Resolução Conjunta nº 6, de 23 de maio de 2023 do BACEN é compatível com a LGPD?
Por Brenda Beltramin
A maior parte das organizações comerciais lida cotidianamente com uma série de dados pessoais de seus clientes/associados, prospectos e empregados. No caso das instituições bancárias, esses dados incluem diversas informações sobre a vida financeira dos seus clientes, tais como salário, números do cartão de crédito, dados de financiamentos, capacidade de endividamento, etc.
Nesse contexto, o tema de proteção de dados pessoais é extremamente relevante para o setor bancário, razão pela qual há grande pressão para a adequação e a manutenção da conformidade dessas instituições com a LGPD e com os parâmetros de segurança adequados.
A questão é desafiadora, pois a natureza das atividades do setor financeiro impõe ao setor um dever de vigilância em relação aos riscos de fraudes. Ora, uma das principais ferramentas utilizadas pelos bancos e cooperativas de crédito para prevenir esse risco é justamente o compartilhamento de informações, incluindo dados pessoais (por exemplo, a identificação de quem executou ou tentou executar a fraude).
Nesse aparente conflito entre o direito à privacidade e proteção dos dados pessoais e o compartilhamento de informações para fins de controle e prevenção de fraudes, o Banco Central do Brasil (BACEN) expediu a Resolução Conjunta nº 6, de 23 de maio de 2023 (adiante referida simplesmente como RC n° 6/23) que regula a forma de compartilhamento de dados pessoais e as salvaguardas a serem adotadas para esse fim.
Sabe-se que o setor bancário é extremamente digitalizado. Assim, o compartilhamento de dados é efetuado via sistemas eletrônicos, os quais devem ter interoperabilidade com outros sistemas de forma a assegurar o pleno acesso às informações por outras instituições financeiras. Para além da obrigação de interoperabilidade, a Resolução também estabelece medidas de segurança a serem implementadas nos sistemas, como o controle de acesso e as garantias de disponibilidade e integridade dos dados.
Curiosamente, o BACEN atribui às instituições financeiras a obrigação de coletar o consentimento prévio e geral para o registro e compartilhamento desses dados. Nos termos da Resolução Conjunta nº 6, de 23 de maio de 2023, o consentimento deve ser obtido por meio de cláusula destacada no contrato celebrado com o cliente ou por outro instrumento jurídico válido, como, por exemplo, um Termo de Consentimento. Assim, as instituições financeiras devem adequar seus contratos-modelo ou adotar outro procedimento que assegure a assinatura do Termo de Consentimento.
A opção do Bacen pelo consentimento como base legal para o compartilhamento de dados pessoais para fins de prevenção de fraude chama a atenção, pois tal tratamento poderia perfeitamente ser fundado na obrigação regulatória imposta pela própria resolução. Ademais, o consentimento previsto na RC n° 6/23 – que é “geral” – é distinto daquele previsto na LGPD, que é “específico” e deve indicar todos os controladores com quem os dados são compartilhados. Finalmente, esse consentimento aplica-se exclusivamente para o cliente com quem as instituições “possuem relacionamento”, o que leva a crer que o compartilhamento de dados pessoais para fins de prevenção de fraudes referente a pessoas com quem as instituições não possuem relacionamento pode ser fundado em outra base legal prevista na LGPD, como a obrigação legal ou o legítimo interesse.
Assim, é importante que as instituições financeiras tenham o cuidado de redigir o termo de forma a conciliar o consentimento “geral” previsto na RC n° 6/23 com aquele “específico” previsto na LGPD – o que não é uma tarefa evidente.
Vale lembrar as instituições financeiras devem também observar o dever de transparência. Os clientes devem ser informados da finalidade do tratamento, do compartilhamento e também dos direitos dos titulares referentes a seus dados pessoais conforme previsto na LGPD. Essas informações devem ser transmitida de forma clara no momento da coleta do consentimento e constar da Política de Privacidade da instituição.
Nesse sentido, as instituições financeiras devem instituir um processo definido para atender os direitos de acesso, de exclusão ou de correção dos dados pessoais. Com efeito, um registro incorreto de indício de fraude pode ter impactos significativos na vida de uma pessoa, como, por exemplo, prejudicar o seu acesso ao crédito ou negar-lhe um direito. O tema é relevante, pois a jurisprudência dominante entende que o registro indevido de um consumidor no SERASA enseja o pagamento de danos morais, sem necessidade de comprovação específica dos prejuízos sofridos.
Nos termos da RC n° 6/23 , as instituições financeiras podem contratar terceiros para a execução dos serviços de registro de indícios de fraude. Porém, o texto não deixa dúvidas de que a responsabilidade relacionada aos dados pessoais e ao compartilhamento permanece com a instituição contratante. Por essa razão, o contrato deve prever as obrigações do prestador de serviços em relação aos dados pessoais e os parâmetros de segurança e proteção de dados pessoais a serem adotados. E ainda, compete às instituições financeiras definir os processos que assegurem o cumprimento das obrigações constantes da Resolução. Esses processos devem ser controlados, monitorados e auditados periodicamente de forma a possibilitar a identificação e correção de eventuais falhas, e o monitoramento e controle desses processos deve ser documentado e arquivado por cinco anos.
Nesse sentido, a RC n° 6/23 do BACEN deve ser lida e interpretada em conjunto com as demais normas referentes ao tratamento e compartilhamento de dados pessoais pelas instituições financeiras, notadamente a LGPD. Ela representa, assim, mais um elemento da complexidade normativa que envolve a regulação do setor financeiro no Brasil e que deve ser objeto da atenção dos profissionais do direito.
O Chenut alcançou por sete vezes o 1° lugar como o escritório mais admirado de Minas Gerais pela publicação Análise Editorial ADVOCACIA. Quer conhecer mais sobre a nossa Equipe e nossos serviços? Entre em contato com novosnegocios@chenut.online e agende uma conversa.
