O que é Open Banking, como funciona e onde nos encontramos quanto a isso no Brasil?
1. Uma resposta rápida e um caminho complexo
Open Banking, de forma resumida, pode ser entendido como um movimento que vem sendo acompanhado por regulamentações no mundo todo para transformar o funcionamento tradicional do sistema financeiro, cujo objetivo é permitir que tecnologias seguras possam acessar dados financeiros[1] dos consumidores, tornando o mercado mais competitivo e, via de consequência, beneficiando os consumidores com novos produtos e serviços de maior eficiência tecnológica e operacional.
É importante mencionarmos algumas premissas sem as quais o Open Banking não existe: (1) dados têm valor, principalmente na sociedade contemporânea; (2) o consumidor é titular de seus próprios dados[2] e, por isso, detém o poder de decisão quanto ao que ocorre com eles; (3) dados referentes a operações financeiras de consumidores são privados e sigilosos, nos termos da Lei Complementar nº 105/2001; (4) possuir dados sigilosos significa, além de responsabilidade, uma enorme oportunidade de entender o perfil dos consumidores e poder ofertar produtos e serviços com base em padrões identificados; e (5) o setor financeiro sempre foi severamente regulado e restrito, o que determinou a concentração desse mercado por poucas e grandes instituições financeiras que por muito tempo foram os únicos a terem acesso aos dados bancários dos consumidores.
É bem verdade que o Open Banking inaugura uma nova fase em termos de concorrência, pois abre espaço para um mercado que ainda não era explorado, além de munir os consumidores de maiores informações permitindo que tenham opções e possam escolher de maneira mais informada dentro de um mercado mais competitivo.
Além disso, esse novo movimento também abre espaço para desenvolvimento de novas tecnologias, não só como forma de oferecer produtos e serviços inovadores, mas como meio de lidar com o outro lado do Open Banking que também gera preocupações, sendo isso a manutenção da segurança da informação e prevenção de incidentes de segurança dentre outros ataques.
Dados financeiros são informações altamente protegidas pelo nosso sistema, como pela Lei Complementar nº 105, de 10 de janeiro de 2001 (“Lei do Sigilo Bancário”), assim como, por diversas outras jurisdições. É por isso e por tantos outros motivos que o mercado financeiro é um setor tão regulamentado. Acesso às informações dos consumidores feito de maneira segura parece promover ganhos para a sociedade, contudo, é preciso cautela. Abrir as informações dos consumidores de maneira desordenada pode trazer graves consequências às pessoas que têm suas informações roubadas assim como à economia popular.
Com base nisso, o presente artigo fará uma breve exposição do que está acontecendo na União Europeia e no Reino Unido e finalizará com breves comentários quanto ao caso brasileiro.
Assim como ocorreu com o Regulamento Geral sobre Proteção da Dados da União Europeia (“GDPR”), a União Europeia (“UE”) também foi precursora no assunto de regulamentação de Open Banking e serviços de pagamento.[3] No que se refere ao Open Banking e a serviços de pagamento, a UE optou por legislar utilizando Diretivas. A norma vigente sobre o assunto é a Diretiva UE 2015/2366[4] também conhecida como a Diretiva de Serviços de Pagamento Revisada ou simplesmente “PSD2”. Ela não só alterou outras normas europeias como revogou a Diretiva 2007/64/EC que tratava sobre o assunto, uma vez que o sistema de pagamentos se tornou mais complexo e moderno com o passar dos anos, exigindo disposições que atentassem para as novas tecnologias garantindo segurança jurídica a estes produtos e serviços inovadores. Ao final da PSD2 existe um quadro comparativo que informa o conteúdo correspondente entre ela e a Diretiva 2007/64/EC (revogada).
Trata-se de uma norma bastante extensa (aproximadamente 100 páginas) a qual abordaremos de maneira superficial, apenas com o intuito de apresentar o tema.
Em seus “considerandos” a PSD2 diz:
“A evolução continuada de um mercado interno integrado de pagamentos eletrônicos seguros é fundamental para apoiar o crescimento da economia da União e para garantir que os consumidores, os comerciantes e as empresas podem usufruir da escolha e da transparência dos serviços de pagamento a fim de tirarem pleno partido do mercado interno.” [5]
O excerto demonstra de maneira clara o objetivo por trás da norma. A maior parte do seu conteúdo de fato é dedicado a regulamentar os serviços de pagamento, não apenas aspectos ligados ao seu funcionamento, mas também à responsabilização, solução de conflitos, proteção de dados, etc.
A diretiva visa também abrir o mercado de pagamentos da UE a empresas que oferecem serviços, especificamente de dois tipos:[6]
- serviços de informação sobre contas: os quais permitem que o consumidor do serviço tenha uma visão maior sobre sua situação financeira e uma melhor gestão das suas finanças pessoais, podendo, inclusive, sugerir produtos e serviços financeiros mais adequados com base naquele padrão identificado; e
- serviços de iniciação de pagamentos: os quais dão aos consumidores a possibilidade de pagarem as suas compras por simples transferência de crédito, ao mesmo tempo que oferecem aos vendedores a garantia de que o pagamento foi iniciado para que se possa proceder à venda. Isso faz com que tecnologias de terceiros tenham acesso à conta do consumidor permitindo pagamentos.
Em ambos os casos, é preciso ter acesso à conta ou aos dados financeiros do consumidor, uma vez que, sem estes, a operação é impossível. É quanto a isso que a Diretiva é inovadora, uma vez que ela obriga as instituições detentoras de informações a fornecerem os dados financeiros dos consumidores à terceiros se assim for solicitado por eles, exigindo consentimento explícito para tal.[7] Prever essa obrigação aos bancos faz com que eles tenham que adaptar seus sistemas para fornecer os dados se assim quiser o titular da conta.
O Reino Unido levou a regulamentação sobre Open Banking para um outro patamar. Em 2016, a Autoridade de Concorrência e Mercado ou Competition and Markets Authority (“CMA”) em inglês, fez um estudo que demonstrou que bancos grandes e mais antigos não tinham que competir muito por consumidores enquanto novos bancos tinham muita dificuldade em acessarem o mercado e crescerem.[8]
Para poder promover o Open Banking de forma organizada foi criada em 2016 pela CMA uma organização chamada Entidade de Implementação de Open Banking ou Open Banking Implementation Entity (“OBIE”) em inglês. Ela é gerida pela CMA e por nove dos maiores bancos do Reino Unido.[9]
As suas principais atribuições são[10]:
- Projetar as especificações para APIs que os bancos e outras entidades usam para fornecer com segurança o Open Banking;
- Dar suporte às entidades que fazem parte do mercado de Open Banking;
- Criar padrões de segurança;
- Produzir diretrizes para os participantes do ecossistema do Open Banking; e
- Definir o processo de gerenciamento de disputas e reclamações.
Vale mencionar que no Reino Unido existe uma certificação necessária para que terceiros possam receber dados financeiros de consumidores. Isso significa que não é qualquer fintech ou empresa de serviços que pode ser destinatária destes dados. Isso permite ao Estado uma fiscalização quanto a quais empresas têm condições de tratarem dados sem colocar em risco a privacidade ou segurança dos consumidores.
Para que esta transmissão de dados seja viabilizada de forma segura é comum que sejam usadas Interfaces de Programação de Aplicativos (do inglês, “API”). Essas ferramentas permitem que haja troca de informações entre os bancos e as fintechs, seguradoras e outras empresas de produtos e serviços financeiros. As APIs funcionam como tomadas em que os pinos precisam ser compatíveis para que possa haver fluxo de energia entre a tomada e o aparelho, só que nesse caso, ao invés de energia estamos lidando com a transmissão de dados. Vale mencionar que a padronização das APIs é um desafio que deve ser superado, uma vez que a falta de padronização inviabiliza o Open Banking e por isso, alguns países abordam esta questão na hora de regulamentar o tema.
2. Open Banking no Brasil
Seguindo a tendência internacional, o Brasil também adentrou no debate sobre Open Banking.
Apesar de ainda não haver regulamentação específica sobre o tema, algumas leis e resoluções brasileiras servem como bom ponto de partida para pensar no desenvolvimento seguro dessa tecnologia. É o caso, por exemplo, da Lei do Sigilo Bancário, e da Resolução nº 3401, do Banco Central do Brasil. A primeira prevê em seu artigo 1º, §3º, I e V, que não se considera quebra do dever de sigilo:
“I – a troca de informações entre instituições financeiras, para fins cadastrais, inclusive por intermédio de centrais de risco, observadas as normas baixadas pelo Conselho Monetário Nacional e pelo Banco Central do Brasil; […]
V – a revelação de informações sigilosas com o consentimento expresso dos interessados; […]” [11]
Ainda sobre o fornecimento de informações cadastrais, a Resolução nº 3401, de 2006, do Banco Central do Brasil, traz em seu art. 3º:
“Art. 3º As instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil devem fornecer a terceiros, quando formalmente autorizados por seus clientes, as informações cadastrais a eles relativas, de que trata a Resolução 2.835, de 30 de maio de 2001.” [12] [grifos nossos]
Ou seja, já existe no ordenamento brasileiro a previsão legal do dever de troca de informações entre instituições financeiras e de revelação de informações sigilosas a terceiros, desde que com o consentimento do usuário. No entanto, essas normas foram pensadas em um momento anterior ao surgimento do Open Banking e, mesmo que possam ser aplicadas ao cotidiano de algumas fintechs, elas não são suficientes para regulamentar o ecossistema de maneira objetiva e dinâmica.
Com isso em mente, há um movimento liderado pelo Banco Central que pretende, até o final de 2020, desenvolver uma regulamentação sólida e coerente sobre o funcionamento do Open Banking no Brasil[13]. A ideia é ir além do já regulado pela União Europeia e pelo Reino Unido, expandindo as categorias de informações que as instituições bancárias deverão compartilhar com outros players do mercado financeiro, incluindo, por exemplo, dados cadastrais e de produtos e serviços.
Mesmo com a sensibilidade da questão ainda não regulamentada, é possível observar o surgimento de iniciativas de Open Banking no Brasil. Muitas delas, inclusive, bem-sucedidas, como a Conta Azul, empreendimento que oferece um sistema de gestão 100% online para micro e pequenos negócios[14]. Em 2017, sua plataforma foi integrada ao Banco do Brasil, de forma a permitir que os pequenos empresários possam gerir a contabilidade de seus empreendimentos na mesma plataforma em que controlam a entrada e saída de receitas[15].
O ambiente tecnológico brasileiro vem assistindo a um aceno à regulamentação de seu setor. As normas criadas para tecnologias específicas podem, futuramente, servir de embasamento para a regulação de outros serviços. No ano de 2018, por exemplo, o Banco Central do Brasil publicou a Resolução nº 4.656, sobre a sociedade de crédito direto e a sociedade de empréstimos entre pessoas, de forma a disciplinar as operações de empréstimos e de financiamento entre pessoas por meio de plataformas eletrônicas. Essa resolução, entre outros pontos do funcionamento dessas fintechs, estabelece exigências a serem seguidas nos procedimentos de autorização para funcionamento, transferência de controle societário, reorganização societária e cancelamento da autorização dessas instituições. Esse movimento é bastante positivo quando se pensa em Open Banking no Brasil por criar um arcabouço legal que prepara e amadurece o mercado financeiro para o debate sobre a regulação de plataformas e ambiente digital.
2.1. Proteção de Dados
Assim como ocorre na Europa em razão da GDPR, no Brasil os clientes de bancos também são titulares dos dados relativos às suas contas. Isso porque as leis de proteção de dados pessoais desses países buscam garantir que os titulares dos dados, neste caso, os clientes, tenham certo poder de decidir como suas informações serão tratadas. Assim, as legislações sobre o tema buscam equilibrar os interesses do titular, como privacidade e autodeterminação informativa, com eventuais interesses econômicos e de desenvolvimento tecnológico dos responsáveis pelo tratamento.
Para a Lei Geral de Proteção de Dados[16] (“LGPD”), dados pessoais são qualquer “informação relacionada a pessoa natural identificada ou identificável”, o que naturalmente inclui informações financeiras dos clientes pessoas físicas. A LGPD determina certos requisitos para que seja regular um determinado tratamento de dados pessoais, e o conceito de tratamento é bastante amplo:
“Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”[17]
Como a coleta e transmissão de dados pessoais são entendidas como tratamento, tanto os bancos como as empresas que receberem os dados dos clientes deverão se atentar para as regras previstas na LGPD. Muito provavelmente, as empresas que receberem os dados também realizarão outros tipos de tratamento para que consigam fornecer produtos ou serviços. É importante lembrar que para que o tratamento de dados seja feito de forma legal é necessário que os agentes de tratamento estejam embasados em pelo menos uma das 10 bases legais autorizativas que são previstas na LGPD.
No caso de serviços de Open Banking é interessante destacar as seguintes hipóteses autorizativas de um determinado tratamento: o consentimento do titular dos dados, o tratamento que tenha como finalidade a proteção ao crédito, a demonstração do legítimo interesse do responsável pelo tratamento, e o tratamento necessário para a execução de determinado contrato.
Ademais, o artigo 18 da LGPD estabelece os diversos direitos que um titular possui perante os responsáveis pelo tratamento, como correção de dados incompletos, inexatos ou desatualizados, portabilidade dos dados para outro fornecedor de serviço, revogação do consentimento, entre outros.
Além da LGPD, as práticas de Open Banking também serão afetadas pela Lei n° 12.414, de 9 de julho de 2011 (“Lei do Cadastro Positivo”), sobre “bons pagadores”, e a recente alteração de seu texto aprovada em 2019 (Projeto de Lei Complementar n° 441-D de 2017 do Senado Federal que está aguardando sanção presidencial). O Cadastro Positivo refere-se à criação e consulta de bancos de dados com informações de adimplemento de pessoas naturais e jurídicas, com o objetivo de se criar histórico de crédito (informações relativas às operações de crédito e obrigações de pagamento adimplidas ou em andamento).
Antes da alteração legislativa de 2019 era necessário que o titular dos dados pessoais de crédito fornecesse seu consentimento previamente à abertura de seu cadastro (opt-in), como ocorre atualmente com a PSD2 na UE em que os clientes precisam dar consentimento explícito para que os terceiros tenham acesso aos seus dados. A consequência disso era que o número de pessoas cujos dados compunham o banco era relativamente pequeno comparado com o número de pessoas economicamente ativas no País.
Com as alterações legais promovidas pela projeto de lei recentemente aprovado, o gestor responsável pelo banco de dados pode abrir um cadastro sobre pessoa natural[18] ou jurídica sem consentimento prévio, devendo, entretanto, informar o titular em até 30 dias após a abertura, e notificar quais são os canais de comunicação para o pedido de cancelamento do cadastro (opt-out). Em outras palavras, a regra é o compartilhamento automático dos dados e quem não quiser que seus dados sejam usados precisa se opor frente aos canais disponibilizados pelo banco.
Em relação às fontes desses dados, um gestor pode requisitar informações financeiras e de pagamentos das instituições autorizadas pela lei: qualquer pessoa natural ou jurídica que conceda crédito, administre operações de autofinanciamento ou realize venda a prazo ou transações comerciais e empresariais que lhe impliquem risco financeiro, inclusive as instituições autorizadas pelo Banco Central do Brasil e os prestadores de serviços continuados de água, esgoto, eletricidade, gás, telecomunicações e assemelhados.
Essas informações sobre “bons pagadores” somente poderão ser acessadas por terceiros que tenham como finalidade: (i) analisar o risco de crédito do cadastrado; (ii) subsidiar a concessão de crédito; e (iii) realizar vendas a prazo; devendo tais condições de acesso aos dados ainda serem regulamentadas de forma mais específica pelo Poder Executivo. Ademais, para que haja o acesso aos dados do cadastrado é necessário que a empresa que busque essas informações mantenha ou pretenda manter uma relação comercial ou creditícia com o titular dos dados. Desse modo, é provável que sejam criados históricos de crédito da maior parte da população brasileira, além de se permitir que tais informações sejam acessadas de forma facilitada.
2.2. Direito do Consumidor
A Súmula n° 297 do Superior Tribunal de Justiça determina que o Código de Defesa do Consumidor (“CDC”) é aplicável às instituições financeiras. Isso quer dizer que Direito do Consumidor e seus princípios se aplicariam às relações decorrentes do Open Banking. Algumas dessas relações serão consideradas de consumo em razão da Súmula (já que em alguns casos uma das partes será uma instituição financeira) mas em outros casos, a relação de consumo será configurada porque uma das partes estará fornecendo ao usuário um produto ou serviço (mesmo que esta não seja uma instituição financeira, como é o caso de algumas fintechs). Vale lembrar que a aplicação do CDC nessas relações não afasta a aplicação dos dispositivos da LGPD também, que protegem os interesses dos titulares dos dados (nestes casos, os consumidores).
A proteção ao consumidor é tão cara ao nosso ordenamento que ela configura no art. 5º, XXXII da Constituição Federal, estabelecendo que é responsabilidade do Estado promover a sua defesa na forma da lei. Uma das bases deste ramo do Direito é o reconhecimento da hipossuficiência do consumidor frente à empresa. Isso significa que o juiz, ao se deparar com questões consumeristas deve entender que existe uma disparidade de poder econômico, de acesso à informação, dentre outros que deve ser balanceada no caso prático. Isso fica ainda mais caracterizado quando o outro polo da relação é uma grande corporação, como ocorre em muitos casos com bancos.
Com base nisso, os produtos e serviços financeiros oferecidos usando Open Banking terão a aplicação do CDC, que deverá ser usado, por exemplo, em caso de dano ao cliente em razão de vazamento de dados, podendo ocasionar obrigação de reparação. É importante notar que a responsabilidade de quem oferecer o serviço ou produto é objetiva (independendo de culpa, conforme os artigos 12 e 14 do CDC) em casos de dano ao consumidor, o que torna o risco jurídico das operações bastante alto, demonstrando a enorme importância do papel da segurança da informação e da proteção de dados pessoais na prevenção de vazamento de dados dentre outros problemas.
No momento que nos encontramos não é possível especular sobre como ocorreria de fato responsabilizações em caso de incidentes de segurança ou até mesmo outras circunstâncias em que o Direito do Consumidor tivesse que ser usado em relações decorrentes de Open Banking. Como ainda não possuímos regulamentação específica nem foi estabelecido os moldes de funcionamento das APIs que serão usadas para tráfego de dados é arriscado opinar sobre quem seria responsabilizado.
O que já podemos afirmar, sem dúvida alguma, é que as instituições tanto financeiras como não financeiras que tratarem dados pessoais dentro do cenário de Open Banking, deverão possuir padrões mínimos de segurança da informação conforme definido pela LGPD. Caso contrário, esta ausência de segurança para com os dados dos seus clientes poderá representar um risco jurídico.
3. Conclusão
A adoção da PSD2 na UE vem produzindo resultados positivos para o Open Banking no continente. Reino Unido, Alemanha, Países Baixos e Espanha estão se destacado quanto ao crescimento do modelo, conforme indica o “Open Banking Opportunity Index” da Ernest Young.[19] A expectativa é que essa transição no mercado dominado pelos bancos possa resultar na utilização de serviços transfronteiriços.
Diferente do que ocorreu na Europa, o Brasil já possui normas em vigor que favorecem a expansão do Open Banking, normas estas que não foram necessariamente pensadas para esta finalidade, mas que estão se mostrando úteis no processo. O mercado vê com bons olhos o fato de já termos a LGPD como marco para proteção dos dados pessoais dos consumidores, uma vez que este assunto é indissociável da proposta de fornecer informações financeiras para terceiros (o que, conforme falamos, caracteriza tratamento de dados pessoais). O número de fintechs no País tem aumentado em ritmo acelerado, mostrando que existe espaço para desenvolvimento do setor.
Segundo o Jornal Valor Econômico, o Banco Central em breve lançará consulta pública sobre o tema para dar andamento aos planos de regulamentação. A minuta da regulamentação deve ser colocada em consulta pública no terceiro trimestre de 2019 e a abertura das informações pelos bancos está prevista para o início de 2020. Ainda segundo o Jornal, a implantação será feita em etapas, e a ideia é que comece pela abertura de informações de produtos e serviços oferecidos pelas instituições financeiras – sem entrar nos dados dos clientes propriamente.[20]
Dados pessoais financeiros são e devem continuar sendo cuidadosamente protegidos pelo ordenamento. Com eles é possível verificar padrões de consumo, identificar por onde a pessoa esteve, com quem ela se relaciona assim como vários outros aspectos da vida pessoal do indivíduo. Dividir estas informações tem efeitos imediatos ao Direito à Privacidade.
É por essa razão que temos a Lei do Sigilo Bancário e por isso que a regulamentação e transição para o Open Banking devem ser feitas de maneira segura. É inegável que o modelo pode trazer diversos benefícios aos consumidores e ao mercado, contudo, os dados devem ser tratados de maneira prudente e por empresas que tenham nível de segurança da informação suficientes.
O que nos resta agora é aguardar os próximos passos a serem tomados pelo Banco Central para que possamos entender melhor os contornos que o Open Banking tomará no Brasil, especialmente no que diz respeito à possibilidade de interoperabilidade financeira. De qualquer maneira, os indícios até o momento são positivos e a adoção responsável do modelo promete diversificar e inovar o mercado financeiro, beneficiando não só os consumidores como todos os demais agentes deste mercado.
