LGPD e Fintechs: um novo cenário para o compliance digitalLGPD e Fintechs: Um novo cenário para o compliance digital 2019 5 Privacidade e proteção de dados são assuntos que vêm

LGPD e Fintechs um novo cenaacuterio para o compliance digital

LGPD e Fintechs um novo cenaacuterio para

o compliance digital

Autores

Davi Teoacutefilo

Dennys Camara

Nathalia Dutra

Odeacutelio Porto Juacutenior

Pamela Michelena De Marchi Gherini

Revisatildeo

Gabriela Moribe

Luciana Simotildees Rebello Horta

Renato Leite

Projeto Graacutefico

Laura Wolff Bandeira Klink

A regulaccedilatildeo de proteccedilatildeo de dados indica mudanccedilas importantes sobre

exposiccedilatildeo e disponibilidade de informaccedilotildees pessoais Quais satildeo os

cuidados que as fintechs e o mercado financeiro devem ter no contexto do

novo compliance digital

LGPD e Fintechs Um novo cenaacuterio para o compliance digital middot 2019

3

Sumaacuterio1 Introduccedilatildeo 5

2 Uma visatildeo geral dos dados no mercado financeiro 7

21 Relaccedilatildeo entre estes tipos de dados 9

3 Legislaccedilotildees aplicaacuteveis agraves fintechs e responsabilizaccedilatildeo em caso de incidente 10

31 Lei de Crimes Contra o Sistema Financeiro Nacional 11

32 Coacutedigo Penal 13

33 Lei de Lavagem de Dinheiro 14

34 Lei do Sigilo Bancaacuterio 15

35 Resoluccedilatildeo CMN ndeg 46582018 sobre Ciberseguranccedila 17

36 Circular BACEN ndeg 39092018 sobre Ciberseguranccedila 23

37 Lei Geral de Proteccedilatildeo de Dados 25

38 Marco Civil da Internet e o seu Decreto Regulamentador 31

39 Lei do Cadastro Positivo 33

310 Coacutedigo do Consumidor 37

4 Compliance digital no contexto de Open Banking 39

5 Conclusatildeo 42

Baptista Luz Advogados

4


5

Privacidade e proteccedilatildeo de dados satildeo assuntos que vecircm evoluindo bastante nos uacuteltimos anos principalmente pela aplicaccedilatildeo de novas tecnologias digitais Essas inovaccedilotildees impactam setores como publicidade medicina advocacia e inevitavelmente o mercado financeiro e de capitais

Eacute preciso no entanto equilibrar a utilizaccedilatildeo dessas novas tecnologias Nessa toada surge a nova Lei Geral de Proteccedilatildeo de Dados (ldquoLGPDrdquo)1 buscando estabelecer um padratildeo para os mais diversos setores Por ser o mercado financeiro e de capitais um setor extremamente regulado o objetivo desse artigo eacute abordar a coexistecircncia dos preceitos da LGPD ao arsenal regulatoacuterio do mercado jaacute existente De iniacutecio a LGPD que entra em vigor em agosto de 2020 traz uma sistematizaccedilatildeo sobre o que jaacute existe fragmentado em outras normas Incluindo dispositivos sobre responsabilidade pelo uso indevido de informaccedilotildees e desrespeito agrave privacidade dos usuaacuterios

Vale ressaltar que a nossa Constituiccedilatildeo Federal estabelece o direito agrave privacidade2 Nosso Coacutedigo Civil tambeacutem pontua que a privacidade eacute um direito inviolaacutevel das pessoas naturais3

Sobre proteccedilatildeo de dados mais especificamente jaacute existem diversas leis e normas administrativas fragmentadas em nosso ordenamento juriacutedico Como exemplo o Coacutedigo de Defesa do Consumidor (ldquoCDCrdquo) a Lei de Sigilo Bancaacuterio a Lei do Cadastro Positivo as Resoluccedilotildees e Circulares do Banco Central do Brasil (ldquoBACENrdquo) dentre outras que abordaremos adiante

1 INTRODUCcedilAtildeO

1 BRASIL Lei nordm 13709 de 14 de agosto de 2018 Dispotildee sobre a Lei Geral de Proteccedilatildeo de Dados Pessoais (LGPD) Disponiacutevel em lt httpwwwplanaltogovbrccivil_03_ato2015-20182018leiL13709htmgt Acesso em 21082019 2 BRASIL Constituiccedilatildeo da Repuacuteblica Federativa do Brasil de 1988 Artigo 5ordm inciso X Disponiacutevel em lthttpwwwplanaltogovbrccivil_03constituicaoconstituicaocompiladohtmgt Acesso em 21082019 3 BRASIL Lei nordm 10406 de 10 de janeiro de 2002 Institui o Coacutedigo Civil Artigo 21 caput Disponiacutevel em lthttpwwwplanaltogovbrccivil_03leis2002l10406htmgt Acesso em 21082019


6

A LGPD impactaraacute de maneira significativa o setor financeiro levando em consideraccedilatildeo que a sua aplicaccedilatildeo se daacute para agentes puacuteblicos e privados estabelecendo um padratildeo que deveraacute ser integrado agraves relaccedilotildees especiacuteficas de cada setor

Isso inclui fintechs que devem estar atentas aos processos de conformidade das atividades agraves normas do sistema financeiro e de proteccedilatildeo de dados

A intenccedilatildeo desse documento eacute muito mais no sentido de fornecer instrumentos para endereccedilar o tema do que propriamente apontar problemas e exposiccedilatildeo ao risco

Exploraremos portanto as principais leis e normas administrativas que tratam de privacidade e proteccedilatildeo de dados no setor financeiro oferecendo uma visatildeo geral da regulaccedilatildeo nacional e o seu impacto sobre as responsabilidades dos agentes diante de incidentes (como vazamentos utilizaccedilatildeo indevida de dados armazenamento incorreto etc) Seguir essas disposiccedilotildees faz parte do que na nossa visatildeo poderaacute ser determinante para um novo modelo de ldquocompliance digitalrdquo no mercado financeiro

Assim como diversas outras aacutereas do conhecimento o Direito eacute dividido em subaacutereas que cuidam de relaccedilotildees juriacutedicas de naturezas diferentes Pensando no mercado em que as fintechs se inserem e principalmente com o avanccedilo do movimento de Open Banking (conforme discutiremos adiante) duas aacutereas do Direito acabam se comunicando de forma intensa gerando obrigaccedilotildees e responsabilidades para o setor Estas aacutereas satildeo a do Direito Financeiro (incluindo Mercado de Capitais a depender do caso) e a de Proteccedilatildeo de Dados

Isso significa que aleacutem da conformidade societaacuteria tributaacuteria trabalhista etc fintechs precisam se atentar para aspectos legais intriacutensecos agraves atividades exercidas por elas que muitas vezes envolvem fluxo de dados financeiros para que seus serviccedilos eou produtos consigam ser prestados

Portanto este artigo abordaraacute justamente as normas e obrigaccedilotildees decorrentes da intersecccedilatildeo entre a aacuterea do Direito que trata de Proteccedilatildeo de Dados e a que lida com o Mercado Financeiro

Eacute importante lembrar que antes mesmo que o Brasil tivesse a LGPD o Mercado Financeiro jaacute reconhecia a importacircncia de se proteger os dados financeiros das pessoas Exemplos disso satildeo a Lei de Sigilo Bancaacuterio a Lei de Crimes Contra o Sistema Financeiro dentre outras normas que tambeacutem protegem informaccedilotildees que satildeo utilizadas pelo Sistema Financeiro e pelas fintechs em suas atividades

Estas informaccedilotildees representam conteuacutedo muitas vezes iacutentimo podendo colocar em risco a seguranccedila daqueles que tecircm suas informaccedilotildees compartilhadas de maneira irresponsaacutevel e por vezes criminosa

Eacute interessante perceber que o caraacuteter privado dessas informaccedilotildees pode ser verificado no cotidiano como no cuidado com senhas bancaacuterias (que justamente protegem os dados financeiros) Por exemplo eacute considerado ldquoindelicadordquo perguntar para algueacutem (que natildeo se conhece) quanto a pessoa ganha de salaacuterio Se estas informaccedilotildees natildeo fossem delicadas de alguma forma ou natildeo representassem algo ligado agrave privacidade da pessoa talvez o grau de proteccedilatildeo social conferida a elas natildeo fosse tatildeo intenso


7

2 UMA VISAtildeO GERAL DOS DADOS NO MERCADO FINANCEIRO

Antes de observarmos o que temos disposto nas normas eacute preciso saber identificar o que exatamente cada uma delas visa proteger Como veremos adiante satildeo utilizados os termos ldquodados sigilososrdquo ldquodados financeirosrdquo e ldquodados pessoaisrdquo Saber diferenciaacute-los eacute imprescindiacutevel para a correta aplicaccedilatildeo das leis especialmente pelo fato destes dados poderem convergir em alguns casos resultando na aplicaccedilatildeo simultacircnea de mais de uma lei

Dados Financeiros

Satildeo aqueles decorrentes de operaccedilotildees financeiras e serviccedilos prestados por instituiccedilotildees financeiras Essa definiccedilatildeo adveacutem da praacutetica natildeo existe uma legislaccedilatildeo especiacutefica definindo este termo Dentre os trecircs tipos de dados que comentaremos neste capiacutetulo este eacute o mais amplo porque ele se caracteriza por um conjunto de mais de uma informaccedilatildeo Dados financeiros podem envolver informaccedilotildees sobre indiviacuteduos especiacuteficos ou empresas como tambeacutem podem conter valores referentes agraves operaccedilotildees datas de transaccedilatildeo e assim por diante A importacircncia de entender a amplitude deste tipo de dado eacute justamente saber que ele nem sempre seraacute um dado pessoal ou necessariamente um dado sigiloso de forma que natildeo precisaraacute de tratamento diferenciado Apenas a anaacutelise destes dados e o seu fluxo eacute o que poderaacute permitir uma conclusatildeo sobre a forma adequada de trataacute-los e quais procedimentos deveratildeo ser adotados para entrar em conformidade com as normas

Dados Sigilosos

Os ldquodados sigilososrdquo satildeo aqueles que devem permanecer ocultos por determinaccedilatildeo legal judicial e ateacute mesmo pessoal A inviolabilidade do sigilo sobre dados eacute um direito constitucional que pode ser excepcionado por uma ordem judicial para finalidade de investigaccedilatildeo criminal4 Por isso existem diversas razotildees pelas quais dados podem ser sigilosos Existem dados sigilosos que natildeo satildeo financeiros mas alguns dados financeiros satildeo considerados sigilosos por determinaccedilatildeo da lei por exemplo Eacute o caso de dados bancaacuterios conforme explicaremos mais adiante

Eacute importante lembrar que a solicitaccedilatildeo de dados sigilosos realizada por parte de uma autoridade sem que haja determinaccedilatildeo judicial pode ser considerada como quebra de sigilo Por isso se uma autoridade solicita que sejam cedidos dados sigilosos muitas vezes eacute recomendado que um(a) advogado(a) seja acionado(a) antes de realizar esta liberaccedilatildeo de informaccedilatildeo Isso porque em alguns casos mesmo que o solicitante seja uma autoridade pode ser que ainda assim esta necessite de decisatildeo judicial para realizar tal solicitaccedilatildeo

Ao nos concentrarmos no mercado financeiro a Lei Complementar nordm 105 de 10 de janeiro de 2001 (ldquoLC 1052001rdquo) eacute a principal figura na regulaccedilatildeo do sigilo das operaccedilotildees de instituiccedilotildees financeiras De maneira geral a norma afirma que as operaccedilotildees ativas operaccedilotildees passivas e serviccedilos prestados pelas instituiccedilotildees financeiras enumeradas5 na lei devem ser mantidas em sigilo6

4 BRASIL Constituiccedilatildeo da Repuacuteblica Federativa do Brasil de 1988 Artigo 5ordm inciso XII Disponiacutevel em lt httpwwwplanaltogovbrccivil_03constituicaoconstituicaocompiladohtmgt Acesso 21082019 5 BRASIL Lei Complementar nordm 105 de 10 de janeiro de 2001 Dispotildee sobre o sigilo das operaccedilotildees de instituiccedilotildees financeiras e daacute outras provi-decircncias Artigo 1ordm sect1ordm incisos I ateacute XIII Disponiacutevel em lt httpwwwplanaltogovbrccivil_03LEISLCPLcp105htmgt Acesso em 21082019 6 BRASIL Lei nordm 13709 de 14 de agosto de 2018 Dispotildee sobre a Lei Geral de Proteccedilatildeo de Dados Pessoais Artigo 5ordm inciso I Disponiacutevel em lt httpwwwplanaltogovbrccivil_03_ato2015-20182018leiL13709htmgt Acesso em 21082019

Portanto alguns dados financeiros podem estar submetidos a sigilo em decorrecircncia da lei Existem diversos tipos de dados financeiros uma parte deles estaacute abarcada pela LC 1052001

Dados Pessoais

ldquoDados pessoaisrdquo estatildeo definidos na LGPD como informaccedilotildees relacionadas a pessoa natural identificada ou identificaacutevel Outra definiccedilatildeo importante apresentada pela Lei eacute a de dados pessoais sensiacuteveis que satildeo aqueles que versam ldquosobre origem racial ou eacutetnica convicccedilatildeo religiosa opiniatildeo poliacutetica filiaccedilatildeo a sindicato ou a organizaccedilatildeo de caraacuteter religioso filosoacutefico ou poliacutetico dado referente agrave sauacutede ou agrave vida sexual dado geneacutetico ou biomeacutetrico quando vinculado a uma pessoa naturalrdquo

Isso significa que dados financeiros ou ateacute sigilosos natildeo satildeo por si soacute considerados sensiacuteveis A natildeo ser que eles contenham informaccedilotildees ligadas agrave como disposto na LGPD origem racial ou eacutetnica convicccedilatildeo religiosa opiniatildeo poliacutetica e assim por diante

Portanto informaccedilotildees de pagamento do tratamento de quimioterapia de um paciente podem a depender do caso ser consideradas dados sensiacuteveis por trazer dados em relaccedilatildeo agrave sauacutede daquele indiviacuteduo que pode ser identificado ou identificaacutevel

A identificaccedilatildeo direta ou indiretamente eacute parte importante da classificaccedilatildeo do dado como sendo pessoal ou sensiacutevel Pensando em um financeiro relacionado ao pagamento de tratamento quimioteraacutepico que contudo natildeo permite a identificaccedilatildeo direta ou indireta de uma pessoa natural entatildeo este dado natildeo estaria sob o escopo da LGPD Por outro lado se o dado financeiro puder ser agregado a outras informaccedilotildees que permitam a identificaccedilatildeo de uma pessoa natural entatildeo as regras relativas agrave dados sensiacuteveis se aplicariam ao caso Existem diferenccedilas praacuteticas importantes para o tratamento de dados pessoais e de dados pessoais sensiacuteveis como veremos adiante

Quando falamos em ldquotratamento de dadosrdquo estamos usando a linguagem estabelecida pelo artigo 5deg inciso X da LGPD que define como

ldquotoda operaccedilatildeo realizada com dados pessoais como as que se referem a coleta produccedilatildeo recepccedilatildeo classificaccedilatildeo utilizaccedilatildeo acesso reproduccedilatildeo transmissatildeo distribuiccedilatildeo processamento arquivamento armazenamento eliminaccedilatildeo avaliaccedilatildeo ou controle da informaccedilatildeo modificaccedilatildeo comunicaccedilatildeo transferecircncia difusatildeo ou extraccedilatildeordquo

Portanto mesmo que a fintech natildeo faccedila uso dos dados para nenhum propoacutesito especiacutefico a mera coleta uso de informaccedilatildeo obtida atraveacutes de outra base de dados ou arquivamento dos dados jaacute seraacute considerado atividade de tratamento de dados fazendo com que seja necessaacuteria a observacircncia da LGPD Explicaremos isso com mais cuidado adiante


9

21 RELACcedilAtildeO ENTRE ESTES TIPOS DE DADOS

Tendo em mente estes tipos diferentes de dados eacute importante entender o cuidado que deve ser dado a cada um deles sabendo identificar quando coincidem acumulando portanto obrigaccedilotildees e responsabilidades principalmente pensando na seguranccedila da informaccedilatildeo que deve ser garantida no tratamento destes dados

Em outras palavras eacute possiacutevel que exista um dado financeiro sem que este seja sigiloso ou pessoal (exemplo uma pesquisa de mercado que apresente informaccedilotildees volumeacutetricas sobre financiamento de apartamentos por jovens na cidade de Satildeo Paulo) Por outro lado se esta pesquisa contiver informaccedilotildees que permitam a identificaccedilatildeo dos entrevistados o que antes eram apenas dados financeiros se tornam natildeo apenas sigilosos sob proteccedilatildeo de leis penais como tambeacutem teratildeo proteccedilatildeo sob a oacuteptica da LGPD

Essa imagem representa as diferentes formas destes dados se relacionarem conforme abordaremos a seguir


10

3 LEGISLACcedilOtildeES APLICAacuteVEIS AgraveS FINTECHS E RESPONSABILIZACcedilAtildeO EM CASO DE INCIDENTE

Diante do arsenal regulatoacuterio mencionado como saber quais normas impactam as atividades das fintechs levando em conta a intersecccedilatildeo entre mercado financeiro e proteccedilatildeo de dados

Qual seria exatamente o impacto de incidentes de seguranccedila da informaccedilatildeo sobre a responsabilidade de agentes no mercado financeiro

Quem satildeo os atores envolvidos dentro do contexto de cada norma quais satildeo suas obrigaccedilotildees e que sanccedilotildees satildeo aplicadas caso ocorram incidentes como vazamentos utilizaccedilatildeo indevida armazenamento incorreto de dados

Vale mencionar que quando usamos o termo ldquoincidentesrdquo estamos considerando os eventos de forma ampla aplicando-se a diversas hipoacuteteses de infraccedilotildees estipuladas por normais penais ciacuteveis e administrativas se referindo ao uso inadequado vazamento quebra de sigilo dentre outras hipoacuteteses neste cenaacuterio de proteccedilatildeo de informaccedilotildees dentro do setor financeiro Dentre estas normas temos agora como grande referecircncia para a proteccedilatildeo de dados pessoais a LGPD


11

31 LEI DE CRIMES CONTRA O SISTEMA FINANCEIRO NACIONAL

A Lei ndeg 7492 de 16 de junho de 1986 (ldquoLei de Crimes Contra o Sistema Financeiro Nacionalrdquo) eacute um dos principais instrumentos de proteccedilatildeo ao mercado financeiro no Brasil A Lei define ldquoinstituiccedilatildeo financeirardquo como pessoa juriacutedica de direito puacuteblico ou privado que exerccedila pelo menos as seguintes atividades captaccedilatildeo intermediaccedilatildeo ou aplicaccedilatildeo de recursos financeiros de terceiros em moeda nacional ou estrangeira O exerciacutecio de atividades como a custoacutedia emissatildeo distribuiccedilatildeo negociaccedilatildeo intermediaccedilatildeo ou administraccedilatildeo de valores mobiliaacuterios satildeo englobados tambeacutem no conceito de instituiccedilotildees financeiras7

Esta definiccedilatildeo eacute relevante para compreendermos como funciona o regime de responsabilizaccedilatildeo na Lei de Crimes contra o Mercado Financeiro Neste cenaacuterio satildeo penalmente responsaacuteveis o controlador e os administradores de instituiccedilotildees financeiras incluindo diretores e gerentes por exemplo8 Ainda a Lei determina que administradores de instituiccedilotildees financeiras se equiparam aos interventores liquidantes ou siacutendicos

Com base na definiccedilatildeo ampla de ldquoinstituiccedilatildeo financeirardquo trazida eacute possiacutevel verificar que algumas fintechs estatildeo submetidas agrave aplicaccedilatildeo dos dispositivos desta lei em razatildeo da natureza das atividades que exercem diretamente9

7 BRASIL Lei nordm 7492 de 16 de junho de 1986 Define os crimes contra o mercado financeiro nacional Artigo 1ordm Disponiacutevel em lthttpwwwplanaltogovbrcciviL_03LEISL7492htmgt Acesso em 27082019

8 Ibidem Artigo 25 caput e artigo 25 sect1ordm 9 Ibidem ldquoArt 1ordm Considera-se instituiccedilatildeo financeira para efeito desta lei a pessoa juriacutedica de direito puacuteblico ou privado que tenha como ativi-dade principal ou acessoacuteria cumulativamente ou natildeo a captaccedilatildeo intermediaccedilatildeo ou aplicaccedilatildeo de recursos financeiros (Vetado) de terceiros em moeda nacional ou estrangeira ou a custoacutedia emissatildeo distribuiccedilatildeo negociaccedilatildeo intermediaccedilatildeo ou administraccedilatildeo de valores mobiliaacuteriosParaacutegrafo uacutenico Equipara-se agrave instituiccedilatildeo financeira

I - a pessoa juriacutedica que capte ou administre seguros cacircmbio consoacutercio capitalizaccedilatildeo ou qualquer tipo de poupanccedila ou recursos de terceiros

II - a pessoa natural que exerccedila quaisquer das atividades referidas neste artigo ainda que de forma eventualrdquo


12

Isso quer dizer que esta lei deve ser observada em sua integridade natildeo apenas em relaccedilatildeo agrave forma que os dados satildeo tratados As sanccedilotildees em caso de descumprimento satildeo altas especialmente pelo fato de ser uma norma de teor penal

O artigo 18 da Lei de Crimes contra o Sistema Financeiro dispotildee o seguinte

ldquoArt 18 Violar sigilo de operaccedilatildeo ou de serviccedilo prestado por instituiccedilatildeo financeira ou integrante do sistema de distribuiccedilatildeo de tiacutetulos mobiliaacuterios de que tenha conhecimento em razatildeo de ofiacutecioPena ndash reclusatildeo de 1(um) a 4 (quatro) anos e multardquo Portanto eacute crime violar o sigilo de dados de operaccedilatildeo ou de serviccedilos prestados por instituiccedilatildeo financeira tendo a pessoa o conhecimento destes dados com base nas informaccedilotildees que teve contato no seu ambiente de trabalho Isso reforccedila o entendimento de que alguns dados financeiros tambeacutem satildeo dados sigilosos conforme jaacute abordado

De acordo com o artigo 29 desta mesma lei

ldquoMinisteacuterio Puacuteblico Federal sempre que julgar necessaacuterio poderaacute requisitar a qualquer autoridade informaccedilatildeo documento ou diligecircncia relativa agrave prova dos crimes previstos nesta lei () O sigilo dos serviccedilos e operaccedilotildees financeiras natildeo pode ser invocado como oacutebice ao atendimento da requisiccedilatildeo prevista no caput deste artigordquo (grifos nossos)

Ou seja o Ministeacuterio Puacuteblico Federal pode requerer informaccedilotildees sigilosas para autoridades quando se tratar de evidecircncias ou indiacutecios de crime sendo que essas autoridades diferente do que ocorre com a Lei de Sigilo Bancaacuterio natildeo poderatildeo invocar a proteccedilatildeo constitucional do sigilo para negar a disponibilidade do conteuacutedo solicitado

Essa prerrogativa conferida ao Ministeacuterio Puacuteblico contudo natildeo significa que ele tenha autorizaccedilatildeo legal para solicitar informaccedilotildees sigilosas sobre clientes mesmo que sob suspeita de crime para instituiccedilotildees que tenham dados sobre a pessoa suspeita sem que haja uma decisatildeo judicial autorizando esta liberaccedilatildeo de informaccedilatildeo


13

32 COacuteDIGO PENAL

A LGPD natildeo se aplica ao tratamento de dados relacionados agrave aplicaccedilatildeo da lei investigaccedilatildeo ou repressatildeo de infraccedilotildees penais Ela tambeacutem natildeo cria tipos penais novos A criaccedilatildeo de tipos penais que protejam dados de diversos tipos (natildeo soacute dados pessoais) fica a cargo de algumas normas dentre elas o Coacutedigo Penal Brasileiro (Decreto-Lei ndeg 2848 de 7 de dezembro de 1940) e outras leis penais especiais

O Coacutedigo Penal possui uma seccedilatildeo dedicada aos Crimes Contra a Inviolabilidade dos Segredos (artigos 153 ndash 154-B) Esta seccedilatildeo foi modificada pela Lei ndeg 12737 de 30 de novembro de 2012 que incluiu o crime de ldquoinvasatildeo de dispositivo informaacuteticordquo que consiste em

ldquoArt 154-A Invadir dispositivo informaacutetico alheio conectado ou natildeo agrave rede de computadores mediante violaccedilatildeo indevida de mecanismo de seguranccedila e com o fim de obter adulterar ou destruir dados ou informaccedilotildees sem autorizaccedilatildeo expressa ou taacutecita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem iliacutecitardquo

Eacute importante mencionar este crime pois os sistemas e dispositivos de fintechs podem ser vulneraacuteveis a estes ataques Isso pode resultar em incidentes de seguranccedila conforme abordaremos adiante

Aleacutem disso o Coacutedigo Penal natildeo determina medidas especiacuteficas em relaccedilatildeo agrave proteccedilatildeo de dados focando mais no sigilo e confidencialidade Os outros crimes do Coacutedigo Penal brasileiro (que tratam de sigilo e

confidencialidade) satildeo (i) divulgaccedilatildeo de segredo (art 153) e (ii) violaccedilatildeo de segredo profissional (artigo 154)

O primeiro eacute configurado por ldquoArt 153 - Divulgar algueacutem sem justa causa conteuacutedo de documento particular ou de correspondecircncia confidencial de que eacute destinataacuterio ou detentor e cuja divulgaccedilatildeo possa produzir dano a outremPena - detenccedilatildeo de um a seis meses ou multardquo

O segundo se configura por

ldquoArt 154 - Revelar algueacutem sem justa causa segredo de que tem ciecircncia em razatildeo de funccedilatildeo ministeacuterio ofiacutecio ou profissatildeo e cuja revelaccedilatildeo possa produzir dano a outremPena - detenccedilatildeo de trecircs meses a um ano ou multardquo

Eacute faacutecil de compreender como esses crimes podem acontecer num contexto em que diversos colaboradores tenham acesso aos sistemas tecnoloacutegicos contendo dados sigilosos Dessa forma as atividades das fintechs devem considerar formas de evitar a praacutetica de condutas que possam configurar esses crimes Por exemplo oferecendo treinamentos aos funcionaacuterios que tecircm acesso aos dados informando sobre a responsabilidade na manutenccedilatildeo de sigilo e prevenindo casos de violaccedilatildeo de segredo profissional (artigo 154) Vale lembrar que o Coacutedigo Penal e as leis penais especiais satildeo aplicaacuteveis a todos brasileiros maiores de 18 anos10

10 Salvo aqueles classificados como inimputaacuteveis ldquoagente que por doenccedila mental ou desenvolvimento mental incompleto ou retardado era ao tempo da accedilatildeo ou da omissatildeo inteiramente incapaz de entender o caraacuteter iliacutecito do fato ou de determinar-se de acordo com esse entendimentordquo BRASIL Decreto-Lei nordm 2848 de 7 de dezembro de 1940 Institui o Coacutedigo Penal Artigo 26


14

33 LEI DE LAVAGEM DE DINHEIRO

A Lei ndeg 9613 de 3 de marccedilo de 1998 tambeacutem conhecida como a Lei de Lavagem de Dinheiro possui artigos que indiretamente impactam como os dados devem ser processados e enviados dentro do setor financeiro especialmente em relaccedilatildeo agraves inspeccedilotildees do Conselho de Controle de Atividades Financeiras (ldquoCOAFrdquo) Ela surgiu para afastar os riscos de utilizaccedilatildeo do mercado para ocultar origem irregular do dinheiro

Abaixo fizemos uma lista resumida de disposiccedilotildees importantes desta lei sobre o uso de dados por membros do setor financeiro

(i) Identificaccedilatildeo dos seus clientes e manutenccedilatildeo de registros atualizados sobre eles

(ii) registro de todas as transaccedilotildees financeiras que ultrapassem os limites permitidos pela lei

(iii) responder adequadamente a todos os pedidos feitos pelo COAF ou outro regulador sabendo que o destinataacuterio de tal informaccedilatildeo seraacute responsaacutevel por manter sigilo das respostas enviadas

(iv) prestar especial atenccedilatildeo a qualquer transaccedilatildeo que demonstre evidecircncias seacuterias de provaacutevel crime comunicando o fato em sigilo ao COAF no prazo de 24 horas e

(v) as instituiccedilotildees ou pessoas que natildeo cooperarem com os requisitos acima podem estar sujeitas agraves seguintes sanccedilotildees advertecircncias multas inabilitaccedilatildeo temporaacuteria de exercer cargos de gestatildeo de instituiccedilotildees financeiras cassaccedilatildeo e suspensatildeo da atividade operaccedilatildeo ou funccedilatildeo

As penalidades previstas na Lei11 satildeo

(i) Advertecircncia caso haja irregularidade no cumprimento das obrigaccedilotildees previstas em Lei

(ii) multa pecuniaacuteria variaacutevel com valor natildeo superior

ii1 ao dobro do valor da operaccedilatildeo

ii2 ao dobro do lucro real obtido ou que presumivelmente seria obtido pela realizaccedilatildeo ou

ii3 agrave vinte milhotildees de reais

(iii) inabilitaccedilatildeo temporaacuteria por ateacute dez anos para o exerciacutecio do cargo de administrador das pessoas juriacutedicas referidas no artigo 9ordm

(iv) cassaccedilatildeo ou suspensatildeo da autorizaccedilatildeo para o exerciacutecio de atividade operaccedilatildeo ou funcionamento

Eacute importante destacar no contexto dessa Lei que o COAF (atualmente denominado UIF) 12 diferente das autoridades reguladoras foi criado com a finalidade de ser uma Unidade de Inteligecircncia Financeira que captura informaccedilotildees de operaccedilotildees consideradas suspeitas pelo comunicante ou realizadas em dinheiro ldquovivordquo em valores superiores aos limites fixados em normativos (R$ 3000000) O BACEN A Comissatildeo de Valores Mobiliaacuterios (ldquoCVMrdquo) e muito menos a Receita Federal tem autorizaccedilatildeo para acessar o bando de dados do COAF Esses oacutergatildeos somente tecircm acesso agraves informaccedilotildees do COAF quanto este inclui a informaccedilatildeo em Relatoacuterios de Inteligecircncia Financeira que satildeo disparados para os demais oacutergatildeos caso sejam identificados indiacutecios consistentes de irregularidade

Ao lidar com dados pessoais no contexto dessa norma eacute preciso tambeacutem considerar os pontos elencados pela LGPD e outras normas sobre proteccedilatildeo de dados na interpretaccedilatildeo da Lei de Lavagem de Dinheiro Grande parte das normas do mercado financeiro eacute anterior agrave LGPD de forma que eacute preciso revisitaacute-las aplicando-as conjuntamente

11 BRASIL Lei nordm 9613 de 3 de marccedilo de 1998 Dispotildee sobre os crimes de ldquolavagemrdquo ou ocultaccedilatildeo de bens direitos e valores a prevenccedilatildeo da utilizaccedilatildeo do sistema financeiro para os iliacutecitos previstos nesta Lei cria o Conselho de Controle de Atividades Financeiras ndash COAF e daacute outras providecircncias Artigo 12 incisos I a IV Disponiacutevel em lt httpwwwplanaltogovbrccivil_03LEISL9613htmgt Acesso em 27082019

12 De acordo com a Medida Provisoacuteria nordm 893 de 19 de agosto de 2019 o COAF passa a se chamar Unidade de Inteligecircncia Financeira conservando as competecircncias originaacuterias do COAF poreacutem passando a ficar vinculada administrativamente ao Banco Central do Brasil e natildeo mais ao Ministeacuterio da Economia Disponiacutevel em lthttpswwwfazendagovbrorgaoscoafbanners-rotativoso_que_fazpdfgt Acesso em 02092019


15

34 LEI DO SIGILO BANCAacuteRIO

A Lei Complementar nordm 105 de 10 de janeiro de 2001 tambeacutem conhecida como Lei do Sigilo Bancaacuterio exige confidencialidade das instituiccedilotildees financeiras e outras empresas em razatildeo da natureza de suas operaccedilotildees e dos dados financeiros com as quais lidam Isso significa que fintechs podem estar legalmente vinculadas agrave Lei do Sigilo Bancaacuterio mesmo que algumas delas natildeo sejam necessariamente instituiccedilotildees financeiras de acordo com a legislaccedilatildeo brasileira

Algumas fintechs podem ser entendidas como instituiccedilotildees financeiras porque se enquadram nos requisitos legais por outro lado nem todas as fintechs satildeo instituiccedilotildees financeiras como por exemplo aquelas que podem operar com alguns limites sem autorizaccedilatildeo preacutevia do BACEN A conformidade destas empresas com a Lei do Sigilo Bancaacuterio portanto ocorreraacute com base nas informaccedilotildees a que tenham acesso para oferecer serviccedilos ou produtos aos clientes

Os atores previstos na Lei de Sigilo Bancaacuterio

A Lei Complementar nordm 1052001 elenca uma seacuterie

de atores considerados instituiccedilotildees financeiras Eles devem se submeter ao dever de sigilo em suas operaccedilotildees ativas e passivas bem como em serviccedilos prestados Para fins de definiccedilatildeo a Lei enumera jaacute em seu artigo 1ordm sect1ordm uma seacuterie de agentes englobados na definiccedilatildeo de ldquoinstituiccedilotildees financeirasrdquo13

Essa Lei tambeacutem destaca outros agentes que devem obedecer ao dever de sigilo como empresas de fomento comercial ou factorings Este dever se estende tambeacutem agraves autoridades administrativas como o BACEN e a CVM sendo afastado somente nos casos em que desempenharem suas funccedilotildees de fiscalizaccedilatildeo e investigatoacuterias em suas respectivas competecircncias14

Nesses casos investigativos em que a autoridade administrativa verifica a existecircncia de algum indiacutecio de irregularidade e somente nesses casos os dados sigilosos podem ser compartilhados com outras autoridades competentes Ou seja eacute importante que fique claro que inclusive os oacutergatildeos administrativos natildeo podem divulgar informaccedilotildees sigilosas ou permitir o acesso direto a essas informaccedilotildees para outros oacutergatildeos como o Ministeacuterio Puacuteblico a Poliacutecia Federal autoridades estrangeiras ou quem quer que seja

13 Satildeo eles (1) Bancos de qualquer espeacutecie (2) Distribuidoras de Valores Mobiliaacuterios (3) Corretoras de Cacircmbio e de Valores Mobiliaacuterios (4) Sociedades de Creacutedito Financiamento e Investimento (5) Sociedades de Creacutedito Imobiliaacuterio (6) Administradoras de Cartotildees de Creacutedito (7) Sociedades de Arrendamento Mercantil (8) Administradoras de Mercado de Galpatildeo organizado (9) Cooperativas de Creacutedito (10) Associaccedilotildees de Poupanccedila e Empreacutestimo (11) Bolsas de Valores e de Mercadorias e futuros (12) Entidades de Liquidaccedilatildeo e Compensaccedilatildeo e (13) Outras sociedades que em razatildeo da natureza de suas obrigaccedilotildees assim venham a ser consideradas pelo Conselho Monetaacuterio Nacional

14 BRASIL Lei Complementar nordm 105 de 10 de janeiro de 2001 Dispotildee sobre o sigilo das operaccedilotildees de instituiccedilotildees financeiras e daacute outras providecircncias Artigo 2ordm sect1ordm a sect6ordm

15 Ibidem Artigo 2ordm sect6ordm Artigo 3ordm sect3ordm Artigo 4ordm e Artigo 5ordm


16

As obrigaccedilotildees previstas na Lei de Sigilo Bancaacuterio

O dever de sigilo eacute a principal obrigaccedilatildeo instituiacuteda

pela Lei de Sigilo Bancaacuterio agraves instituiccedilotildees financeiras Satildeo instituiacutedas tambeacutem algumas obrigaccedilotildees para entidades puacuteblicas (como a CVM e o BACEN) que devem sempre que se fizer necessaacuterio prestar informaccedilotildees ao COAF agrave Advocacia-Geral da Uniatildeo ao Poder Legislativo Federal e agrave administraccedilatildeo tributaacuteria da Uniatildeo15 Aleacutem disso a CVM e o BACEN tecircm a obrigaccedilatildeo de comunicar ao Ministeacuterio Puacuteblico a ocorrecircncia de um crime

Vale ressaltar que a Lei do Sigilo Bancaacuterio eacute tatildeo enfaacutetica em relaccedilatildeo agrave compulsoriedade no cumprimento dessa obrigaccedilatildeo que nos mostra o que natildeo seria considerado violaccedilatildeo do dever de sigilo ou seja traz como exceccedilatildeo as hipoacuteteses em que o dever de sigilo natildeo se aplica Satildeo elas

(i) Troca de informaccedilotildees entre instituiccedilotildees financeiras para propoacutesitos de fins cadastrais

(ii) fornecimento de informaccedilotildees de cadastro de devedores para entidades de proteccedilatildeo de creacutedito

(iii) fornecimento de informaccedilotildees sobre identificaccedilatildeo dos contribuintes e valores globais de suas operaccedilotildees agrave Secretaria da Receita Federal

(iv) comunicaccedilatildeo agraves autoridades competentes da praacutetica de infraccedilotildees abrangendo o fornecimento de informaccedilotildees sobre operaccedilotildees que envolvam recursos provenientes de qualquer praacutetica criminosa

16 Ibidem Artigo 9ordm 17 Ibidem Artigo 1ordm sect3ordm incisos I a VII

(v) revelaccedilatildeo de informaccedilotildees sigilosas com o consentimento expresso dos interessados

(vi) prestaccedilatildeo de informaccedilotildees entre entidades puacuteblicas e

(vii) fornecimento de dados financeiros e pagamentos relativos a operaccedilotildees de creacutedito e obrigaccedilotildees de pagamento adimplidas ou em andamento de pessoas naturais ou juriacutedicas para gestores de bancos de dados para formaccedilatildeo do histoacuterico de creacutedito

Um ponto importante diz respeito ao consentimento expresso dos interessados com relaccedilatildeo ao compartilhamento das suas informaccedilotildees pessoais Na hipoacutetese de haver consentimento expresso do titular da informaccedilatildeo para a divulgaccedilatildeo de informaccedilotildees sigilosas natildeo haveraacute cometimento de crime16

A relevacircncia dos dados obtidos por instituiccedilotildees financeiras e outros do mesmo mercado natildeo requerem apenas niacuteveis adequados de seguranccedila ciberneacutetica como tambeacutem torna necessaacuterio que essas empresas repensem os procedimentos internos para que o tratamento de dados seja realizado de acordo com a LGPD e as outras normas complementares que tambeacutem prevejam sigilo17 e confidencialidade


17

35 RESOLUCcedilAtildeO CMN Ndeg 46582018 SOBRE CIBERSEGURANCcedilA

O Conselho Monetaacuterio Nacional (ldquoCMNrdquo) por meio da Resoluccedilatildeo CMN ndeg 4658 de 26 de abril de 2018 (ldquoResoluccedilatildeo CMN ndeg 46582018rdquo) trouxe novo regramento sobre a poliacutetica de seguranccedila ciberneacutetica e sobre os requisitos para a contrataccedilatildeo de serviccedilos de processamento e armazenamento de dados e de computaccedilatildeo em nuvem a serem observados pelas instituiccedilotildees financeiras e demais instituiccedilotildees autorizadas a funcionar pelo BACEN

Estas organizaccedilotildees devem implementar e manter Poliacutetica de Seguranccedila Ciberneacutetica formulada com base em princiacutepios e diretrizes que busquem assegurar a confidencialidade a integridade e a disponibilidade dos dados e dos sistemas de informaccedilatildeo utilizados conforme dispotildee o artigo 2deg Ainda deve ser instituiacutedo tambeacutem um Plano de Accedilatildeo e de Respostas a Incidentes

Essas instituiccedilotildees do setor financeiro precisam indicar um Diretor de Seguranccedila Ciberneacutetica e soacute podem contratar prestadores de serviccedilos estabelecidos em paiacuteses que tenham um acordo com o BACEN

Tendo em mente o escopo da Resoluccedilatildeo CMN nordm 46582018 analisaremos agora os seguintes aspectos

(i) como se daacute a implementaccedilatildeo de Poliacuteticas de Seguranccedila Ciberneacutetica

(ii) quais satildeo os pontos centrais previstos para o Plano de Accedilatildeo e Respostas a Incidentes

(iii) obrigaccedilotildees presentes no regime de contrataccedilatildeo de serviccedilos de processamento e armazenamento de dados e de computaccedilatildeo em nuvem e

(iv) questotildees pertinentes ao BACEN


18

A implementaccedilatildeo de uma Poliacutetica de Seguranccedila Ciberneacutetica

Segundo a Resoluccedilatildeo CMN nordm 46582018 a implementaccedilatildeo de uma Poliacutetica de Seguranccedila Ciberneacutetica deve ser aprovada pelo Conselho de Administraccedilatildeo ou na sua inexistecircncia pela Diretoria da instituiccedilatildeo

Esta Poliacutetica de Seguranccedila Ciberneacutetica deve conter pelo menos

(i) objetivos de seguranccedila ciberneacutetica da instituiccedilatildeo que devem contemplar a capacidade da instituiccedilatildeo para prevenir detectar e reduzir a vulnerabilidade a incidentes relacionados com o ambiente ciberneacutetico

(ii) procedimentos e controles adotados para reduccedilatildeo de vulnerabilidade da instituiccedilatildeo a incidentes e atender os demais objetivos de seguranccedila ciberneacutetica Eles devem abranger pelo menos a autenticaccedilatildeo a criptografia a prevenccedilatildeo e a detecccedilatildeo de intrusatildeo a prevenccedilatildeo de vazamento de informaccedilotildees a proteccedilatildeo contra softwares maliciosos o estabelecimento de mecanismos de rastreabilidade os controles de acesso e de segmentaccedilatildeo da rede de computadores e a manutenccedilatildeo de coacutepias de seguranccedila dos dados e das informaccedilotildees Devem tambeacutem ser aplicados inclusive no desenvolvimento de sistemas de informaccedilotildees seguros e na adoccedilatildeo de novas tecnologias empregadas nas atividades da instituiccedilatildeo

(iii) controles especiacuteficos incluindo aqueles de rastreabilidade da informaccedilatildeo para garantir a seguranccedila das informaccedilotildees sensiacuteveis

(iv) registro anaacutelise da causa e do impacto e o controle dos efeitos de incidentes relevantes para as atividades da instituiccedilatildeo

(v) diretrizes para

a elaboraccedilatildeo de cenaacuterios de incidentes considerados nos testes de continuidade de negoacutecios

b definiccedilatildeo de procedimentos e de controles para prevenccedilatildeo de incidentes no tratamento de dados sensiacuteveis ou relevantes para as atividades operacionais da instituiccedilatildeo devendo contemplar procedimentos e controles em niacuteveis de complexidade abrangecircncia e precisatildeo compatiacuteveis com os usados pela proacutepria instituiccedilatildeo

c classificaccedilatildeo dos dados e das informaccedilotildees quanto agrave relevacircncia

d definiccedilatildeo dos paracircmetros a serem utilizados na avaliaccedilatildeo de relevacircncia dos incidentes

(vi) mecanismos para disseminaccedilatildeo da cultura de seguranccedila ciberneacutetica na instituiccedilatildeo incluindo

a implementaccedilatildeo de programas de capacitaccedilatildeo e de avaliaccedilatildeo perioacutedica de pessoal

b prestaccedilatildeo de informaccedilotildees a clientes e usuaacuterios sobre precauccedilotildees na utilizaccedilatildeo dos produtos e

c demonstraccedilatildeo de comprometimento da alta administraccedilatildeo da instituiccedilatildeo com a melhoria contiacutenua dos procedimentos relacionados com a seguranccedila ciberneacutetica

(vii) iniciativas para compartilhamento de informaccedilotildees com as demais instituiccedilotildees financeiras ou instituiccedilotildees com funcionamento autorizado pelo BACEN sobre os incidentes relevantes

Aleacutem disso a Poliacutetica de Seguranccedila Ciberneacutetica deve ser compatiacutevel com alguns fatores O primeiro deles eacute a compatibilizaccedilatildeo da Poliacutetica de Seguranccedila com o porte perfil de risco e o modelo de negoacutecio da instituiccedilatildeo O segundo refere-se a natureza das operaccedilotildees e a complexibilidade dos produtos serviccedilos atividades e processos da instituiccedilatildeo O terceiro fator relaciona-se com a sensibilidade dos dados e informaccedilotildees sob responsabilidade da instituiccedilatildeo

As instituiccedilotildees podem adotar uma Poliacutetica de Seguranccedila Ciberneacutetica uacutenica por conglomerado prudencial e sistema cooperativo de creacutedito18 Ou seja caso instituiccedilotildees estejam em um mesmo conglomerado prudencial ou integrem um conjunto sistema cooperativo de creacutedito podem formular e implementar a mesma Poliacutetica de Seguranccedila Ciberneacutetica

Vale ressaltar tambeacutem a obrigaccedilatildeo de documentaccedilatildeo e revisatildeo desta Poliacutetica de Seguranccedila Ciberneacutetica no miacutenimo anualmente19


19

Por fim eacute importante destacar a necessidade de divulgaccedilatildeo da Poliacutetica de Seguranccedila Ciberneacutetica Ela deve ser divulgada aos funcionaacuterios da instituiccedilatildeo e agraves empresas prestadoras de serviccedilos agrave terceiros Esta divulgaccedilatildeo deve ter linguagem clara acessiacutevel e em niacutevel de detalhamento compatiacutevel com as funccedilotildees desempenhadas e com a sensibilidade das informaccedilotildees Ainda ressalta-se que as instituiccedilotildees devem divulgar ao puacuteblico um resumo contendo linhas gerais da Poliacutetica de Seguranccedila Ciberneacutetica21

O Plano de Accedilatildeo e de Resposta a Incidentes

Na praacutetica eacute importante saber quais devem ser as medidas adotadas em resposta a ocorrecircncia de incidentes Caso ocorram vazamentos de informaccedilotildees ou armazenamento incorreto de dados entre outras possibilidades de uso indevido de dados como proceder

Surge entatildeo atraveacutes da Resoluccedilatildeo CMN nordm 46582018 o chamado ldquoPlano de Accedilatildeo e de Resposta a Incidentesrdquo A existecircncia deste plano tambeacutem depende da aprovaccedilatildeo pelo Conselho de Administraccedilatildeo ou na sua inexistecircncia pela Diretoria da instituiccedilatildeo

Este plano deve abranger pelo menos22

(i) as accedilotildees a serem desenvolvidas pela instituiccedilatildeo para adequar suas estruturas organizacional e operacional aos princiacutepios e agraves diretrizes da poliacutetica de seguranccedila ciberneacutetica

(ii) as rotinas procedimentos controles e as tecnologias a serem utilizadas na prevenccedilatildeo e na resposta a incidentes conforme as diretrizes da Poliacutetica de Seguranccedila Ciberneacutetica e

(iii) qual a aacuterea responsaacutevel pelo registro e controle dos efeitos de incidentes relevantes

Ainda as instituiccedilotildees tecircm a obrigaccedilatildeo de apontar um Diretor responsaacutevel tanto pela Poliacutetica de Seguranccedila

18 BRASIL Resoluccedilatildeo nordm 4658 de 26 de abril de 2018 Dispotildee sobre a poliacutetica de seguranccedila ciberneacutetica e sobre os requisitos para a contrataccedilatildeo de serviccedilos de processamento e armazenamento de dados e de computaccedilatildeo em nuvem a serem observados pelas instituiccedilotildees financeiras e demais instituiccedilotildees autorizadas a funcionar pelo Banco Central do Brasil Artigo 2ordm sect2ordm Disponiacutevel em lthttpswwwbcbgovbrprenormativosbuscadownloadNormativoasparquivo=ListsNormativosAttachments50581Res_4658_v1_Opdfgt Acesso em 21082019

19 Ibidem Artigo 10

20 Ibidem Artigo 4ordm Acesso em 21082019


22 Ibidem Artigo 6ordm incisos I a III Acesso em 21082019


20

Ciberneacutetica quanto pela implementaccedilatildeo do Plano de Accedilatildeo e Respostas a Incidentes

Neste acircmbito haacute tambeacutem a obrigaccedilatildeo de elaboraccedilatildeo pelas instituiccedilotildees de um relatoacuterio anual sobre a implementaccedilatildeo do Plano de Accedilatildeo e de Respostas a Incidentes23 com data-base em 31 de dezembro

Este relatoacuterio deve conter no miacutenimo informaccedilotildees sobre

(i) a efetividade da implementaccedilatildeo das accedilotildees do Plano de Accedilatildeo e Respostas a Incidentes

(ii) um resumo dos resultados obtidos na implementaccedilatildeo das rotinas dos procedimentos dos controles e das tecnologias a serem utilizadas na prevenccedilatildeo e na resposta de incidentes

(iii) quais incidentes relevantes relacionados com o ambiente ciberneacutetico ocorreram no periacuteodo e

(iv) quais satildeo os resultados dos testes de continuidade de negoacutecios considerando cenaacuterios de indisponibilidade ocasionada por incidentes

Eacute importante lembrar que segundo a Resoluccedilatildeo CMN nordm 46582018 o Relatoacuterio Anual deve ser submetido ao Comitecirc de Risco da instituiccedilatildeo quando ele existir e ao Conselho de Administraccedilatildeo ou quando inexistente agrave Diretoria da instituiccedilatildeo ateacute 31 de marccedilo do ano seguinte ao da data-base

Assim como a Poliacutetica de Seguranccedila Ciberneacutetica o Plano de Accedilatildeo e de Resposta a Incidentes deve ser documentado e revisado pelo menos uma vez por ano24


24Ibidem Artigo 10 Acesso em 21082019


21

O regime de Contrataccedilatildeo de Serviccedilos de Processamento e Armazenamento de Dados e de Computaccedilatildeo em nuvem nos moldes da Resoluccedilatildeo CMN nordm 46582018

A Resoluccedilatildeo CMN nordm 46582018 tem diversas disposiccedilotildees acerca dos procedimentos de contrataccedilatildeo pelas instituiccedilotildees de serviccedilos de processamento e armazenamento de dados e de computaccedilatildeo em nuvem jaacute que se faz necessaacuterio que estas contrataccedilotildees de terceirizaccedilatildeo de serviccedilos contemplem as poliacuteticas estrateacutegias e estruturas para gerenciamento de riscos25

Assim para que este tipo de contrataccedilatildeo possa ocorrer satildeo estabelecidas algumas obrigaccedilotildees anteriores inclusive agrave contrataccedilatildeo de serviccedilos relevantes de processamento e armazenamento de dados e de computaccedilatildeo em nuvem Eacute preciso que as instituiccedilotildees adotem e documentem procedimentos como26

(i) adoccedilatildeo de praacuteticas de governanccedila corporativa e de gestatildeo proporcionais agrave relevacircncia do serviccedilo a ser contratado e aos riscos a que estejam expostas

(ii) verificaccedilatildeo da capacidade do potencial prestador de serviccedilo de assegurar

a cumprimento da legislaccedilatildeo e da regulamentaccedilatildeo em vigor sendo que a instituiccedilatildeo deve considerar a criticidade do serviccedilo e a sensibilidade dos dados e das informaccedilotildees a serem processados armazenados e gerenciados pelo terceiro prestador de serviccedilo

b acesso da instituiccedilatildeo aos dados e agraves informaccedilotildees a serem processados ou armazenados pelo prestador de serviccedilo

c confidencialidade integridade disponibilidade e a recuperaccedilatildeo dos dados e das informaccedilotildees processados ou armazenados pelo prestador de serviccedilo

d aderecircncia a certificaccedilotildees exigidas pela instituiccedilatildeo para a prestaccedilatildeo do serviccedilo a ser contratado

e acesso da instituiccedilatildeo aos relatoacuterios elaborados por empresa de auditoria especializada independente contratada pelo prestador de serviccedilo em relaccedilatildeo aos procedimentos e aos controles utilizados na prestaccedilatildeo dos serviccedilos a serem contratados

f provimento de informaccedilotildees e de recursos de gestatildeo adequados ao monitoramento dos serviccedilos a serem prestados

g identificaccedilatildeo e segregaccedilatildeo dos dados dos clientes da instituiccedilatildeo por meio de controles fiacutesicos ou loacutegicos e

h qualidade dos controles de acesso voltados agrave proteccedilatildeo dos dados e das informaccedilotildees dos clientes da instituiccedilatildeo

Em seguida a Resoluccedilatildeo do CMN nordm 46582018 determina que serviccedilos de computaccedilatildeo em nuvem abranjam sob demanda e de maneira virtual da instituiccedilatildeo contratante serviccedilos como

ldquoo processamento de dados armazenamento de dados infraestrutura de redes e outros recursos computacionais que permitam agrave instituiccedilatildeo contratante implantar ou executar softwares que podem incluir sistemas operacionais e aplicativos desenvolvidos pela instituiccedilatildeo ou por ela adquiridosrdquo

25Ibidem Artigo 11 Acesso em 21082019 26Ibidem Artigo 12 incisos I II e aliacuteneas a a h Acesso em 2108201927 Ibidem Artigo 13 caput e artigo 13 inciso I Acesso em 21082019


22

Outros serviccedilos enquadrados na definiccedilatildeo de serviccedilos de computaccedilatildeo em nuvem seriam (i) a implantaccedilatildeo ou execuccedilatildeo de aplicativos desenvolvidos pela instituiccedilatildeo contratante ou por ela adquiridos utilizando recursos computacionais do prestador de serviccedilos28 e (ii) a execuccedilatildeo por meio da internet dos aplicativos implantados ou desenvolvidos pelo prestador de serviccedilo com a utilizaccedilatildeo de recursos computacionais do proacuteprio prestador de serviccedilos29

Vale dizer que ainda persiste a responsabilidade da instituiccedilatildeo de que os serviccedilos prestados por terceiro obedeccedilam a confiabilidade integridade disponibilidade seguranccedila e sigilo aleacutem do cumprimento da legislaccedilatildeo e da regulamentaccedilatildeo em vigor

A contrataccedilatildeo de serviccedilos relevantes de processamento armazenamento de dados e de computaccedilatildeo em nuvem deve ser previamente comunicada pelas instituiccedilotildees ao BACEN Esta comunicaccedilatildeo deve ser feita pelo menos 60 dias antes da contrataccedilatildeo do serviccedilo ou havendo alteraccedilotildees contratuais a comunicaccedilatildeo deve ser feita pelo menos 60 dias antes da alteraccedilatildeo contratual 30 31

Caso os serviccedilos contratados de processamento armazenamento de dados e de computaccedilatildeo em nuvem ocorram no exterior eles devem observar requisitos dispostos no artigo 16 da Resoluccedilatildeo do CMN nordm 4658201832

28 Ibidem Artigo 13 inciso II Acesso em 2108201929 Ibidem Artigo 13 inciso III Acesso em 2108201930 E o que estaacute comunicaccedilatildeo ao BACEN deve informar As informaccedilotildees necessaacuterias satildeo referentes a (i) denominaccedilatildeo da empresa a ser contratada (ii) os serviccedilos relevantes a serem contratados e (iii) a indicaccedilatildeo dos paiacuteses e das regiotildees em cada paiacutes onde os serviccedilos poderatildeo ser prestados e os dados poderatildeo ser armazenados processados e gerenciados Ibidem Artigo 15 caput e artigo 15 sect2ordme sect3ordm Acesso em 2108201931 Ibidem Artigo 15 sect1ordm incisos I a III Acesso em 2108201932 Ibidem Art 16 A contrataccedilatildeo de serviccedilos relevantes de processamento armazenamento de dados e de computaccedilatildeo em nuvem prestados no exterior deve observar os seguintes requisitos I - a existecircncia de convecircnio para troca de informaccedilotildees entre o Banco Central do Brasil e as autoridades supervisoras dos paiacuteses onde os serviccedilos poderatildeo ser prestados II - a instituiccedilatildeo contratante deve assegurar que a prestaccedilatildeo dos serviccedilos referidos no caput natildeo cause prejuiacutezos ao seu regular funcionamento nem embaraccedilo agrave atuaccedilatildeo do Banco Central do Brasil III - a instituiccedilatildeo contratante deve definir previamente agrave contrataccedilatildeo os paiacuteses e as regiotildees em cada paiacutes onde os serviccedilos poderatildeo ser prestados e os dados poderatildeo ser armazenados processados e gerenciados e IV - a instituiccedilatildeo contratante deve prever alternativas para a continuidade dos negoacutecios no caso de impossibilidade de manutenccedilatildeo ou extinccedilatildeo do contrato de prestaccedilatildeo de serviccedilos sect 1ordm No caso de inexistecircncia de convecircnio nos termos do inciso I do caput a instituiccedilatildeo contratante deveraacute solicitar autorizaccedilatildeo do Banco Central do Brasil para a contrataccedilatildeo observando o prazo e as informaccedilotildees requeridas nos termos do art 15 desta Resoluccedilatildeo sect 2ordm Para atendimento aos incisos II e III do caput as instituiccedilotildees deveratildeo assegurar que a legislaccedilatildeo e a regulamentaccedilatildeo nos paiacuteses e nas regiotildees em cada paiacutes onde os serviccedilos poderatildeo ser prestados natildeo restringem nem impedem o acesso das instituiccedilotildees contratantes e do Banco Central do Brasil aos dados e agraves informaccedilotildees Resoluccedilatildeo nordm 4658 de 26 de abril de 2018 Paacutegina 7 de 11 sect 3ordm A comprovaccedilatildeo do atendimento aos requisitos de que tratam os incisos I a IV do caput e o cumprimento da exigecircncia de que trata o sect 2ordm devem ser documentados33 Ibidem Artigo 21 caput incisos I a III Acesso em 21082019

Como podemos perceber a Resoluccedilatildeo CMN nordm 46582018 eacute extensa e delimita inclusive em seu artigo 17 quais satildeo as claacuteusulas contratuais essenciais para os contratos de prestaccedilatildeo de serviccedilos relevantes de processamento armazenamento de dados e computaccedilatildeo em nuvem

Por fim outro fator fundamental a ter em mente eacute a obrigaccedilatildeo das instituiccedilotildees de instituir mecanismos de acompanhamento e controle como forma de assegurar a implementaccedilatildeo e a efetividade da Poliacutetica de Seguranccedila Ciberneacutetica do Plano de Accedilatildeo e de Resposta a Incidentes e dos Requisitos de Contrataccedilatildeo de Serviccedilos de Processamento e Armazenamento de Dados e de Computaccedilatildeo em nuvem incluindo33

(i) definiccedilatildeo de processos testes e trilhas de auditoria

(ii) definiccedilatildeo de meacutetricas e indicadores adequados e

(iii) identificaccedilatildeo e a correccedilatildeo de eventuais deficiecircncias


23

Questotildees pertinentes ao BACEN segundo a Resoluccedilatildeo CMN nordm 46582018

Finalmente a Resoluccedilatildeo CMN nordm 46582018 determina em suas disposiccedilotildees finais que alguns documentos devem permanecer agrave disposiccedilatildeo do BACEN pelo prazo de cinco anos34

Ainda o BACEN pode adotar as medidas que julgar necessaacuterias e estabelecer (i) os requisitos e procedimentos para o compartilhamento de informaccedilotildees (ii) exigir certificaccedilotildees e outros requisitos teacutecnicos a serem requeridos das empresas contratadas pelas instituiccedilotildees (iii) prazos maacuteximos para reiniacutecio ou normalizaccedilatildeo das atividades ou dos serviccedilos relevantes interrompidos (iv) os requisitos teacutecnicos e procedimentos operacionais a serem observados pelas instituiccedilotildees para cumprimento da Resoluccedilatildeo

Adicionalmente o BACEN eacute o oacutergatildeo competente para vetar ou impor restriccedilotildees para contrataccedilatildeo de serviccedilos de processamento e armazenamento de dados e de computaccedilatildeo em nuvem quando constatar a qualquer tempo descumprimento ou inobservacircncia da Resoluccedilatildeo CMN nordm 46582018 O BACEN poderaacute assim estabelecer prazo para adequaccedilatildeo dos referidos serviccedilos35

34Estes documentos satildeo (1) Documento relativo agrave Poliacutetica de Seguranccedila Ciberneacutetica (2) Ata de Reuniatildeo do Conselho de Administraccedilatildeo ou na sua inexistecircncia da Diretoria da instituiccedilatildeo caso seja adotada uma Poliacutetica de Seguranccedila Ciberneacutetica uacutenica (3) Documento relativo ao Plano de Accedilatildeo e de Resposta a Incidentes (4) Relatoacuterio Anual (5) Documentaccedilatildeo sobre contrataccedilatildeo de serviccedilos relevantes de processamento e armazenamento de dados e de computaccedilatildeo nuvem (6) Documentaccedilatildeo relevante caso sejam contratados serviccedilos relevantes de processamento e armazenamento de dados e de computaccedilatildeo nuvem no exterior (7) Contratos de prestaccedilatildeo de serviccedilos relevantes de processamento e armazenamento de dados e de computaccedilatildeo nuvem (8) Dados registros e as informaccedilotildees relativas aos mecanismos de acompanhamento e de controle contando o prazo a partir de sua implementaccedilatildeo BRASIL Ibidem Artigo 23 caput incisos I a VIII Acesso em 2108201935Ibidem Artigo 27 Acesso em 21082019


24

36 CIRCULAR BACEN Ndeg 39092018 SOBRE CIBERSEGURANCcedilA

Seguindo a mesma loacutegica da Resoluccedilatildeo CMN ndeg 46582018 a Circular do BACEN nordm 3909 de 16 de agosto de 2018 (ldquoCircular BACEN nordm 39092018ldquo) prevecirc especificidades relativas agrave Poliacutetica de Seguranccedila Ciberneacutetica e requisitos para a contrataccedilatildeo de serviccedilos de processamento e armazenamento de dados e de computaccedilatildeo em nuvem soacute que desta vez a serem observados pelas instituiccedilotildees de pagamento autorizadas a funcionar pelo BACEN

Conforme analisado a estrutura e as obrigaccedilotildees previstas na Resoluccedilatildeo CMN nordm 46582018 e na Circular BACEN nordm 39092018 satildeo extremamente similares Isto porque no que concerne a regulaccedilatildeo de Poliacuteticas de Seguranccedila Ciberneacutetica a implementaccedilatildeo de Planos de Accedilatildeo e de Resposta a Incidentes e ateacute mesmo em relaccedilatildeo ao regime de contrataccedilatildeo de serviccedilos de processamento e armazenamento de dados e de computaccedilatildeo em nuvem o oacutergatildeo regulador praticamente replicou o disposto na Resoluccedilatildeo CMN nordm 46582018 sobre a Circular BACEN nordm 39092018 alterando apenas os alvos da regulaccedilatildeo que passaram a ser as instituiccedilotildees de pagamento

Por serem normas tatildeo similares focaremos em seus pontos de diferenccedila que jaacute adiantando satildeo poucos

Diferentemente da Resoluccedilatildeo CMN ndeg 46582018 a Circular BACEN nordm 39092018 refere-se agraves instituiccedilotildees de pagamento com funcionamento autorizado pelo Banco Central do Brasil O proacuteprio BACEN define instituiccedilatildeo de pagamento como sendo

ldquopessoa juriacutedica que viabiliza serviccedilos de compra e venda e de movimentaccedilatildeo de recursos no acircmbito de um arranjo de pagamento sem a possibilidade de conceder empreacutestimos e financiamentos a seus clientes36rdquo

A primeira diferenccedila identificada entre estas normas refere-se ao escopo de suas Poliacuteticas de Seguranccedila Ciberneacutetica A Resoluccedilatildeo CMN nordm 46582018 requer para a sua implementaccedilatildeo iniciativas para compartilhamento de informaccedilotildees sobre incidentes relevantes entre instituiccedilotildees financeiras e outras instituiccedilotildees com funcionamento autorizado pelo BACEN

Por sua vez a Circular BACEN nordm 39092018 natildeo restringe o compartilhamento de informaccedilotildees sobre incidentes relevantes apenas entre outras instituiccedilotildees de pagamento Ao contraacuterio ela prevecirc que informaccedilotildees desta natureza sejam compartilhadas por instituiccedilotildees de pagamento com outras instituiccedilotildees de pagamento com instituiccedilotildees financeiras e demais instituiccedilotildees autorizadas a funcionar pelo BACEN37

A segunda diferenccedila refere-se agrave comunicaccedilatildeo ao BACEN sobre a contrataccedilatildeo de serviccedilos relevantes de processamento armazenamento de dados e de computaccedilatildeo em nuvem Aleacutem do rol de informaccedilotildees que devem ser comunicadas ao BACEN e seus prazos previstos no artigo 15 da Resoluccedilatildeo CMN nordm 46582018 a Circular BACEN adicionou uma provisatildeo que dispotildee que a comunicaccedilatildeo destas informaccedilotildees podem ser realizadas em prazos inferiores a 60 dias em casos excepcionais como forma de garantir o funcionamento regular da instituiccedilatildeo de pagamento desde que acompanhada de justificativa fundamentada38

36 BRASIL Banco Central do Brasil O que eacute instituiccedilatildeo de pagamento Disponiacutevel em lthttpswwwbcbgovbrestabilidadefinanceirainstituicaopagamentogt Acesso em 21082019

37 BRASIL Circular nordm 3909 de 16 de agosto de 2018 Dispotildee sobre a poliacutetica de seguranccedila ciberneacutetica e sobre os requisitos para a contrataccedilatildeo de serviccedilos de processamento e armazenamento de dados e de computaccedilatildeo em nuvem a serem observados pelas instituiccedilotildees de pagamento autorizadas a funcionar pelo Banco Central do Brasil Artigo 3ordm inciso VII Disponiacutevel em lthttpswwwbcbgovbrprenormativosbuscadownloadNormativoasparquivo=ListsNormativosAttachments50645Circ_3909_v1_Opdfgt Acesso em 27082019

38 Ibidem Artigo 15 sect4ordm


25

A terceira diferenccedila identificada concerne aos prazos que as instituiccedilotildees de pagamento tecircm em comparaccedilatildeo com instituiccedilotildees financeiras ou outras instituiccedilotildees com funcionamento autorizado pelo BACEN para enviar ao BACEN seus cronogramas de adequaccedilatildeo agraves normas regulatoacuterias

Nessa mesma toada existe outra diferenccedila de prazo quando comparamos instituiccedilotildees financeiras e outras instituiccedilotildees com as instituiccedilotildees de pagamento Estas uacuteltimas tecircm ateacute 90 dias contados a partir da entrada em vigor da Circular para aprovarem suas Poliacuteticas de Seguranccedila Ciberneacutetica e Planos de Accedilatildeo e de Resposta a Incidentes39 Enquanto instituiccedilotildees financeiras e outras instituiccedilotildees autorizadas a funcionar pelo BACEN poderiam aprovar estes documentos ateacute 6 de maio de 2019

A diferenccedila final entre estes documentos refere-se agraves competecircncias atribuiacutedas ao BACEN A Resoluccedilatildeo CMN nordm 46582018 determinava que o BACEN pode vetar ou impor restriccedilotildees para contrataccedilatildeo de serviccedilos de processamento e armazenamento de dados e de computaccedilatildeo em nuvem quando constatar a qualquer tempo descumprimento ou inobservacircncia da Resoluccedilatildeo CMN nordm 46582018 O BACEN poderaacute assim estabelecer prazo para adequaccedilatildeo dos referidos serviccedilos

Na Circular BACEN nordm 39092018 tambeacutem existe esta previsatildeo Contudo ela eacute expandida jaacute que compete ao BACEN tambeacutem impor agraves instituiccedilotildees de pagamento o prazo de adequaccedilatildeo natildeo soacute para os serviccedilos de processamento e armazenamento de dados e de computaccedilatildeo em nuvem como tambeacutem o prazo de adequaccedilatildeo para os contratos correspondentes40

39 Ibidem Artigo 2540 Ibidem Artigo 26


26

37 LEI GERAL DE PROTECcedilAtildeO DE DADOS

A LGPD eacute uma lei de uso geral que busca regular qualquer tipo de tratamento41 de dados pessoais similar agrave General Data Protection Rule (ldquoGDPRrdquo)42 Vale lembrar que a LGPD soacute entra em vigor no dia 20 de agosto de 2020 Isso significa que as instituiccedilotildees que lidam com dados pessoais tecircm ateacute esta data para entrarem em conformidade

Como natildeo eacute uma norma direcionada especificamente ao sistema financeiro ela natildeo traz dispositivos focados para esse setor uma vez que o interesse dela eacute regular a forma que dados satildeo usados nos mais diversos setores da sociedade

Contudo diversas obrigaccedilotildees previstas na LGPD jaacute satildeo exigiacuteveis atualmente por meio de outros diplomas como o Coacutedigo de Defesa do Consumidor e o Marco Civil da Internet que possuem obrigaccedilotildees coincidentes em alguns casos Por isso pensando em seguranccedila juriacutedica quanto antes forem adotados os dispositivos da LGPD melhor seraacute para a organizaccedilatildeo que busca conformidade

A LGPD se aplica para quaisquer tratamentos de dados realizados em territoacuterio brasileiro eou tratamento de dados de pessoas naturais que estejam em nosso territoacuterio seja de forma digital ou analoacutegica Essa regra natildeo leva em consideraccedilatildeo as diferentes formas de tratamento ou a localizaccedilatildeo da empresa

Em resumo ela se aplica para

bull tratamento de dados de pessoas localizadas em

territoacuterio nacional

bull tratamento de dados realizados em territoacuterio

nacional

bull tratamento de dados com o objetivo de

comercializar produtos e serviccedilos para o puacuteblico

brasileiro

41Explicamos o conceito de tratamento de dados pessoais conforme a LGPD no capiacutetulo ldquoUma visatildeo geral dos dados no mercado financeirordquo Trata-se de um conceito importante para compreender as diferentes formas de utilizaccedilatildeo de dados pessoais 42 UNIAtildeO EUROPEIA Regulamento 2016679 do Parlamento Europeu e do Conselho de 27 de abril de 2016 General Data protection Regulation


27

Os atores da Lei Geral de Proteccedilatildeo de Dados Pessoais

Na LGPD satildeo considerados agentes responsaacuteveis pelo tratamento de dados o controlador e o operador Outro importante agente nesta mateacuteria eacute tambeacutem o encarregado O controlador eacute definido na Lei como ldquouma pessoa natural ou juriacutedica de direito puacuteblico ou privado a quem competem as decisotildees referentes ao tratamento de dados pessoaisrdquo43 Por sua vez entende-se como operador a pessoa que realiza o tratamento de dados pessoais em nome do controlador seja ela uma pessoa juriacutedica ou natural de direito puacuteblico ou privado44

As obrigaccedilotildees definidas na LGPD

A LGPD dispotildee de um extenso rol de obrigaccedilotildees para os controladores e seratildeo analisadas aqui aquelas mais pertinentes para as atividades exercidas no mercado financeiro

A primeira refere-se agrave necessidade de o controlador realizar um relatoacuterio de impacto agrave proteccedilatildeo de dados pessoais que pode ser solicitado por autoridade nacional45 Este documento deveraacute conter a descriccedilatildeo dos processos de tratamento de dados pessoais que possam arriscar as liberdades civis e direitos fundamentais aleacutem de incluir medidas salvaguardas e mecanismos de mitigaccedilatildeo de risco de incidentes46

Ainda caso o titular tenha dado seu consentimento para o tratamento de seus dados pessoais cabe ao controlador o ocircnus da prova do consentimento obtido47 Aleacutem disso o controlador tambeacutem eacute obrigado a sempre deixar expliacutecito ao titular dos dados caso a finalidade do tratamento dos dados pessoais seja alterada Isso permite que este titular possa fazer uma decisatildeo informada sobre manter o seu consentimento mesmo nesta hipoacutetese ou revogaacute-lo48

Uma vez expostas algumas obrigaccedilotildees proacuteprias da figura do controlador a LGPD dispotildee sobre uma

obrigaccedilatildeo comum tanto para o controlador quanto para o operador manter registradas as operaccedilotildees de tratamento de dados pessoais que realizarem em especial quando elas estiverem fundamentadas por legiacutetimo interesse (uma das 10 bases legais que explicamos adiante)49

O encarregado nos ditames da LGPD eacute a pessoa fiacutesica ou juriacutedica indicada pelo controlador e pelo operador dos dados pessoais para estabelecer a comunicaccedilatildeo entre o controlador os titulares dos dados e a ANPD Essa atuaccedilatildeo eacute similar agrave figura do Data Protection Officer (DPO) prevista na GDPR por isso o termo DPO eacute muito usado no Brasil tambeacutem mesmo que natildeo seja este o nome previsto na LGPD

Eacute muito importante que o contato do encarregado seja acessiacutevel tendo em vista sua obrigaccedilatildeo de receber manifestaccedilotildees dos titulares dos dados pessoais e da ANPD de ajudar os funcionaacuterios do controlador dos dados a atuarem nos ditames da LGPD etc Por fim eacute ressaltamos que o encarregado deve estar sempre atento pois a ANDP poderaacute emitir normas administrativas especiacuteficas que devem ser observadas por ele

As obrigaccedilotildees dos agentes de tratamento de dados tambeacutem decorrem de fatores como medidas de seguranccedila ditadas pela LGPD


As obrigaccedilotildees dos agentes de tratamento de dados tambeacutem decorrem de fatores como medidas de seguranccedila50 ditadas pela LGPD

43 BRASIL Lei nordm 13709 de 14 de agosto de 2018 Lei Geral de Proteccedilatildeo de Dados (LGPD) Artigo 5ordm inciso VI 44 Ibidem Artigo 5ordm inciso VII45 Este relatoacuterio deve conter no miacutenimo a descriccedilatildeo dos tipos de dados coletados qual a metodologia utilizada para coleta e para garantia da seguranccedila das informaccedilotildees e anaacutelise do controlador com relaccedilatildeo a medidas salvaguardas e mecanismos de mitigaccedilatildeo de riscos adotados nos termos do sect uacutenico do art 38 da LGPD Ibidem Art 38 46 Ibidem Artigo 5ordm inciso XVII47 Ibidem Artigo 8ordm sect2ordm 48 Ibidem Artigo 9ordm sect2ordm49Ibidem Artigo 3750 Seguranccedila da informaccedilatildeo refere-se ao conjunto de medidas de seguranccedila teacutecnicas e administrativas aptas a proteger os dados pessoais de acessos natildeo autorizados e de situaccedilotildees acidentais ou iliacutecitas de destruiccedilatildeo perda alteraccedilatildeo comunicaccedilatildeo ou qualquer forma de tratamento inadequado ou iliacutecito Em contrapartida Proteccedilatildeo de Dados refere-se ao conjunto normativo que prevecirc direitos e obrigaccedilotildees durante o tratamento de dados aleacutem de definir os principais conceitos no que se refere aos titulares de dados quem satildeo os agentes responsaacuteveis por este procedimento entre outros importantes aspectos


28

Obrigaccedilotildees de Seguranccedila dos Controladores e Operadores segundo a LGPD

A LGPD determina que controladores e operadores tecircm o dever de adotar medidas de seguranccedila teacutecnicas e administrativas Estas medidas devem proteger os dados pessoais de acessos natildeo autorizados e de situaccedilotildees acidentais ou iliacutecitas de destruiccedilatildeo perda alteraccedilatildeo comunicaccedilatildeo ou qualquer forma de tratamento inadequado ou iliacutecito51

Estas medidas de seguranccedila poderatildeo obedecer inclusive padrotildees teacutecnicos dispostos pela Autoridade Nacional (ANPD)52 A sanccedilatildeo pela natildeo observacircncia destes padrotildees eacute novamente a responsabilizaccedilatildeo do controlador ou operador por danos decorrentes de violaccedilatildeo da seguranccedila dos dados

Ainda no acircmbito da seguranccedila o controlador eacute tambeacutem responsaacutevel por comunicar agrave ANPD e ao titular dos dados sobre incidente de seguranccedila que possa gerar risco ou dano relevante aos titulares53 Essa comunicaccedilatildeo precisa ser feita de acordo com um prazo razoaacutevel (a ser definido pela ANPD) mencionando pelo menos54

bull uma descriccedilatildeo da natureza dos dados pessoais afetadosbull informaccedilotildees sobre os titulares de dados envolvidosbull quais medidas teacutecnicas e de seguranccedila foram utilizadas para proteccedilatildeo de dados (tendo em vista segredos comercial e industrial) bull riscos relacionados ao incidente bull motivos da demora caso a comunicaccedilatildeo agrave ANPD e ao titular de dados natildeo tenha sido imediata ebull que medidas foram ou seratildeo adotadas para mitigar ou reverter os efeitos do prejuiacutezo gerado

Uma vez avaliada a gravidade do incidente no tratamento de dados a ANPD poderaacute impor ainda sobre o controlador a adoccedilatildeo de medidas como uma ampla divulgaccedilatildeo do fato em meios de comunicaccedilatildeo por exemplo em jornais de grande circulaccedilatildeo ou entatildeo medidas sancionatoacuterias para reversatildeo e mitigaccedilatildeo dos efeitos do incidente

Direitos dos titulares

A LGPD confere diversos direitos aos titulares dos dados como forma de equilibrar as praacuteticas de tratamento Nessa toada os direitos dos titulares dos dados pessoais satildeo

(i) confirmaccedilatildeo da existecircncia de tratamento do dado pessoal(ii) acesso aos dados pessoais coletados(iii) retificar dados incompletos incorretos ou desatualizadas(iv) anonimizar bloquear ou exclusatildeo do dado pessoal(v) direito de portabilidade(vi) exclusatildeo de dados tratados mesmo que tenham sido coletados com o consentimento do titular(vii) obter informaccedilotildees sobre a transferecircncia dos dados pessoais entre entes puacuteblicos e privados(viii) ser informado das consequecircncias pelo natildeo fornecimento dos dados pessoais(ix) revogar o consentimento dado para o tratamento e(x) solicitar revisatildeo de decisotildees tomadas com base em tratamento automatizado de dados pessoais que afetem seus interesses

51 BRASIL Lei nordm 13709 de 14 de agosto de 2018 Lei Geral de Proteccedilatildeo de Dados (LGPD) Artigo 46 caput Disponiacutevel em lthttpwwwplanaltogovbrccivil_03_Ato2015-20182018LeiL13709htmgt Acesso em 27082019 52 Ibidem Artigo 46 sect1ordm53 Ibidem Artigo 48 caput54 Ibidem Artigo 48 sect1ordm incisos I a VI


29

Tratamento automatizado

Eacute importante fazer algumas consideraccedilotildees sobre o tratamento automatizado tendo em vista a sua aplicaccedilatildeo para atividades como perfilhamento de consumidor aspectos profissionais credit scoring etc

O controlador dos dados ou seja a pessoa fiacutesicajuriacutedica a quem compete as decisotildees referentes aos dados pessoais deve informar com clareza os criteacuterios e procedimentos utilizados no sistema de decisatildeo automatizada Esse dever eacute limitado pelas questotildees de propriedade intelectual A ideia eacute informar aos titulares dos dados sobre os criteacuterios e procedimentos utilizados e natildeo necessariamente abertura do coacutedigo fonte

Se esses esclarecimentos natildeo forem fornecidos aos titulares dos dados pessoais a ANPD poderaacute solicitar uma auditoria para verificar a utilizaccedilatildeo de criteacuterios discriminatoacuterios no sistema de decisatildeo automatizada

Bases LegaisVoltando aos aspectos gerais da LGPD outro ponto relevante eacute que o tratamento de dados pessoais (natildeo sensiacuteveis) deve atender agrave pelos menos uma das bases legais previstas na Lei Bases legais funcionam como requisitos autorizativos de tratamento de dados Se a instituiccedilatildeo que realiza alguma atividade de tratamento natildeo tiver muito claro pelo menos uma base legal de tratamento esse tratamento estaacute sendo feito de forma irregular Essa estrutura normativa tambeacutem eacute derivada da legislaccedilatildeo europeia (GDPR) Entretanto de maneira diversa a LGPD apresenta 10 bases legais diferentes sendo 6 delas as mais relevantes para o mercado financeiro (as que estatildeo grifadas)

(i) consentimento do titular dos dados pessoais

(ii) cumprimento de obrigaccedilatildeo legal ou regulatoacuteria pelo controlador dos dados

(iii) execuccedilatildeo de poliacuteticas puacuteblicas

(iv) realizaccedilatildeo de estudos por oacutergatildeos de pesquisa

(v) relaccedilatildeo contratual com o titular dos dados

(vi) para o exerciacutecio de direitos em processos judiciais administrativos ou arbitrais

(vii) proteccedilatildeo agrave vida

(viii) tutela da sauacutede

(ix) quando necessaacuterio para atender aos interesses legiacutetimos do controlador ou de terceiros exceto no caso de prevalecerem direitos e liberdades fundamentais do titular e

(x) para proteger creacutedito inclusive nos termos de legislaccedilotildees que tratem do tema

Com relaccedilatildeo agrave proteccedilatildeo do creacutedito esse aspecto pode parecer bastante abrangente no entanto vale ressaltar que eacute preciso observar aleacutem da LGPD as regras dispostas em outras leis que tratam dos dados financeiros utilizados para anaacutelise do perfil do investidor e do limite de creacutedito a ser considerado especialmente porque o cruzamento das informaccedilotildees que dizem respeito aos tomadores podem vir das mais variadas bases de dados cujas regras de proteccedilatildeo precisam ser conhecidas e alinhadas agraves regras aplicadas pela fintechs


30

Diante dessa sistemaacutetica de bases legais vale reforccedilar que quando falamos em mercado financeiro natildeo podemos esquecer que se trata de um setor extremamente regulado e que diversas normas jaacute incidem sobre os dados coletados nesse contexto

Transferecircncia InternacionalTransferecircncias internacionais de dados pessoais podem ocorrer desde que o paiacutes ou organizaccedilatildeo de destino desses dados forneccedilam niacutevel de proteccedilatildeo similar ou maior do que a LGPD A ANPD seraacute responsaacutevel por analisar a transferecircncia pretendida pelo controlador dos dados este deveraacute conformar a transferecircncia de acordo com as regras da LGPD por meio de claacuteusulas contratuais coacutedigos de conduta certificaccedilotildees etc

Para que a transferecircncia internacional dos dados ocorra de maneira adequada segundo a LGPD eacute preciso que os titulares dos dados tenham informaccedilotildees claras da transferecircncia destacadas das demais informaccedilotildees sobre o tratamento Vale tambeacutem lembrar que eacute necessaacuterio o consentimento especiacutefico do usuaacuterio para a transferecircncia

Seguranccedila da InformaccedilatildeoA LGPD demanda que controladores e operadores dos dados pessoais adotem medidas teacutecnicas eou organizacionais de seguranccedila da informaccedilatildeo Apesar da LGPD natildeo ser mais especiacutefica sobre o assunto a ANPD poderaacute criar padrotildees miacutenimos de seguranccedila de informaccedilatildeo que deveratildeo ser observados Como a ANPD ainda estaacute sendo criada natildeo temos esses paracircmetros ainda apenas os que foram adotados pelas autoridades europeias que podem ser usadas como base

Caso ocorra algum incidente de seguranccedila de informaccedilatildeo como um vazamento de dados pessoais o controlador deve informar agrave ANPD e aos titulares dos dados pessoais sobre a ocorrecircncia

O regime de responsabilidade por incidentes previsto na LGPDSegundo esta Lei a responsabilidade por incidente no tratamento de dados seria do controlador ou do operador que pelo exerciacutecio de sua atividade causou dano patrimonial moral individual ou coletivo a algueacutem sendo obrigatoacuteria a reparaccedilatildeo deste dano

Como forma de assegurar a efetiva indenizaccedilatildeo ao titular dos danos observa-se que o operador responde solidariamente pelos danos causados pelo tratamento quando natildeo tiver obedecido as instruccedilotildees liacutecitas do controlador ou quando descumprir as obrigaccedilotildees da legislaccedilatildeo de proteccedilatildeo de dados55

No acircmbito da LGPD fica ainda um questionamento quais os limites da responsabilidade dos agentes de tratamento de dados

A uacutenica forma de natildeo haver esta responsabilizaccedilatildeo seraacute quando os agentes provarem (i) que natildeo realizaram o tratamento de dados que lhes eacute atribuiacutedo pelos titulares (ii) que natildeo houve violaccedilatildeo agrave legislaccedilatildeo de proteccedilatildeo de dados embora tenham realizado o tratamento de dados que lhes eacute atribuiacutedo pelos titulares e (iii) que o dano eacute de culpa exclusiva do titular de dados ou de um terceiro56

55 Ibidem Art 42 sect1ordm I 56 Ibidem Artigo 43 incisos I II e III


31

Sanccedilotildees Previstas na LGPD

Os controladores operadores e encarregados que natildeo se adequarem

agraves obrigaccedilotildees e responsabilidades que lhes foram atribuiacutedas pela LGPD poderatildeo sofrer algumas sanccedilotildees administrativas aplicaacuteveis pela ANPD57

Satildeo seis as sanccedilotildees que podem ser aplicadas pela Autoridade Nacional previstas pela LGPD58

57 Ibidem Artigo 52 caput58 Ibidem Artigo 52 incisos I a VI

(i) advertecircncia com indicaccedilatildeo de prazo para adoccedilatildeo de medidas corretivas(ii) multa simples de ateacute 2 do faturamento de empresa ou grupo empresarial no Brasil em seu uacuteltimo exerciacutecio excluiacutedos os tributos com limitaccedilatildeo de ateacute R$50 milhotildees de reais por infraccedilatildeo

(iii) multa diaacuteria com valor limitado a R$50 milhotildees de reais (iv) uma vez apurada e confirmada a ocorrecircncia de infraccedilatildeo tornaacute-la puacuteblica (v) bloqueio dos dados pessoais referentes agrave infraccedilatildeo ateacute a sua regularizaccedilatildeo e(vi) eliminaccedilatildeo dos dados pessoais relacionados agrave infraccedilatildeo

Para aplicaccedilatildeo destas sanccedilotildees foram elencados alguns criteacuterios como bull a gravidade e a natureza das infraccedilotildees e dos direitos pessoais afetadosbull a boa-feacute do infratorbull a vantagem auferida ou pretendida pelo infrator bull a condiccedilatildeo econocircmica do infrator bull a reincidecircncia bull o grau do dano bull a cooperaccedilatildeo do infrator

bull a adoccedilatildeo reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano bull a adoccedilatildeo de poliacuteticas de boas praacuteticas e governanccedila bull a pronta adoccedilatildeo de medidas corretivas e bull a proporcionalidade entre a gravidade da falta e a intensidade da sanccedilatildeo


32

38 MARCO CIVIL DA INTERNET E O SEU DECRETO REGULAMENTADOR

Os princiacutepios direitos e obrigaccedilotildees envolvendo provedores de internet incluindo os de conteuacutedos e os de infraestrutura estatildeo previstos na Lei nordm 12965 de 23 de abril de 2014 mais conhecida como Marco Civil da Internet (ldquoMCIrdquo) Essa Lei apresenta algumas consideraccedilotildees sobre tratamento de dados pessoais no ambiente online enquanto a LGPD tambeacutem se aplica para dados offline Eacute importante lembrar que o MCI veio antes da LGPD e por isso existem mateacuterias que ambas as normas abordam

O MCI prevecirc uma seacuterie de direitos para os usuraacuterios da internet visando proteger sua privacidade e suas comunicaccedilotildees privadas seus dados pessoais o direito de acesso e coleta de informaccedilotildees de excluir dados entre outros

Uma das previsotildees do MCI que destacamos eacute a de que empresas que oferecerem serviccedilos online para consumidores devem armazenar alguns dados (como logs e endereccedilos de IP) quando os usuaacuterios acessam os serviccedilos Fintechs que funcionam como aplicativos e sites de bancos fundos de investimento e empresas de scoring satildeo exemplos de empresas que devem observar essa obrigaccedilatildeo

Aleacutem das regras do MCI eacute tambeacutem importante estar atento aos dispositivos do Decreto nordm 8771 de 11 de maio de 2016 (ldquoDecreto Regulamentadorrdquo) Especificamente sobre proteccedilatildeo de dados pessoais eacute preciso adotar medidas de seguranccedila de informaccedilatildeo como a adoccedilatildeo de controle de acesso ao banco de dados da empresa pelos seus funcionaacuterios Outro ponto relevante eacute a necessidade de estabelecer que o uso de dados deve ser limitado e adequado observando o propoacutesito de seu fornecimento Inclusive o dado pessoal deve ser excluiacutedo quando ele atinge a sua finalidade


33

Os agentes previstos no MCI e suas obrigaccedilotildeesAgentes importantes neste acircmbito satildeo os provedores de aplicaccedilotildees da internet que devem obrigatoriamente respeitar a legislaccedilatildeo brasileira e os direitos agrave privacidade agrave proteccedilatildeo dos dados pessoais e ao sigilo das comunicaccedilotildees privadas e dos registros59

Eacute dever deles segundo o artigo 11 sect3ordm do MCI prestar informaccedilotildees que permitam a verificaccedilatildeo quanto ao cumprimento da legislaccedilatildeo brasileira referente agrave coleta agrave guarda ao armazenamento ou ao tratamento de dados bem como quanto ao respeito agrave privacidade e ao sigilo de comunicaccedilotildees

Aleacutem disso o MCI dispotildee sobre o regime de responsabilidade por danos decorrentes de conteuacutedo gerado por terceiros Neste acircmbito vale ressaltar que provedores de conexatildeo agrave internet natildeo seratildeo responsabilizados civilmente por danos decorrentes de conteuacutedo gerado por terceiros Em contrapartida o provedor de aplicaccedilotildees de internet poderaacute ser responsabilizado civilmente por danos desta natureza se natildeo tomar providecircncias apoacutes expediccedilatildeo de norma judicial especiacutefica nos limites teacutecnicos do seu serviccedilo e dentro de prazo assinalado para tornar indisponiacutevel o conteuacutedo apontado como infringente

Nesse contexto os provedores de conexatildeo satildeo aqueles que disponibilizam acesso agrave internet do ponto de vista da conectividade e infraestrutura (como empresas telefocircnicas por exemplo) Por outro lado provedores de aplicaccedilotildees satildeo aqueles que prestam serviccedilos na internet como eacute o caso de sites e aplicativos e como muito provavelmente se classificariam as fintechs

59 BRASIL Lei nordm 12965 de 23 de abril de 2014 Estabelece princiacutepios garantias direitos e deveres para o uso da Internet no Brasil Artigo 11 Disponiacutevel em lthttpwwwplanaltogovbrccivil_03_ato2011-20142014leil12965htmgt Acesso em 21082019

Das sanccedilotildees previstas no MCI

O proacuteprio MCI prevecirc inclusive algumas sanccedilotildees caso os provedores de conexatildeo e os de aplicaccedilotildees na internet descumpram suas obrigaccedilotildees Satildeo exemplos de penalidades aplicaacuteveis

(i) advertecircncia com indicaccedilatildeo de prazo para adoccedilatildeo de medidas corretivas (ii) multa de ateacute 10 do faturamento do grupo econocircmico no Brasil em seu uacuteltimo exerciacutecio excluiacutedos os tributos e considerando a condiccedilatildeo econocircmica do infrator e o princiacutepio da proporcionalidade entre a gravidade da falta e intensidade da sanccedilatildeo(iii) suspensatildeo temporaacuteria de atividades como coleta armazenamento guarda e tratamento de registros de dados pessoais ou de comunicaccedilotildees por provedores de conexatildeo e de aplicaccedilatildeo na internet ou(iv) proibiccedilatildeo de exerciacutecio de atividades como coleta armazenamento guarda e tratamento de registros de dados pessoais ou de comunicaccedilotildees por provedores de conexatildeo e de aplicaccedilatildeo na internet


34


A Lei do Cadastro Positivo (Lei nordm 12414 de 9 de junho de 2011) estaacute em vigor desde 2011 mas foi significativamente alterada pela Lei Complementar nordm 166 de 8 de abril de 2019 (ldquoLC nordm 1662019rdquo) Estas leis estabelecem as condiccedilotildees para a criaccedilatildeo de bancos de dados sobre o adimplemento de pessoas fiacutesicas e juriacutedicas para a formaccedilatildeo de histoacuterico de creacutedito (informaccedilotildees sobre operaccedilotildees de creacutedito e pagamento adimplidas ou em andamento)

Falamos mais sobre o impacto dessas leis para as fintechs no texto ldquoFintechs Atenccedilatildeo Mudanccedilas na Lei do Cadastro Positivordquo no nosso blog Espaccedilo Startup Traremos no presente texto alguns dos principais pontos para o setor

Esse histoacuterico de creacutedito eacute no fundo uma espeacutecie de elaboraccedilatildeo de ldquoperfilrdquo de creacutedito referente a uma pessoa fiacutesica ou empresa fenocircmeno conhecido no exterior como credit scoring

Este conceito foi definido em debates acadecircmicos como sendo a realizaccedilatildeo de uma espeacutecie de resumo contendo informaccedilotildees sobre a credibilidade do creacutedito de clientes Estas informaccedilotildees variam abordando por exemplo se haacute uma boa projeccedilatildeo sobre esse cliente e seus pagamentos ou natildeo Logo credit scoring eacute utilizado para permitir que certos clientes obtenham alguns financiamentos ou possam usar alguns serviccedilos financeiros por exemplo e para analisar as chances de descumprimento destes clientes em relaccedilatildeo a seus creacuteditos60

Os efeitos de credit scoring satildeo importantes natildeo soacute porque definem a pontuaccedilatildeo de creacutedito de pessoas e empresas facilitando ou dificultando suas transaccedilotildees financeiras como tambeacutem porque se trata de uma pontuaccedilatildeo referecircncia ateacute para a obtenccedilatildeo de trabalhos jaacute que muitos empregadores utilizariam esta meacutetrica ao determinarem quem seriam seus futuros colegas de trabalho

60 HURLEY Mikella ADEBAYO Julius Credit Scoring in the Era of Big Data Publicado no Yale Journal of Law and Technology 2017 Disponiacutevel em lthttpsdigitalcommonslawyaleeducgiviewcontentcgiarticle=1122ampcontext=yjoltgt Acesso em 27082019


35

Sendo a Lei de Cadastro Positivo a norma regulatoacuteria da praacutetica de credit scoring em terras brasileiras vale ressaltar novamente que esta Lei regula justamente como empresas (pessoas juriacutedicas) poderatildeo gerenciar dados de pessoas naturais ou juriacutedicas ou naturais em bancos de dados

Segundo a Lei de Cadastro Positivo ldquobanco de dadosrdquo satildeo

ldquoum conjunto de dados relativo a pessoa natural ou juriacutedica armazenados com a finalidade de subsidiar a concessatildeo de creacutedito a realizaccedilatildeo de venda a prazo ou de outras transaccedilotildees comerciais e empresariais que impliquem risco financeiro61rdquo

61 BRASIL Lei nordm 12414 de 9 de junho de 2011 Disciplina a formaccedilatildeo e consulta a bancos de dados com informaccedilotildees de adimplemento de pessoas naturais ou de pessoas juriacutedicas para formaccedilatildeo de histoacuterico de creacutedito Artigo 2ordm inciso I Disponiacutevel em lthttpwwwplanaltogovbrccivil_03_Ato2011-20142011LeiL12414htmgt Acesso em 27082019

Os agentes previstos na Lei de Cadastro Positivo

A Lei de Cadastro Positivo apresenta algumas figuras importantes para sua aplicaccedilatildeo definidas jaacute nos incisos de seu artigo segundo Satildeo elas

bull o gestor pessoa juriacutedica responsaacutevel pela administraccedilatildeo de um banco de dados e pela coleta pelo armazenamento pela anaacutelise e pelo acesso de terceiros aos dados armazenados Assemelha-se a figura de operador prevista na LGPD

bull a fonte pessoa juriacutedica ou natural que conceda creacutedito administre operaccedilotildees de autofinanciamento ou realize venda a prazo ou outras transaccedilotildees comerciais e empresariais que lhe impliquem risco financeiro Isto se assemelha a alguns tipos de instituiccedilotildees financeiras Tambeacutem satildeo consideradas fontes instituiccedilotildees autorizadas a funcionar pelo Banco Central do Brasil e os prestadores dos seguintes serviccedilos continuados aacutegua esgoto eletricidade gaacutes telecomunicaccedilotildees e assemelhados

bull o consulente pessoa natural ou juriacutedica que acesse informaccedilotildees em bancos de dados para qualquer finalidade permitida pela Lei de Cadastro Positivo

bull o cadastrado pessoa natural ou juriacutedica cujas informaccedilotildees tenham sido incluiacutedas em banco de dados Assemelha-se ao Titular de Dados previsto na LGPD


36

As obrigaccedilotildees previstas na Lei de Cadastro Positivo

Em primeiro lugar os gestores soacute poderatildeo armazenar em banco de dados informaccedilotildees objetivas claras verdadeiras e de faacutecil compreensatildeo62

Os gestores de banco de dados nesta modalidade devem estar atentos a um segundo ponto importante eacute proibido armazenar informaccedilotildees excessivas (natildeo vinculadas agrave anaacutelise de risco de creacutedito ao consumidor) Eacute igualmente proibido o armazenamento de informaccedilotildees sensiacuteveis (aquelas pertinentes agrave origem social e eacutetnica agrave sauacutede agrave informaccedilatildeo geneacutetica agrave orientaccedilatildeo sexual e agraves convicccedilotildees poliacuteticas religiosas e filosoacuteficas63)

Outra obrigaccedilatildeo imputada aos gestores refere-se agrave comunicaccedilatildeo aos cadastrados Essa comunicaccedilatildeo deve ocorrer em ateacute 30 dias apoacutes a abertura do cadastro no banco de dados e deve ser sem custo para o cadastrado A comunicaccedilatildeo deve ser feita pelos gestores diretamente podendo ser realizada por intermeacutedio das fontes e em seu conteuacutedo a comunicaccedilatildeo deve informar ao cadastrado quais satildeo os canais disponiacuteveis para o cancelamento do cadastro no banco de dados64

Os gestores tambeacutem satildeo obrigados a manter procedimentos adequados para comprovar a autenticidade e a validade da autorizaccedilatildeo do cadastrado que viabilize apresentaccedilatildeo a consulentes de seu histoacuterico de creacutedito65

Haacute tambeacutem o dever do gestor de manter sistemas seguros de consulta agraves informaccedilotildees de cadastrados66 Isto eacute relevante para assegurar o direito do cadastrado de acessar as informaccedilotildees sobre ele existentes no banco de dados incluindo seu histoacuterico e nota ou pontuaccedilatildeo de creacutedito O gestor deveraacute inclusive disponibilizar estas informaccedilotildees e quais satildeo os principais elementos considerados para anaacutelise de risco ao cadastrado em ateacute dez dias67

62 Ibidem Artigo 3ordm sect1ordm 63 Ibidem Artigo 3ordm sect3ordm 64 Ibidem Artigo 4ordm sect4ordm incisos I a III 65 Ibidem Artigo 4ordm sect8ordm 66 Ibidem Artigo 5ordm II

Ressaltam-se por fim outras relevantes obrigaccedilotildees do gestor

bull disponibilizar em ateacute 2 dias uacuteteis o cancelamento e a reabertura de cadastro ao cadastrado68

bull cancelar automaticamente pessoa natural ou juriacutedica que tenha manifestado previamente por meio telefocircnico fiacutesico ou eletrocircnico a vontade de natildeo ter aberto seu cadastro69

bull fornecer ao cadastrado70

bull todas as informaccedilotildees constantes de seus arquivos no momento da solicitaccedilatildeo

bull indicaccedilatildeo de todas as fontes relativas agraves informaccedilotildees dos arquivos do cadastrado incluindo endereccedilo e telefone para contato

bull indicaccedilatildeo dos gestores de bancos de dados com os quais as informaccedilotildees foram compartilhadas

bull indicaccedilatildeo de todos os consulentes que tiveram acesso a qualquer informaccedilatildeo sobre ele nos seis meses anteriores agrave solicitaccedilatildeo

bull coacutepia do texto com o sumaacuterio dos direitos do cadastrado definidos em lei ou em normas infralegais pertinentes agrave sua relaccedilatildeo com gestores bem como a lista dos oacutergatildeos governamentais aos quais ele poderaacute recorrer caso considere que estes direitos foram infringidos e

bull confirmaccedilatildeo de cancelamento do cadastro

Destacarmos tambeacutem que as obrigaccedilotildees das fontes estatildeo previstas no artigo 8ordm da Lei nordm 124142011

67 Ibidem Artigo 5ordm sect3ordm68 Ibidem Artigo 5ordm sect6ordm 69 Ibidem Artigo 5ordm sect7ordm70 Ibidem Artigo 6ordm incisos I a VI


37

As sanccedilotildees previstas na LCP

Jaacute elencamos os deveres atribuiacutedos tanto aos

gestores de banco de dados quanto agraves fontes nos moldes da Lei nordm 124142011 Agora vale ressaltar quais satildeo as penalidades previstas na LCP caso estes agentes sejam infratores

(i) cancelamento de registro de agente responsaacutevel pela administraccedilatildeo de banco de dados e pelo tratamento de dados (tambeacutem conhecido como ldquogestorrdquo) no BACEN caso este agente natildeo adote medidas do Conselho Monetaacuterio Nacional (CMN) relacionadas agraves operaccedilotildees com caracteriacutesticas de concessatildeo de creacutedito Nessa hipoacutetese tambeacutem poderatildeo ser aplicadas como penalidades normas de proteccedilatildeo do consumidor

(ii) aplicaccedilatildeo das sanccedilotildees e penas do Coacutedigo de Defesa do Consumidor (CDC) quando a pessoa (fiacutesica ou juriacutedica) que teve suas informaccedilotildees incluiacutedas em banco de dados (conhecida como ldquocadastradordquo) for consumidora

(iii) exclusatildeo feita por bancos de dados do cadastro de informaccedilotildees incorretas no prazo de 10 dias e o cancelamento dos cadastros de pessoas que assim o solicitaram Tambeacutem poderatildeo ser aplicadas medidas corretivas por oacutergatildeos de proteccedilatildeo e defesa do consumidor

(iv) pena de reclusatildeo de 1 a 4 anos e multa imposta aos responsaacuteveis por quebra de sigilo omissatildeo retardamento injustificado ou prestaccedilatildeo falsa de informaccedilotildees requeridas Aplica-se tambeacutem o Coacutedigo Penal e o Coacutedigo de Proteccedilatildeo e Defesa do Consumidor e

(v) aplicaccedilatildeo subsidiaacuteria da LGPD e futuros direcionamentos sancionatoacuterios a serem feitos pelo Executivo e aplicados aos gestores de banco de dados na hipoacutetese de vazamento de informaccedilotildees de cadastrados

A alteraccedilatildeo da Lei do Cadastro Positivo eliminou o modelo preacutevio de ldquoopt-inrdquo permitindo com que os gestores de bancos de dados de anaacutelise de creacutedito possam abrir cadastros sem a necessidade de obtenccedilatildeo do consentimento preacutevio do cadastrado Entretanto ainda eacute possiacutevel que a pessoa natural possa requisitar sua exclusatildeo do cadastro sendo portanto adotado o modelo de ldquoopt-outrdquo (pedido de saiacuteda) O cadastrado deve ser informado pelo gestor da abertura do cadastro em ateacute 30 dias inclusive com informaccedilotildees claras sobre como pode requisitar o cancelamento dele

Os gestores dos bancos de dados ficam autorizados a compartilhar as informaccedilotildees cadastrais e de adimplemento entre si Esta alteraccedilatildeo em conjunto com a previsatildeo da lei original de que as fontes natildeo podem discriminar quanto a quais gestores elas iratildeo oferecer os dados de creacutedito facilita de forma expressiva o fluxo de dados nesse mercado

Alguns dos direitos do cadastrado satildeo obter o cancelamento do cadastro acessar gratuitamente as informaccedilotildees sobre ele solicitar a impugnaccedilatildeo de informaccedilotildees errocircneas ser informado dos criteacuterios utilizados na anaacutelise de risco ser informado previamente pelo gestor de que seus dados estatildeo sendo tratados o direito de revisatildeo de decisotildees exclusivamente automatizadas e ter seus dados utilizados somente de acordo com a finalidade com que foram coletados

Como se percebe grande parte desses direitos tambeacutem satildeo previstos na LGPD para qualquer tratamento de dados pessoais Eacute curioso notar que os direitos previstos na Lei do Cadastro Positivo satildeo extensiacuteveis agraves pessoas juriacutedicas ao contraacuterio da LGPD que soacute se aplica a pessoas naturais Tambeacutem eacute interessante destacar que o cadastrado tem o direito de requisitar do gestor quem foram os terceiros (consulentes) que requisitaram seus dados de creacutedito nos 6 meses anteriores ao pedido


38

310COacuteDIGO DO CONSUMIDOR

O Coacutedigo de Defesa do Consumidor (ldquoCDCrdquo) ou Lei nordm 8078 de 11 de setembro de 1990 tem a finalidade de proteger consumidores que satildeo legalmente considerados uma parte vulneraacutevel na relaccedilatildeo com os fornecedores de produtos e serviccedilos

Essa condiccedilatildeo de vulnerabilidade confere ao consumidor uma seacuterie de direitos como o de retificar informaccedilotildees sobre si proteccedilatildeo contra publicidade enganosa ou abusiva proteccedilatildeo contra claacuteusulas abusivas o ocircnus da prova sobre a irregularidade por ele apontada recair sobre o fornecedor do produto ou serviccedilo entre outros

Eacute importante ressaltar que o Supremo Tribunal Federal (ldquoSTFrdquo)71 e o Superior Tribunal de Justiccedila (ldquoSTJrdquo)72 jaacute afirmaram que o CDC se aplica para atividades bancaacuterias financeiras creditiacutecias seguradoras dentre outras Em alguns casos ateacute mesmo investidores individuais de fundos de investimento podem ser considerados consumidores

71 BRASIL Supremo Tribunal Federal Accedilatildeo Direta de Inconstitucionalidade nordm 2591-1 Relator Ministro Eros Grau Sessatildeo de 07062006 Diaacuterio Oficial da Uniatildeo Brasiacutelia DF 29092006 Disponiacutevel em lthttpredirstfjusbrpaginadorpubpaginadorjspdocTP=ACampdocID=266855gt Acesso em 2708201972 BRASIL Superior Tribunal de Justiccedila Suacutemula Vinculante nordm 297 Disponiacutevel em lthttpsww2stjjusbrdocs_internetrevistaeletronicastj-revista-sumulas-2011_23_capSumula297pdfgt Acesso em 2708201973 BRASIL Ministeacuterio Puacuteblico do Estado de Minas Gerais Processo Administrativo ndash PROCON nordm 002418002027-3 Mais informaccedilotildees disponiacuteveis em nota de imprensa do MPMG ldquoDrogaria Arauacutejo deveraacute pagar multa de R$ 7 milhotildees por capturar CPF dos consumidoresrdquo Disponiacutevel em lthttpswwwmpmgmpbrcomunicacaonoticiasdrogaria-araujo-devera-pagar-multa-de-r-7-milhoes-por-capturar-cpf-dos-consumidoreshtmgt Acesso em 28082019 73 BRASIL Ministeacuterio Puacuteblico do Distrito Federal e Territoacuterios Nota de imprensa ldquoMPDFT e NETSHOES firmam acordo para pagamento de dados morais apoacutes vazamento de dadosrdquo Disponiacutevel em lthttpwwwmpdftmpbrportalindexphpcomunicacao-menusala-de-imprensanoticiasnoticias-201910570-mpdft-e-netshoes-firmam-acordo-para-pagamento-de-danos-morais-coletivos-apos-vazamento-de-dadosgt Acesso em 28082019 BRASIL Ministeacuterio Puacuteblico do Distrito Federal e Territoacuterios Termo de Ajustamento de Conduta nordm 012019 Disponiacutevel em lthttpwwwmpdftmpbrportalpdftacsespecTAC_Espec_2019_001pdfgt Acesso em 28082019

Aleacutem disso o CDC fornece regras especiacuteficas sobre bancos de dados de consumidores e dados de creacutedito negativos Nestes casos o consumidor tem o direito de acessar qualquer informaccedilatildeo armazenada sobre ele e corrigir qualquer informaccedilatildeo errada Informaccedilotildees negativas sobre consumidores natildeo podem ser mantidas por mais de 5 anos de acordo com a lei

Os direitos dos consumidores podem ser exercidos de forma individual ou coletiva Considerando o uacuteltimo organizaccedilotildees da sociedade civil e o Ministeacuterio Puacuteblico podem representar os consumidores coletivamente Por exemplo haacute casos de violaccedilatildeo de dados nos quais uma empresa foi multada porque o Ministeacuterio Puacuteblico representou os consumidores afetados mesmo antes da entrada em vigor da LGPD (o que soacute aconteceraacute em agosto de 2020) embasando a acusaccedilatildeo no CDC73


39

As sanccedilotildees previstas no CDC

As sanccedilotildees nesta esfera dividem-se em duas categorias as sanccedilotildees administrativas e sanccedilotildees decorrentes de infraccedilotildees penais

Dentre as sanccedilotildees administrativas74 destacamos como relevantes para o mercado financeiro as seguintes penalidades

(i) multa

(ii) suspensatildeo temporaacuteria de atividade

(iii) cassaccedilatildeo de licenccedila do estabelecimento ou de atividade e

(iv) interdiccedilatildeo total ou parcial de estabelecimento de obra ou de atividade

Jaacute no universo das infraccedilotildees e sanccedilotildees penais75 satildeo exemplos relevantes de crime considerando o contexto de mercado financeiro e tratamento de dados

(i) detenccedilatildeo de trecircs meses a um ano e multa quando for feita uma afirmaccedilatildeo falsa ou enganosa ou omissatildeo de informaccedilatildeo relevante sobre a natureza qualidade quantidade seguranccedila desempenho durabilidade preccedilo ou garantia da atividade prestada

(ii) detenccedilatildeo de seis meses a um ano ou multa

74 BRASIL Lei nordm 8078 de 11 de setembro de 1990 Dispotildee sobre a proteccedilatildeo do consumidor e daacute outras providecircncias Artigos 56 e seguintes Disponiacutevel em lthttpwwwplanaltogovbrccivil_03leisl8078htmgt Acesso em 27082019

caso um agente impeccedila ou dificulte o acesso do consumidor agraves informaccedilotildees que sobre ele constem em cadastros banco de dados fichas e registros e

(iii) detenccedilatildeo de um a seis meses ou multa caso uma informaccedilatildeo sobre consumidor em cadastro banco de dados fichas ou registros natildeo seja corrigida imediatamente sendo que um agente sabe ou deveria saber que a informaccedilatildeo estaria inexata

Vale ressaltar que existem algumas circunstacircncias agravantes para o caacutelculo das sanccedilotildees na esfera de crimes tipificados no CDC Por exemplo quando os crimes satildeo cometidos em eacutepoca de grave crise econocircmica ou por ocasiatildeo de calamidade quando ocasionarem grave dano individual ou coletivo ou dissimularem a natureza iliacutecita do procedimento


40

4 COMPLIANCE DIGITAL NO CONTEXTO DE OPEN BANKING

Open Banking eacute um movimento acompanhado por regulamentaccedilotildees no mundo todo para transformar o funcionamento tradicional do sistema financeiro Ele permite que tecnologias seguras possam acessar dados financeiros dos consumidores tornando o mercado mais competitivo e consequentemente beneficiando os consumidores com novos produtos e serviccedilos de maior eficiecircncia tecnoloacutegica e operacional Falamos mais detalhadamente sobre este assunto em nosso artigo ldquoO que eacute Open Bankingrdquo

Algumas premissas basilares do Open Banking satildeo (1) dados tecircm valor principalmente na sociedade contemporacircnea (2) o consumidor eacute titular de seus proacuteprios dados e por isso deteacutem o poder de decisatildeo quanto ao que ocorre com eles (3) dados referentes a operaccedilotildees financeiras de consumidores satildeo privados e sigilosos nos termos da Lei Complementar nordm 1052001 ou Lei do Sigilo Bancaacuterio conforme jaacute discutimos (4) possuir dados sigilosos significa aleacutem de responsabilidade uma enorme oportunidade de entender o perfil dos consumidores e poder ofertar produtos e serviccedilos com base em padrotildees identificados e (5) o setor financeiro sempre foi severamente regulado e restrito o que determinou a concentraccedilatildeo desse mercado por poucas e grandes instituiccedilotildees financeiras que por muito tempo foram os uacutenicos a terem acesso aos dados bancaacuterios dos consumidores

Eacute bem verdade que o Open Banking inaugura uma nova fase em termos de concorrecircncia pois abre espaccedilo para um mercado inovador aleacutem de munir os consumidores de maiores informaccedilotildees permitindo que tenham opccedilotildees e possam escolher de maneira mais informada

Aleacutem disso tambeacutem abre espaccedilo para desenvolvimento de novas tecnologias natildeo soacute como forma de oferecer produtos e serviccedilos inovadores mas como meio de lidar com o outro lado do Open Banking que tambeacutem gera preocupaccedilotildees Estamos falando de questotildees ligadas agrave manutenccedilatildeo da seguranccedila da informaccedilatildeo e prevenccedilatildeo de incidentes de seguranccedila

Eacute visiacutevel que as fintechs estatildeo fortemente inseridas neste cenaacuterio e por isso ficaratildeo no centro das principais normas que regulamentaratildeo as atividades de Open Banking no Brasil

Apesar de ainda natildeo haver regulamentaccedilatildeo especiacutefica sobre o tema algumas leis e resoluccedilotildees brasileiras servem como bom ponto de partida para pensar o desenvolvimento e a aplicaccedilatildeo segura da tecnologia Eacute o caso por exemplo da Lei do Sigilo Bancaacuterio (sobre a qual jaacute discutimos) e da Resoluccedilatildeo nordm 3401 de 2006 do BACEN76

A Lei do Sigilo eacute importante nesta dinacircmica para conferir a devida proteccedilatildeo aos dados financeiros que estatildeo protegidos sob sigilo Sobre o fornecimento de informaccedilotildees cadastrais de uma instituiccedilatildeo para outra a Resoluccedilatildeo nordm 3401 de 2006 do BACEN traz em seu artigo 3ordm

ldquoArt 3ordm As instituiccedilotildees financeiras e demais instituiccedilotildees autorizadas a funcionar pelo Banco Central do Brasil devem fornecer a terceiros quando formalmente autorizados por seus clientes as informaccedilotildees cadastrais a eles relativas de que trata a Resoluccedilatildeo 2835 de 30 de maio de 2001rdquo (grifos nossos)

75 Ibidem Artigo nordm 61 e seguintes 76 O fato de termos citado estas duas normas como exemplo das que satildeo aplicaacuteveis agrave dinacircmica do Open Banking natildeo significa que outras natildeo sejam tambeacutem aplicadas como o Coacutedigo Civil o Coacutedigo do Consumidor dentre tantas outras


41

Ou seja jaacute existe no ordenamento brasileiro a previsatildeo legal do dever de troca de informaccedilotildees entre instituiccedilotildees financeiras e de revelaccedilatildeo de informaccedilotildees sigilosas a terceiros desde que com o consentimento do usuaacuterio No entanto essas normas foram pensadas em um momento anterior ao surgimento do Open Banking e mesmo que possam ser aplicadas ao cotidiano de algumas fintechs elas natildeo satildeo suficientes para regulamentar o ecossistema de maneira completa

Aleacutem disso podemos citar o Comunicado ndeg 33455 de 24 de abril de 2019 do BACEN em que divulgaram ldquoos requisitos fundamentais para a implementaccedilatildeo no Brasil do Sistema Financeiro Aberto (Open Banking)rdquo Apesar de natildeo ser uma norma impositiva o Comunicado pode ser visto como uma declaraccedilatildeo oficial do BACEN que informa ao mercado seus entendimentos e inclinaccedilotildees regulatoacuterias

Eacute uma forma do Conselho do BACEN demonstrar o caminho de como o Open Banking seraacute brevemente regulado no Brasil ressaltando a importacircncia deste movimento internacional por outro lado com desafios em relaccedilatildeo ao cumprimento da LGPD e a seguranccedila para o setor financeiro O BACEN reforccedila a importacircncia do consentimento quando se trata de compartilhar dados do cliente e como isso eacute fundamental para o Open Banking

Em relaccedilatildeo a uma definiccedilatildeo para o termo o Comunicado traz o seu entendimento

ldquoO Open Banking na oacutetica do Banco Central do Brasil eacute considerado o compartilhamento de dados produtos e serviccedilos pelas instituiccedilotildees financeiras e demais instituiccedilotildees autorizadas a criteacuterio de seus clientes em se tratando de dados a eles relacionados por meio de abertura e integraccedilatildeo de plataformas e infraestruturas de sistemas de informaccedilatildeo de forma segura aacutegil e convenienterdquo

Aleacutem de anunciar uma possiacutevel consulta puacuteblica neste tema ainda em 2019 o BACEN avisa que a ldquoexpectativa eacute de que o modelo de Open Banking descrito seja implementado a partir do segundo semestre de 2020rdquo

Em outros termos instituiccedilotildees financeiras e fintechs necessariamente precisaratildeo estar preparadas para esse processo de interaccedilatildeo operacional de modo que todos os fluxos de procedimentos seja de controles internos cadastro compliance gestatildeo de riscos invariavelmente seguiratildeo para um modelo digital Nele a tecnologia utilizada deve atender agraves necessidades de privacidade e seguranccedila da informaccedilatildeo mantendo a integridade dos serviccedilos desde o primeiro ponto de contato digital realizado pelos clientesconsumidoresusuaacuterios

A entrada de fintechs como novos agentes aptos a garantir a eficiecircncia dos serviccedilos e mais do que isso a interoperabilidade entre as instituiccedilotildees certamente eacute o iniacutecio de uma nova era especialmente em termos de oferta no mercado financeiro

Para as fintechs e demais confiantes na eficiecircncia e integridade da tecnologia que estaacute por traacutes dos seus serviccedilos eacute imprescindiacutevel pensar que toda a dinacircmica de operaccedilotildees representa necessariamente uma cadeia de relaccedilotildees juriacutedicas e que portanto prescindem de contratos digitais formalizando a interface do usuaacuterio com a plataforma de serviccedilo

Afinal se as relaccedilotildees juriacutedicas daqui por diante aconteceratildeo cada vez mais no ambiente digital esse ambiente deve estar preparado para produzir a materializaccedilatildeo das relaccedilotildees digitais o que significa dizer que toda a interaccedilatildeo do usuaacuterio com as plataformas digitais como as fintechs deve ser juridicamente pensada e produzida como meios de prova sobre quem deu causa agrave sequecircncia dos eventos cursados

Trata-se de responsabilidade desafiadora e de constante atualizaccedilatildeo tambeacutem para os profissionais do direito que muito mais do que elaborar documentos precisaraacute entender a inteligecircncia operacional do seu cliente para imprimir integridade juriacutedica ao seu compliance digital


42

5 CONCLUSAtildeO

Muito mudou nos uacuteltimos anos em relaccedilatildeo ao mercado financeiro principalmente ao que se refere agrave proteccedilatildeo de dados no Brasil A principal inovaccedilatildeo foi a promulgaccedilatildeo da LGPD que basicamente eacute o primeiro instrumento coeso e robusto sobre proteccedilatildeo de dados no Brasil Antes disso existiam apenas leis setoriais esparsas que lidavam pontualmente com o assunto

Muitas dessas normas ainda estatildeo em vigor com a diferenccedila de que devem ser interpretadas e aplicadas considerando um novo sistema de proteccedilatildeo que foi estabelecido pela LGPD O processo pelo qual o Brasil estaacute passando eacute semelhante agrave internalizaccedilatildeo europeia da GDPR uma vez que a LGPD soacute entraraacute em vigor em agosto de 2020 dando agraves instituiccedilotildees tempo para se adequarem e a ANPD para estabelecer suas atividades

Tambeacutem temos algumas outras normas no sistema brasileiro que protegem o direito agrave privacidade atraveacutes da preservaccedilatildeo da confidencialidade e sigilo como tambeacutem analisamos neste artigo Elas satildeo principalmente normas do sistema financeiro como a Lei do Sigilo Bancaacuterio Lei de Lavagem de Dinheiro normas administrativas do CMN BACEN CVM etc Aleacutem destas temos tambeacutem o Coacutedigo do Consumidor e o Coacutedigo Penal que representam instrumentos importantes de proteccedilatildeo neste cenaacuterio

A proteccedilatildeo de dados a confidencialidade e o sigilo natildeo devem ser confundidos entre si embora sejam normalmente usados para proteger o direito agrave privacidade Eacute por essa razatildeo que pontuamos a diferenccedila de dados financeiros sigilosos e dados pessoais Isso eacute especialmente importante levando em consideraccedilatildeo a ampla definiccedilatildeo de dados pessoais determinada no LGDP


43

A depender da atividade exercida pela fintech o seu processo de adequaccedilatildeo pode ser bastante trabalhoso e conforme pontuamos ao longo deste material as sanccedilotildees satildeo diversas variando de responsabilizaccedilatildeo administrativa e civil com multas e indenizaccedilotildees ateacute responsabilizaccedilatildeo penal com pena de reclusatildeo a depender do iliacutecito cometido

A natureza dos dados tratados necessariamente tem efeitos em como o processo de adequaccedilatildeo deveraacute ocorrer por isso eacute muito importante que um(a) advogado(a) especialista seja chamado para fazer essa avaliaccedilatildeo para compreender quais dessas normas seriam aplicaacuteveis ao caso concreto da fintech

Natildeo se trata de um cenaacuterio alarmante poreacutem estamos diante de processos que precisam ser implementados se forem concomitantemente ao nascimento da fintechs melhor Quanto antes as empresas comeccedilarem a se preocupar com esse assunto maiores as chances de estarem regulares na entrada em vigor da LGPD lembrando que todas as outras normas mencionadas neste artigo jaacute satildeo exigiacuteveis portanto a maior parte das sanccedilotildees jaacute poderatildeo ser aplicadas em caso de descumprimento

Eacute verdade que o mercado tem se mostrado excessivamente preocupado com a chegada da LGPD pensando nos impactos devastadores que essa norma pode provocar nos diversos setores Contudo jaacute temos diversas outras leis que protegem direitos e preveem sanccedilotildees para condutas previstas na LGPD Isso significa que responsabilizaccedilotildees podem ocorrer mesmo antes da entrada em vigor dessa Lei e que um compliance digital deve ser observado invariavelmente


44

WWWBAPTISTALUZCOMBR

LGPD e Fintechs um novo cenaacuterio para

o compliance digital

Autores

Davi Teoacutefilo

Dennys Camara

Nathalia Dutra

Odeacutelio Porto Juacutenior

Pamela Michelena De Marchi Gherini

Revisatildeo

Gabriela Moribe

Luciana Simotildees Rebello Horta

Renato Leite

Projeto Graacutefico

Laura Wolff Bandeira Klink

A regulaccedilatildeo de proteccedilatildeo de dados indica mudanccedilas importantes sobre

exposiccedilatildeo e disponibilidade de informaccedilotildees pessoais Quais satildeo os

cuidados que as fintechs e o mercado financeiro devem ter no contexto do

novo compliance digital


3
















5 Conclusatildeo 42


4


5








6












7



Dados Financeiros


Dados Sigilosos






Dados Pessoais









9






10







11










12









13














14






















15













16
















17











18








(v) diretrizes para














19











19 Ibidem Artigo 10





20













21


















22












23







24














25







26










nacional



brasileiro



27
















28












29


















30












31











32







33










34









35












36





















37














38









39




(i) multa












40












41













42

5 CONCLUSAtildeO






43






44

WWWBAPTISTALUZCOMBR


3
















5 Conclusatildeo 42


4


5








6












7



Dados Financeiros


Dados Sigilosos






Dados Pessoais









9






10







11










12









13














14






















15













16
















17











18








(v) diretrizes para














19











19 Ibidem Artigo 10





20













21


















22












23







24














25







26










nacional



brasileiro



27
















28












29


















30












31











32







33










34









35












36





















37














38









39




(i) multa












40












41













42

5 CONCLUSAtildeO






43






44

WWWBAPTISTALUZCOMBR


4


5








6












7



Dados Financeiros


Dados Sigilosos






Dados Pessoais









9






10







11










12









13














14






















15













16
















17











18








(v) diretrizes para














19











19 Ibidem Artigo 10





20













21


















22












23







24














25







26










nacional



brasileiro



27
















28












29


















30












31











32







33










34









35












36





















37














38









39




(i) multa












40












41













42

5 CONCLUSAtildeO






43






44

WWWBAPTISTALUZCOMBR


5








6












7



Dados Financeiros


Dados Sigilosos






Dados Pessoais









9






10







11










12









13














14






















15













16
















17











18








(v) diretrizes para














19











19 Ibidem Artigo 10





20













21


















22












23







24














25







26










nacional



brasileiro



27
















28












29


















30












31











32







33










34









35












36





















37














38









39




(i) multa












40












41













42

5 CONCLUSAtildeO






43






44

WWWBAPTISTALUZCOMBR


6












7



Dados Financeiros


Dados Sigilosos






Dados Pessoais









9






10







11










12









13














14






















15













16
















17











18








(v) diretrizes para














19











19 Ibidem Artigo 10





20













21


















22












23







24














25







26










nacional



brasileiro



27
















28












29


















30












31











32







33










34









35












36





















37














38









39




(i) multa












40












41













42

5 CONCLUSAtildeO






43






44

WWWBAPTISTALUZCOMBR


7



Dados Financeiros


Dados Sigilosos






Dados Pessoais









9






10







11










12









13














14






















15













16
















17











18








(v) diretrizes para














19











19 Ibidem Artigo 10





20













21


















22












23







24














25







26










nacional



brasileiro



27
















28












29


















30












31











32







33










34









35












36





















37














38









39




(i) multa












40












41













42

5 CONCLUSAtildeO






43






44

WWWBAPTISTALUZCOMBR


Dados Pessoais









9






10







11










12









13














14






















15













16
















17











18








(v) diretrizes para














19











19 Ibidem Artigo 10





20













21


















22












23







24














25







26










nacional



brasileiro



27
















28












29


















30












31











32







33










34









35












36





















37














38









39




(i) multa












40












41













42

5 CONCLUSAtildeO






43






44

WWWBAPTISTALUZCOMBR


9






10







11










12









13














14






















15













16
















17











18








(v) diretrizes para














19











19 Ibidem Artigo 10





20













21


















22












23







24














25







26










nacional



brasileiro



27
















28












29


















30












31











32







33










34









35












36





















37














38









39




(i) multa












40












41













42

5 CONCLUSAtildeO






43






44

WWWBAPTISTALUZCOMBR


10







11










12









13














14






















15













16
















17











18








(v) diretrizes para














19











19 Ibidem Artigo 10





20













21


















22












23







24














25







26










nacional



brasileiro



27
















28












29


















30












31











32







33










34









35












36





















37














38









39




(i) multa












40












41













42

5 CONCLUSAtildeO






43






44

WWWBAPTISTALUZCOMBR


11










12









13














14






















15













16
















17











18








(v) diretrizes para














19











19 Ibidem Artigo 10





20













21


















22












23







24














25







26










nacional



brasileiro



27
















28












29


















30












31











32







33










34









35












36





















37














38









39




(i) multa












40












41













42

5 CONCLUSAtildeO






43






44

WWWBAPTISTALUZCOMBR


12









13














14






















15













16
















17











18








(v) diretrizes para














19











19 Ibidem Artigo 10





20













21


















22












23







24














25







26










nacional



brasileiro



27
















28












29


















30












31











32







33










34









35












36





















37














38









39




(i) multa












40












41













42

5 CONCLUSAtildeO






43






44

WWWBAPTISTALUZCOMBR


13














14






















15













16
















17











18








(v) diretrizes para














19











19 Ibidem Artigo 10





20













21


















22












23







24














25







26










nacional



brasileiro



27
















28












29


















30












31











32







33










34









35












36





















37














38









39




(i) multa












40












41













42

5 CONCLUSAtildeO






43






44

WWWBAPTISTALUZCOMBR


14






















15













16
















17











18








(v) diretrizes para














19











19 Ibidem Artigo 10





20













21


















22












23







24














25







26










nacional



brasileiro



27
















28












29


















30












31











32







33










34









35












36





















37














38









39




(i) multa












40












41













42

5 CONCLUSAtildeO






43






44

WWWBAPTISTALUZCOMBR


15













16
















17











18








(v) diretrizes para














19











19 Ibidem Artigo 10





20













21


















22












23







24














25







26










nacional



brasileiro



27
















28












29


















30












31











32







33










34









35












36





















37














38









39




(i) multa












40












41













42

5 CONCLUSAtildeO






43






44

WWWBAPTISTALUZCOMBR


16
















17











18








(v) diretrizes para














19











19 Ibidem Artigo 10





20













21


















22












23







24














25







26










nacional



brasileiro



27
















28












29


















30












31











32







33










34









35












36





















37














38









39




(i) multa












40












41













42

5 CONCLUSAtildeO






43






44

WWWBAPTISTALUZCOMBR


17











18








(v) diretrizes para














19











19 Ibidem Artigo 10





20













21


















22












23







24














25







26










nacional



brasileiro



27
















28












29


















30












31











32







33










34









35












36





















37














38









39




(i) multa












40












41













42

5 CONCLUSAtildeO






43






44

WWWBAPTISTALUZCOMBR


18








(v) diretrizes para














19











19 Ibidem Artigo 10





20













21


















22












23







24














25







26










nacional



brasileiro



27
















28












29


















30












31











32







33










34









35












36





















37














38









39




(i) multa












40












41













42

5 CONCLUSAtildeO






43






44

WWWBAPTISTALUZCOMBR


19











19 Ibidem Artigo 10





20













21


















22












23







24














25







26










nacional



brasileiro



27
















28












29


















30












31











32







33










34









35












36





















37














38









39




(i) multa












40












41













42

5 CONCLUSAtildeO






43






44

WWWBAPTISTALUZCOMBR

Documents

LGPD e Fintechs: um novo cenário para o compliance digitalLGPD e Fintechs: Um novo cenário para o compliance digital 2019 5 Privacidade e proteção de dados são assuntos que vêm