28/01/2020 - 14:05
O surgimento dos chamados e-Bancos, bancos digitais ou mais popularmente conhecidos como fintechs, representa relevante parcela de mercado no boom de oportunidades como resposta positiva ao derivado de vivências do tradicional oferecimento de serviços das instituições bancárias que sucumbiu à burocratização que tangencia os processos dos grandes bancos. E a realidade prova a necessidade por mais canais seguros, transparentes e ágeis que auxiliem clientes a realizar suas transações financeiras e promovam a inclusão bancária de milhões de pessoas por meio de plataformas interativas (computador ou aplicativos) ao viabilizar a utilização simplificada do dinheiro em contas.
E como os bancos digitais foram içados do conceito de ideia para algo acessível? Alguns fatores contribuíram para isso, a como a atual geração de consumidores com interesses específicos: o engajamento na busca por informações precisas e por serviços e produtos de características peculiares.
Ou seja, são recursos construídos para exibir atendimentos personalizados. Esses serviços e produtos criam possibilidades que driblam a estagnação, a burocracia e os problemas comuns do agentes financeiros tradicionais.
Tudo mudou com o mobile banking. Até mesmo a inteligência artificial ou machine learning (aprendizado de máquina, em português). Tecnologia que é muito utilizada pelas fintechs para melhoria de serviços digitais.
Mas a quantas anda aquela preocupação com o tratamento de dados dessa geração digital? E o reconhecimento eletrônico de documentos enviados para cadastro dos e-Bancos (CNH, RG, CPF, comprovante de residência e autorretrato de potencial cliente para conferência das identidades)?
A Resolução nº 4.658/2018, do Banco Central do Brasil (Bacen), estabelece a obrigação de uma política de segurança cibernética e os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem com vistas a conciliar sua eficácia ao texto imperativo da Lei nº 13.709/2018, intitulada Lei Geral de Proteção de Dados Pessoais (LGPD).
O taxativo ‘não’ e o senhor ‘por quê?’
Autenticação, criptografia, prevenção e detecção de intrusão, prevenção de vazamento de informações, realização periódica de testes e varreduras para detecção de vulnerabilidades, proteção contra softwares maliciosos, estabelecimento de mecanismos de rastreabilidade, controles de acesso e segmentação da rede de computadores, manutenção de cópias de segurança dos dados e informações são as novas ordens do dia obedecendo aos ditames do artigo 3º, §2º, do instrumento editado pelo Bacen.
O brasileiro é acostumado com as exceções à regra de ajuste de “ações e comportamentos diante de situações ou avaliações de risco”, como diria o atual secretário da Fazenda do Paraná, Renê de Oliveira Garcia Júnior, no livro “Os Fundamentos Econômicos para uma Teoria da Regulação em Mercado de Capitais em Processo de Globalização”.
E aqui entra a importância do estado da arte em regulação. Justamente neste ponto temos a convergência do interesse público prestando padrões de orientação, estabelecendo proteção das informações pessoais de uma gama de clientes, a par da figura do Estado que está exatamente garantindo o equilíbrio desejado entre a exploração econômica de recursos financeiros dos consumidores cadastrados nos variados assentamentos dos e-Bancos e a urgente inibição de vulnerabilidades por incidentes de fraude, invasão e manipulação não restritiva de dados sensíveis mediante armazenamento em nuvem.
Por outro ponto, vemos no texto supratranscrito que na hipótese de descarte de qualquer hipótese de aprimoramento de uma eficaz regulação jurídico-econômica haveria um enforcement (empoderamento, em português) de proporções devastadoras, sem freios e contrapesos.
Ainda nas palavras do autor, como resultado espera-se que a regulação provoque “uma externalidade positiva sobre a formação dos mercados, gera confiança nas regras do jogo e transmite maior segurança nas relações entre consumidores e ofertantes de serviços financeiros quanto ao fiel cumprimento dos contratos pactuados”.
Como dito, cabe ao normatizador apoiado ao intérprete mitigar os riscos do cibercrime e proteger as instituições financeiras balanceando interesses privados à implementação de programas de conscientização, administração e avaliação periódica de vulnerabilidades de incidentes, melhoria contínua dos procedimentos relacionados à segurança de dados dos clientes ou consumidores.
Nada disso seria, de certa maneira, tangível sem os parâmetros de regulação espelhados pelo Bacen.
Quem responde pelos erros de tratamento dos dados?
Segundo a Resolução nº 4.658/2018, alterada sem grande substância pela Resolução nº 4.752/2019, apenas no aspecto do alargamento de prazos para as instituições financeiras informarem novas contratações de serviços em nuvem, de 60 dias para 10, a intenção de estabelecer diretrizes principalmente no armazenamento de dados pessoais de clientes merece total atenção para reprimir abusos de direito.
É nessa trilha que a primeira normativa orienta o plano de ação a fim de registrar quais procedimentos e controles serão adotados para reduzir a vulnerabilidade a incidentes, somados a análise das causas e impactos de incidentes para as atividades das instituições financeiras, que consigam blindar a gestão da continuidade do negócio proposto pelos bancos digitais, como alternativa ideal aos bancos digitalizados que sobrevivem na era do já ultrapassado internet banking.
No entanto, a resolução não tem o condão de fixar penalidades a quem vier a descumprir as disposições ali inseridas. No todo ou em parte, isso implica socorro interpretativo complementar da lei em sentido escrito e abrangente — LGPD, que vigorará a partir de agosto de 2020.
Ainda que as consequências de infração à lei e à resolução não se apresentem tão claras, talvez pelo comando geral e abstrato de o ato-regra não ser destinado a qualquer indivíduo determinado, é preciso cuidado para que as fintechs não sejam erroneamente penalizadas com advertência. Neste caso, com multa de até 2% sobre o faturamento, multa diária, entre outros, conforme o segundo o artigo 52 da LGPD.
Essas controvérsias e dúvidas serão superadas mediante um arcabouço de cautelas ponderadas casuisticamente e que tenham efeito pragmático de preservar garantias fundamentais, tais como a livre iniciativa e ao desenvolvimento tecnológico, sem paliativos.
Como solucionar?
A escolha de profissionais experientes na área de direito digital pode servir como estímulo para adequação de complexas realidades, minimizando impactos negativos para empresas e aumentando a confiança de investidores.
Essas ponderações se pautam em demonstrar aos órgãos públicos e entidades, quando oportuno, a assertividade das competências técnicas empregadas pelas empresas sujeitas ao enquadramento de incidência da resolução do Bacen e da LGPD, para gerir dados sensíveis de terceiros, clientes no caso, de modo a proteger a continuidade dos serviços e produtos disponíveis pelos bancos digitais, assim como impedir o fracasso da teoria do direito de empreender.
No meio de tantas incertezas políticas, é certo que há muito para se ver no mês de agosto. É correto dizer que as empresas devem se adaptar às práticas de conformidade, prevenindo o surgimento de punições por violação à LGPD ou, correrão sérios riscos à própria imagem que vendem para seus clientes.
A sorte está lançada. Façam as apostas.
Gisele Truzzi, advogada especialista em Direito Digital e fundadora de Truzzi Advogados
Marcelo Nogueira Mallen da Silva, advogado especialista em Direito Empresarial e consultor de Truzzi Advogados