Blog

Blog

OPEN BANKING - Entenda a nova Resolução Conjunta n#1 BACEN e CMN

CORTEZ, RIZZI & MIRANDA - 15 mai / 2020
Resolução Conjunta nº 01, de 4 de maio de 2020
Open Banking - pivot de uma política segurança cibernética nacional?
 
Na sequência da consulta pública do Edital nº 73/2019, de 28 de novembro de 2019, e dos parâmetros e diretrizes já estabelecidas no comunicado n° 33.455, de 24 de abril de 2019, o Banco Central e o Conselho Monetário Nacional (CMN) aprovaram a Resolução Conjunta nº 01, de 4 de maio de 2020, que regula o chamado Open Banking no Brasil.
 
O Open Banking nada mais é do que um conjunto de regras para organizar o compartilhamento de dados e serviços do sistema financeiro por meio de abertura e integração das informações. Ele viabiliza que instituições financeiras, prestadores de serviços de pagamento, e outras tecnologias aplicáveis ao mercado de bancário e financeiro, possam, mediante consentimento prévio de seus clientes, dar  acesso à informação financeira dos seus clientes para entidades parceiras (Third Party Providers – TPP), utilizando para o efeito interfaces dedicadas (Applications Programming Interfaces - API).

Trata-se de uma forma de compartilhamento padronizado de dados e serviços entre instituições participantes, tais como, a transmissora, a receptora, a iniciadora de operação de transação de pagamento e detentora de contas. Desse modo, percebe-se que não apenas se aplica ao Sistema Financeiro Nacional (“SFN”), mas também aos Sistema Brasileiro de Pagamentos (“SBP”),  isto é, arranjos de pagamentos deverão se estruturar de modo a viabilizar sua interface de compartilhamento de dados e serviços. Na verdade, podemos esperar que o impacto do Open Banking seja muito expressivo entre os meios de pagamentos (serviços de iniciação de pagamento, serviços de informações da conta ou serviços de emissão de instrumentos de pagamento), com inúmeras aplicações, como pudemos observar a partir de 2015 na União Europeia.
 
A implementação do Open Banking tem como finalidade o aumento da eficiência no mercado de crédito e de pagamentos no Brasil, bem como a promoção de um ambiente de negócio mais inclusivo e competitivo. Contudo, esses objetivos devem ser compatibilizados com as premissas de segurança cibernética do CMN, a proteção dos consumidores e a proteção de dados pessoais – temas de grande relevância para este novo mercado.
 
O compartilhamento de dados, produtos e serviços por instituições financeiras e demais instituições autorizadas é dependente, ainda, do consentimento do cliente, o que mereceu especial atenção no que se refere ao seu tratamento pelas plataformas e infraestruturas de sistemas de informação das instituições participantes.
 
Deve-se notar que o Open Banking somente será obrigatório para as instituições financeiras de maior porte, isto é, aquelas que possuem porte igual ou superior a 1% do PIB ou que exerçam atividade internacional relevante, integrantes de conglomerados prudenciais dos Segmentos 1 (S1) e 2 (S2) (conforme Resolução nº 4.553, de 30 de janeiro de 2017). As demais instituições de menor porte sendo tem assegurada sua participação voluntária.
 
O BACEN terá total ingerência e participação na estruturação do modelo de governança a ser adotado pelas instituições participantes do Open Banking, sendo esta uma inovação frente à minuta submetida à consulta pública: o artigo 46 da Resolução Conjunta nº 01 prevê o dever de o BACEN estabelecer a estrutura inicial responsável pela governança do processo de implementação do Open Banking no País, que deverá ser seguida, obrigatoriamente, pelas instituições participantes quando da elaboração da convenção de compartilhamento regulada no art. 44 da Resolução. Esta atuação incisiva, contudo, deverá ser acompanhada da promoção de discussões entre as instituições participantes, representadas por associações representativas.
 
Dentre as preocupações do BACEN em relação ao modelo de governança a ser implementado, destaca-se a necessidade de (i) representatividade e a pluralidade de instituições e segmentos participantes, (ii) o acesso não discriminatório das instituições participantes, (iii) a mitigação de conflitos de interesse, e (iv) sustentabilidade, que evidentemente passa pela sua viabilidade prática junto ao consumidor final, como também pela integridade do sistema, que deve prevenir eventuais violações de segurança, perda ou roubo de dados, e fraudes em geral.
 
É importante lembrar que durante a consulta pública, o BACEN deixou claro que a organização e governança das instituições seguiria um modelo de governança associativo/representativo, em que as instituições participantes deveriam pactuar a quantidade e o mandato dos membros de um dado “nível estratégico” com base em critérios específicos, como: (i) a quantidade de associados instituições financeiras ou instituições autorizadas pelo BACEN, (ii) a existência de dois grupos de associações com mesmo grau de participação, sendo o primeiro composto das instituições de Segmento 1 (S1), o Segmento 2 (S2) e o Segmento 3 (S3), e o segundo por instituições do Segmento 4 (S4) e do Segmento 5 (S5).
 
 
Este modelo de governança estabeleceria ainda a vedação à participação simultânea nos dois grupos mencionados acima e a representação majoritária por uma única associação em cada um dos grupos, e ainda estabeleceria outras sugestões de autorregulação concernentes às regras de governança e compartilhamento de custos. Estas notas, contudo, não são expressas na Resolução Conjunta do Open Banking, e serão implementadas com base no artigo 46 acima citado, mediante a Convenção regulada no artigo 44.
 
 
Interoperabilidade, Transparência e Segurança Cibernética
 
Dentre as modificações da minuta submetida à consulta pública em novembro de 2019 e a Resolução publicada, verifica-se uma melhor adequação às regras de segurança da informação, conforme tanto a LGPD e a Resolução CMN nº 4.658, de 26 de abril de 2018 – mas não apenas. A Resolução Conjunta nº 01 exige o tratamento não discriminatório e a interoperabilidade entre sistemas.
 
Estas preocupações já estavam presentes na minuta submetida à consulta pública, contudo, a interoperabilidade carecia de garantias adicionais, uma vez que nem sempre há reciprocidade, isto é, nem sempre uma instituição com rede própria permite o acesso a outras redes. Assim, a reciprocidade foi estabelecida como premissa para a implementação do Open Banking e será observada como nos parâmetros da Convenção do art. 44.
 
Outra garantia adicional é o princípio da qualidade dos dados, inserido como premissa a ser observada pelo mercado, e que deve ser visto tanto sob o prisma da integridade e da segurança da informação, como também como exigência de atualização e consistência das bases de dados – portanto, trata-se de uma preocupação também com a padronização dos dados.
 
Os requisitos de compartilhamento são condicionados por critérios de segurança, agilidade e conveniência. O artigo 23 também passou a exigir uma maior transparência sistêmica, na medida em que as interfaces de compartilhamento de dados devem assegurar o seu acesso gratuito ao público, com possibilidade de definição de limites de chamadas de interface, sob parâmetros justificados e equitativos.
 
Assim, as informações a respeito das APIs devem ser disponibilizadas de forma clara, adequada à natureza do compartilhamento e acessível, inclusive com relação ao controle de versões e ao suporte à conexão.
 
 
A regulação do BACEN segue uma tendência mundial, e importará em maiores vulnerabilidade e ameaças ao mercado, diante da maior utilização de APIs em redes públicas junto ao SFN e no SBP, isto é, mais complexidade, dinamismo e inovação nestes mercados, significa mais risco. Do ponte de vista tecnológico, é importante frisar que o Open Banking torna a Resolução Conjunta nº 01 absolutamente interligada à  Resolução CMN nº 4.658, de 26 de abril de 2018. E mais, na medida em que o Open Banking engloba não apenas entidades autorizadas sob o SFN e o SBP, outras empresas e entidades acabarão por ter que adotar níveis de segurança cibernética mínimos para permanecerem ou entrarem nas indústrias bancária, financeira e de meios de pagamentos.
 
 
Em particular, nota-se esta tendência generalizadora das práticas de segurança da informação na medida em que a Resolução Conjunta nº 01 assegura a uniformização, a integridade e a disponibilidade dos dados transmitidos via API no âmbito do Open Banking mediante a já referida Convenção do artigo 44, acerca dos “padrões tecnológicos e procedimentos operacionais” a serem adotados pela indústria. As instituições participantes devem acordar nesta Convenção, no mínimo, a implementação dos APIs, inclusive o desenho de interface, o protocolo para transmissão de dados, o formato para troca de dados e os controles de acesso às interfaces e aos dados, padrões e certificados de segurança a serem adotados, bem como para a solicitação de compartilhamento de dados e serviços.
 
 
Esta uniformização deverá ser detalhada ao nível da padronização do leiaute dos dados e serviços, abrangendo, inclusive a definição do dicionário de dados comum e processos de data clustering similares. Sem prejuízo da liberdade concedida aos agentes de mercado para estabelecerem os parâmetros de uniformização, na Circular nº 4.015, de 4 de maio de 2020 o BACEN já delimita os dados e serviços que serão objeto de tratamento através do Open Banking.
 
 
Para além disto, a Convenção deverá estabelecer regras de indústria para os demais aspectos jurídicos de seu relacionamento, como (i) canais de encaminhamento de demandas de clientes, (ii) procedimentos e mecanismos para tratamento e resolução de disputas, (iii) hipóteses de ressarcimento entre os participantes, (iv) repositório de participantes, (v) direitos e obrigações dos participantes, e (vi) dentre outros.
 
 
A convenção será negociada e estruturada por entidades representativas das instituições e segmentos participantes e poderá ser aderida diretamente pelas instituições (de modo individual) ou por suas representações ou associações de representação nacional.
 
 
Aspectos relacionados à Privacidade de Dados
 
 
Consentimento
 
 
É nítida a preocupação do regulador em equalizar os requisitos de inovação tecnológica e maior competitividade de mercado com as garantias de segurança cibernética e proteção de dados, ao estabelecer o consentimento como pré requisito para o compartilhamento de dados. Nesse sentido, vê-se que a própria definição de consentimento prevista na Resolução Conjunta nº 1 é mais restritiva inclusive que a constante da Lei Geral de Proteção de Dados (“LGPD”), sendo que 5 artigos – artigos 10 a 15 – são reservados apenas para tratar das regras aplicáveis ao consentimento. De acordo com a Resolução Conjunta nº 1, consentimento é definido como a manifestação livre, informada, prévia e inequívoca de vontade, feita por meio eletrônico, pela qual o cliente concorda com o compartilhamento de dados ou de serviços para finalidades determinadas.
 
 
A Resolução Conjunta nº 01 reforça o papel do consentimento, e mostra-se em consonância com as práticas de indústria internacionais e com os recentes internacionais acerca do tratamento dispensado ao consentimento. Assim, a Resolução Conjunta nº 01 estabelece que não apenas é proibido o uso de contratos de adesão ou formulários para contratação do compartilhamento de dados, como também foi proibida adoção do sistema de “opt-out”. Assim, o consentimento deverá ser estabelecido de modo ativo (“opt-in”), e mediante o uso de sistemas de autenticação para segurança e identificação do usuário. Não há, contudo, indicação de mecanismos ou formas específicas de autenticação.
 
 
 
 
Deve-se notar que a Resolução Conjunta nº 01 ainda buscou estabelecer os limites temporais tanto do exercício do consentimento, como de sua revogação. O art. 15 assegura “a possibilidade da revogação do respectivo consentimento, a qualquer tempo, mediante solicitação do cliente, por meio de procedimento seguro, ágil, preciso e conveniente, observado o disposto na legislação e regulamentação em vigor”.
 
 
A revogação do consentimento deve produzir efeitos em até 1 (um) dia, contado a partir da solicitação do cliente, no caso do compartilhamento de serviço de iniciação de transação de pagamento, e de forma imediata, para os demais casos.
 
 
Interessante notar que, muito embora o Regulamento estabeleça a revogação de consentimento, ela é silente quanto ao direito de retificação, tão necessário para assegurar que a informação transferida seja correta e precisa. De outro lado, apesar de não se referir diretamente ao direito de retificação, a inclusão do princípio de qualidade dos dados, acima referido, é uma forma indireta de referência ao direito à retificação (que também está regulada na LGPD).
 
 
Por fim, o consentimento poderá ser oposto pelas instituições participantes sempre que houver suspeita justificada de fraude.
 
 
Finalidades
 
 
A Regulação acerta ao limitar o compartilhamento a finalidades específicas, e permitir que o cliente possa controlar o agrupamento dos dados. Neste sentido, é importante observar que as instituições participantes poderão ou não optar pelo agrupamento de dados. Evidentemente que o agrupamento de dados (clustering) deve ser necessariamente consentido, como parte do tratamento dos dados a serem transferidos.
 
 
Por fim, o consentimento deve ser solicitado por meio de linguagem clara, visar a finalidades determinadas, e ter prazo de validade compatível com as finalidades, limitado, contudo, a 12 meses.
 
 
Os artigos 30 e 31 dispõem sobre a responsabilidade das instituições pela segurança dos dados, contudo esta responsabilidade já é prevista em legislação específica.
 
 
Há ainda a obrigação regulatória de contratação de um Diretor estatutário, que pode acumular outras funções, e que terá a função institucional de supervisionar o processo de transmissão, e assegurar sua confiabilidade.
 
 
Third Party Providers – TPP e políticas de segurança cibernética
 
 
Um aspecto muito importante da Regulação é o reconhecimento da ampla atuação que terão os TPPs (referidos como empresas parceiras) em um ambiente de Open Banking. Elas desempenharão inúmeros serviços associados ao mercado financeiro e bancário, notadamente relacionados aos meios de pagamento, como ocorreu em outras jurisdições. Com a entrada em vigor da Resolução Conjunta nº 01 estas entidades estarão sujeitas às normativas do BACEN, em especial a Resolução CMN nº 4.658, de 26 de abril de 2018, que já dispõe sobre a obrigatoriedade de implantação de política de segurança cibernética, bem como requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem.
 
 
Assim, os TPPs deverão, em um futuro muito próximo, adotar procedimentos e controles que contemplem, no mínimo, autenticação, criptografia, prevenção e detecção de intrusão, a prevenção de vazamento de informações, realização periódica de testes e varreduras para detecção de vulnerabilidades, a proteção contra softwares maliciosos, o estabelecimento de mecanismos de rastreabilidade, os controles de acesso e de segmentação da rede de computadores e a manutenção de cópias de segurança dos dados e das informações – práticas especificadas em suas respectivas políticas e extensíveis aos seus próprios fornecedores (de aplicações e componentes, em particular).
 
 
Como a Resolução permite a contratação de TPPs estrangeiras diretamente, e como diversas jurisdições já possuem políticas bastante completas de segurança da informação, é extremamente importante a conscientização do mercado nacional para sua atualização aos novos critérios, que irão transbordar do SFN e do SBP para outras indústrias a jusante e a montante.
 
 
Há limites à atuação dos TPPs, na medida em que a Resolução prevê: (i) a vedação de contratação entre instituições financeiras, e (ii) vedação de cessão total das atividades, isto é, a instituição transmissora deverá ser mantida a todo tempo como participante direto do processo de compartilhamento, podendo apenas subcontratar as demais atividades autorizadas.
 
 
Do mesmo modo que a privacidade e proteção de dados teve ganhou papel de destaque nos últimos anos com o advento do Marco Civil da Internet, a Regulação do BACEN e do CMN, e finalmente por meio da edição da LGPD, como ocorreu em outras jurisdições, a Resolução Conjunta nº 1 já nos indica que para além do SFN e do SBP os mercados nacionais devem já começar a preocupar-se com suas práticas e políticas de segurança cibernéticas, sob pena de serem excluídos do mercado.