Blog | Incognia

Como o PIX vai reforçar a importância da LGPD no setor financeiro

Written by Raíssa Moura | 25/nov/2020 11:48:00

O Pix é o grande assunto do momento e, embora o Banco Central afirme que o número de chaves cadastradas já atingiu 50 milhões, ainda há muitas dúvidas sobre como o novo sistema vai funcionar. Uma das principais preocupações é em relação à privacidade e segurança dos clientes, visto que as instituições terão acesso não apenas aos dados pessoais dos usuários, como também a toda a sua movimentação financeira. Diante disso, vale lembrar que a Lei Geral de Proteção de Dados (LGPD) já está em vigor e o Pix foi desenvolvido em conformidade com a legislação, reforçando, inclusive, a necessidade de as empresas se adaptarem a ela caso queira participar do novo sistema de pagamentos. Apresentamos aqui algumas das características do Pix que se relacionam diretamente com a LGPD e o que isso significa para o consumidor. 

De acordo com uma pesquisa realizada pela consultoria Bain & Company, cerca de 63% dos brasileiros afirmam ter interesse em utilizar o Pix futuramente ou já terem cadastrado alguma chave. No entanto, desse total, apenas 24% conhece o novo sistema, enquanto 38% admite não saber do que se trata. Dentre os que não demonstram interesse em aderir à novidade, o receio em relação à segurança do sistema está entre as principais razões citadas pelos entrevistados (18%). 

Os números revelam que existe uma falta de informação mesmo entre os interessados, o que pode levar muitos consumidores a não utilizarem o sistema em um primeiro momento, mesmo com as chaves cadastradas, por não saberem como ele funciona e por medo de sofrerem algum tipo de golpe ou violação de privacidade. No entanto, o Pix está estreando em um momento em que a Lei Geral de Proteção de Dados (LGPD) já está em vigor. Além do fato do sistema financeiro nacional já possuir regulações sobre sigilo bancário há muito tempo, possuindo um regramento consistente de segurança cibernética. 

Um caso marcante foi da agência de crédito Equifax, condenada a pagar uma multa de US$ 700 milhões devido a um vazamento de dados em 2017. Na ocasião, hackers roubaram os dados de 147 milhões de pessoas, entre norte-americanos, canadenses e britânicos. Na época, a General Data Protection Regulation (GDPR) ainda não estava em vigor, por isso o Reino Unido multou a empresa em £500 mil - caso o regulamento já estivesse valendo, esse valor poderia chegar a 4% do faturamento anual da companhia. Igualmente, a Comissão de Comércio Norte America (FTC) fez um acordo com a Equifax, segundo o qual a empresa pagou $575 milhões, além de ser obrigada a reforçar seus sistemas de segurança.

Casos como esses mostram que as instituições não estavam preparadas para proteger seus clientes. Portanto, legislações como a LGPD e a GDPR acabam forçando as empresas a investirem em sistemas de segurança e adotarem iniciativas para promover uma maior transparência com os consumidores.

Um relatório da Deloitte sobre o impacto da GDPR em serviços financeiros revelou que 51% das empresas do setor afirmam ter feito algum tipo de investimento para atender às exigências da nova lei. Isso inclui desde a implementação de novas tecnologias até a contratação de especialistas em segurança da informação. 

Voltando ao Brasil, o cenário é um pouco diferente. Por aqui, a LGPD já está em vigor e isso significa que o Banco Central precisou levar em consideração todas as exigências da lei para criar o novo serviço de pagamentos instantâneos. De fato, especialistas afirmam que o Pix cumpre não apenas a Lei Geral de Proteção de Dados Pessoais, como também a Lei Complementar n. 150/2001 (Lei do Sigilo Bancário), a Resolução do Conselho Monetário Nacional n. 4.658/2018 (Política de Segurança Cibernética), a Circular do BACEN n. 3.909/2018, a Lei do Cadastro Positivo, o Código de Defesa do Consumidor e, inclusive, o Código Penal.

Considerando o artigo 5°, I, da LGPD, os dados bancários se enquadram na classificação de dados de natureza pessoal. Portanto, todas as atividades do Pix e o controle das chaves devem respeitar a legislação e tratar os dados conforme disposto no artigo 7º, que fala sobre a base legal adequada para tratar o dado do consumidor. Assim, o novo sistema de pagamentos só poderá coletar dados dos clientes para realizar transações financeiras, visto que o acesso e uso de informações deve se limitar à finalidade para qual o dado foi coletado, sendo que a criação e a disponibilização da chave Pix depende de consentimento do cliente, e deve observar, dentre outras coisas, os requisitos da LGPD.

O Banco Central exige que as instituições participantes do Pix disponham de sistemas de autenticação, criptografia, prevenção e detecção de invasores e prevenção de vazamento de informações (art. 3°, §2° da Res. 4.658 do CMN). Somado-se a isso, as instituições também estão impedidas de compartilhar qualquer dado que esteja protegido sob a Lei de Sigilo Bancário (Lcp n° 105/2001) com terceiros, como operadoras de telefone e a Receita Federal, obrigação esta que, em regra, se estende ao próprio Banco Central. 

Sem dúvida, a estreia do Pix no Brasil reforça a importância da adoção de medidas eficazes para proteger os dados e a privacidade dos consumidores, tal como previsto na LGPD e normativas do Conselho Monetário Nacional.

Felizmente, as empresas já estão se movimentando desde que a lei foi anunciada, há dois anos, para se adaptar às novas exigências, e quem quiser participar do Pix deverá estar em conformidade com o arcabouço regulatório do Conselho Monetário Nacional e com a legislação. Os clientes vão optar pelas instituições que oferecerem a melhor experiência, e isso inclui onde eles se sentirem mais seguros. 

O relatório da Deloitte sobre a GDPR mostra que as empresas estão cientes disso. Cerca de 61% das instituições financeiras entrevistadas afirmaram que o principal motivo para adotarem novas medidas de segurança, conforme estabelecido pela legislação europeia, foi “aumentar a confiança do consumidor”. 

Com o aumento de transações digitais devido à chegada do Pix, haverá mais oportunidades para os fraudadores também. Por isso, é essencial que as empresas brasileiras estejam preparadas e busquem tecnologias e soluções para reforçarem seus sistemas de segurança.

A Incognia, por exemplo, aplica a metodologia de “privacy by design”, que coloca a privacidade do cliente como foco desde a concepção, respeitando todas as disposições da LGPD. Por meio da biometria comportamental por localização, preservamos a identidade do usuário e reduzimos a fricção no aplicativo, o que é essencial para garantir a boa experiência do usuário e ainda fornecer uma camada extra de segurança. No caso do Pix, nossa tecnologia é capaz de identificar inclusive fraudes envolvendo QR codes falsos, enviando uma nota de risco que alerta as instituições sobre atividades suspeitas. Saiba mais sobre como a Incognia pode ajudar a sua empresa.