As instituições financeiras e a LGPD: os impactos da Resolução 4.658/18 do Banco Central e a Lei Geral de Proteção de Dados

Tempo de leitura: 9 minutos

A criação da Lei Geral de Proteção de Dados Pessoais brasileira trouxe consigo um espectro diferente para o cenário regulatório. Embora o Brasil já possuísse algumas leis para regular a proteção de dados, alguns setores, como o financeiro, já possuíam um ambiente de proteção robusto.

O Banco Central define o sistema financeiro como o ‘’conjunto de instituições financeiras e instrumentos financeiros que visam transferir recursos dos agentes econômicos (pessoas, empresas, governo) superavitários para os deficitários’’.

O setor financeiro é composto por instituições do mercado monetário, mercado de crédito, mercado de capitais, instituições de câmbio e, mais recentemente, também as fintechs.

Por conta disso criamos este artigo como tudo que as instituições financeiras precisam saber para se adequar a LGPD. Continue lendo o artigo logo abaixo para entender melhor.

O setor financeiro e o uso de dados pessoais

O setor financeiro lida com dados pessoais extremamente importantes, tais como:

  • Nome;
  • CPF;
  • Perfil de crédito;
  • Ativos e dívidas do indivíduo, os quais necessitam de uma proteção maior por parte do Estado, pois são questões que interferem diretamente na economia e na vida do cidadão.

A leis que protegem os dados pessoais dos usuários do sistema financeiro permeiam diversas áreas, por exemplo:

  1. Constituição Federal (Direito à Privacidade – artigo 5º, X)
  2. Sociedades Anônimas (Lei nº 6.404/1976);
  3. Valores Mobiliários (Lei nº 6.385/1976);
  4. Código do Consumidor (Lei nº 8.078/1990);
  5. Lavagem de Dinheiro (Lei nº 9.613/1998, atualizada em 2003 e 2012);
  6. Sigilo Bancário (Lei Complementar nº 105/2001);
  7. Código Civil (Lei nº 10.406/2002);
  8. Banco de Dados para histórico de Crédito (Lei nº 12.414/2011);
  9. Acesso à informação (Lei nº 12,527/2011);
  10. Crimes Cibernéticos (Lei nº 12,737/2012);
  11. Princípio de Garantias e Direitos para uso da Internet (“Marco Civil da Internet”) (Lei nº 12,965/2014);
  12. Regulação do Marco Civil da Internet (Decreto Federal 8.771/2016, sobre a proteção de dados pessoais na Internet).

Dessa forma, a regra geral do sistema financeiro é a manutenção do sigilo dos dados pessoais e bancários do cliente.

Todavia, existem regras que caminham desde a necessária divulgação até o sigilo, como, (i) informações que possam afetar o mercado, não podem ficar sob sigilo; ou, em alguns casos em que (ii) fatos poderiam ser considerados confidenciais e não poderiam ser divulgados, se atentado para que as pessoas envolvidas na operação não tirassem proveito pelo conhecimento do fato.

Regulamentação e fiscalização

Como marco de destaque, podemos citar a Instrução nº 358, de 2002, da Comissão de Valores Mobiliários (CVM), autoridade responsável pela regulamentação do mercado de valores mobiliários.

Nela, a CVM buscou mostrar a necessidade de divulgação e o uso de informações sobre ato ou fato relevante, definido no artigo 2º da Instrução, com o objetivo de se evitar que dados mantidos em sigilo possam afetar os investidores.

Não obstante, o Estado vem tomando várias iniciativas que visam cruzar dados pessoais e financeiros para uma política mais eficiente contra lavagem de dinheiro e financiamento do terrorismo.

Com isso, o COAF (Conselho de Controle de Atividades Financeiras) vem desempenhando um papel de destaque. Dentre suas atividades está, identificação e análise de ações suspeitas de atividades ilícitas, comunicando à autoridade competente, através de uma coordenada troca de informações entre diversos setores financeiros.

Além disso, existem alguns agentes do mercado preocupados com a questão da segurança da informação. Um exemplo muito interessante é a Associação Brasileira das Entidades dos Mercados Financeiro e de Capitais (ANBIMA), representante e auto reguladora de instituições como bancos, gestoras, corretoras, distribuidoras e administradoras.

No início de agosto de 2016, ANBIMA publicou um guia que orienta as instituições na implementação de programa de cibersegurança. A ideia com este documento foi auxiliar as instituições de mercado, a fim de consolidar práticas e procedimentos para desenvolvimento e implementação de uma política de segurança cibernética.

Ainda em 2018, o Banco Central (Bacen) publicou a resolução 4.658, que dispôs, como define seu artigo 1º, sobre “a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil. ”

Dentre as exigências, em outubro do ano passado, foi necessário a entrega de um cronograma de adequação aos serviços em nuvem contratados. Já em maio de 2019, será necessário a demonstração, por meio de documentos e planos de trabalho, de como serão cumpridas as exigências da resolução.

Assim, na economia moderna baseada em dados (data driven economy) é importante ficar atento a nova legislação, se preocupando com o que deve ser adotado para a proteção do tratamento de dados, já que temos uma tendência de regras mais claras, com a finalidade de padronização a todos os agentes do setor econômico, aumentando a transparência e a segurança em relação ao tratamento de dados pessoais.

Para ficar por dentro e saber as principais exigências regulatórias, continue a leitura abaixo.

Glossário de alguns termos da LGPD

O nosso ordenamento se preocupou em destacar e explicar alguns termos utilizados no decorrer do texto da lei. Assim, quando lidamos com dados pessoais devemos ter em mente algumas das seguintes definições legais:

  1. dado pessoal é a informação relacionada a pessoa natural (física) identificada ou identificável;
  2. dado pessoal sensível é o dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
  3. tratamento é toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
  4. titular é a pessoa natural (física) a quem se referem os dados pessoais que são objeto de tratamento;
  5. controlador é a pessoa física ou jurídica que tomará as decisões sobre o tratamento de dados pessoais;
  6. operador é a pessoa física ou jurídica encarregada pelo controlador a realizar o tratamento dos dados pessoais.

Quando pode ser tratado o dado pessoal

Segundo a LGDP, os dados pessoais só podem ser tratados mediante consentimento do titular, ou seja, da pessoa física.

Dessa forma, a efetiva manifestação de vontade do titular deve ser fornecida por escrito ou qualquer outro meio que de fato demonstre essa autorização, ainda sendo uma cláusula contratual, deve vir destacada em relação as demais.

Outro ponto importante em relação ao consentimento do uso dos dados pelo titular é necessidade de informar ao titular sobre o motivo do tratamento. Uma vez alterado, é preciso uma nova autorização.

Sendo ainda, legítima a revogação da autorização, podendo ser pedida a exclusão de todos os dados armazenados e só podendo ser utilizados os dados em que o consentimento é dispensado.

Medidas de segurança e sigilo

Tanto a resolução do Bacen quanto a LGPD definem e exigem ações para uma maior proteção dos dados coletados.

O Banco Central, exige, por exemplo, no mínimo, a autenticação, a criptografia, a prevenção e a detecção de intrusão, a prevenção de vazamento de informações, a realização periódica de testes e varreduras para detecção de vulnerabilidades, a proteção contra softwares maliciosos, o estabelecimento de mecanismos de rastreabilidade, os controles de acesso e de segmentação da rede de computadores e a manutenção de cópias de segurança dos dados e das informações.

Por meio dessa resolução, é mister salientar que, ela se preocupou em exigir das instituições financeiras que, previamente à contratação de serviços em nuvem, devem adotar alguns procedimentos, como, práticas de governança corporativa e de gestão proporcionais à relevância do serviço a ser contratado e aos riscos a que estejam expostas e verificação da capacidade do potencial prestador de serviço de assegurar, dentre várias outras certificações necessárias.

Não diverso, a LGDP também exige que medidas de segurança sejam tomadas pelo controlador, desde a concepção do tratamento de dados.

Entre as obrigações, destaca-se a utilização de mecanismos de proteção contra acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

Também, os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.

Ainda, como dito acima, após, (i) findado o motivo pelo qual foram coletados e tratados os dados pessoais; (ii) revogação do consentimento do titular ou (iii) por determinação da autoridade competente, por conseguinte, não havendo mais a necessidade para seu armazenamento, os dados devem ser excluídos do banco de dados dos agentes de tratamento (controlador e operador), salvo para cumprimento legal ou regulatório ou, desde que anonimizados, para uso exclusivo do controlador, não sendo permitido o acesso por terceiros.

Cada segmento tem suas exigências

É fundamental ter em mente, também, que cada relação atividade econômica possui suas especificidades e exige diferentes tratamentos jurídicos.

Portanto, é aconselhável sempre contar com o auxílio de um advogado especializado para se possa entender melhor as necessidades de cada empresa.

Ficou alguma dúvida? Comente abaixo e teremos o maior prazer em responder as suas questões.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *