REGULATION OF FINTECHS IN BRAZIL IN THE LIGHT OF THE LGPD
REGISTRO DOI: 10.5281/zenodo.10194026
Tarsila Estrela Oliveira Paiva
Co-autor: Dr. Paulo Beli Moura Stakoviak Júnior
RESUMO
Diante de um mercado em constante crescimento e considerando a evolução contínua das TICs – Tecnologias da Informação e Comunicação, a inovação e a competitividade estão entre os principais mecanismos estratégicos para as organizações alcançarem seus objetivos no mercado. Do ponto de vista histórico, a quarta revolução industrial trouxe alterações drásticas nos meios de produção por meio da utilização de tecnologias avançadas. Um exemplo disso são as fintechs, empresas que combinam a prestação de serviços financeiros com processos totalmente baseados em tecnologia e que resultam da união entre as áreas financeira e tecnológica (financeira + tecnologia = fintech). Esse modelo de negócio se estabeleceu rapidamente no Brasil, oferecendo diversos tipos de serviços e chamando a atenção para os aspectos regulatórios que requer. Nesse sentido, a presente discussão tem como objetivo analisar a legislação que regulamenta as fintechs no Brasil, traçando um paralelo com a Lei Geral de Proteção de Dados, a fim de esclarecer as intersecções presentes na norma e como os usuários estão sendo afetados pelas constantes inovações tecnológicas no aspecto financeiro.
Palavras-chave: Fintech. Instituições Financeiras. LGPD. Tratamento de Dados.
ABSTRACT
Faced with a constantly growing market and considering the continuous evolution of ICTs – Information and Communication Technologies, innovation and competitiveness are among the main strategic mechanisms for organizations to achieve their objectives in the market. From a historical point of view, the fourth industrial revolution brought drastic changes in the means of production through the use of advanced technologies. An example of this are fintechs, companies that combine the provision of financial services with processes that are entirely based on technology and that result from the union between the financial and technological areas (financial + technology = fintech). This business model quickly established itself in Brazil, offering different types of services and drawing attention to the regulatory aspects it requires. In this sense, the present discussion aims to analyze the legislation that regulates fintechs in Brazil, drawing a parallel with the General Data Protection Law, in order to clarify the intersections present in the norm and how users are being affected by constant innovation. technological.
Keywords: Fintech. Financial Institution. LGPD. Data Processing.
INTRODUÇÃO
Tecnologias disruptivas, como WhatsApp, Waze, Uber, mídias sociais, aplicativos de delivery, e-commerce, entre outros, estão completamente integradas no dia a dia do que se define como mundo real. De fato, atualmente é cada vez mais difícil distinguir claramente o mundo virtual do mundo físico e biológico.
Considerando essa integração entre esses dois mundos, as fintechs surgem como um modelo de negócio que busca utilizar a tecnologia para transformar a maneira como as pessoas consomem serviços financeiros, se estabelecendo como uma alternativa aos bancos tradicionais.
De acordo com Romanova e Kudinska (2016), o termo “fintech” foi empregado pela primeira vez em um projeto do Citigroup no ano de 1990, com o objetivo de incentivar a colaboração tecnológica. As fintechs estão promovendo uma transformação significativa no mercado financeiro, e os especialistas do setor já se referem a esse processo como a “Revolução Fintech”.
Conforme definido pelo Banco Central do Brasil, a palavra fintech remete às empresas que desenvolvem atividade empresarial nos mercados financeiros, focadas em tecnologia e inovação. Em território brasileiro, empresas assim se estabeleceram rapidamente como instituições que oferecem uma gama de serviços financeiros para seus usuários sob o prisma da agilidade e da desburocratização.
Nessa senda, surge a necessidade de discutir a regulamentação desse tipo de atividade. Conforme explica Diemers et al. (2015), o setor financeiro desenvolve regulamentações para garantir a segurança das transações e minimizar fraudes. Entender legislações e aplicá-las de maneira adequada é um desafio para novos entrantes. O planejamento legislativo e normativo precisa ser mais proativo, dinâmico e responsivo (Fenwick, Kaal & Vermeulen, 2018).
Destarte, o Direito tal como ocorre em diversas outras áreas do conhecimento, é subdividido em várias disciplinas que abrangem diferentes tipos de relações jurídicas. Assim, pensando no mercado em que estão inseridas as fintechs, o Direito Financeiro e a Proteção de Dados são duas áreas do Direito que se intersectam e geram obrigações e responsabilidades para o setor.
Portanto, esse artigo abordará justamente as normas e obrigações a que as fintechs se submetem para atuar no Brasil, os graus de regulamentação e a importância de se proteger os dados financeiros das pessoas.
1. A REGULAMENTAÇÃO DAS FINTECHS NO BRASIL
Um sistema financeiro estável e eficiente é capaz de interferir diretamente no desenvolvimento econômico de um país. Para Conto, S. M. et al. (2016, p. 398), ao longo dos anos, os avanços tecnológicos e de inovação vêm contribuindo para o crescimento e o desenvolvimento econômico e financeiro de muitos países, tornando-se ferramenta estratégica para competir no mercado.
No Brasil não é diferente, a regulação se dá através do Sistema Financeiro Nacional e é executada pelo Banco Central do Brasil – BACEN, que é responsável pela supervisão das instituições financeiras, pelo controle da quantidade de moeda em circulação, a fim de manter a estabilidade dos preços, a inflação sob controle, e dessa maneira, manter a estabilidade financeira do país (BANCO CENTRAL DO BRASIL, 2018).
Dessa forma, para analisar os aspectos regulatórios das fintechs, é fundamental compreender o contexto em que esse modelo de negócio está inserido. As fintechs são caracterizadas como startups especializadas em serviços financeiros. No entanto, é importante também esclarecer o conceito de startups e entender como esses serviços são regulamentados.
Em um cenário de crescente evolução e inovação tecnológica é que se desenvolvem as startups. Segundo Saulo Michiles (2016, p. 05), as startups são organizações que buscam melhorar algum aspecto da vida das pessoas, se utilizando da tecnologia para fazer isso de uma maneira inovadora, disruptiva e escalável. Deste modo, entende-se que as startups são empresas que se utilizam da tecnologia para aprimorar o cotidiano social, atendendo desde demandas simples até as tarefas mais complexas.
Desse modelo de negócio é que se desenvolvem as startups fintechs, definidas como empresas de pequeno e médio porte, que operam em plataformas digitais, através de serviços financeiros que se diferenciam dos bancos e instituições tradicionais.
O BACEN utiliza a definição do Financial Stability Board (FSB), órgão internacional que monitora e dá conselhos acerca do sistema financeiro global. Logo, de acordo com BACEN (2020), a definição utilizada para as fintechs é a seguinte:
“Inovações financeiras, habilitadas por tecnologias que podem resultar em novos modelos de negócios, aplicativos, processos ou produtos com efeitos tangíveis nos mercados, nas instituições financeiras e na prestação de serviços financeiros”.
No Brasil, a atividade das fintechs não é regulamentada por uma lei específica, mas sim por diversas disposições normativas. Para compreender melhor essa situação, é necessário ter conhecimento de que o Sistema Financeiro Brasileiro é composto por órgãos normativos, como o Conselho Monetário Nacional (CMN), entidades de supervisão, como o Banco Central (BACEN), e os operadores do sistema, incluindo instituições bancárias, cooperativas de crédito, administradoras de consórcios, corretoras, entre outros. Além disso, a Lei 4.595 de 31 de dezembro de 1964 é a base legal que define quais empresas se encaixam no perfil de instituição financeira.
Nesse contexto, o Banco Central se caracteriza como agente encarregado de fiscalizar e supervisionar a aplicação e seguimento das normas impostas aos componentes do sistema financeiro, assim as fintechs integram esse sistema como operadoras.
1.1. LEI 12.865/13: NOVAS ATIVIDADES BANCÁRIAS E BASE REGULATÓRIA PARA FINTECHS
A fim de promover a inclusão tecnológica e financeira no Brasil e incentivar a concorrência, o Governo Federal promulgou a Lei nº 12.865 de 09 de outubro de 2013, que cria os Arranjos de Pagamento no Brasil, possibilitando a inclusão de setores não bancários na oferta de serviços de pagamento (Banco Central do Brasil, 2020). Um arranjo de pagamento é o conjunto de regras e procedimentos que disciplina a prestação de determinado serviço de pagamento ao público (BRASIL, 2013).
No passado as primeiras fintechs – as de pagamento – atuavam sem nenhuma regulamentação, realidade que só foi alterada, por meio da Lei 12.865/2013, isso porque os artigos 5º ao 9º contidos nela preveem base legal para os meios de pagamentos (FINNOVATION, 2017).
Assim, conforme explica Marques et al. (2022), como consequência prática, a lei 12.865/2013 criou as condições para que o BACEN pudesse iniciar todo o processo de regulamentação das chamadas contas de pagamento (contas digitais), produto base para o desenvolvimento dos Bancos Digitais.
Nessa esteira, a Resolução 4.480 de 2016 do Conselho Monetário Nacional (CMN) possibilitou a abertura, manutenção e encerramento de contas bancárias por meios digitais, não mais exigindo ir até uma agência bancária para finalizar ou abrir uma conta bancária. Tal possibilidade foi extremamente benéfica para as fintechs dada a sua natureza baseada em serviços on-line, seja por meio de aplicativos de celular (mobile banking) ou web browser (internet banking) (Brasil, 2016; BACEN, 2020).
Por conseguinte, tal norma abriu caminho para que o Banco Central do Brasil por meio da Resolução nº 4.656, de 26 de abril de 2018, determinasse que as fintechs não precisaram mais de intermediários financeiros em suas operações, ou seja, deixaram de ser apenas correspondentes bancários. Agora as startups poderiam registrar-se sob duas formas de instituição financeira: Sociedade de Crédito Direto (SCD) e Sociedade de Empréstimo entre Pessoas (SEP) (PINTO, 2018).
De acordo com o BACEN, a SEP é do tipo Peer to Peer, ligando o tomador do empréstimo ao investidor. Nesse caso, a empresa não empresta capital próprio, sendo apenas a intermediadora financeira entre o investidor e o tomador. Para esse tipo de fintech há um limite, estipulado pelo Banco Central, de R$15.000,00 por CPF/CNPJ. A SEP pode também prestar outros serviços como análise e cobrança de crédito para clientes e terceiros, e emissão de moeda eletrônica (PACHECO, 2022). Esse tipo de sociedade é oportuna para investidores e tomadores operarem de maneira menos burocrática e mais lucrativa, manipulando exclusivamente a plataforma digital.
Já a SCD utiliza capital próprio para emprestar diretamente aos tomadores, como também atua nos segmentos de seguros e análise de crédito. Essa fintech não pode participar do capital de instituições financeiras, nem utilizar capital do público, a não ser por meio de emissões de ações. Tanto a SCD quanto a SEP devem obedecer a forma de sociedade anônima para a sua constituição, aplicando-se a Lei 6404/76, bem como ter capital social mínimo de R$1.000.000,00 (PACHECO, 2022).
Além disso, essa medida classifica as startups em até cinco classificações que irão variar de acordo com o tamanho e setor de mercado. As fintechs serão classificadas na categoria S5, de acordo com a resolução do Conselho Monetário Nacional – CMN 4.657/2018, ao contrário dos principais bancos que atuam na categoria S1 (PINTO, 2018). Com esse passo regulatório importante, as fintechs passam a poder criar as próprias Cédulas de Créditos Bancários e serem responsáveis por elas.
1.2. FINTECHS NO BRASIL EM NÚMEROS
No Brasil, apenas em 2014 as fintechs começaram a ganhar mais força no mercado nacional (QUEIROZ, 2019). Mas, de maneira bastante representativa, a América Latina tem se destacado como a região líder em serviços B2C1 e de investimentos de risco, conhecidos como Venture Capitals. Nesse contexto, de acordo com artigo publicado pela Bloomberg Línea (2022), o Brasil lidera o ranking de países da região com o maior número de fintechs ativas até o final de 2022, atingindo um total de 1.289 empresas nesse ramo.
Essas estatísticas revelam um avanço significativo, uma vez que, no Brasil, uma grande parcela da população não tinha acesso aos serviços financeiros devido à excessiva burocracia e às altas taxas de juros do setor, juntamente com fatores socioeconômicos que limitavam o acesso. Portanto, os números demonstram que as fintechs conseguem desburocratizar o acesso aos serviços financeiros, chegando até mesmo aos usuários desbancarizados.
O gráfico a seguir representa uma linha do tempo e traz a evolução das fintechs ano a ano:
Fonte: Distrito Fintech Report
Para além disso, de acordo com o Distrito Fintech Report publicado em 2023, para se ter mais uma ideia do quanto esse mercado evoluiu no Brasil, um estudo com clientes de bancos publicado neste ano e conduzido pela empresa de Nuvem e cibersegurança Akamai Technologies indicou que 70% dos entrevistados possuem conta em bancos tradicionais e bancos digitais. Em 2020, essa porcentagem era de apenas 37%. Nesse mesmo período, a porcentagem de pessoas que tinham conta somente em banco tradicional caiu de 57% para 21%.
2. LEI GERAL DE PROTEÇÃO DE DADOS (N° 13.709/2018): ASPECTOS GERAIS
Ansiando reconhecer o direito à proteção da vida privada como um direito humano, a Declaração Universal de Direitos Humanos de 1948 – adotada pela Assembleia Geral da Organização das Nações Unidas, estabeleceu seu fundamento reconhecendo a importância da proteção da privacidade individual e familiar, conforme estipulado no Artigo 12, bem como a garantia da liberdade de informação, opinião e expressão, conforme descrito no Artigo 19 (ONU, 1948).
Nesse contexto, as discussões contemporâneas a respeito de tais direitos têm sido objeto de reflexão, mas não nasceram na contemporaneidade, impondo suas questões muito antes da humanidade chegar à tecnologia e às startups fintechs.
A partir da segunda metade do século passado, vários países europeus revisaram suas constituições para incorporar a privacidade como um direito fundamental. Isso foi evidenciado no exemplo de Portugal, que introduziu o Artigo 352 em sua constituição. Além disso, muitos desses países seguiram essa tendência ao estabelecer regulamentações de proteção de dados em níveis infraconstitucionais, à semelhança da França, Alemanha e Dinamarca. Em 1981, o Conselho da Europa alcançou um marco significativo na área dos direitos fundamentais e no contexto legal transnacional ao aprovar a Convenção 108 (CONSEIL DE L’EUROPE, 1981).
Em direção a esse caminho regulatório, em 1995 a União Europeia promulgou a Diretiva Europeia de Proteção de Dados Pessoais (95/46/EC), unificando a legislação para os membros do bloco econômico (Parlamento Europeu; Conselho Europeu, 1995). Essa legislação foi substituída em maio de 2018 pelo Regulamento Geral sobre a Proteção de Dados, conhecido pela sigla GDPR (Regulamento 2016/679) (Parlamento Europeu; Conselho Europeu, 2018).
Para além do continente europeu, no âmbito legislativo latinoamericano há 12 países com normas de proteção de dados presentes em seus respectivos ordenamentos jurídicos, dentre eles: Argentina, Bolívia, Chile, Colômbia, Equador, Peru, Uruguai e Venezuela.
Nessa senda, baseando-se fortemente nas premissas estabelecidas pela GDPR, é que ocorreu a publicação da Lei n° 13.709 em 14 de agosto de 2018, a Lei Geral de Proteção de Dados Pessoais:
Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. (BRASIL, 2018).
Inobstante, a Constituição Federal de 1998 já havia condensado em seu texto uma proposta inicial em relação aos direitos e garantias fundamentais no que diz respeito ao direito à proteção de dados em seu Art. 5º X e XII, assegurando o direito à informação (Art. 5º, XIV), à livre expressão (Art. 5º, IX), e instituiu a ação de habeas data (Art. 5º, LXXII), que tem por finalidade tornar disponíveis a particulares dados pessoais sob o amparo do poder público, ou retificá-los quando necessário (SOUZA, 2021).
Além do dispositivo constitucional, a Lei n.º 12.965 de 2014 conhecida como Marco Civil da Internet, contemplou cláusulas gerais e princípios de conformação de direitos individuais no ciberespaço que servem de baliza hermenêutica aos atores sociais (MIZIARA, 2022).
Segundo Rosetto e Veronese (2022), o MCI “veio a estabelecer princípios, garantias, direitos e deveres para o uso da Internet no Brasil, ocasião em que introduziu de forma específica a questão da privacidade online no Brasil. Foi a primeira lei a regulamentar o uso da internet no país, tendo introduzido conceitos como a neutralidade de rede e a liberdade de expressão e definidas quais são as obrigações dos órgãos públicos no fornecimento de internet”. Portanto, é notável que a LGPD tenha aprimorado conceitos jurídicos que já vinham sendo pautados em leis e dispositivos anteriores.
A abrangência da LGPD enquanto norma incorpora diversos aspectos da vida cotidiana, tornando possível sua aplicação física ou digitalmente, resguardando o bem jurídico de proteção à privacidade; liberdade de expressão, informação, comunicação e opinião; inviolabilidade da intimidade, honra e da imagem; desenvolvimento econômico, tecnológico e inovação; livre iniciativa, livre concorrência e defesa do consumidor; direitos humanos, livre desenvolvimento da personalidade, dignidade e exercício da cidadania (BRASIL, 2019).
Assim, a lei estimula a transparência das empresas e organizações que lidam com os dados pessoais. Em seu teor obrigam-nas a estarem aptas a comunicar sua responsabilidade sobre o ciclo de vida dos dados: coleta, tratamento, compartilhamento, armazenamento e descarte.
Nessa senda, são regulados pela LGPD os dados pessoais; os dados sensíveis; os dados anonimizados; e os dados pseudonimizados, sendo que, “considera-se dado pessoal aquele que se encontra atrelado à projeção, à extensão ou à dimensão de uma determinada pessoa, tanto na sua esfera individual, quanto em sua esfera relacional” (Nogueira; Fonseca, 2020, p. 18).
É sabido que os dados pessoais de uma pessoa enquanto cidadã brasileira estão relacionados a toda informação relacionada a pessoa natural (pessoa física) identificada ou identificável (BRASIL, 2018). Então, em razão de sua natureza, merecem uma proteção mais rigorosa, com consentimento específico dos titulares, assim, devem ser precedidos de cautela e atenção (Oliveira; Silva, 2021, p. 55). Conforme se explica a seguir:
O tratamento de dados pessoais sensíveis possui bases legais, embora semelhantes, diferentes do tratamento dos dados pessoais comuns. O consentimento para essa categoria especial também é diferente, porquanto deve ser de forma específica e destacada, sem prejuízo dos requisitos gerais para o consentimento (Maciel, 2019, p.37).
Sob essa perspectiva, dados sensíveis referem-se às informações pessoais relacionadas à situações específicas que, em princípio, podem resultar em uma discriminação injustificada. A LGPD estabelece uma lista de circunstâncias que caracterizam dados pessoais como sensíveis, mas não especifica se essa lista é meramente exemplificativa ou definitiva. Assim, Bonfim e Pinheiro (2022) assentam:
“Considerando a ausência de limitação do texto e que, naturalmente, existem diversos outros contextos passíveis de gerar tratamento discriminatório, não se mostra razoável entender tal rol como taxativo, sendo possível até mesmo que a Autoridade Nacional de Proteção de Dados aborde outras hipóteses caracterizadoras, com fundamento no seu papel complementar conferido pelo art. 55-J da LGPD” (BONFIM E PINHEIRO, 2022, p.40).
Há nesse ambiente também os dados classificados como anonimizados e pseudonimizados. A própria lei traz o conceito sobre os dados anonimizados, segundo ela, se referem àqueles que impossibilitam a identificação do titular durante o processo de tratamento, sendo assim, a proteção legal não se aplica a eles. Além disso, a LGPD dispõe em seu art. 13, §4º uma definição sobre a pseudonimização dos dados, isto é, um tratamento capaz de substituir as informações que identificam o titular, por um pseudônimo. Através desse tratamento, o dado perde a possibilidade de associação a um indivíduo (BRASIL, 2018).
Contudo, diferente dos dados anonimizados, os dados pseudonimizados não estão excluídos da incidência da lei, conforme disposto no art. 12 da LGPD, isto porque os dados pseudonimizados são aqueles cuja reversão é possível através de técnica que esteja em posse do controlador (Botelho, 2020). Os dados pseudonimizados são protegidos pela Lei, pois não perderam a capacidade de identificar o indivíduo a quem os dados pertencem.
Enfim, todos os aspectos legais apresentados destacam a importância da LGPD na preservação da privacidade dos cidadãos. Em um contexto em que os dados pessoais são considerados como um ativo valioso, a combinação da falta de privacidade do cidadão com a comercialização de dados, sejam eles sensíveis ou não, levará a uma progressiva perda da capacidade de autodeterminação dos indivíduos, resultando, consequentemente, na restrição de sua liberdade e, por conseguinte, na ausência de justiça.
3. ADEQUAÇÃO DAS FINTECHS À LGPD
A Lei Geral de Proteção de Dados promoveu um grande impacto no sistema financeiro brasileiro. Parte notável desse impacto se deu nas relações bancárias e no tratamento dos dados de clientes e usuários de qualquer serviço financeiro. Dito isso, o desafio desse segmento passou a se equiparar avanço tecnológico com amplitude na segurança e gestão dos dados pessoais.
O setor de atuação das fintechs é considerado de risco. Isto por que, segundo Rodrigues (2020), o campo financeiro lida diariamente com dados pessoais sensíveis e dados bancários dos usuários, deste modo, a segurança deste dados há de ser respaldada, garantida, e para que coexista a confiabilidade do usuário juntamente com a real segurança, tal elemento deve estar presente no momento de sua criação como empresa, implicando apenas no seu aperfeiçoamento no meio jurídico.
Cumpre evidenciar que a adequação das fintechs à LGPD é uma etapa importante na prestação dos serviços financeiros por elas oferecidos, disponibilizando ao usuário maiores informações diante destes organismos, posto que as políticas de segurança e privacidade não são sempre claras em seu escopo (RODRIGUES, 2020).
A coleta e tratamento de dados pessoais está no cerne das operações realizadas pelas fintechs, isto porque, o serviço ofertado está diretamente atrelado ao perfil do consumidor. Desta forma, o artigo 5º da LGPD dispõe:
Art. 5º […] X – tratamento: toda operação realizada com dados pessoais, como as que se referem à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
Nesse sentido, para realizar o tratamento de dados dos usuários de serviços financeiros, as fintechs devem aderir estritamente às diretrizes legais que regulam a coleta de dados pessoais. Contudo, a responsabilidade pela maneira como os dados pessoais são utilizados não recai apenas sobre o prestador de serviços, mas também sobre o próprio titular.
De acordo com Frazão (2018), é importante ressaltar que são exceções à regra do consentimento os dados tornados manifestamente públicos pelo titular. Todavia, mesmo nesses casos, o tratamento de tais dados continua sujeito ao respeito aos direitos deste. Assim, a LGPD elenca as hipóteses em que o tratamento dos dados deve acontecer:
Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
I – mediante o fornecimento de consentimento pelo titular;
II – para o cumprimento de obrigação legal ou regulatória pelo controlador;
III – pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;
IV – para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
V – quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
VI – para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
VII – para a proteção da vida ou da incolumidade física do titular ou de terceiro; VIII – para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
IX – quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
X – para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
Diante dessa normativa imposta pela lei, é incumbência das fintechs fornecer aos seus usuários um contrato de serviços que detalhe a forma como o tratamento de dados será conduzido. Esses contratos, frequentemente denominados “Termos de Uso e Serviço,” devem especificar quais dados pessoais serão coletados e qual a finalidade dessa coleta.
Por outro lado, os serviços oferecidos pelas fintechs têm natureza financeira, o que justifica a coleta de dados específicos voltada à proteção do crédito do usuário. Além dos dados específicos necessários para a prestação do serviço, a empresa pode, em um segundo momento, solicitar informações adicionais não obrigatórias, como a biometria do titular. Essa solicitação geralmente tem o propósito de reforçar a segurança das finanças do usuário. No entanto, é importante destacar que o titular tem o direito de revisar essas permissões e pode optar por não fornecê-las à empresa (RODRIGUES, 2020).
À vista disso, em atenção à lei vigente, as fintechs têm implementado políticas que simplificam a compreensão dos usuários, tornando o consentimento claro e baseado em ações afirmativas. Isso permite que as empresas desse setor mantenham a confiança e praticidade que desejam proporcionar e que oferecem como diferencial em relação aos bancos tradicionais, conforme salienta Ana Frazão:
Certamente que muitas discussões surgirão em relação aos contratos eletrônicos, já que os agentes envolvidos deverão tomar as devidas providências para a obtenção, o registro e a comprovação de que houve o consentimento do titular em observância a todas as exigências legais. (FRAZÃO, 2018, p. 02)
Dito isso, no contexto das fintechs a proteção dos dados dos usuários é um aspecto vital para garantir o adequado funcionamento dessas empresas, especialmente considerando a exposição ao ambiente digital, que aumenta a susceptibilidade a fraudes e vulnerabilidades. Destarte, deve fazer parte do escopo de trabalho dessas empresas o cumprimento das leis que regulamentam o segmento e o desenvolvimento de meios e métodos para assegurar a segurança dos usuários de serviços financeiros eletrônicos.
3.1. RELAÇÃO E RESPONSABILIDADES ENTRE OS SUJEITOS DA LGPD
Faz parte do processo regulatório e de elaboração de uma norma definir parâmetros que orientem e resguardem o bem jurídico que está sendo tutelado.Nesse âmbito, visando proteger a privacidade dos usuários, a Lei Geral de Proteção de Dados definiu quatro atores essenciais que compõem o sistema de tratamento de dados em qualquer contexto: o titular dos dados, o controlador, o operador e o encarregado, sendo denominados como os agentes responsáveis pelo tratamento de dados pessoais.
Conforme explana Flumignan (2020), os dados objetivam uma finalidade clara, sendo que a norma restringe a forma de atuação daqueles que utilizam dados de terceiros, obrigando-os a prever quais necessidades da coleta, impedindo qualquer desvio para proteger a autonomia do titular. Este princípio encontra-se ligado “aos princípios da adequação, necessidade e transparência”.
O primeiro desses sujeitos, o titular, corresponde a toda pessoa física detentora dos dados que serão tratados. Tanto o controlador como o operador são os sujeitos de tratamento, que podem ser pessoas naturais ou jurídicas. O controlador tem a função de tomar as decisões referentes ao tratamento, enquanto o operador efetua o tratamento (SAID, 2020).
A LGPD define como papéis principais: Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento. Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador. Encarregado de dados: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). Autoridade Nacional de Proteção de Dados (ANPD): órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da lei em todo o território nacional (Garcia, 2020, p.18)
Ao aplicarmos essa regulamentação ao contexto das fintechs, torna-se evidente que a atuação dessas empresas se classifica tanto como controladoras quanto operadoras no que se refere ao tratamento de dados pessoais, de acordo com o tipo de serviço e o perfil dos clientes que elas atendem.
Desta maneira, conforme apontam Fernandes e Nuzzi (2022), o operador tem autonomia para decidir qual o sistema, o método e as ferramentas que serão empregadas na coleta dos dados, e como serão armazenados. Ele deve se responsabilizar pela segurança destes, dos meios utilizados para transferi-los de uma organização para outra e das ferramentas manipuladas para recuperá-los. Portanto, tanto “o controlador, como o operador são solidariamente responsáveis pelos danos que causarem a outrem no exercício de atividade de tratamento de dados pessoais” (Lima, 2020, p. 288).
No caso das empresas que desempenham essa função de tratamento de dados, como é o caso das fintechs, a LGPD estipula a obrigação de contratar um Encarregado de Dados, também conhecido como Data Protection Officer (DPO). Essa pessoa tem a responsabilidade de harmonizar o uso dos dados pessoais com as necessidades destes dados para o negócio, bem como ser canal de comunicação perante os usuários titulares dos dados pessoais e autoridades governamentais controladoras e, ou seja, alguém que dá assistência em relação às práticas de tratamento de dados, bem como, aferir se estas estão em conformidade com a legislação e políticas internas (Said, 2020).
Destaca-se aqui a relevância de estabelecer um canal de comunicação eficaz com os titulares dos dados pessoais que a empresa utiliza, permitindo que eles possam exercer seus direitos. Mesmo se a empresa não possuir alguém designado especificamente para essa função, é imperativo que ela designe um departamento, equipe ou colaborador responsável por facilitar a comunicação entre a autoridade nacional, os titulares dos dados e a própria empresa.
Nesse sentido, Lima (2020) assenta:
Embora, os projetos iniciais trouxessem como agentes apenas o “responsável”, que seria o “controlador” e o “operador”, igualmente, o encarregado também é considerado como um agente de tratamento de dados, posto que, lhe cabe receber as reclamações dos titulares e tomar providências cabíveis; além de receber as comunicações da ANPD e adotar as medidas necessárias conforme o caso (Lima, 2020).
Por conseguinte, a lei desempenha um papel fundamental ao estabelecer claramente as responsabilidades entre os sujeitos envolvidos no tratamento de dados pessoais, incluindo titulares, controladores, operadores e encarregados. Essa clareza contribui para uma maior eficácia na regulamentação, assegurando que os dados pessoais sejam tratados de forma responsável, transparente e segura, e promovendo a proteção dos direitos dos titulares, ao mesmo tempo em que fomenta práticas mais éticas e confiáveis no ambiente digital.
CONSIDERAÇÕES FINAIS
Os modelos de negócio disruptivos estão revolucionando a maneira como empresas e indivíduos enfrentam os desafios cotidianos. Nesse ínterim, observa-se o surgimento das fintechs, empresas inovadoras no setor financeiro, cujo objetivo é desafiar diretamente os bancos tradicionais e outros empreendimentos relacionados aos serviços financeiros, representando uma nova abordagem para acessar serviços financeiros com custos reduzidos e em total conformidade legal para empréstimos e investimentos.
Nesse cenário, é possível concluir que com as regulamentações recentes, as empresas de tecnologia estão se tornando ainda mais acessíveis, simplificando a vida das micro, pequenas e médias empresas e da população brasileira que anseia por consumir os serviços ofertados por elas.
Destarte, a regulamentação estabelecida pela LGPD desempenha um papel crucial no contexto das fintechs. Além de definir os diversos sujeitos envolvidos no tratamento de dados pessoais, ela fornece diretrizes claras e responsabilidades bem delineadas. Isso não apenas garante a proteção dos direitos dos titulares de dados, mas também confere maior confiabilidade e segurança ao setor de serviços financeiros eletrônicos.
Ao seguir as diretrizes estabelecidas tanto pela LGPD quanto pela lei 12.865/13, às fintechs podem estabelecer uma base sólida para a construção de relações de confiança com seus clientes, ao mesmo tempo em que se mantêm em conformidade com a legislação vigente, fortalecendo assim a integridade e a sustentabilidade de suas operações no cenário digital em constante evolução
Tais adequações normativas e regulamentares, agregam segurança às operações financeiras realizadas pelas fintechs, isto por que, devido às vulnerabilidades ainda existentes no ambiente digital, garantir o devido tratamento e a segurança dos dados, bem como, em algumas situações, a confidencialidade dessas informações, representa um desafio considerável, especialmente em um ambiente propenso a crimes cibernéticos.
Portanto, é importante observar que a regulamentação introduziu novos conceitos jurídicos e estabeleceu as condições sob quais informações pessoais podem ser tratadas. Em caso de não conformidade com a lei ou na ocorrência de incidentes que ponham em risco esses dados, as empresas enfrentarão as sanções previstas na LGPD. Esse contexto incentiva uma comunicação mais eficaz entre as empresas e seus consumidores, tornando estes últimos mais conscientes e valorizando a importância de seus próprios dados.
REFERÊNCIAS
BANCO CENTRAL DO BRASIL. Relatório de Economia Bancária de 2020, p 139-189. Disponível em https://www.bcb.gov.br/content/publicacoes/relatorioeconomiabancaria/reb_2020.pdf.
BANCO CENTRAL DO BRASIL. Resolução nº 4.656, de 2018. Publicado no DOU de 30/4/2018, Seção 1, p. 24-26, e no Sisbacen.
BOTELHO, M. C. A LGPD e a proteção ao tratamento de dados pessoais de crianças e adolescentes. Revista Direitos Sociais e Políticas Públicas (UNIFAFIBE). (8) 197-231, 2020.
BRASIL. Lei nº 12.865, de 9 de outubro de 2013. Estabelece medidas de estímulo à competitividade, redução de custos, simplificação de processos administrativos e melhoria do ambiente regulatório para os setores de telecomunicações e informática. Diário Oficial da União, Brasília, DF, 10 out. 2013.
BRASIL. Câmara dos Deputados. Projeto de Lei n° 4060 de 2012. Dispõe sobre a proteção de dados pessoais e altera a Lei nº 12.965, de 23 de abril de 2014. Disponível em: <http:// www.camara.gov.br/proposicoesWeb/fichadetramitacao?i-dProposicao=548066 >.
BRASIL. LEI N° 13.709: Lei Geral de Proteção de Dados. 2018. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm.
CONSEIL DE L’EUROPE. Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel. Strasbourg, 1981. Disponível: < https://www.coe.int/fr/web/conventions/full-list/-/conventions/treaty/108>.
CONTO, Samuel Martim de; JUNIOR, José Antônio V. A.; & VACCARO, Guilherme Luís R. A inovação como fator de vantagem competitiva: estudo de uma cooperativa produtora de suco e vinhos orgânicos. Gestão de Produção, São Carlos, v. 23, n. 2, p. 397-407, 2016.
DIEMERS, D., et al.. Developing a FinTech ecosystem in the GCC. Strategy&, 2015.
BATISTA, Guilherme; BONA, Leonardo; CORDEIRO, Matheus. Distrito Fintech Report, 2023. Disponível em: https://distrito.me/. Acesso em 15 out. 2023.
FENWICK, M., Kaal, W. & Vermeulen, E. Regulation Tomorrow: Strategies for Regulating New Technologies. In: Transnational Commercial and Consumer Law. 2018, [s.l.] 153–174.
FERNANDES, Marcelo Eloy; NUZZI, Ana Paula Eloy. Fundamentos da Lei Geral de Proteção de Dados (LGPD): Uma revisão narrativa. Research, Society and Development, v. 11, n. 12, e310111234247, 2022. ISSN 2525-3409.
FLUMIGNAN, S. J. G., & Flumignan, W. G. G. (2020). Princípios que Regem o Tratamento de Dados no Brasil. In: Lima, Cíntia R.P. Comentários à lei geral de proteção de dados: Lei n. 13.709/2018, com alteração da lei n.13.853/2019. São Paulo: Almedina.
FRAZÃO, Ana. A Nova Lei Geral de Proteção de Dados Pessoais: parte III. Disponível em:http://www.jota.info/opiniao-e-analise/colunas/constituicao-empresae-mercado/nova-lgpd-a-importancia-do-consetimento-para-o-tratamento-dos-dadospessoais-12092018. Publicado em: 12 set. 2018.
FINNOVATION. Mapa de fintechs no Brasil de 2017. Disponível em: <http://finnovation.com.br/mapa-de-fintechs-brasil-de-2017/> Acesso em 06 jun 23.
LIMA, C. R. P. (2020). Agentes de Tratamento de Dados Pessoais (Controlador, Operador e Encarregado pelo Tratamento de Dados Pessoais). In: Lima, C. R. P. Comentários à lei geral de proteção de dados: Lei n. 13.709/2018, com alteração da lei n.13.853/2019. São Paulo: Almedina.
MARQUES, F. B., Freitas, V., & Paula, V. A. F. de. (2022). Cadê o Banco que Estava Aqui? O Impacto dos Bancos Digitais no Mercado Brasileiro. Journal of Information Systems and Technology Management – Jistem USP, 19, e202219002. ISSN online: 1807-1775. DOI: 10.4301/S1807-1775202219002.
MACIEL, R. F. Manual Prático sobre a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/18). Goiânia: RM Digital Education, 2019.
MICHILES, Saulo. Advogando para Startups. Dr. Startup, Brasília: 03-21, 2016.
MIZIARA, Raphael. Eficácia espacial da LGPD: doutrina dos efeitos e sua aplicação no tratamento transfronteiriço de dados nas relações de trabalho. In: ESTUDOS SOBRE LGPD – LEI GERAL DE PROTEÇÃO DE DADOS – LEI Nº 13.709/2018: doutrina e aplicabilidade no âmbito laboral. Tribunal Regional do Trabalho da 4ª Região, 2022.
NOGUEIRA, F. A. C. M., & FONSECA, M. L.. O consentimento na Lei Geral de Proteção de Dados: autonomia privada e o consentimento livre, informado, específico e expresso. In: Grossi, Bernardo Menicucci (Org.). Lei Geral de Proteção de Dados: Uma análise preliminar da Lei 13.709/2018 e da experiência de sua implantação no contexto empresarial. Porto Alegre, RS: Editora Fi, 2020.
OLIVEIRA, C. G. B., & SILVA, R. M. (2021). A Proteção dos Dados Pessoais Sensíveis: Questões Jurídicas e Éticas. In: Lima, Cíntia R.P. ANPD e LGPD: desafios e perspectivas. São Paulo: Almedina.
ORGANIZAÇÃO DAS NAÇÕES UNIDAS. A Declaração Universal dos Direitos Humanos. Disponível em: <https://nacoesunidas.org/wp-content/uploads/2018/10/DUDH.pdf >. Acesso em: 28 out. 2023.
OSORIO IDÁRRAGA, Sebastián. Brasil é o país da América Latina com o maior número de fintechs ativas. Bloomberg Línea. 23 de abril de 2023. Disponível em: https://www.bloomberglinea.com.br/2023/04/23/brasil-e-o-pais-da-america-latina-com-o-maior-numero-de-fintechs-ativas/. Acesso em 15 out. 2023.
PACHECO, José. As fintechs e a regulamentação no Brasil – Entenda o assunto. 2022. Disponível em: <https://blog.ebradi.com.br/regulamentacao-das-fintechs/?gclid=CjwKCAjwsvujBhAXEiwA_UXnAMH32K6KNAp22IxnywnfANGLpRCg1O5w0fF4g2CkUunH79TrlDIlpxoCKIUQAvD_BwE> Acesso em 06 jun 23.
PARLAMENTO EUROPEU; CONSELHO EUROPEU. Directiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de Outubro de 1995, relativa à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados. Luxemburgo: Jornal Oficial das Comunidades Europeias, 1995.
PARLAMENTO EUROPEU; CONSELHO EUROPEU. Regulamento (UE) 2016/679 de 27 de abril de 2016 relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE. Bruxelas: Jornal Oficial da União Europeia, 2016.
PINHEIRO, Iuri; BONFIM, Vólia. A Lei Geral de Proteção de Dados e seus impactos nas relações de trabalho. In: MIZIARA, Raphael et al. (Org.). Reflexos da LGPD no Direito e no Processo do Trabalho. São Paulo: Revista dos Tribunais, 2020. p. 48-72.
PINTO, Andréia Aparecida Bressani. Fintechs: o futuro dos serviços financeiros no Brasil. Curitiba-PR, 2018.
RODRIGUES, Amanda Alvares. Lei Geral de Proteção de Dados no Âmbito das Fintechs. Goiânia, GO: Pontifícia Universidade Católica de Goiás, 2020.
ROMANOVA, Inna; KUDINSKA, Marina. Banking and Fintech: a challenge or opportunity? In: EMERALD GROUP PUBLISHING LIMITED. Contemporary issues in finance: Current challenges from across Europe. v. 98., 2016.
ROSETTO, Geralda Magella de Faria; VERONESE, Josiane Rose Petry. A criança como titular e destinatária da proteção de dados pessoais frente à cultura fraterna. In: ESTUDOS SOBRE LGPD – LEI GERAL DE PROTEÇÃO DE DADOS – LEI Nº 13.709/2018: doutrina e aplicabilidade no âmbito laboral. Tribunal Regional do Trabalho da 4ª Região, 2022.
SAID, M. LGPD: O guia completo sobre a nova legislação de proteção a dados pessoais. Medilab Sistemas, 2020.
SOUZA, M.S. O papel do Ministério Público no enforcement da Lei Geral de Proteção de Dados e demais desdobramentos da aprovação da LGPD no
Judiciário Brasileiro. IDP. Brasília, 2021.
1 Business to consumer ou empresa para consumidor.
2 Constituição da República Portuguesa, artigo 35, inciso 6º: “A todos é garantido livre acesso às redes informáticas de uso público, definindo a lei o regime aplicável aos fluxos de dados transfronteiras e as formas adequadas de proteção de dados pessoais e de outros cuja salvaguarda se justifique por razões de interesse nacional”.