Estamos diante de uma verdadeira transformação na forma como lidamos com as nossas finanças e os nossos dados, em meio o surgimento de infraestruturas que permitem com que mais dados sejam criados e compartilhados entre diferentes empresas e setores. Se os dados são o novo petróleo, “temos um barril de petróleo dentro da sala de cada empresa”. Foi o que ouvi esses dias em um evento.
Dessa forma, além do desafio de extrair valor desses dados (criar casos de uso, por exemplo), outro desafio que diferentes empresas e reguladores estão enfrentando é fazer com que esse petróleo não vaze (vazamento de dados) para não prejudicar o meio ambiente (riscos sistêmicos e queda da confiança, por exemplo) e também não tenha contato com o fogo (o uso indevido dos dados) para não causar danos irreversíveis.
Visto isso, o mundo se depara com o surgimento de diferentes leis de proteção de dados. Em um levantamento não extensivo feito pela newsletter W Fintechs em parceria com a Boyce Data, plataforma de gestão de privacidade, é possível notar muitos países que possuem leis de proteção de dados. Além disso, existem casos de países que estão implementando uma nova lei geral que se adeque ao contexto da economia digital – e, assim, também se integre ao Open Finance.
As leis costumam variar entre os países em quatro aspectos. O primeiro deles é enfoque. Nesse caso, destacam-se aquelas que priorizam a proteção da privacidade dos indivíduos e as que concentram seus esforços na garantia da segurança dos dados em si. O segundo é alcance, com algumas delas restringindo sua jurisdição a empresas ou organizações que operam exclusivamente dentro das fronteiras nacionais. Outras estendem sua autoridade a empresas que atuam globalmente, independentemente de sua localização física.
Por exemplo, a GDPR tem alguns aspectos únicos, como o direito à portabilidade de
dados, que não está presente em todas as outras leis de proteção de dados. A
LGPD também tem algumas características diferentes como a extensão de sua
aplicabilidade para empresas estrangeiras que realizem operações no território
brasileiro e a criação da Autoridade Nacional de Proteção de Dados (ANPD).
O terceiro aspecto são as penalidades, sendo que algumas preveem sanções mais severas para violações e outras adotam abordagens menos punitivas. E, por fim, as exceções. Nesse último item, algumas incluem exceções específicas para situações como investigações criminais ou emergências.
Por exemplo, a GDPR tem alguns aspectos únicos, como o direito à portabilidade de dados, que não está presente em todas as outras leis de proteção de dados. A LGPD, por sua vez, também possui algumas características diferentes como a extensão de sua aplicabilidade para empresas estrangeiras que realizem operações no território brasileiro e a criação da Autoridade Nacional de Proteção de Dados (ANPD).
A CCPA (Califórnia), por exemplo, aplica-se apenas às empresas que operam na Califórnia, EUA. Ela prevê multas menores para violações. Ainda assim, pode ser significativa. Além disso, a CCPA dá aos residentes da Califórnia direitos semelhantes aos da GDPR e LGPD, como o direito de saber quais dados pessoais estão sendo coletados e o direito de solicitar a exclusão de dados.
Além da LGPD no Brasil, outros países da América Latina também têm se dedicado à proteção de dados. No México, a Lei Federal de Proteção de Dados Pessoais em Posse de Particulares (LFPDPPP) estabelece regras cruciais para a proteção de dados pessoais, incluindo consentimento, notificação de violações e direitos dos titulares. A autoridade responsável por supervisionar sua implementação é o Instituto Nacional de Transparência, Acesso à Informação e Proteção de Dados Pessoais (INAI).
Na Argentina, a Lei 25.326 (PDPA – Lei de Proteção de Dados Pessoais) garante proteção abrangente de dados pessoais, incluindo os sensíveis, com destaque para privacidade e acesso à informação, supervisionada pela Direção Nacional de Proteção de Dados Pessoais (DNPDP). Recentemente, aliás, a Argentina apresentou um programa de proteção de dados relacionado ao crescimento da inteligência artificial (IA).
Na Colômbia, a Divisão para a Proteção de Dados Pessoais da Superintendência da Indústria e Comércio zela pelo cumprimento da Lei 1.581 de 2012. Em julho de 2022, foi proposto o Projeto de Lei 66 de 2022 para reforçar a proteção de dados pessoais em publicidade por SMS, web e e-mail, propondo a criação de um registro de exclusão e sanções para empresas que não atendam às solicitações dos usuários.
Já no Peru, está em andamento um projeto para modernizar a Lei 29.733, visando posicionar o país na vanguarda da proteção de dados. Por lá, serão introduzidos conceitos como o direito à portabilidade de dados e a responsabilidade proativa no tratamento de dados, mantendo-se em conformidade com padrões internacionais.
Todas essas leis compartilham o objetivo de regulamentar o tratamento de dados pessoais, embora apresentem variações em questões como consentimento, transferência internacional de dados e direitos dos titulares. No entanto, quando abordamos o compartilhamento de dados e os mecanismos envolvidos, a situação é diferente. Muitos países têm criado regulações específicas de Open Finance que acabam se interligando com suas próprias leis de proteção de dados.
No México, o Open Finance é regulamentado pelo artigo 76 da Lei Fintech aprovada em 2018. É, ainda, tratado por regulamentações específicas que podem ter conexões com a LFPDPPP. Contudo, essas regulamentações são distintas em seu foco e escopo. Já na Colômbia, a Superintendência Financeira da Colômbia (SFC) estabeleceu que as instituições regulamentadas que participarem do Open Finance devem ter políticas e procedimentos para tratamento de dados em conformidade com as leis de proteção de dados.
Em países como Argentina, Chile e Peru, a regulação do Open Finance ainda está em discussão. Nesses casos, o mercado vem buscando soluções por conta própria, embora os três países tenham leis de proteção de dados.
Um
estudo feito pela CGAP destacou que existem três tipos de abordagens quando falamos de lei de proteção de dados e Open Finance: lei geral, específica e coexistente (Open Finance e LGPD, por exemplo).
A implementação de uma lei geral de proteção de dados que se aplique ao Open Finance cria um cenário equitativo para todos os participantes do mercado, o que independe do tamanho. Ou seja, estamos falando de grandes instituições financeiras ou fintechs. Isso, de certa forma, garante a consistência e aplicabilidade das diretrizes de proteção de dados. Porém, essa abordagem pode enfrentar desafios ao não considerar questões únicas do Open Finance. Por exemplo, a transferência de dados entre várias entidades — incluindo detentores, intermediários e usuários de dados — o que pode resultar em incertezas e lacunas na regulamentação.
Por outro lado, a criação de uma lei específica para o Open Finance oferece uma abordagem mais adaptada às necessidades dos players, levando em consideração as complexidades das transações de dados nesse contexto. Entretanto, isso pode criar desequilíbrios competitivos entre empresas abrangidas por regulamentações específicas e outras não abrangidas. Na prática, pode criar um desequilíbrio neste mercado de compartilhamento de dados.
Uma terceira abordagem, ainda, envolve a coexistência de leis gerais de proteção de dados e leis separadas de Open Finance. Essa em específico tem a vantagem de garantir tanto o compartilhamento quanto a proteção de dados, abordando ambas as preocupações. No entanto, pode surgir um problema de conflito entre as duas leis. Isso porque elas podem ter definições e disposições conflitantes, já que muitas vezes não foram projetadas para funcionar em conjunto.
A conexão entre as leis de proteção de dados e o Open Finance no contexto da América Latina ainda está em evolução. À medida que as infraestruturas de compartilhamento de dados financeiros se expandem na região, é primordial encontrar um equilíbrio entre a proteção da privacidade dos indivíduos e a promoção da inovação financeira por meio do Open Finance.
A cooperação entre reguladores, autoridades de proteção de dados, a indústria financeira e os defensores da privacidade dos consumidores desempenhará um papel fundamental na criação de um ecossistema de Open Finance seguro e eficiente nos países da região.
Walter Pereira é LinkedIn Top Voice 2023, fundador da W Fintechs e sócio na Boyce
Data, plataforma de gestão de privacidade.