No início de 2020, o Banco Central do Brasil anunciou o lançamento do Pix, o sistema brasileiro de pagamentos instantâneos, que funcionará como alternativa aos conhecidos TED e DOC. As vantagens desse novo sistema são claras: funcionamento 24 horas por dia e 7 dias por semana; transferências finalizadas em menos de 10 segundos; e uso gratuito para pessoas físicas.
Os cadastros individuais no sistema Pix tiveram início no dia 5 de outubro de 2020 e, desde então, emergiram preocupações atinentes à proteção dos dados pessoais dos usuários, em consonância com a Lei Geral de Proteção de Dados (Lei n. 13.709/18), e aos golpes ocorridos na internet.
Primeiramente, é importante entender que os usuários do Pix, assim como os das outras plataformas do sistema bancário, estarão sujeitos a fraudes. Por essa razão, o próprio Banco Central recomendou aos bancos que implementassem ativamente sistema de segurança com criptografia avançada, inclusive adquirindo um HSM (Hardware Security Module).
O volume exorbitante de pessoas cadastradas no novo sistema (cerca de 30 milhões em pouco mais de uma semana) revela a preocupação que os bancos precisam ter para garantir os direitos e a segurança dos titulares de dados pessoais no país.
É, portanto, de extrema importância que os bancos e demais instituições financeiras se adequem às normas da LGPD, a fim de garantir essencialmente a proteção dos dados pessoais de seus clientes, que serão tratados durante os serviços de transferência do Pix, assim como ocorre nos métodos de transferência tradicionais.
Nesse sentido, ainda durante os primeiros dias de cadastro na plataforma (05/10), já houve casos de pessoas vitimadas por fraudes que utilizavam a novidade para ludibriá-los, como tentativas de roubo de dados e golpes bancários. É nesse ambiente que a proteção dos dados pessoais dos titulares ganha maior relevância, pois as armadilhas virtuais criadas pelos criminosos visam principalmente à coleta dessas informações, por meio de sites falsos que simulam a plataforma Pix.
Por fim, cabe também apontar que a agilidade inovadora do Pix é possível, dentre outras razões, pela desnecessidade de maiores informações quanto aos dados pessoais do destinatário da transferência, que pode ser feita somente com o número de CPF/CNPJ, nome ou e-mail, uma vez feito o registro da pessoa no sistema e originada uma chave-Pix.
Portanto, tal aperfeiçoamento observa, de forma muito positiva aos titulares, os princípios da finalidade, adequação e da necessidade, elencados na Lei Geral de Proteção de Dados, em seu artigo 6° [1].
A aderência do Pix aos princípios da LGPD não é inesperada, tendo em vista que o sistema está inserido no contexto da agenda BC# do Banco Central lado a lado com o Open Banking, iniciativa do regulador que visa justamente dar aos clientes bancárias totais poderes sobre seus dados.
O lançamento do Pix representa um avanço em muitos aspectos para o sistema financeiro brasileiro e não deixa de lado as exigências legais impostas pela LGPD. Os dados pessoais cadastrados na plataforma deverão ser protegidos e os direitos dos titulares amparados contra potenciais fraudes e golpes. O Banco Central está muito atento a essa realidade e é igualmente importante que os demais atores do mercado também estejam, sob pena de aplicação das sanções previstas na referida Lei.
É baseado nessas necessidades tão relevantes que o Torreão Braz Advogados desenvolveu um programa de compliance complexo e eficaz, para promover a adequação de instituições que possuem o tratamento de dados dentro de suas operações. Para conhecer mais sobre as atividades em proteção de dados do escritório, clique aqui.
[1] Art. 6º da Lei n. 13.709/2018: As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:
I – finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
II – adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
III – necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
