começar pelos pontos positivos.
RZ: O primeiro ponto positivo é o fato de o open banking se apoiar na premissa de que o dado é do cidadão, do titular. Isso é muito importante, porque rompe com a ideia de que os dados financeiros são dos bancos. Isso é acertadíssimo. O segundo ponto positivo é a possibilidade de fomentar o mercado de mais de 300 fintechs que já atuam no Brasil, dinamizando o mercado. Porque a interoperabilidade entre vários atores econômicos grandes e pequenos vai permitir que o consumidor tenha produtos e serviços financeiros em diferentes instituições. Assim, num cenário de competição, esses agentes vão ter de oferecer condições e inovações significativas que beneficiem o cliente. E o terceiro ponto é o maior controle sobre os próprios dados por meio dessa plataforma de interoperalibilidade e constante negociação dos dados, já que o consumidor poderá controlar, de seu computador ou celular, as empresas que acessam suas informações.
E os pontos negativos?
RZ: Existe uma preocupação muito grande com a cobrança de taxas. Essa ideia de interoperabilidade, ou seja, um conjunto compartilhado de dados que várias fintechs vão poder acessar, é custosa em termos de desenvolvimento de plataforma, de mudanças de sistemas internos. O temor é que esses custos sejam repassados ao consumidor. Se o Banco Central (BC) não for rigoroso em relação a isso, exigindo que os bancos, que têm rendas bilionárias e lucros extraordinários, internalizem esse custo social (que faz parte de sua atividade econômica), eles vão fazer todas as jogadas possíveis para deslocar esse custo para o consumidor final, fazendo com que ele suporte o investimento no open banking. Isso é completamente inadmissível pela perspectiva da justiça e equidade.
Outro problema ainda não resolvido é a segurança da informação. O BC tem demonstrado preocupação, desde 2019, sobre como ele vai garantir que a API [tecnologia que permitirá o compartilhamento de dados entre bancos e outras instituições financeiras de forma segura, padronizada e integrada] seja segura, que essa estrutura de dados interoperáveis acessados por vários agentes econômicos garanta um grau mínimo de prevenção de danos e siga protocolos e padrões específicos de rotinas e procedimentos para evitar que os dados sejam mal utilizados, mal armazenados, fiquem vulneráveis e vazem. Isso remete a algumas "guerras" do passado, como o caso Bradesco-Guia Bolso, que o Idec acompanhou de perto em 2017 e 2018. O ataque que o Bradesco fazia ao Guia Bolso, que tinha o consentimento do cliente para fazer a duplicação das informações e operar o aplicativo, era que ele colocava em risco os dados dos clientes e a reputação do Bradesco. Naquele momento, não foi identificado um risco alto que pudesse de fato amparar a acusação do Bradesco. Mas isso acendeu o alerta dentro do BC para instrumentalizar esse regramento, com critérios de segurança da informação e condutas.
Como toda novidade, o open banking vai gerar muitas dúvidas. O que é essencial que os consumidores saibam sobre seu funcionamento?
RZ: O BC terá de trabalhar para informar e orientar os brasileiros. Os Estados Unidos têm, além do órgão regulador do sistema financeiro – focado em finanças e política monetária –, uma entidade reguladora do sistema financeiro com enfoque no consumidor (ela foi criada em 2008, no primeiro governo de Barack Obama). O Reino Unido também criou uma unidade de proteção ao consumidor dentro do órgão responsável pela regulação do sistema financeiro. Isso precisa ser feito no Brasil. O open banking vai exigir do BC um foco muito maior no consumidor do que ele tem dado nos últimos anos. O BC fez um trabalho muito precário com relação ao PIX. Basta ver a explosão de golpes e lesões aos consumidores. E ele não reagiu à altura, não criou um botão de pânico, um sistema de paralisação de transferências falsas.
Primeiramente, o consumidor tem de saber que há um cronograma de implementação de um sistema bancário aberto e que existe a intenção de se fazer o compartilhamento de dados de clientes com o consentimento dele a partir de julho de 2021.
Ele também precisa saber que estará diante de um sistema que terá de respeitar a Lei Geral de Proteção de Dados (LGPD) – o BC fala o tempo inteiro que apoia a LGPD e que entende que o consentimento é uma regra prioritária no tratamento de dados.
Quando entrarmos na fase mais complexa de implementação, com o compartilhamento dos dados, o consumidor precisará ser cauteloso, com uma desconfiança saudável no começo. Porque se no início de 2021 houve um surto de ataques e golpes via PIX, não há motivos para acreditarmos que não acontecerá com o open banking. Isso porque, ao mesmo tempo em que facilita o sistema bancário, ele intensifica o grau de vulnerabilidade dos dados, criando um novo mercado para criminosos. E esses riscos não foram devidamente pensados nem explicados para a população.
Vai ser importante acompanhar de perto os critérios de segurança e os padrões tecnológicos que serão estipulados e editados por meio de normas e resoluções. E tentar traduzi-los para os cidadãos, para que eles entendam, participem e questionem. Organizações como o Idec, na medida do possível, têm de estar na linha de frente representando os interesses coletivos.
E quais são os critérios para que um agente econômico possa integrar o open banking?
RZ: O BC determinou os critérios considerando o patrimônio de diferentes agentes econômicos (grandes bancos, cooperativas de crédito e fintechs). Ele vai exigir uma documentação de ingresso e o cumprimento de critérios de seguranca da informação, além de capacidade de acessar a API. Para entrar vão precisar ter canais de atendimento específicos para atender aos clientes, por exemplo.
Esses critérios foram estabelecidos por meio de uma consulta pública em 2019. E depois eles editaram algumas resoluções sobre como os participantes indicam seus representantes para o Conselho Deliberativo, composto de membros da Febraban [Federação Brasileira de Bancos], das associações de bancos, de cooperativas. Ou seja, os próprios agentes econômicos participam do estabelecimento das regras, mas nesse conselho não há espaço para os representantes do consumidor. Eles ouvem mais os integrantes do sistema do que as pessoas afetadas pelo open banking.
Quem se responsabilizará pelos dados dos consumidores?
RZ: O BC vai estipular os critérios. A Resolução 109, de junho de 2021, por exemplo, define o máximo de consentimento que um agente econômico vai poder obter, os tipos de interface de dados etc. Mas ainda é muito cedo para dizer quais são essas regras, pois o BC está ouvindo os agentes interessados para aprimorar a resolução. Também é preciso determinar as punições pelo descumprimento sistemático às regras, com o descadastramento do agente econômico, excluindo-o da plataforma. O BC vai ser como um porteiro, que autoriza quem pode operar. Isso evidentemente não vai impedir um consumidor que seja lesado, que perceber que houve uma fraude, de ajuizar uma ação num Juizado Especial Cível [JEC], para uma reparação por danos morais individuais, aplicando o Código de Defesa do Consumidor (CDC), porque se trata de uma relação de consumo. A empresa vai tentar aplicar o artigo 43 da LGPD, que exclui a responsabilidade, mas o juiz não pode cair nessa. É a teoria integral do risco – se a empresa opera e tem ciência do risco, ela assume a responsabilidade, de acordo com a LGPD.
Os consumidores estão amparados pelo Código de Defesa do Consumidor e pela Lei Geral de Proteção de Dados, certo?
RZ: Sim. O artigo 6º da LGPD informa os princípios de segurança (inciso 7o) e prevenção (inciso 8º), que são importantíssimos e aplicados a praticamente todas as questões do open banking. O artigo 42 diz respeito ao controlador, que por uma ação ou omissão gera um dano individual ou coletivo, moral ou patrimonial, violando a LGPD. Ele é obrigado a reparar o consumidor. E o 44 fala de tratamento irregular de dados pessoais, quando o controlador – que no caso do open banking é a fintech ou o banco – não fornece a segurança que o usuário espera, e realiza algo de modo arriscado. Os artigos 42 e 44 se complementam na tese da responsabilidade objetiva em atividades de risco. Eles têm de ser lidos junto com o artigo 6º. Essa é a base jurídica para formular um pedido de indenização.
Já o artigo 45 afirma que a toda relação de consumo se aplica o CDC. Tem gente que vai dizer que existe uma responsabilidade por defeito, como se o tratamento irregular dos dados fosse uma espécie de defeito, de acordo com o artigo 14. É uma tese interessante e não está longe de ser pacificada, pois ainda vamos enfrentar muitos testes nas Cortes.
O artigo 44 da LGPD é parecido com o 14 do CDC, ao prever que o fornecedor de serviços tem de reparar os danos causados ao consumidor independentemente de culpa, quando há algo defeituoso ou que oferece riscos ao consumidor. E aqui não seria segurança física, como tomar um choque no chuveiro ou o airbag explodir, mas defeito informacional.
Alguns países já implementaram ou estão implementando o open banking. Como está sendo a experiência deles?
RZ: Em alguns países que estão operando um projeto piloto, como Austrália, Singapura e Reino Unido, um problema que tem acontecido é que na medida em que se tem uma plataforma de interoperabilidade aberta, cresce significativamente os ataques de crime organizado, porque essa infrarestrutura compartilhada chama a atenção: os criminosos atacam uma única plataforma, em vez de múltiplas infraestruturas privadas.
Aqui no Brasil, o projeto piloto será concluído em 2022, e ainda não saiu nenhuma pesquisa específica que mostre como o BC está estruturando a API contra invasões, se tem algo que demonstre a capacidade de conter esses ataques. Mas as notícias que temos das entidades que avaliaram o projeto de outros países são bem preocupantes.
Saiba mais
Veja o cronograma de implementação, entre outras informações, em "Tudo o que você precisa saber sobre o open banking": https://bit.ly/2UuN1fZ.