Existem algumas situações do cotidiano com as quais a maioria das pessoas se identifica. Por exemplo, já se sentiu inseguro ao fazer compras pela internet e fornecer dados de cartões de crédito, endereço, entre outros? Ou já recebeu ligações de empresas que conhecem alguns de seus dados pessoais sem que você nunca tenha entrado em contato com elas antes? Em caso afirmativo, se sentiu preocupado ao saber que elas tinham acesso aos seus dados?
Essas situações são corriqueiras, mas nos fazem pensar em como nossos dados pessoais estão sendo utilizados e de que forma podemos nos proteger — especialmente quando se considera que, até recente, era muito comum que houvesse, entre as empresas, um compartilhamento indevido de dados de seus clientes.
Felizmente, a segurança de dados se tornou uma prioridade não só a nível pessoal, como também a nível global. Para garantir essa segurança, surgiu a Lei Geral de Proteção de Dados Pessoais (ou LGPD).
Essa lei, que entrou em vigor no dia 18 de setembro de 2020, tem como principal objetivo permitir que as pessoas se tornem titulares de seus dados, entendam os motivos pelos quais são coletados e, através disso, decidam se querem ou não que empresas tenham acesso a eles.
Como esta lei se aplica a qualquer pessoa ou empresa que realize o tratamento de dados pessoais, seja de forma online ou offline, certamente as Fintechs não poderiam ficar de fora. Então, surge a pergunta: como as Fintechs são impactadas pela LGPD e o que elas têm de fazer para se adaptar a essa lei?
Antes de responder tal pergunta, é importante lembrar que, com relação ao setor financeiro, já existiam algumas regulamentações no mercado, que davam a devida importância à proteção dos dados financeiros das pessoas. Podemos citar a Lei do Sigilo Bancário, a Lei de Crimes Contra o Sistema Financeiro, entre outras normas. Então, em comparação a outros sistemas, o financeiro já estava, de forma antecipada, mais preparado.
PRINCÍPIOS DA LGPD
Mesmo que o setor financeiro possua muitas regulamentações e leis que protegem dados, ainda serão necessários alguns ajustes para que ele se adeque à LGPD. Para tanto, o setor deverá considerar o principal requisito das novas normas, o consentimento do titular na utilização de seus dados, e alguns princípios citados na LGPD:
- finalidade: coleta de dados pessoais apenas para fins legítimos, informados ao usuários com clareza e antecedência;
- adequação: compatibilidade entre os dados coletados e a finalidade proposta;
- necessidade: somente os dados pessoais essenciais do usuário devem ser mantidos e, apenas até o momento em que se mostrarem necessários, devendo ser apagados quando deixarem de ser relevantes;
- livre acesso: estes dados devem estar prontamente disponíveis aos usuários no momento que forem requisitados;
- qualidade dos dados: os dados mantidos devem estar claros, exatos, relevantes e atualizados;
- transparência: as informações dadas aos titulares dos dados devem ser claras e precisas;
- segurança: medidas técnicas e administrativas devem ser tomadas para garantir a segurança dos dados dos titulares;
- prevenção: devem-se adotar medidas de segurança para evitar danos aos titulares;
- não-discriminação: os dados dos titulares em hipótese alguma devem ser utilizados para fins discriminatórios, ilícitos ou abusivos;
- Responsabilização e prestação de contas: a fintech deve garantir que está apta a se adequar ao cumprimento da norma da LGPD e deve ser capaz de prestar contas de qualquer ato seu que tenha relação com o tratamento de dados dos seus usuários.
Tendo visto todos os princípios da LGPD, vamos detalhar 3 deles que são essenciais e que garantirão que uma fintech faça o tratamento de dados dos seus clientes da melhor forma possível.
TRANSPARÊNCIA
Um dos pilares da LGPD é a transparência, ou seja, a garantia aos titulares de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento de dados e os respectivos agentes deste tratamento.
Nesse novo cenário, de uma nova regulamentação, estamos sendo apresentados a uma nomeação de sujeitos que farão parte deste sistema. No artigo V, vemos as figuras do controlador e do operador, que são, respectivamente, a quem competem as decisões referentes ao tratamento de dados pessoais e quem realiza o tratamento de dados pessoais em nome do controlador.
Seguindo o fluxo de transparência, vemos também a figura do Data Protection Officer (DPO), ou encarregado, como é chamado no Brasil, o qual é uma pessoa indicada pelo controlador e operador para analisar todo o fluxo de dados e atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
Geralmente, no espaço das fintechs, o time é bastante reduzido e o encarregado é representado por um dos sócios ou o próprio CEO. Independentemente de quem seja, essa nomeação deve ser feita o quanto antes para se adequar a LGPD. No artigo 41, § 1º vemos que ele deve ter sua identidade e informações de contato divulgadas publicamente, de forma clara e objetiva, preferencialmente no site da empresa. Isso é muito importante pois este profissional estará diretamente envolvido com todos os interessados na proteção de dados, em especial o titular.
De forma prática, o que é essencial é que a instituição aja de forma que o usuário entenda quais dados a organização detém, como os utiliza, age para protegê-los e em caso de resolução de problemas a quem ele pode recorrer. Para clientes que já fazem parte da instituição financeira isso pode ser feito através da atualização de documentos, como a revisão do inventário de dados pessoais e elaboração de um documento que esclareça as hipóteses de tratamento dos dados pessoais com as finalidades de uso e as bases legais que justificam a sua utilização.
Para novos clientes ,as medidas são semelhantes: a cada novo cadastro, a cada nova venda, o cliente já deve ser informado sobre como as informações são protegidas, se serão e com quem serão compartilhadas, se há internacionalização, para quais finalidades são tratadas e quais os direitos dos titulares.
CONSENTIMENTO
Sem dúvida, o consentimento é um dos conceitos mais importantes da LGPD. No entanto, ele não é necessário em todos os casos. Precisamos considerar que alguns tratamentos de dados são imprescindíveis para o cumprimento das obrigações legais dos controladores, como é o caso das fintechs, por exemplo.
Para elas, há uma pequena exceção à regra, tendo em vista que ter os dados pessoais e bancários são essenciais para a identificação e segurança do usuário. Por isso, a permissão é considerada implícita, já que é essencial para a prestação do serviço. No entanto, a empresa deve garantir ao usuário que seus dados estarão sendo usados exclusivamente com a finalidade de prestar um bom serviço, não de forma leviana ou que cause riscos à ele.
Além disso, as outras medidas da LGPD ainda são obrigatórias a fintechs, como informar ao cliente sempre que houver atualizações referentes ao uso de seus dados, seja em um serviço que ele já utiliza ou um novo serviço que a empresa comece a oferecer.
O importante, segundo a lei, é que haja clareza na mensagem passada ao cliente e que haja referência a finalidades determinadas previamente, sendo vedada à empresa pedir consentimento para autorizações genéricas, que não especifiquem o motivo para o tratamento dos dados pessoais.
Ainda seguindo a letra da lei, no artigo 9º, parágrafo 2º, vemos que “na hipótese em que o consentimento é requerido, se houver mudanças da finalidade para o tratamento de dados pessoais não compatíveis com o consentimento original, o controlador deverá informar previamente o titular sobre as mudanças de finalidade, podendo o titular revogar o consentimento, caso discorde das alterações”.
Essa revogação de consentimento faz parte dos direitos do titular, claramente expressos na LGPD. Tais direitos recebem um capítulo à parte na lei. Entre eles, há, também, a possibilidade de o titular requerer a exclusão ou eliminação de seus dados pessoais. Isso impacta diretamente no relacionamento que a empresa tem com o titular, pois surge uma dúvida importante: é esse direito de tal forma, absoluto, que se sobreponha a todas as necessidades da empresa?
Bem, a própria lei responde esse questionamento, no artigo 16. Ela prevê bases legais em que as empresas podem se opor ao pedido do titular de exclusão de seus dados, como, por exemplo, para o “cumprimento de obrigação legal”. Assim, se a empresa necessita dos dados para uma finalidade específica como para se defender em um processo judicial, ou cumprir alguma obrigação imposta pela lei, é possível, sim, a manutenção dos dados, mesmo que o titular seja contra isso.
Contudo, não é permitido usar essas informações para qualquer outra finalidade que não esteja amparada em uma das bases legais previstas na LGPD. No fim das contas, ainda que nem todas as vontades do titular possam ser satisfeitas, o aspecto crucial de cumprimento da LGPD é mantê-lo sempre a par do que está sendo feito com seus dados pessoais.
RESPONSABILIZAÇÃO E PRESTAÇÃO DE CONTAS
Os agentes de tratamento de dados devem não apenas adotar as devidas medidas de segurança para proteção dos dados, mas serem capaz de comprová-las. Em casos de incidentes e outras falhas, isso será levado em consideração pela ANPD (Autoridade Nacional de Proteção de Dados) na hora de definir as sanções aplicadas.
Quando se fala em tratamento de dados pessoais, segurança é coisa séria e a LGPD deixa claro que “os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito”.
Para além disso, a lei determina um modus operandi no caso de acontecer alguma falha nesse processo. O artigo 48 estabelece que deverá ser comunicado à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares. Essa comunicação deve ser feita em um prazo razoável.
Como a LGPD não menciona esse prazo e a agência que vai estabelecer isso (ANPD) ainda está em processo de formação, uma interpretação mais segura poderia ser feita baseada na legislação europeia (GPDR, General Data Protection Regulation ou Regulamento Geral sobre a Proteção de Dados), na qual a lei do Brasil foi baseada. A GPDR define prazo razoável como, no máximo, 72h.
Para que a comunicação ao titular dos dados e a agência nacional seja feita da forma mais clara possível ela deve mencionar no mínimo: descrição da natureza dos dados pessoais afetados; as informações sobre os titulares envolvidos; a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados; os riscos relacionados ao incidente; os motivos da demora, no caso de a comunicação não ter sido imediata; e as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.
Após ser avaliada a gravidade do incidente no tratamento de dados, a ANPD poderá impor sobre o controlador, caso necessário para a salvaguarda dos direitos dos titulares, a adoção de medidas — como a ampla divulgação do fato em meios de comunicação, como jornais de grande circulação, por exemplo — ou, ainda, medidas sancionatórias para reversão e mitigação dos efeitos do incidente.
Ainda no juízo de gravidade do incidente, será avaliada eventual comprovação de que foram adotadas medidas técnicas adequadas para que os dados pessoais afetados sejam tornados ininteligíveis para terceiros não autorizados a acessá-los, no âmbito e nos limites técnicos de seus serviços.
CONCLUSÃO
As mudanças propostas pela LGPD não são tão difíceis de serem aplicadas, especialmente se a empresa já preza pela ética no tratamento de dados. Resumidamente, o que compete à empresa é garantir ao titular dos dados que haverá sempre um pedido de consentimento explícito para a utilização dos seus dados; esclarecer ao cliente que ele tem vários direitos, incluindo o de optar por eliminar informações suas do banco de dados da empresa, ressalvadas as situações em que há base legal para manter esses dados; tomar responsabilidade por qualquer eventual violação de dados e notificar imediatamente à autoridade supervisora responsável; e, por último, mas não menos importante, ter um total controle de gestão do fluxo de dados.
Portanto, as fintechs que já adotam diferentes processos de gestão, controle e operação de dados para assegurar a rastreabilidade da informação e a segurança de dados devem manter tais adoções. E aquelas que estão em ascensão devem se adaptar o quanto antes, não só à LGPD, mas também às várias regulamentações já presentes no mercado. No fim das contas, quem ganha com a transparência e confiabilidade das operações não são somente os titulares de dados, mas principalmente empresas que buscam ter sucesso na área através da conquista de seus clientes.
