1. LEI GERAL DE PROTEÇÃO DE DADOS

A Lei n° 13.709/2018 (“Lei Geral de Proteção de Dados” ou “LGPD”) estabelece normas e diretrizes para o tratamento de dados pessoais, tanto no ambiente virtual quanto no físico, em âmbito público e privado. Seu principal objetivo é garantir a proteção da privacidade e dos direitos fundamentais dos titulares dessas informações.

 

Em linhas gerais, a LGPD determina que:

  • Os agentes de tratamento devem manter um registro das operações de tratamento de dados pessoais que conduzem, principalmente quando fundamentadas na base legal do legítimo interesse;
  • O controlador de dados deve nomear um Encarregado (também conhecido como “Data Protection Officer” ou “DPO”), responsável por intermediar a comunicação entre a organização, a Autoridade Nacional de Dados Pessoais (“ANPD”) e os titulares de dados;
  • O tratamento de dados deve ser realizado em consonância com uma das bases legais previstas na LGPD;
  • Os controladores devem disponibilizar um canal de comunicação para que os titulares dos dados possam exercer seus direitos previstos na LGPD;
  • O controlador deve elaborar um Relatório de Impacto à Proteção de Dados Pessoais (“RIPD”), para avaliar os riscos envolvidos no tratamento de dados pessoais;
  • Informar os critérios e procedimentos utilizados em tomada de decisões automatizadas pelo controlador, observados os segredos comercial e industrial;
  • Realizar comunicação à ANPD e aos titulares de dados em caso de incidente de segurança da informação envolvendo dados pessoais que possa gerar risco ou dano relevante aos titulares;
  • Adotar medidas de segurança, técnicas e administrativas, para proteger os dados pessoais de acessos não autorizados, bem como de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

1.1 REQUISITOS DE PROTEÇÃO

A Resolução CD/ANPD nº 2/2022 aprovou o regulamento de aplicação da LGPD, trazendo flexibilizações e aspectos mais favoráveis ao desenvolvimento de negócios para agentes de tratamento de pequeno porte, conforme definição de seu artigo 2°, inc. I. Entre as flexibilizações previstas na Resolução, os agentes de pequeno porte podem:

 

  • Elaborar e manter registro das operações de tratamento de dados em formato simplificado;
  • Implementar politica de segurança da informação simplificada;
  • Comunicar incidentes de segurança da informação envolvendo dados pessoais por meio de procedimento simplificado e em prazo dobrado, salvo quando houver potencial comprometimento à integridade física ou moral dos titulares ou à segurança nacional;
  • Responder às solicitações de titulares de dados em prazo dobrado, dentre outros benefícios.

Nesse sentido, é importante que as fintechs realizem uma avaliação diligente e cautelosa quanto ao seu enquadramento na Resolução, tendo em vista que existem critérios gerais e específicos determinantes para a não aplicabilidade das flexibilizações previstas.

1.2 SEGURANÇA CIBERNÉTICA

A Resolução do Conselho Monetário Nacional (“CMN”) nº 4.893/2021 e a Resolução do Banco Central do Brasil (“Bacen”) nº 85/2021 estabelecem diretrizes sobre a política de segurança cibernética, plano de ação e resposta a incidentes, além de requisitos para a contratação de serviços de processamento e armazenamento em nuvem. Tais normativas devem ser observadas por fintechs e instituições de pagamento (“IP”), autorizadas a funcionar pelo
Bacen.

Vale mencionar que, apesar das IP serem consideradas fintechs, elas não estão sujeitas às regras determinadas pela Resolução nº 4.893/2021. Em vez disso, as IPs devem seguir as disposições previstas na Resolução nº 85/2021, quando receberem autorização do BACEN para funcionamento.

 

2. SIGILO BANCÁRIO

A Lei Complementar 105/2001 (“Lei do Sigilo Bancário”) regula a confidencialidade das informações e dados bancários de pessoas físicas e jurídicas, aplicando-se às operações realizadas em instituições financeiras, fintechs e outras sociedades empresárias do mercado Ÿ nanceiro.

Referida lei elenca como não violação ao dever de sigilo as seguintes hipóteses:

  • O compartilhamento de informações entre instituições financeiras para fins cadastrais;
  • O fornecimento de informações de cadastro para entidades de proteção ao crédito;
  • O compartilhamento de dados financeiros e de pagamentos para gestores de banco de dados para formação de histórico de crédito, dentre outras situações, etc.

Além disso, a Lei do Sigilo Bancário estabelece em quais situações específicas que o sigilo bancário pode ser quebrado, como, por exemplo, em caso de ordem judicial ou solicitação de autoridades fiscais e regulatórias, e quando necessário para investigações de lavagem de dinheiro, evasão fiscal ou outros crimes financeiros.

 

3. PREVENÇÃO À FRAUDE

Com a expansão da economia digital, criminosos que operam no mundo virtual podem explorar as tecnologias utilizadas pelas fintechs para realizar práticas ilícitas, tais como roubo de identidade, lavagem de dinheiro, fraude financeira, entre outras. Desse modo, a prevenção à fraude é fundamental para o setor e deve ser abordada por meio do uso de tecnologia adequada.

Nesse sentido, o Banco Central publicou a Resolução Conjunta nº 6 (“Resolução”), de 23 de maio de 2023 , que estabelece requisitos para o compartilhamento de dados e informações sobre indícios de fraudes entre instituições financeiras, instituições de pagamento e outras entidades autorizadas a operar pelo Banco Central.

A resolução aborda a assimetria de informações no setor Ÿ nanceiro, reconhecendo que fraudadores muitas vezes tentam cometer seus atos em diferentes instituições financeiras. O compartilhamento de dados é uma ferramenta crucial para permitir que as instituições identifiquem padrões suspeitos e atividades fraudulentas de forma mais rápida e eficaz.

Um dos pontos mais controversos da resolução é a previsão de necessidade de consentimento do cliente para realizar atividades de prevenção à fraude, criando uma série de desafios na interpretação conjunta com as leis de privacidade e proteção de dados, em particular, a LGPD.

Uma das principais diretrizes da Resolução é a interoperabilidade entre os sistemas eletrônicos a serem implementados pelas instituições financeiras, garantindo que todas as informações sejam compartilhadas de maneira compatível. Este compartilhamento deve incluir as seguintes informações:

  • Identificação do possível fraudador;
  • Descrição dos indícios da fraude;
  • Identificação da instituição que registrou os dados;
  • Informações sobre a conta destinatária em caso de transferência de recursos.

 

A responsabilidade pelo tratamento dos dados permanece sob a responsabilidade das próprias instituições financeiras, cumprindo as normas estabelecidas pelas legislações competentes, como a LGPD. É necessário obter o consentimento prévio e geral dos clientes para o registro dos dados relacionados a eles, e essa exigência deve ser destacada nos contratos ou em instrumentos jurídicos válidos.

Essas medidas visam criar um ambiente mais seguro para as transações financeiras, compartilhando a responsabilidade de combate às fraudes entre todas as partes envolvidas no processo.

Para prevenção à fraudePor parte das organizações, é crucial que as organizações adotema adoção de programas de compliance, implementando processos robustos de conformidade e de avaliação de clientes, análise de riscos, monitoramento contínuo, implementação de políticas de segurança cibernética e planos de resposta a incidentes.
Além disso, é importante que as organizações adotem também medidas tecnológicas de segurança da informação, tais como autenticação multifatorial, criptografia de dados, tecnologia de reconhecimento facial, inteligência artificial, entre outros recursos.
Todavia, é importante que tais recursos sejam utilizados sempre em conformidade com a legislação vigente, principalmente devido ao possível risco discriminatório no uso de certas tecnologias. Por exemplo, algoritmos de inteligência artificial podem ser discriminatórios em algumas análises de clientes e usuários.

 

4. CADASTRO POSITIVO

A Lei n° 12.414/2011 (“Lei do Cadastro Positivo” ou “LCP”) criou um cadastro que reúne informações de adimplência dos consumidores e pode ser utilizado como base para análise de crédito, tendo como objetivo aumentar a oferta de crédito e reduzir os juros para os consumidores que possuem bom histórico de pagamentos.

As fintechs que oferecem serviços de análise de crédito, empréstimos e outros serviços financeiros com juros mais baixos podem utilizar as informações do Cadastro Positivo para avaliar o risco de crédito de seus clientes. No entanto, para utilizar as informações do Cadastro Positivo, as fintechs devem cumprir com as disposições da LCP, que estabelece regras para a utilização desses dados.

Entre as principais disposições da LCP, destaca-se a necessidade de informar aos titulares dos dados sobre a inclusão de suas informações no cadastro, a possibilidade de contestação das informações e a proibição de discriminação por parte das empresas.

Em resumo, a LCP é uma importante ferramenta para a análise de risco e concessão de crédito no Brasil, e sua aplicabilidade às fintechs é relevante, de modo que as fintechs que utilizam as informações do Cadastro Positivo devem cumprir com as disposições da LCP e da LGPD, garantindo a proteção dos dados pessoais de seus clientes e evitando práticas abusivas no mercado de crédito.

 

5. OPEN FINANCE

O Open Finance é uma evolução do conceito de Open Banking, na medida em que expande o seu escopo para abranger serviços financeiros, além dos serviços bancários, como câmbio, investimentos, credenciamento, seguros e previdência. Isso porque, mediante a autorização expressa do usuário, as instituições participantes do Open Finance podem acessar o histórico do usuário para análise e oferta de serviços personalizados.

À vista disso, a segurança da informação é uma das principais preocupações das instituições participantes deste novo sistema, de modo que estas devem cumprir com as regras do CMN e Bacen relacionadas ao compartilhamento das informações. Isso inclui o consentimento do usuário, autenticação e confirmação de identidade, além de implementação de padrões e procedimentos operacionais, regras de segurança cibernética e criptografia de dados compartilhados. Ainda, parcerias com instituições não autorizadas a funcionar pelo Bacen devem ser evitadas.

Em relação à estrutura de compartilhamento de dados e informações do Open Finance, as denominadas APIs (Application Programing Interfaces) serão a ponte entre as instituições participantes do Open Finance, permitindo o compartilhamento de dados de clientes. As APIs são como “habilitadoras-chave de novos negócios e inovação” no Open Finance, mas é importante lembrar que a tecnologia também apresenta riscos, como violações graves de privacidade, invasões e ataques em sistemas. Portanto, a segurança e a privacidade dos dados dos clientes devem ser priorizadas pelos participantes do Open Finance, que devem investir cada vez mais em cibersegurança.

baixar cartilha
*

compartilhe

LinkedInFacebookTwitterWhatsApp
*

da mesma série

cartilhas e infográficos

Fintechs Nº 1: Introdução e Modelos de Operação

continue lendo
cartilhas e infográficos

Fintechs Nº 2: Fintechs de crédito – SCD e SEP

continue lendo
cartilhas e infográficos

Fintechs: FIF e FIDC – Impactos da 175 e investimentos em cripto

continue lendo
cartilhas e infográficos

Fintechs: Impacto da Regulamentação de AI para Fintechs

continue lendo
cartilhas e infográficos

Fintechs: O Que é E-Discovery e Qual Seu Impacto para as Fintechs?

continue lendo
cartilhas e infográficos

Fintechs: Recuperação Judicial e Falência nos Cenários das Fintechs

continue lendo
cartilhas e infográficos

Fintechs: Serviços em Criptoativos e sua Regulação no Brasil

continue lendo
cartilhas e infográficos

Fintechs: Tokenização de Ativos

continue lendo
cartilhas e infográficos

Fintechs: Web 3.0 – Blockchain, Cripto, Stablecoins e Drex

continue lendo

newsletter

Inscreva-se em nossa newsletter e receba em primeira mão todos os nossos informativos

    Ao informar meus dados, concordo com a Política de Privacidade.
    contato@camposthomaz.com
    *

    R. Funchal, 551, conjunto 51
    Vila Olímpia, São Paulo – SP
    04551-060

    11 3044-4906

    © Campos Thomaz & Meirelles Advogados política de privacidade