Cadastre-se e receba o nosso conteúdo

Artigos e Notícias

FEBRABAN lança guia de orientação aos bancos para a implementação da LGPD

A FEBRABAN lançou, em outubro, um guia específico para o setor bancário para aplicação da Lei Geral de Proteção de Dados Pessoais (Lei 13.709/18, conhecida como LGPD), que entrará em vigor em agosto de 2020. O objetivo é explicar os conceitos e os passos para a implementação da lei, sob o ponto de vista de seus impactos no mercado financeiro, em especial para as instituições financeiras.  

O Guia de Boas Práticas, que será distribuído exclusivamente aos associados da Federação, tem 62 páginas e está dividido em duas partes. Os capítulos iniciais abordam os principais conceitos da lei, tais como governança, privacidade e bases legais para o tratamento de dados. Na segunda parte, o guia aprofunda pontos relacionados aos modelos de tratamento de dados a serem adotados pelos bancos, os documentos-padrões necessários e o trabalho de conscientização a ser feito pelas instituições com seus colaboradores.

O Guia é resultado dos trabalhos da Comissão Executiva de Tratamento de Dados da FEBRABAN, criada em abril desse ano, justamente para orientar os bancos com diretrizes para aplicação da Lei. A KPMG e o escritório de advocacia Mattos Filho apoiaram esse trabalho.

De acordo com Ulisses Gomes Guimarães, diretor da comissão executiva de tratamento de dados da FEBRABAN e Chief Data Officer (CDO) e Encarregado (DPO) do Banco Santander, a nova legislação deve ser absorvida com mais naturalidade pelo meio bancário em comparação a outros setores da economia, porque os bancos já seguem uma forte regulação.

“Estamos acostumados a lidar com a segurança de dados e com o sigilo bancário”, diz o executivo. Ele ressalta, porém, que “a LGPD traz uma mudança cultural muito grande, principalmente por envolver terceiros; e, por isso, estamos trabalhando intensamente nesse processo, que tem engajamento dos bancos”.

A Comissão Executiva de Tratamento de Dados da FEBRABAN é composta por colaboradores de 15 bancos, que representam mais de 90% do mercado bancário. Em reuniões mensais, o grupo trabalha na aplicação da lei, e trata de questões relacionadas à tecnologia e governança de dados a aspectos jurídicos, estes últimos analisados pela Subcomissão de Assuntos Jurídicos e Compliance de Dados – grupo criado especificamente para esse fim e conta com a participação de 34 instituições financeiras. Também participa do trabalho uma Subcomissão de Negócios, para detalhar as análises.  

Origem

A fonte de inspiração para a composição da LGPD é a lei de proteção de dados europeia, a GDPR (General Data Protection Regulation), que entrou em vigor no primeiro semestre de 2018.  Assim como na União Europeia, o modelo se apoia nos seguintes agentes:

1) a agência reguladora - ANPD, órgão subordinado à Presidência da República, a ser composto por um presidente, quatro diretores e um conselho consultivo composto por 23 conselheiros;

2) o controlador, a quem competem as decisões e em nome do qual um operador realiza o tratamento de dados; e

3) o encarregado (DPO, “data protection officer”), que tem como missão estabelecer um canal de comunicação entre o controlador e operador, e entre eles, o titular dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

“O encarregado, em um dos seus papéis, será um agente equivalente ao SAC dos bancos”, diz Guimarães. Entre outras atividades, caberá ao encarregado encaminhar as reclamações e comunicados, prestar esclarecimentos, tomar providências em tempo hábil e orientar funcionários e fintechs parceiras dos bancos quanto às adequações da LGPD.

O encarregado pode ser uma pessoa física indicada pelos bancos, uma pessoa jurídica ou um escritório especializado. Pela experiência dos bancos, o encarregado deverá ser alguém ligado mais diretamente às áreas de compliance, governança de dados, jurídica ou de segurança de informação.

A LGPD é o resultado de uma discussão no Congresso Nacional iniciada já há alguns anos, e concluída em 2018. Desde o início dos debates legislativos, a FEBRABAN veio se preparando para receber a nova legislação, participando das diversas audiências públicas realizadas em Brasília.

 No caso específico dos bancos, o ponto de partida são os contratos já existentes com os clientes e o legítimo interesse do cliente ter acesso aos produtos e serviços que sejam mais adequados para ele. Em alguns casos será necessário obter o consentimento do cliente também. 

A responsabilidade quanto ao tratamento destes dados é assumida pelo controlador (no caso, o banco) e quando for o caso de existir um operador, alguma empresa parceira do banco, a responsabilidade é solidária.

A chegada da LGPD é um divisor de águas na relação entre os clientes e as instituições financeiras, por deixar claro que o cidadão é o dono de seus dados, adquirindo direitos que até então não estavam definidos. É o caso do direito de exclusão (ou direito ao esquecimento), pelo qual o cliente pode solicitar que seus dados sejam excluídos.

“Mas há condições para o exercício de alguns direitos”, adverte Guimarães. No caso de encerramento de conta corrente, de financiamentos imobiliários ou relacionados ao pagamento de FGTS, por exemplo, o Banco Central exige que os bancos mantenham os dados arquivados por determinado período, assim não se pode apagar dados quando há uma obrigação legal vigente.

“Há uma série de sub regras no Brasil”, diz Guimarães.

Assim que a LGPD entrar em vigor, o cliente poderá também exercer o seu “direito de oposição”, o que vai exigir por parte dos bancos uma comunicação ainda mais transparente a respeito do tratamento dos dados, em especial quando estão sendo compartilhados.  Transpondo para o mundo real, o “direito de oposição” equivale ao aviso “Não Perturbe” usado pelo hóspede em seu quarto de hotel. Ou seja, caso o cliente se sinta incomodado por ofertas que não estejam de acordo com o seu perfil, ele pode exigir do banco que tais informações não sejam mais usadas para a oferta de outros produtos, mesmo que a instituição esteja usando com boa fé, agindo dentro de interesses legítimos. Nestas situações, os dados não precisam ser apagados.

A lei vai permitir aos bancos, porém, que possam trabalhar os dados essenciais preservando o anonimato, sem identificar o usuário. 

“É um ponto positivo, já que será possível aos bancos identificar e aprofundar o conhecimento sobre o perfil do brasileiro”, diz Guimarães. Com base em impressões pessoais, Guimarães acredita que os clientes brasileiros podem ser classificados, em sua maioria, como pragmáticos, capazes de avaliar positivamente uma nova experiência que exija o compartilhamento de dados pessoais, ao perceber que essa lhe traz benefícios.

Fonte: FEBRABAN, em 28.11.2019