Pensamento democrático da Lei 13.709/2018 impulsiona evolução do sistema bancário brasileiro.
O Normativo SARB 025/2021, da Febraban, herda da LGPD a mensagem de consciência e respeito aos direitos e deveres de suas Signatárias, ao trazer a declaração de seus objetivos: aprimorar a proteção de Dados Pessoais. Tais objetivos são alcançados através de diretrizes e procedimentos mínimos que também incluem a viabilização do exercício dos direitos do Titular, previstos na Lei.
Aprovado em 08/12/2021, o documento nasce da iniciativa do setor de pautar sua auto-regulamentação nas linhas estabelecidas pela LGPD (Lei Geral de Proteção de Dados, nº 13.709/2018). Assim, as Signatárias se posicionam proativamente rumo a um tratamento de Dados Pessoais mais seguro, eficaz e confortável para quem contrata seus serviços e produtos.
A ideia do presente artigo é te convidar a fazer um sobrevoo pelo Normativo, aproveitando as melhores paisagens para evocar os pontos da LGPD em que se sustentam. Ao final, trarei brevíssimas considerações a fim de alimentar posteriores considerações.
Topa? Então pega a sua bebida preferida, um snack, segura na minha mão e só vem.
Abrindo os sete capítulos do Normativo, o primeiro capítulo se destaca ao definir o "tratamento" dado pelas Signatárias aos Dados Pessoais coletados em território nacional brasileiro e “cujo titular nele se encontre no momento da coleta". Ao definir um rol restrito do que significa “tratamento” como sendo a "coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração" de dados, o Normativo abriga uma implementação fechada do que a LGPD prevê em seu Art. 5º, inciso X:
toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
É necessário que o inciso da LGPD seja amplo em “toda operação (...)” e exemplificativo em “(...) como as que se referem (...)”, quando define o significado de “tratamento”, já que é impossível saber que novas modalidades de tratamento de dados futuras tecnologias viabilizarão. E a essa altura, ainda no início de nosso sobrevoo, já é possível ver o quanto a auto-regulamentação bancária ganha com um Estado proativo e realmente representativo: ao acolher em seu Normativo o espírito de proteção aos direitos das pessoas naturais, a Febraban sinaliza às suas Signatárias um caminho seguro de relacionamento com a Sociedade Civil, tanto mais longe de demandas judiciais quanto mais orientados à LGPD estiverem seus processos.
Por isso é que, ao incluir a coleta de Dados Pessoais no rol das operações de tratamento de dados, o Normativo da Febraban serve como um reforço à importância da privacidade das pessoas naturais e sinaliza para clientes das Signatárias um posicionamento ainda mais colaborativo. Vale abrir um breve parêntesis: caso outros setores de atividade não se auto-regulamentem quanto à Segurança da Informação, é possível que sofram as restrições impostas por legislações futuras.
Na prática, a LGPD força uma reorientação do pensamento que estrutura os sistemas de tratamento de dados no Brasil. O pensamento matemático que antes estruturava a concepção de tais sistemas passa a ser guiado - por força de Lei - por uma abordagem que submete o paradigma fordista centrado na eficácia a uma ética eminentemente popular, orgânica e, acima de tudo, constitucional.
O objetivo do Normativo (declarado em seu segundo capítulo) parece ser, então, o de honrar o real propósito da LGPD: trazer titulares - e não os seus dados - para o lugar de dínamo das regulamentações escritas com base na Lei nº 13.709/2018. Reforço a tal interpretação surge em seu §2º do Art. 2º, responsável por instituir de modo explícito que
Nenhum princípio, diretriz ou procedimento deste normativo deve ser interpretado como restritivo de outras garantias asseguradas aos Titulares, ou em desacordo com as disposições previstas nas normas e regulamentações vigentes, inclusive a LGPD ou normas expedidas pelos órgãos reguladores e autoridades competentes.
Pois é: texto mega-transparente. Vale notar que os objetivos do Normativo aderem a um recorte mais técnico da LGPD, focando em suas orientações mais pragmáticas.
O terceiro capítulo contém a confirmação do espírito atualizado do Normativo. O item IV do Art. 3º contém os três primeiros princípios do documento: “boa-fé”; “transparência e livre acesso” e; “finalidade, adequação e necessidade”.
Mas outros princípios ampliam a importância do Cap. III. “Não-discriminação” sustenta o peso de recomendações éticas e advertências que buscam afastar quem quer que seja de sua não-observância. Quando leio “não-discriminação”, entendo um convite a um tratamento equitativo dos dados.
Nesse ponto, porém, é a LGPD que abriga um detalhamento mais aprofundado em seu inciso II do Art. 5º, em que fica estabelecido que dado pessoal sensível é qualquer
(...) dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
A evocação da LGPD junto a esse princípio do Normativo é vital para o cumprimento de um dos seguintes: "responsabilização e prestação de contas”, já que só pode haver responsabilização por crimes e contravenções tipificados em Lei.
O quarto capítulo pode ser considerado o coração do Normativo. É aqui, por exemplo, que fica estabelecido que o Programa de Governança em Privacidade exigido pela LGPD pode ou não estar integrado a estruturas de governança já existentes nas signatárias, o que confere agilidade à sua implementação.
No seu Art. 5º, o Normativo abriga os requisitos mínimos que o Programa de Governança em Privacidade deve atender. E eles estão logo aqui abaixo:
I - Abranger todo e qualquer Dado Pessoal tratado pelas Signatárias;
II - Dispor sobre ações, medidas técnicas e administrativas que:
(a) previnam a ocorrência de danos decorrentes de situações acidentais ou ilícitas no Tratamento dos Dados Pessoais; e
(b) protejam os Dados Pessoais desde a concepção do produto ou serviço até a sua execução;
III - Estabelecer plano de resposta a incidentes de segurança e remediação;
IV – Adotar, manter e divulgar políticas que assegurem o cumprimento de normas e boas práticas relativas à Proteção de Dados Pessoais, inclusive Política de Segurança da Informação, de Privacidade e/ou de Proteção de Dados Pessoais;
V – Prever e implementar fluxo de atendimento aos direitos dos Titulares de Dados Pessoais previstos na LGPD;
VI – Contemplar a realização de ações educativas, conforme previsto no art. 14 deste normativo.
Daqui de cima, em nosso sobrevoo, pode parecer puramente burocrático, mas no recente relatório sobre brechas em cibersegurança publicado pelo Governo do Reino Unido, somente 19% dos negócios sediados nas terras atualmente regidas pela Rainha Elizabeth II apresentaram o que consta no item III: um plano de contingência. E isso é parte do mínimo exigido.
Daí em diante, o Normativo passa a ser dividido em Seções destinadas a se aprofundar um pouco mais em temas importantes como “Transparência sobre o Tratamento de Dados na relação com seus Titulares”, “Direitos dos Titulares”, “Bases Legais na LGPD” e “Revogabilidade da autorização de uso dos dados”. Uma leitura extremamente elucidativa que, infelizmente, não cabe no escopo do presente artigo devido à sua extensão. Fica o convite à leitura na fonte.
Ao abordar as Ações Educativas focadas nos direitos das pessoas naturais que atuam nos quadros de colaboradores e administradores das Signatárias, o Normativo abriga a previsão de que tais serviços podem ser terceirizados – desde que tenham como base mínima os principais aspectos da LGPD.
É ainda no Cap. IV que a Febraban aborda o tema do “Encarregado pelo Tratamento de Dados Pessoais”, abrindo a possibilidade de que todas as Signatárias contratem os serviços de uma mesma entidade para atuar na função de intermediar o contato com Titulares de Dados. Aqui, vale lembrar o conteúdo do parágrafo 4º do Art. 4º da LGPD:
§ 4º Em nenhum caso a totalidade dos dados pessoais de banco de dados de que trata o inciso III do caput deste artigo poderá ser tratada por pessoa de direito privado, salvo por aquela que possua capital integralmente constituído pelo poder público.
Espero que esteja gostando da viagem. Se quiser repor a bebida ou morder seu lanche, a hora é essa: entramos no último trecho de nosso voo.
O quinto capítulo serve ao estabelecimento dos procedimentos que deverão ser adotados pelas Signatárias para o tratamento de Dados Pessoais. É nesse capítulo que os Artigos 16 e 18 carregam informações sobre a obrigatoriedade da manutenção dos registros de cada operação de tratamento de Dados Pessoais e sobre a possibilidade de inclusão de cláusulas em contratos já existentes com terceiros ou a adequação daquelas que já contemplem o Tratamento de Dados Pessoais.
Iniciamos nossa aterrissagem fazendo a curva aqui no Cap. VI para destacar o espaço aberto no Normativo para a importância da observância do Código de Conduta Ética e Autorregulação Bancária, tornando-o guia das sanções aplicadas nos casos de desvio do instituído através do documento, publicado pela Febraban em 20 de dezembro de 2021.
Paisagem tão bonita que merece uma foto antes da descida.
Pondo os pés em terra, temos a indicação da data em que o Normativo SARB 025/2021 começa a produzir seus efeitos na realidade compartilhada pelas Signatárias: 60 dias a contar de sua publicação.
Já sem meus equipamentos de voo, gostaria de deixar minhas palavras de encerramento do presente artigo. Primeiro, considero razoável pensar que os procedimentos para a implementação das regras previstas no Normativo já tenham sido iniciadas, restando a clientes do sistema bancário também se informar a respeito de seus direitos enquanto Titulares de Dados Pessoais para tornar a relação com as Signatárias mais fluida, leve, produtiva e, especialmente, segura.
Na condição de comandante deste singelo voo vernacular, agradeço a você por sua confiança e a Luciano de Souza, Priscila Meyer, Lucas Zanotte, Danilo Almeida e Mariana Vasconcellos pela revisão do presente artigo - e a Filipe Machado, por observações valiosas que me distanciaram do erro - para o qual contribuíram com apontamentos valiosos.
Espero que esse breve sobrevoo tenha contribuído para uma visão mais ampla e detalhada das relações entre o Normativo SARB 025/2021 da Febraban e a Lei Geral de Proteção de Dados Pessoais, com determinantes consequências para a Segurança da Informação dos sistemas bancários e a garantia de privacidade no Tratamento de Dados Pessoais.