REGISTRO DOI: 10.5281/zenodo.11180171
Cibelly da Silva Monteiro1,
Márcio Lacerda Custódio2,
Luiz Carlos Ferreira Moreira3
RESUMO
O presente trabalho analisa de forma geral a respeito da responsabilidade dos bancos tradicionais e das fintechs bancárias em relação aos dados dos usuários dos serviços no contexto da Lei Geral de Proteção de Dados, Lei 13.709/18. De forma pormenorizada, desenvolve o tema com pontuações importantes a serem analisadas, discutidas e estudadas. É possível encontrar a contextualização da lei, principais particularidades jurídicas; posteriormente, as responsabilidades que as instituições financeiras apresentaram após a inclusão da lei; e por fim, a forma como a lei contribuiu para as instituições bancárias na criação de estratégias para garantir o cumprimento da lei e a forma como ela está relacionada com o assunto em evidência. Foi utilizado o método hipotético-dedutivo, na qual foi aplicado referências bibliográficas para gerar mais confiabilidade e embasamento ao trabalho. Para concluir é possível perceber a contribuição significativa que a lei teve para o ordenamento jurídico brasileiro.
Palavras chaves: Tratamento. Privacidade. Dados Pessoais. Bancário. Lei Geral de Proteção de Dados.
ABSTRACT
This work generally analyzes the responsibility of traditional banks and banking fintech in relation to service user data in the context of general data protection law, Law 13,709/18. In detail, it develops the topic with important points to be analyzed, discussed and studied. It is possible to find the contextualization of the law, main legal details; subsequently, the responsibilities that financial institutions presented after the inclusion of the law; and finally, the way in which the law contributed to banking institutions in creating strategies to ensure compliance with the law and how it is related to the subject in question. The hypotheticaldeductive method was used, in which bibliographic references were applied to generate more reliability and support for the work. To conclude, it is possible to see the great significant contribution that the law had to the Brazilian legal system.
Keywords: Treatment. Privacy. Personal Data. Banking. General Data Protection Regulation.
1 INTRODUÇÃO
O presente artigo científico possuiu como objetivo abordar acerca da temática: A responsabilidade dos bancos tradicionais e das Fintechs com os dados dos usuários no contexto da Lei Geral de Proteção de Dados. Para tanto, faz-se necessário trazer uma breve contextualização acerca do tema, para com isso, garantir um melhor entendimento sobre o assunto discorrido neste artigo.
Segundo o Banco Central do Brasil (2023, on-line), “Fintechs são empresas que introduzem inovações nos mercados financeiros por meio do uso intenso de tecnologia, com potencial para criar novos modelos de negócios”. Atuam por meio de plataformas online e oferecem serviços digitais inovadores relacionados ao setor financeiro. Elas foram de grande importância para trazer melhores condições de crédito, concorrência no mercado, mais rapidez e eficiência nos procedimentos financeiros.
De acordo com Leite (2020, p. 6), “com as Fintechs foi possível quebrar paradigmas e uma nova estrutura concorrencial e regulatória começou a emergir, objetivando desburocratizar, democratizar e expandir o acesso a serviços financeiros.”
Com o mundo cada vez mais globalizado e com o surgimento das Fintechs, os bancos tradicionais precisaram dar um grande passo nas tecnologias para conseguirem acompanhar a atual situação do mercado financeiro. Como consequência disso, foi visível o enorme avanço que as instituições financeiras tiveram, principalmente em relação à simplificação de sistemas, mais comodidade aos usuários, desburocratização de ferramentas e principalmente a democratização ao acesso a serviços financeiros. Com essa facilidade para o acesso, houve um crescimento da necessidade para um melhor tratamento dos dados dos usuários desse serviço, foi então que surgiu a necessidade de uma lei como a LGPD, que tratasse a respeito do tema.
Em conformidade com o Art. 1° da Lei n° 13.709, de 14 de agosto de 2018, a LGPD “dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade”. (Brasil, 2018, on-line). Esta lei foi a responsável pela criação de normas que tem como objetivo proteger direitos fundamentais relacionados à privacidade dos usuários.
Este artigo tem uma grande relevância para o mundo acadêmico, pois buscou abordar a contextualização histórica da LGPD, seus principais aspectos e agentes dessa relação. Posteriormente, procurou também explicar como a LGPD contribuiu para garantir um a privacidade das informações dos usuários dessas instituições financeiras. E por fim, mostrou quais metodologias e estratégias que essas instituições bancárias estão utilizando para proteger os dados dos seus clientes e consequentemente, garantir os direitos fundamentais relacionados a privacidade dos usuários.
2 MATERIAL E MÉTODOS
A metodologia que foi utilizada neste artigo possui uma natureza básica, pois buscou gerar conhecimento que pudesse ser diretamente utilizado para solucionar problemas na área do Direito e principalmente em relação ao tema da proteção dos dados das pessoas físicas. Uma vez que tem como intuito verificar e compreender no contexto da LGPD, qual a responsabilidade que os bancos e fintechs possuem para garantir a proteção dos dados dos seus clientes e correntistas e fazer com que esses dados fiquem cada vez mais seguros.
O objetivo da pesquisa foi duplo: em sua vertente descritiva, buscou identificar e descrever detalhadamente as vantagens proporcionadas pela LGPD para garantir a segurança dos usuários no decorrer do relacionamento com as instituições financeiras; em sua vertente exploratória, buscou investigar novas perspectivas e possíveis benefícios que a lei 13.709/18 pode oferecer. Dessa forma, foi possível obter uma compreensão abrangente e aprofundada das vantagens associadas à lei geral de proteção de dados.
Este artigo utilizou fontes primárias e principalmente secundárias, foi conduzido através do uso de literatura realizada através de pesquisa bibliográfica, artigos científicos, livros e documentos jurídicos relacionados ao tema em questão.
3 RESULTADOS
Para Leite, é possível entender que o grande sucesso das fintechs, foi justamente por conta da comodidade dos aplicativos, com utilização dos serviços de formas mais autônomas e que saíssem do tradicional. Também completa o pensamento que as fintechs serviram para desburocratizar e expandir o acesso a serviços financeiros.
Com a ascensão da internet e o surgimento dos aplicativos, a conexão entre usuário e instituição financeira se diversificou, fornecendo meios autônomos para que os clientes cuidem de suas finanças. Por meio delas, a digitalização foi acelerada no setor, gerando uma onda inovadora no mercado, o que acarretou em novas oportunidades e desafios. (Leite, 2020, p. 6).
Por outro lado, ao entendimento de Diniz (2019, p.37), as Fintechs tiveram um enorme sucesso por conta das entregas de serviços que eram muito superiores quando comparado com os demais serviços que o mercado oferecia,
um dos fatores que garantiu a popularização das fintechs no início foi justamente a prestação de serviços superiores, com experiência de excelência, em áreas nas quais provedores tradicionais com ampla oferta de produtos, tais como os bancos, navegavam praticamente sozinhos sem terem uma boa percepção de valor por parte dos clientes.
Outro ponto importante destacado pelo autor, é o surgimento das fintechs resultou em propostas menos burocráticas e mais inovadoras nas análises de risco:
Um dos fatores que garantiu a popularização das fintechs no início foi justamente a prestação de serviços superiores, com experiência de excelência, em áreas nas quais provedores tradicionais com ampla oferta de produtos, tais como os bancos, navegavam praticamente sozinhos sem terem uma boa percepção de valor por parte dos clientes (Idem Ibidem).
No mesmo sentido, Luiza Leite compreende que as fintechs contribuíram não só para deixar o mercado menos burocrático, mas seu entendimento vai muito mais além disso. “Assim, foi possível quebrar paradigmas e uma nova estrutura concorrencial e regulatória começou a emergir, objetivando desburocratizar, democratizar e expandir o acesso a serviços financeiros”. (Leite, 2020, p.6).
É possível perceber que existem muitos pontos a serem discutidos, na qual os doutrinadores entram em certos conflitos de entendimentos. Cujo serão abordados com mais profundidade nos tópicos a seguir expostos.
4 LEI GERAL DE PROTEÇÃO DE DADOS N° 13.709/18
A Lei Geral de Proteção de Dados n° 13.709/18 tem objetivo principal proteger dados pessoais de pessoas naturais, ou seja, pessoas físicas, consequentemente, proteger os direitos fundamentais relacionados a privacidade dos usuários. Segundo Rocha (2020, p. 16) ‘‘A LGPD não tem como escopo os dados das empresas (pessoas jurídicas), mas sim os dados que as empresas têm das pessoas físicas, sejam elas funcionárias, terceiras, clientes, acionistas etc. – ou seja, todo mundo’’. No artigo 2° da lei 13.709/18 é possível encontrar de forma elencada os fundamentos da disciplina relacionada a proteção de dados.
A disciplina da proteção de dados pessoais tem como fundamentos: I – o respeito à privacidade; II – a autodeterminação informativa; III – a liberdade de expressão, de informação, de comunicação e de opinião; IV – a inviolabilidade da intimidade, da honra e da imagem; V – o desenvolvimento econômico e tecnológico e a inovação; VI – a livre iniciativa, a livre concorrência e a defesa do consumidor; e VII – os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais. (Brasil, 2018).
A lei em questão, conta com seus 65 artigos, foi considerada um marco na regulamentação brasileira. No corpo da lei 13.709/18 é possível verificar várias abordagens acerca do tema, assim também, verificar a distinção dos agentes dessa relação, os incentivos de boas práticas e também de forma pormenorizada a responsabilidade das instituições nesse árduo trabalho no controle e segurança das informações.
4.1 CONTEXTUALIZAÇÃO HISTÓRICA DA LGPD
Antes de existir LGPD, a proteção de dados dos usuários no Brasil era regulamentada através da lei 12.965/14, conhecida também como Marco Civil da Internet (MCI), publicada em 23 de abril de 2014, na qual previa princípios que regulam o uso da internet no Brasil, enumerados ao longo dos artigos:
No artigo 3° o princípio da proteção da privacidade e dos dados pessoais, assegura, como direitos e garantias dos usuários de internet; no artigo 7°, a inviolabilidade e sigilo do fluxo de suas comunicações e inviolabilidade e sigilo de suas comunicações privadas armazenadas, salvo por ordem judicial. Já no artigo 10°, § 1°, trata especificamente da proteção aos registros, dados pessoais e comunicações privadas, deixando bem claro que a disponibilização desses dados só será feita mediante ordem judicial (Brasil, 2014, on-line).
Porém, por não ser uma lei geral, era possível encontrar algumas lacunas em alguns temas, pois não encontrava todos os conjuntos de questionamentos desse assunto. Foi então que houve a necessidade de criação de outra lei para regulamentar sobre esses temas que não eram encontrados no Marco Civil da Internet.
Além do marco civil, o tema sobre privacidade já havia sido abordado em outras leis, como foi citado na obra de Rocha (2020, p. 16) ‘‘Esse tema já havia sido tratado em alguns outros lugares antes, como: a Constituição Federal, o Código de Defesa do Consumidor, a Lei de Acesso à Informação, Habeas Data e o Decreto do Comércio Eletrônico’’.
A Lei Geral de Proteção de Dados, também conhecida como LGPD, foi inspirada na lei europeia de proteção de dados, conhecida como General Data Protection Regulation (GDPR). É importante destacar que apesar de ter sido inspirada na lei europeia, tem uma especificação na qual prevê sua aplicação tanto no meio físico, quanto no meio digital, como diz o artigo 1° da Lei 13.709/18. “Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado […]” (Brasil, 2018, on-line).
A LGPD foi criada em agosto de 2018, porém, entrou em vigor apenas em setembro de 2020. Teve uma grande relevância para a legislação brasileira, pois, além de cuidar dos dados dos titulares, passou também a legislar sobre as prováveis sanções administrativas, civis e inclusive penais para quem descumprissem as normas por ela estabelecida. Aduzindo um entendimento completo acerca do tema.
4.2 PRINCIPAIS PONTOS REFERENTES A LGPD
É inegável que a sociedade tem tendência a se tornar cada vez mais moderna e contemporânea, mas por outro lado, mas de qualquer forma, é necessário que os direitos das pessoas sejam garantidos. Como por exemplo, todos têm direito à intimidade, garantia esta que está fundamentada no art. 5°, inciso X, da CF/88: “são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação”. (Brasil, 2018, on-line).
Como já comentado nos tópicos anteriores, a LGPD foi criada com o intuito de assegurar a privacidade e segurança dos dados dos titulares. Com isso, para um melhor entendimento, faz-se necessário a conceituação e a distinção de alguns termos e nomenclaturas que estão sendo utilizados acerca deste tema. No artigo 5° da lei 13.709/18 é possível verificar a diferenciação dos termos de dados pessoais, dados pessoais sensíveis e dados pessoais anonimizados:
Para os fins desta Lei, considera-se: I – dado pessoal: informação relacionada a pessoa natural identificada ou identificável; II – dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural; III – dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento. (Brasil, 2018, on-line).
Em consonância com o artigo citado anteriormente, alguns autores trazem as definições por outro ângulo para deixar a ideia mais clara e garantir um melhor entendimento. Um exemplo disso é Pinheiro que define em outras palavras esses conceitos:
Dados pessoais é toda informação relacionada a uma pessoa identificada ou identificável, não se limitando, portanto, a nome, sobrenome, apelido, idade, endereço residencial ou eletrônico, podendo incluir dados de localização, placas de automóvel, perfis de compras, número do Internet Protocol (IP), dados acadêmicos, histórico de compras, entre outros. Sempre relacionados a pessoa natural viva. Já Dados pessoais sensíveis são dados que estejam relacionados a características da personalidade do indivíduo e suas escolhas pessoais, tais como origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente a saúde ou a vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. (Pinheiro, 2023, p. 17)
Também no artigo 5° da mesma lei é citado os principais agentes e seus papéis desempenhados na LGPD.
V – Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento; VI – controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais; VII – operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador; VIII – encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). (Brasil, 2018, on-line).
É importante destacar que as atividades de tratamento de dados pessoais deverão observar a boa-fé e os dez princípios que estão elencados no artigo 6° da LGPD.
I – finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades; II – adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento; III – necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados; IV – livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais; V – qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento; VI – transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial; VII – segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão; VIII – prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais; IX – não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos; X – responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas. (Brasil, 2018, on-line).
Com base nesses princípios supracitados, é visível a ideia de que os dados pessoais do titular, ao serem utilizados ou solicitados, precisam ter uma justificativa determinada e específica. E consequentemente, evitando abusos por parte das instituições financeiras.
4.3 SANÇÕES AO DESCUMPRIMENTO DA LGPD
A LGPD prevê a fiscalização da aplicação da lei, versando especialmente sobre as sanções administrativas a serem aplicadas pela ANPD, além das eventuais sanções civis ou penais para os que descumprirem as determinações por ela prevista. É possível verificar as sanções administrativas, na qual é aplicada de forma gradativa.
Em consonância com o artigo 52 da LGPD, em que de forma resumida é possível destacar como formas de sanções administrativas: advertência, multa simples, multa diária, bloqueio dos dados, eliminação dos dados, suspensão do funcionamento do banco de dados, suspensão do exercício do tratamento de dados e proibição parcial ou total do exercício de atividades que se relacionem com o tratamento de dados.
Com isso, é possível perceber as dificuldades e as responsabilidades que as instituições financeiras possuem, em garantir a segurança dos dados dos seus clientes seguros.
Segundo Reis, (2020, on-line) risco de imagem é a probabilidade de uma organização sofrer perdas financeiras, em consequência de algumas práticas internas, eventos de risco, e fatores externos que impactam negativamente a sua imagem perante o mercado”. Com o descumprimento das normas estabelecidas pela LGPD, além das sanções administrativas que as instituições podem sofrer, existe também o risco de imagem.
Em relação as sanções quanto ao descumprimento da LGPD, torna-se imprescindível o apontamento de precedentes judiciais, ou seja, o posicionamento dos tribunais acerca do tema.
É notório que os bancos possuem responsabilidade objetiva, e que a atividade e seus resultados independem de comprovação de culpa, assim como diz na súmula 479 do STJ, em que diz que “As instituições financeiras respondem objetivamente pelos danos gerados por fortuito interno relativo a fraudes e delitos praticados por terceiros no âmbito de operações bancárias”. (Segunda seção, julgado em 27/06/2012, DJe 01/08/2012).
Em consonância com a súmula precedente, o Tribunal de Justiça de Minas Gerais demonstra em seus julgados, o entendimento quanto a temática em questão, cujo define a responsabilidade da instituição financeira em garantir a segurança dos dados dos seus clientes.
APELAÇÃO CÍVEL – AÇÃO DECLARATÓRIA DE INEXISTÊNCIA DE RELAÇÃO JURÍDICA C/C PEDIDO DE INDENIZÇÃO POR DANOS MATERIAIS E MORAIS. – As instituições bancárias respondem objetivamente pelos danos causados por fraudes ou delitos praticados por terceiros, porquanto tal responsabilidade decorre do risco do empreendimento, caracterizando-se como fortuito interno – A instituição financeira que não emprega segurança suficiente a fim de evitar que dados do consumidor sejam entregues a terceiros estelionatários é responsável por eventual fraude ocasionada mediante o uso das referidas informações – Se o golpe aplicado ao cliente teve como gênese o vazamento de dados bancários, responde essa instituição financeira pelos danos causados – Constatada falha na prestação de serviços, é devido o reconhecimento de danos materiais e morais. (Minas Gerais – Tribunal de Justiça, A.C n. 1.0000.21.1910088/002, 2023, p. 9).
Outro acontecimento relevante que repercutiu recentemente, foi a respeito do Banco BV (BV Financeira SA Crédito Financiamento E Investimento), na qual foi responsabilizado pelo vazamento de dados de uma cliente para terceiros. De forma sintética, uma cliente entrou em contato com a instituição financeira para falar a respeito de seu financiamento, dias depois foi contatada por uma suposta funcionária da instituição, na qual enviou um boleto no valor de R$ 19.225,00, o qual foi devidamente pago. Este boleto em questão era falso e havia sido modificado por criminosos. Ao apreciar o caso, o STJ reformou o acórdão do Tribunal de Justiça do Estado de São Paulo (TJ-SP) para restabelecer sentença que condenou o banco BV a considerar a dívida quitada mediante o pagamento do boleto falso e a devolver o valor que foi pago a partir de então, com correção e juros de mora de 1% ao mês.
RECURSO ESPECIAL. AÇÃO DECLARATÓRIA DE INEXIGIBILIDADE DE DÉBITO POR VAZAMENTO DE DADOS BANCÁRIOS CUMULADA COM INDENIZAÇÃO POR DANOS MORAIS E REPETIÇÃO DE INDÉBITO. 1. Ação declaratória de inexigibilidade de débito por vazamento de dados bancários cumulada com indenização por danos morais e repetição de indébito, ajuizada em 13/2/2020, da qual foi extraído o presente recurso especial, interposto em 15/2/2022 e concluso ao gabinete em 19/6/2023.2. O propósito recursal consiste em decidir se a instituição financeira responde por falha na prestação de serviços bancários, consistente no vazamento de dados que facilitou a aplicação de golpe em desfavor do consumidor. (STJ, Resp. n. 2.077.278, 2023, p. 21).
Parafraseando com a relatora do caso em questão, Nancy Andrighi, cujo em alguns trechos do caso, comenta que, embora o boleto falso tivesse diferenças em relação aos documentos verdadeiros, não se espera que uma pessoa comum seja sempre capaz de identificá-las. Juntamente, é importante salientar que o consumidor deposita confiança na instituição financeira em manter seus dados protegidos e que seu tratamento incumbe somente à entidade bancária com exclusividade.
5 DESAFIOS DOS BANCOS E DAS FINTECHS BANCÁRIAS MEDIANTE À LGPD
No momento presente, para fazer uma abertura de uma conta bancária, seja através de um banco físico ou digital, as instituições pedem alguns dados pessoais, como nome, CPF, endereço residencial, número de telefone, renda, grau de escolaridade entre outros. Com a justificativa de fazer uma segmentação do cliente em uma carteira especializada e que seja compatível com o seu perfil. Ademais futuramente, para manter no registro do cliente junto a instituição.
É necessário entender o que para Mowen (2008, p. 13) “a segmentação consiste na divisão do mercado em subconjuntos distintos de clientes com vontades e necessidades semelhantes. Cada subconjunto deverá ser atingido por um mix de marketing diferente”.
Para acessar o aplicativo do banco posteriormente, faz-se necessário também que preencha com os dados pessoais e a senha de acesso. Isso é uma das estratégias para impedir que pessoas não autorizadas tenham acesso ao conteúdo que corresponde ao cliente. Com isso, garantindo o princípio da autenticidade e confidencialidade presentes na segurança da informação.
Anos atrás, os bancos tradicionais utilizavam métodos de armazenamento de arquivos físicos, com grandes quantidades de papéis e através de pastas de documentos. Era muito comum que qualquer procedimento feito na agencia, gerava um papel para assinar ou um comprovante físico. E muitas das vezes, esses arquivos eram necessários ser guardados por anos, o que consequentemente gerava um gigantesco volume de papel. Apesar de todo este procedimento, não significa que esta técnica era considerada mais segura do que comparada com as dos dias atuais.
Atualmente, com a era digital e com o mundo cada vez mais sustentável, este procedimento de banco de dados físicos com papeladas tornou-se cada vez mais antiquado. Os bancos e as fintechs, atualmente utilizam sistemas de armazenamento de dados dos seus usuários, com protocolos de segurança e softwares de gestão de dados, na qual foram desenvolvidos para protegê-los com maior eficiência possível.
Com as comodidades que os usuários possuem na atualidade, os acessos aos serviços financeiros ficaram mais fáceis. Em contrapartida é necessário perceber que existe uma vulnerabilidade maior dos dados dos titulares nas redes.
Foi então que houve a necessidade de criar metodologias de segurança, para garantir tanto a proteção dos clientes quanto a segurança das instituições financeiras, na qual será abordado no tópico 5.3 deste artigo. A LGPD foi de grande serventia para a sociedade, pois conseguiu legislar acerca da importância dos dados pessoais e os seus reflexos em direitos fundamentais da pessoa natural.
5.1 DIFERENÇA DOS BANCOS TRADICIONAIS E FINTECHS BANCÁRIAS
Bancos tradicionais se diferenciam por algumas especificidades. Embora a modalidade de bancos tradicionais e digitais ofereçam os mesmos serviços, as operações são diferentes.
A plataforma de funcionamento de um banco tradicional é analógica, tendo como principal característica as agências físicas, ademais é possível realizar as movimentações financeiras na agência: seja no caixa eletrônico ou no tradicional caixa guichê com atendimento humano presencial. (Meira, 2022, on-line).
Fintechs bancárias são empresas que atuam por meio de plataformas online e oferecem serviços digitais inovadores relacionados ao setor financeiro. No entendimento de Diniz (2019, p.23) “Fintech é a abreviação de financial Tecnology e refere-se ao uso inovador de tecnologia na criação e entrega de produtos e serviços financeiros”. Elas possuem um grande investimento em tecnologias e com isso, seus processos ocorrem pelos meios digitais, se tornando muito mais baratos e eficazes. Como consequência, conseguem fornecer melhores condições de crédito aos usuários, concorrência no mercado, mais rapidez e eficiência nos procedimentos financeiros.
Fintech é uma startup (modelo de negócio com uma proposta estrutural reduzida e com elevado uso de tecnologia) que usa tecnologia para realizar transações bancárias. As Fintechs são empresas que possuem um vasto investimento em equipamentos e programas para desenvolver tecnologias e deixá-las ainda mais eficazes. As fintechs são empresas de tecnologia com alto potencial de escalabilidade que desenvolvem produtos e/ou serviços financeiros. (Figo e Lewgoy, 2019, p. 27).
Apesar de já existir anteriormente, o grande ápice das Fintechs bancárias no Brasil foi no com o início do COVID-19, em março de 2020, quando a Organização Mundial de Saúde (OMS), definiu a situação como pandemia. Houve momentos em que as agências bancárias precisaram fechar as portas por conta do Lockdown.
Por conta disso, e pela dificuldade que os usuários dos bancos tradicionais possuíam, em conseguir atendimento para resolver suas demandas financeiras. Muitos clientes migraram para as fintechs, por conta da facilidade tanto no acesso como na resolução das demandas.
Para os bancos tradicionais, este movimento decorrente do fenômeno fintech representa um desafio, uma vez que há o aumento de competição que se concretiza pela redução de preços e pelo aumento da qualidade dos serviços e produtos para o consumidor final. Em um momento de unboarding, as fintechs se capitalizam no fato de os bancos incumbentes terem entrado tardiamente na economia digital. (Carvalho, 2020, p.12).
Foi um momento decisivo para as fintechs, mas por outro lado, uma situação de apuro para os bancos tradicionais, em que se viram na situação de buscar aprimoramento das suas tecnologias para inovar seus atendimentos e conseguirem concorrer com os bancos digitais.
5.2 COMO OS DADOS PODEM SER TRATADOS E COMPARTILHADOS
A Lei Geral de Proteção de Dados exige que haja consentimento do titular das informações para tratamento de seus dados, e ele deve ser dado por meio de uma ação na qual entenda que seus dados serão usados e que também autorize o tratamento para os fins expostos. Como por exemplo, assinatura de contrato no qual uma cláusula específica e individual, na qual deixe claro o tratamento dos dados.
O maior cuidado com o consentimento do titular mostra-se de grande relevância no cenário tecnológico atual, no qual se verifica a coleta em massa de dados pessoais, a mercantilização desses dados por parte de uma série de sujeitos e situações de pouca transparência e informação no que tange ao tratamento de dados pessoais de usuários de serviços online. Nesse sentido, defende-se que a interpretação do consentimento deverá ocorrer de forma restritiva, não podendo o agente estender a autorização concedida a ele para o tratamento de dados para outros meios além daqueles pactuados, para momento posterior ou para finalidade diversa (Teffé, 2020, p. 6).
De acordo com o artigo 5°, da Lei n° 13.709/18 discrimina sobre o tratamento e compartilhamento desses dados.
X – tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração; XVI – uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados. (Brasil, 2018, on-line).
Em outras palavras, uma instituição não pode vender informações para outras empresas, mesmo com o consentimento dos titulares para coleta e demais práticas de tratamento. Tal como, enviar propagandas e ofertas para o usuário só porque tem o endereço de e-mail do titular. Mas em caso de compartilhamento das informações é possível em momentos de transferência ou difusão, a empresas do mesmo grupo ou filiais.
5.3 ESTRATÉGIAS E FERRAMENTAS CRIADAS PARA GARANTIR OS PRINCÍPIOS DA LGPD
Os bancos tradicionais e as fintechs possuem uma árdua tarefa em conseguir manter as informações dos seus usuários cada vez mais protegidas. Com isso, passaram a existir algumas tecnologias que foram criadas no decorrer desta modernização, com o intuito de evitar que dados sejam vazados ou que terceiros tivessem acesso a informações de outras pessoas.
Uma das estratégias mais eficazes até então criadas é a criptografia de dados. “A criptografia consiste em que todos os dados que trafegam na rede sejam criptografados, ou seja, embaralhados. E com isso, possibilitando que apenas o banco e os clientes tenham acesso a essas informações” (Teleco, 2023, on-line).
Outra estratégia muito interessante é o teclado virtual. “serve para controlar o tratamento das senhas, impedindo que programas maliciosos capturem as senhas através das teclas acionadas ou pelo posicionamento do mouse, na qual, gera mais segurança para os seus clientes.” (Idem ibidem).
As instituições financeiras buscam cada vez mais mecanismos para conseguirem ficar competitivas para o mercado financeiro, além disso, para protegerem os seus usuários de possíveis crimes cibernéticos.
Atualmente ao acessar a conta bancária através do aplicativo do celular ou pelo computador, os bancos solicitam a autenticação em dois fatores, que nada mais é do que uma camada extra de proteção.
A autenticação de dois fatores (2FA) é um método de segurança de gerenciamento de identidade e acesso que requer duas formas de identificação para acessar recursos e dados. A 2FA dá aos negócios a capacidade de monitorar e ajudar a proteger suas informações e redes mais vulneráveis. (Microsoft, 2023, on-line).
Cada instituição oferece diferentes métodos de verificação. Até o presente momento, as principais formas de autenticação em dois fatores são, biometria facial e o token. Faz-se necessário explicar o que cada um consegue fazer uma distinção sobre o que se trata cada termo.
A biometria facial é feita por meio de uma foto tirada do usuário. Com o uso de algoritmos é possível comparar as imagens armazenadas em bancos de dados com a foto tirada na hora, o que permite autenticar a identidade do usuário com segurança. Ao realizar essa verificação, são identificados cerca de 80 pontos nodais na face. Isto é, em nosso rosto há diversas características que o tornam único, permitindo que o sistema só dê acesso aos aplicativos e demais informações à pessoa que de fato está autorizada para isso. (Unicocheck, 2024, on-line).
O token é um código que é enviado para o usuário, por meio de SMS, endereço de e-mail e outros meios. Esse código serve para assegurar sua real identidade. Segundo Alura, (2021, on-line), “após ter o login e senha validados pelo servidor, será criado um token, na qual será enviado ao usuário para que ele possa ter acesso ao conteúdo. Esse token, nada mais é do que um código descartável, que só servirá para aquele momento”.
Outro ponto muito importante é que as instituições estão cada vez mais criteriosas com as criações das senhas de acessos dos usuários. Isso serve para garantir uma maior segurança ao cliente. Segundo a Hostinger (2023), em seu site indica algumas recomendações para criação de uma senha segura, tal como, evitar senhas óbvias e palavras genéricas, assim como sequências numéricas. É indicado também a utilização de elementos diferentes, como combinação de letra maiúsculas e minúsculas, caracteres especiais e também palavras aleatórias.
6 CONSIDERAÇÕES FINAIS
Com o mundo cada vez mais globalizado e com o grande advento das fintechs, foi possível verificar os grandes avanços que o mercado financeiro conquistou nesse cenário. As Fintechs são caracterizadas principalmente pelos enormes investimentos em tecnologias, consequentemente, possibilitando mais comodidade aos usuários. Outro ponto muito importante para destacar a respeito das Fintechs, é que elas possibilitaram mais concorrência ao mercado financeiro, com isso, proporcionando melhores condições de crédito, democratização de serviços financeiros e outras inúmeras consequências positivas.
Por outro lado, os bancos tradicionais precisaram também buscar inovações para seus modelos de negócio, de modo que ficassem novamente competitivos para o mercado. Com a competitividade cada vez mais alavancada, e com as demais tecnologias que foram criadas nesse contexto de busca pela diferenciação, é importante destacar que o risco dos clientes dessas instituições também cresceu com os perigos que o ambiente virtual pode oferecer. Riscos estes como, de vazamento de dados dos usuários, vendas de informações para obter algum benefício, e assim por diante.
Foi então que surgiu uma lei como a Lei Geral de Proteção de Dados, n° 13.709/18, uma lei que envolvessem todas essas possibilidades referentes aos dados dos titulares. Esse assunto já havia sido abordado anteriormente em outras leis, como o Marco Civil da Internet, porém, por não ser uma lei específica acerca do tema, era visível a existência de algumas lacunas a respeito de determinados temas. A LGPD, no desenrolar de seus 65 artigos consegue esclarecer seus principais objetivos, seus fundamentos, as devidas sanções administrativas para os que descumprirem seus ordenamentos.
Para concluir, é possível perceber a contribuição significativa que a lei teve para o ordenamento jurídico brasileiro. A LGPD foi fundamental para conduzir e regulamentar o tratamento de dados pessoais em conjunto com a fiscalização da ANPD. De forma indireta, promoveu o crescimento dos bancos e das fintechs, pois através da lei, proporcionou mais segurança e confiabilidade para os clientes. Pois os usuários destes serviços entendem que existe uma lei que regule a respeito dos dados e que as instituições não utilizarão essas informações para o que bem entender, pois caso contrário, terão que arcar com as consequências do descumprimento.
REFERÊNCIAS
ALURA. Tipos de Autenticação: Senha, Token, JWT, Dois Fatores e Mais. Disponível em: <https://www.alura.com.br/artigos/tipos-de-autenticacao>. Acesso em 15 mar. 2024.
BRASIL. LEI N° 13.709: Lei Geral de Proteção de Dados de 2018. Disponível em: < https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm>. Acesso em: 15 mar. 2024.
BRASIL. Marco Civil da Internet. Lei 12.964/14. Disponível em: < http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm >. Acesso em: 23 fev. 2024.
CARVALHO, Rômulo. Open Banking: da lenta evolução a revolução no sistema financeiro. São Paulo: Editora RT, 2020
DINIZ, Bruno. O fenômeno Fintech. São Paulo, Ed. Alta Books, 2019.
FIGO, Anderson; LEWGOY, Júlia. O Guia Essencial das Fintechs. São Paulo, 2019.
FINTECHS. Banco Central do Brasil. Disponível em: <https://www.bcb.gov.br/estabilidadefinanceira/fintechs>. Acesso em: 15 fev. 2024.
G1. O que é e o que faz uma Fintech. Disponível em:<https://g1.globo.com/pr/parana/especial-publicitario/uniopet/opet-inovacao-emrede/noticia/2023/07/13/o-que-e-e-o-que-faz-uma-fintech.ghtml>. Acesso em: 10 mar. 2024.
HOSTINGER. Senha Segura: Como Gerar Senhas com 8 Caracteres e Proteger seus Dados. Disponível em: <https://www.hostinger.com.br/tutoriais/senha-com-8-caracteres>. Acesso em: 15 mar. 2024.
LEITE, Luiza. Open banking: a quebra do monopólio informacional. In: Bruzzi, Eduardo; Feigelson, Bruno (Coord.). Banking 4.0: desafios jurídicos e regulatórios do novo paradigma bancário e de pagamentos. São Paulo: Ed. RT, 2020.
PINHEIRO, Patrícia Peck. Proteção de dados pessoais: comentários a lei n 13.709/2018. 4. ed. São Paulo: Saraiva Jur, 2023.
MEIRA, Raquel. Bancos Digitais x Bancos Tradicionais: como escolher. 2022. Disponível em: <https://blog.reclameaqui.com.br/bancos-digitais-x-bancos-tradicionais-como-escolher/>. Acesso em: 02 abr. 2024.
MICROSOFT. O que é a autenticação de dois fatores. Disponível em: <https://www.microsoft.com/pt-br/security/business/security-101/what-is-two-factorauthentication-2fa>. Acesso em: 23 mar. 2024.
MOWEN, J. C.; MINOR, M. S. Comportamento do Consumidor. 1.ed. São Paulo: Pearson, 2008.
REIS, Tiago. Risco de imagem: o que é e como as empresas podem evitá-lo. 2020. Disponível em: <https://www.suno.com.br/artigos/risco-de-imagem/>. Acesso em: 17 mar. 2024.
ROCHA, Lara. Lei Geral de Proteção de Dados (LGPD): Guia de implantação. In: Fernandes, Edson; Gonçalves, Rafael. São Paulo: Blucher, 2020.
STJ. Superior Tribunal de Justiça. Recurso Especial n. 2.077.278. Ação declaratória de inexigibilidade de débito por vazamento de dados bancários cumulada com indenização por danos morais e repetição de indébito. Recorrente: Daniela Ferreira Ramos. Recorrido: BV Financeira SA Crédito Financiamento e Investimento, Relatora: Ministra Nancy Andrighi.
São Paulo, 9 out. 2023. Disponível em: <https://www.jusbrasil.com.br/jurisprudencia/stj/2108107287>. Acesso em: 20 de abr. 2024.
STJ. Supremo Tribunal de Justiça. Súmula. Disponível em: <https://scon.stj.jus.br/SCON/pesquisar.jsp?livre=479&b=SUMU&thesaurus=JURIDICO&p =true&tp=T>. Acesso em: 20 abr. 2024.
TEFFÉ, Chiara Spadaccini de; VIOLA, Mario. Tratamento de dados pessoais na LGPD: Estudo sobre as bases legais. Rio de Janeiro, n. 1, 2020. Disponível em:<http://civilistica.com/tratamento-de-dados-pessoais-na-lgpd/>. Acesso em: 2 abr. 2024.
TELECO. Internet Banking II: Práticas Seguras x Responsabilidade, 2023. Disponível em: <https://www.teleco.com.br/tutoriais/tutorialintbank2/pagina_4.asp>. Acesso em: 2 abr. 2024.
MINAS GERAIS. Tribunal de Justiça. Apelação Cível n. 1.0000.21.191008-8/002. Ação declaratória de inexistência de relação jurídica c/c pedido de indenização por danos materiais e morais por conta de fraude bancária. Apelante: Nair dos Santos Cruz. Apelado: Banco PAN S/A, Relator: Evandro Lopes da Costa Teixeira. Belo Horizonte, 9 ago. 2023. Disponível em: <https://www.jusbrasil.com.br/jurisprudencia/tj-mg/1385559467>. Acesso em: 20 abr. 2024.
1Acadêmico de Direito. E-mail: cibellymonteiroo@gmail.com. Artigo apresentado a FIMCA, como requisito para obtenção do título de Bacharel em Direito, Porto Velho/RO, 2024.
2Acadêmico de Direito. E-mail: uga_angel@hotmail.com. Artigo apresentado a FIMCA, como requisito para obtenção do título de Bacharel em Direito, Porto Velho/RO, 2024.
3Professor Orientador. Professor do curso de Direito. E-mail: luizigor3000@gmail.com