Open finance e a responsabilidade solidária em caso de vazamento de dados pessoais: uma breve análise da LGPD

ARTIGO ORIGINAL

CARVALHO, Flávia Rodrigues ^[1]

CARVALHO, Flávia Rodrigues. Open finance e a responsabilidade solidária em caso de vazamento de dados pessoais: uma breve análise da LGPD. Revista Científica Multidisciplinar Núcleo do Conhecimento. Ano 09, Ed. 04, Vol. 01, pp. 112-123. Abril de 2024. ISSN: 2448-0959, Link de acesso: https://www.nucleodoconhecimento.com.br/lei/open-finance, DOI: 10.32749/nucleodoconhecimento.com.br/lei/open-finance

RESUMO

O presente trabalho tem como objetivo analisar a responsabilidade solidária em caso de vazamento de dados pessoais no Open finance com base na Lei Geral de Proteção de Dados. Sabe-se que o direito à privacidade, se encontra elencado na constituição artigo 5º, inciso X, pode ser encontrado também no Código Civil em seu artigo 21, além disso, tal direito foi tratado no Marco Civil da internet (Lei 12.965/2014) e posteriormente pela Lei Geral de Proteção de Dados – LGPD (Lei 13.709/2018). Considerando o tema abordado e os limites do direito a proteção de dados, pode-se dizer que a pesquisa é do tipo exploratória, ou seja, foi examinado um atual problema da sociedade, que são os perigos da exposição de dados pessoais do consumidor. Busca-se ainda responder a seguinte problemática: Quais as contribuições à nova Lei Geral de Proteção de Dados trouxeram para a responsabilidade solidária em casos de vazamento de dados no Open finance? Durante a pesquisa foi utilizado fontes secundárias, a partir do momento em que se baseia nas leis regulamentadas para este determinado tema e levando em consideração os autores que dissertam sobre o assunto, utilizará o método qualitativo, para que assim seja possível discutir e responder os questionamentos que cerceiam o presente trabalho e contribuir de forma positiva para a sociedade dentre outras fontes substratos para a elaboração desse estudo, foram feitos uma análise e um crivo de acordo com o tema, limitando-se as referências para compor o presente estudo, por conterem textos com experiências mais exitosas e por serem os que mais estão de acordo com o foco do presente trabalho. O presente trabalho justifica-se pela extrema relevância, pois torna-se imprescindível que seja efetuado trabalho sobre ele e ainda possui uma inegável importância jurídica, visto que é uma temática muito polêmica na sociedade.

Palavras-chaves: LGPD, Open finance, Responsabilidade solidária, Dados pessoais.

1. INTRODUÇÃO

Em meio ao avanço tecnológico que ocorre diariamente a exploração de forma banalizada dos dados pessoais de determinada pessoa pode ocasionar diversos impactos indesejáveis na vida do supracitado. Dessa forma, o presente trabalho possui extrema relevância, pois torna-se imprescindível que seja efetuado trabalho sobre ele e ainda possui uma inegável importância jurídica, visto que é uma temática muito polêmica na sociedade.

Por isso, é de crucial importância uma ampla, objetiva e eficiente reflexão da temática proposta, pois mesmo com a existência de previsão legal para tal instituto, tais leis ajudaram a atenuar a existência do problema, mas não resolveram como todo, o que muitas vezes ocorre agressão disfarçada de avanço tecnológico. É de grande valia desenvolvê-la na ciência jurídica, na disciplina do direito civil, em especial no direito constitucional por tratar de princípios fundamentais do ordenamento jurídico concernentes ao ser humano.

O presente trabalho tem como objetivo analisar a responsabilidade solidária em caso de vazamento de dados pessoais no Open finance com base na Lei Geral de Proteção de Dados. Sabe-se que o direito à privacidade, se encontra elencado na constituição artigo 5º, inciso X, pode ser encontrado também no Código Civil em seu artigo 21, além disso, tal direito foi tratado no Marco Civil da internet (Lei 12.965/2014) e posteriormente pela Lei Geral de Proteção de Dados – LGPD (Lei 13.709/2018) (Brasil, 2014; Brasil, 2018).

Considerando o tema abordado e os limites do direito a proteção de dados, pode-se dizer que a pesquisa é exploratória, ou seja, foi explorado um atual problema da sociedade que são os perigos da exposição de dados pessoais do consumidor. Busca-se ainda responder a seguinte problemática: Quais as contribuições à nova Lei Geral de Proteção de Dados trouxeram para a responsabilidade solidária em casos de vazamento de dados no Open finance?

O presente trabalho se baseará principalmente pelos métodos dedutivo e dialético, partindo dos conceitos gerais de Direito Constitucional, Direito Civil, a partir daí, serem analisadas as controvérsias que cerceiam a temática e contribuir de forma positiva para a sociedade.

2. DESENVOLVIMENTO

2.1 O TRATAMENTO DOS DADOS PESSOAIS E A LEI GERAL DE PROTEÇÃO DE DADOS NO ÂMBITO DO OPEN FINANCE

Os dados pessoais coletados tangem em uma universalidade de informações, em que são dados cadastrais como nome, endereço, e-mail, ao endereço de IP, dados biométricos, de raça, saúde. Tanto o ente público quanto o privado para se utilizar dos dados do cidadão este então o ser particular, se for usar os dados para políticas que sejam de interesse da maioria e sem identificá-lo, poderá se fazer dos usos destes, mas deixando claro para quais fins. Se for utilizá-los para outro fim deve ter anuência tácita do detentor do direito o cidadão ao qual quer ser coletado seus dados (Cancelier, 2018).

Com este advento das coletas de dados, estes ganharam lei especifica que versa sobre como deve ser feita esta e suas maneiras. Temos de deixar alguns pontos mais claros, quanto aos seus significados vejamos a LGPD (Lei nº 13.709/18 Geral de Proteção de Dados) quando se fala em tratamento de dados entende-se por:

Toda operação realizada com dados pessoais, como as que se referem à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração (Art. 5º, X) (Brasil, 2018).

Esta coleta ou qualquer meio de manipular estes dados só poderá ocorrer mediante autorização expressa do titular dos mesmos, mas a própria lei elenca os casos onde não necessita autorização do titular, esta coleta por parte do poder público como o Estado e ou Administração Pública é autorizada para fins de estudos de políticas públicas de saúde seja para o titular ou para com terceiros, bem como para segurança pública e de suas atribuições.

Cots e Oliveira (2018) abordam que o objetivo da LGPD é o de “proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade natural”, de modo que subsiste o entendimento de que o titular dos dados se encontra vulnerável às instituições responsáveis por analisá-los, necessitando, assim, de proteção dada pela LGPD.

Os dados coletados pelo Estado podem ser compartilhados entre entes para fins de pesquisa e ou politicas desenvolvimento não podendo ser compartilhado com entes privados. Salvo se houver o consentimento do titular sobre a possibilidade deste. Neste quesito empresas públicas terão os mesmos deveres dos entes privados, estas como (Petrobras, Correios, Banco do Brasil). Só terão o benefício de gozar dos direitos como ente público quando estas estiverem se fazendo do uso dos dados quanto para promover politicas publicas se forem utilizar para concorrência no mercado, serão tratadas de igual maneira como uma empresa privada normal.

Sendo assim como o Governo federal tem em seu poder o maior banco de dados nacional onde tem desde o nome, endereço, data de nascimento, declaração de imposto de renda, entre os demais que ficam a cargo deste, que em 9 de outubro de 2019 com o decreto nº 10.046 “Dispõe sobre a governança no compartilhamento de dados no âmbito da administração pública federal e institui o Cadastro Base do Cidadão e o Comitê Central de Governança de Dados” (Brasil, 2019).

Visando ter transparência e legalidade nos atos que envolvem os dados de qualquer pessoa, a LGPD e tanto o seu decreto nº 10.046 tens sanções e penalidades para eventuais violações destas normativas. Que vão desde advertências, multas, e bloqueio de bens.

A fiscalização de todos esses expostos até aqui fica a cargo da ANPD (Autoridade Nacional de Proteção de Dados) onde a presidência da república fez via decreto sua formulação, mas este órgão que é subordinado à presidência da república ainda não existe, de fato, na prática.

A atividade de tratamento de dados pessoais, ou seja, o armazenamento dos registros de conexão e acesso, sob a ótica da Lei Geral de Proteção de Dados (Lei 13.709/2018), faz com que tais provedores encontrem-se posicionados na função de controladores, com fundamento legal no artigo 7º, inciso II, que autoriza o tratamento de dados pessoais para o cumprimento de obrigação legal ou regulatória (Maldonado e Blum, 2019).

No que pese esse tratamento de dados pessoais, cabe destacar que existem alguns requisitos para que tal tratamento ocorra de forma devida, e primeiramente o mesmo somente pode ser realizado se houver o fornecimento do consentimento pelo titular, essa tange na regra geral que os dados só podem ser tratados se houver o expresso consentimento de forma livre, informada e inequívoca, se caso não ocorra dessa forma não poderá haver a coleta de dados e ainda encontra-se contido no artigo 5º, inciso XII, da LGPD, na forma que segue “XII – consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada” (Brasil, 2018).

Ainda deve haver o consentimento por escrito ou por outro meio de manifestação e que deve ser exposto através de uma cláusula destacada das demais cláusulas contratuais. Ainda cumpre destacar que é vedado o tratamento de dados pessoais mediante vício de consentimento, e que se caso seja detectado algum vício tal como conteúdo enganoso ou abusivo ou não tenham sido apresentadas previamente com transparência, de forma clara e inequívoca o contrato será nulo, e tal consentimento deve ser específico e ainda referir-se a finalidades determinadas (Maciel, 2019).

Ainda cabe destacar que o referido consentimento poderá sofrer revogações a qualquer momento também sob expressa manifestação do titular, e ainda tal procedimento deve ocorrer gratuitamente e de forma facilitada, e enquanto não houver o requerimento dessa eliminação de dados, os tratamentos continuarão sendo tratados em face do consentimento anteriormente manifestados como válidos.

O artigo 15 da LGPD destaca seis hipóteses de término do tratamento de dados, conforme demonstrados abaixo:

I – Verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada;

II – Fim do período de tratamento;

III – comunicação do titular, inclusive no exercício de seu direito de revogação do consentimento conforme disposto no § 5º do art. 8º desta Lei, resguardado o interesse público; ou

IV – Determinação da autoridade nacional, quando houver violação ao disposto nesta Lei (Brasil, 2018).

É importante frisar, também, que a revogação do consentimento consiste em um direito titular, na forma do artigo 18, inciso IX, da LGPD, podendo realizado a qualquer momento. Ainda, o referido término do tratamento, conforme prevê o artigo 16 da LGPD, devem ser eliminados os dados pessoais, para que assim possa ser garantida uma ampla segurança ao titular, e sua conservação apenas será possível para:

I – Cumprimento de obrigação legal ou regulatória pelo controlador; II – estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais; III – transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos nesta Lei; ou IV – uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados (Brasil, 2018).

Destaca-se ainda que é dispensada a exigência do consentimento para os dados tornados manifestamente públicos pelo titular, resguardados os direitos do titular e os princípios desta Lei. O tratamento de dados pessoais detém de acesso público, e ainda para que o mesmo seja usado deve-se considerar a finalidade, a boa-fé e o interesse público que justificaram sua disponibilização (Bioni, 2019).

É importante frisar que a palavra “consentimento” é invocada em torno de 35 vezes na LGPD, evidenciando assim o quanto é de suma importância haver sempre a efetiva proteção de dados e da privacidade, uma vez que, em diversos casos, o fato de ser verificado o devido consentimento transforma uma prática ilícita em lícita (Bioni, 2019).

No tocante de dado pessoal e dado pessoal sensível, o autor Bioni (2019, l. 2.200) destaca que “os dados sensíveis são uma espécie de dados pessoais que compreendem uma tipologia diferente em razão de o seu conteúdo oferecer uma especial vulnerabilidade: discriminação”. Desse modo, a LGPD traz mais proteções aos dados pessoais sensíveis, uma vez que o dano de sua violação é altamente maior em relação aos dados pessoais.

De acordo com o artigo 12 da Lei Geral de Proteção de Dados, os dados anonimizados somente serão considerados dados pessoais “[…] quando o processo de anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido” (Brasil, 2018).

A Lei Geral de Proteção de Dados trouxe em seu bojo vários institutos acerca do tratamento de dados, sendo esta vertente central da legislação. É relevante, destacar a questão do conceito de “tratamento”, em que é vislumbrado nos artigos da LGPD, e bem trazido pelo inciso X do artigo 5º desta lei:

X – Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração (Brasil, 2018).

Além disso, no tratamento de dados pessoais, deve ser observada a boa-fé e, dentre outros como aqui já supracitados, são essenciais os seguintes princípios: finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação, responsabilização e prestação de contas.

Como demonstrado até aqui, tanto o ente público quanto o privado para se utilizar dos dados do cidadão este então o ser particular, se for usar os dados para políticas que sejam de interesse da maioria e sem identificá-lo, poderá se fazer dos usos destes, mas deixando claro para quais fins. Se for utilizá-los para outro fim deve ter anuência tácita do detentor do direito o cidadão ao qual quer ser coletado seus dados (Tasso, 2020).

Como demonstrado até aqui, tanto o ente público quanto o privado para se utilizar dos dados do cidadão este então o ser particular, se for usar os dados para políticas que sejam de interesse da maioria e sem identificá-lo, poderá se fazer dos usos destes, mas deixando claro para quais fins. Se for utilizá-los para outro fim deve ter anuência tácita do detentor do direito o cidadão ao qual quer ser coletado seus dados (Doneda, 2019).

O Open finance tange em um processo seguro, devido ser regulamentado pelo Banco Central, onde as instituições financeiras que apresentam o supracitado sistema têm por obrigação de fazer com que o processo nesse sistema seja de forma protegida. De acordo com a LGPD faz-se necessário que haja a preservação da autenticidade e do sigilo no decorrer da troca de informações, visando dessa forma à realização do cumprimento de todas as exigências determinadas pela Lei Geral de Proteção de Dados (LGPD) e pela Lei de Sigilo Bancário (Barroso, 2020).

Além do mais as informações fornecidas pelas clientes não podem ser divulgadas, e devem apenas ser compartilhada entre as organizações que fazem a adoção desse sistema. Destaca-se que a comunicação no supracitado sistema ocorre através de uma plataforma eficiente, possuindo várias camadas de proteção (Cavalcante, 2021).

É importante ressaltar que o Open Banking está em linha com a edição da Lei de Proteção de Dados Pessoais (LGPD), que criou o marco legal para o tratamento dos dados da pessoa natural, e parte do princípio de que os dados bancários pertencem aos clientes e não às instituições financeiras. Dessa forma, desde que autorizadas pelos clientes, as instituições financeiras compartilharão dados, produtos e serviços com outras instituições, por meio de abertura e integração de plataformas e infraestruturas de tecnologia, de forma segura, ágil e conveniente (BCB, 2020, np).

O Open finance trouxe em seu bojo um rol de possibilidades em relação ao uso de dados financeiros, nunca se viu tanta possibilidade de acessar dados com muita riqueza, como pode-se na atualidade, onde um rol de empresas de vários segmentos possui acesso a informações de clientes que até então eram apenas conhecidas no âmbito interno pelas grandes instituições financeiras (Goettenauer, 2021).

Como pode-se vislumbrar a Lei Geral da Proteção de Dados fez o estabelecimento de direitos e deveres para as empresas em relação ao tratamento de dados pessoais. É importante frisar que o open banking, tem como base um conjunto de artigos da LGPD para existir.

Com base na LGPD, os dados bancários do Open finance dos consumidores são pertencentes a unicamente e exclusivamente a eles e não aos bancos, com base na premissa da liberdade e da transparência, e como já exposto, para que haja o compartilhamento de informações é imprescindível que haja o consentimento dos usuários (Brasil, 2020).

Cabe elucidar que o compartilhamento de informações não pode ocorrer de forma indiscriminada pelas instituições financeiras, visto que as supracitadas devem está alinhado com as diretrizes da LGPD no tratamento de dados pessoais, que também engloba toda operação realizada com esses dados, o que inclui a coleta, o acesso, a distribuição, o armazenamento, a modificação, a transferência, dentre outras hipóteses.

A responsabilização do agente, em relação a fazer a reparação dos danos causados para o consumidor, no tocante do tratamento dos dados pessoais, encontra-se prevista no artigo 42, da Lei nº 13.709/2018, in verbis:

Art. 42. O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.

§ 1º A fim de assegurar a efetiva indenização ao titular dos dados:

I – O operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador equipara-se ao controlador, salvo nos casos de exclusão previstos no art. 43 desta Lei;

II – Os controladores que estiverem diretamente envolvidos no tratamento do qual decorreram danos ao titular dos dados respondem solidariamente, salvo nos casos de exclusão previstos no art. 43 desta Lei (Brasil, 2018).

Vislumbra-se que, via de regra, o operador e o controlador dos dados, irão responder de forma solidária pelos danos que foram ocasionados em face do titular dos danos, com exceção se de forma comprovada: (i) não tenham realizado o tratamento de dados; (ii) não tenham violado a LGPD; ou (iii) que o dano seja decorrente de culpa exclusiva do titular de dados ou de terceiros (Brasil, 2018).

3. CONSIDERAÇÕES FINAIS

O presente trabalho alcançou os objetivos propostos, onde foi possível analisar a responsabilidade solidária em caso de vazamento de dados pessoais no Open finance com base na Lei Geral de Proteção de Dados. Considerando o tema abordado e os limites do direito a proteção de dados, pode-se dizer que via de regra, o operador e o controlador dos dados, irão responder de forma solidária pelos danos que foram ocasionados em face do titular dos danos, mas caso não tenha realizado o tratamento de caso, não tenha violado a LGPD ou ainda que o dano seja advindo de culpa de forma exclusiva do titular de dados ou de terceiros.

Pode-se observar ainda a importância da LGPD em relação ao tratamento dos dados pessoais, contribuindo para a criação de um ambiente favorável e inovador em face do âmbito do Sistema Financeiro Nacional, e isso dar-se também pelo fato de que o Open finance passou a ser regulado logo após a publicação da LGPD conferindo mais segurança ao referido sistema, tornando-se dessa forma um mecanismo delimitador do compartilhamento desses dados.

REFERÊNCIAS

BCB – Banco Central do Brasil. Workshop Open Banking. 2020.

BARROSO, L. C. Open Banking: origens, experiências internacionais e a proposta brasileira, Ano 5, nº 1, abr. 2020.

BIONI, B. R. Proteção de dados pessoais: a função e os limites do consentimento. Rio de Janeiro: Forense, 2019.

BRASIL. Lei Nº 13.709, de 14 de agosto de 2018. Dispõe sobre a proteção de dados pessoais e altera a Lei nº 12.965, de 23 de abril de 2014 (Marco Civil da Internet), Brasília, DF, 2018.

BRASIL. Lei nº 12.965, de 23 de abril de 2014. Estabelece princípios, garantias, direitos e deveres para o uso da Internet no Brasil. Brasília. 2014.

BRASIL. Ministério da Economia e Banco Central do Brasil. Resolução Conjunta nº 1, de 4 de maio de 2020. Dispõe sobre a implementação do Sistema Financeiro Aberto (Open Banking).

BRASIL. Decreto n. 10.046, de 9 de outubro de 2019. Brasil. Presidência da República (PR), Secretaria-Geral (SG), Subchefia para Assuntos Jurídicos (SAJ), 2019.

CANCELIER, M. V. L. O Direito à Privacidade hoje: perspectiva histórica e o cenário brasileiro. Seqüencia, 2018.

CAVALCANTE, E. J. O Novo paradigma tecnológico do setor financeiro nacional: a implantação do open banking no Brasil. RC IPEA, 2021.

COTS, M., & OLIVEIRA, R. Lei geral de proteção de dados pessoais comentada. São Paulo: Thomson Reuters Brasil. 2018.

DONEDA, D. Da privacidade à proteção de dados pessoais: elementos da formação da Lei geral de proteção de dados. São Paulo: Revista dos Tribunais, 2019.

GOETTENAUER, C. Implementação do Sistema Financeiro Aberto brasileiro e regulação por incentivos: estudo sobre a estratégia regulatória de Open Banking no Brasil. V Lex, 2021.

MACIEL, R. F. Manual prático sobre a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/18). Goiânia: RM Digital Education, 2019.

MALDONADO, V. N.; BLUM, R. O. LGPD: Lei Geral de Proteção de Dados comentada. São Paulo: Thomson Reuters Brasil, 2019.

TASSO, F. A. A responsabilidade civil na Lei Geral de Proteção de Dados e sua interface com o Código Civil e o Código de Defesa do Consumidor. Cadernos Jurídicos, São Paulo, v. 21, n. 53, p. 97-115, jan./mar. 2020.

^[1] Bacharel em Direito. ORCID: 0000-0001-6989-9649.

Material recebido: 08 de fevereiro de 2023.

Material aprovado pelos pares: 15 de fevereiro de 2024.

Material editado aprovado pelos autores: 16 de abril de 2024.