Modelo de Participação
Existem dois tipos de participantes no Open Finance Brasil: obrigatórios e voluntários. Entenda quais normas e obrigações que cada modalidade precisa atender para participar.
Também está contemplada nos modelos de participação a possibilidade das instituições participantes, de maneira obrigatória ou voluntária, realizarem parcerias autorizadas pelo Banco Central.
Obrigatórias
Existem três casos de compartilhamento de dados e serviços no escopo do Open Finance previstos na regulamentação vigente para participação obrigatória de instituições no ecossistema:
No caso de compartilhamento de dados:
As instituições enquadradas nos Segmentos 1 (S1) e 2 (S2) de que trata a Resolução 4.553, de 2017, exceto as instituições integrantes de conglomerados prudenciais que não prestem os serviços relacionados aos dados transacionais de clientes.
No caso de compartilhamento de serviço de iniciação de transação de pagamento:
As instituições detentoras de conta de depósitos à vista ou de poupança ou de pagamento pré-paga; e as instituições iniciadoras de transação de pagamento.
No caso de compartilhamento de serviço de encaminhamento de proposta de crédito:
As instituições reguladas que tenham firmado contrato de correspondente no País para receber e encaminhar, por meio eletrônico, propostas de operações de crédito.
Voluntárias
Podem, de forma voluntária, fazer parte do ecossistema do Open Finance para o compartilhamento de dados outras instituições financeiras e de pagamento autorizadas a funcionar pelo BC, desde que disponibilizem interface dedicada na condição de instituição transmissora de dados e registrem a sua participação no repositório de participantes a ser proposta pela estrutura responsável pela governança do processo de implementação do Open Finance.
Parcerias
A regulamentação do Open Finance permite que as instituições participantes, por meio de autorização do Banco Central, contratem parcerias com o objetivo de compartilhar dados de cadastro de clientes e de seus representantes, bem como dados transacionais dos clientes. Confira as regras para esse tipo de colaboração.
A regulamentação vigente do Open Finance permite a participação no ecossistema de instituições financeiras, instituições de pagamento e demais instituições autorizadas a funcionar pelo Banco Central do Brasil. (art. 1º, Resolução Conjunta nº. 01/2020). Contudo, o art. 36 dessa regulamentação possibilita que instituições participantes do Open Finance – somente autorizadas pelo BC – contratem parcerias com entidades não autorizadas com o objetivo de compartilhar dados de cadastro de clientes e de seus representantes, bem como dados transacionais dos clientes relacionadas com: contas de depósito à vista, contas de depósito de poupança, contas de pagamento pré-pagas, contas de pagamento pós-pagas, operações de crédito, conta salário, operações de câmbio, serviços de credenciamento em arranjos de pagamento, contas de depósito a prazo e outros produtos com natureza de investimento, seguros e previdência complementar aberta. O consentimento do cliente é requisito essencial para esse compartilhamento.
A regulamentação determina, ainda, a responsabilidade das instituições participantes pela garantia da confiabilidade, disponibilidade, segurança e pelo sigilo do compartilhamento, respondendo diretamente pelas parcerias que estabelecerem com não autorizadas. Assim, para garantir total supervisão sobre tais parcerias, o regulador estabelece requisitos mínimos que devem ser observados pelas instituições participantes, especialmente no que se refere a governança e requisitos contratuais, cabendo a essas a instituição de mecanismos de acompanhamento e de controle, contendo definição de métricas, testes, indicadores, trilhas de auditoria, etc.
Importante ressaltar que o BC poderá vetar ou impor restrições ao compartilhamento com parceiros não autorizados, se constatar a inobservância da regulamentação, bem como a limitação à sua atuação, estabelecendo prazo para a adequação de processos.
Além da adoção de práticas de governança corporativa e de gestão proporcionais aos riscos a que estejam expostas, antes da contratação da parceria, as instituições participantes devem adotar, mantendo-os atualizados e documentados, procedimentos que contemplem a verificação da capacidade do potencial parceiro de assegurar:
I. O cumprimento da legislação e da regulamentação em vigor;
II. O acesso da instituição contratante a informações sobre a efetividade da transferência de dados e de informações sobre serviços compartilhados; a confidencialidade, a integridade, a disponibilidade e a recuperação de dados e de informações sobre serviços compartilhados;
III. A aderência a certificações exigidas pela instituição contratante para a execução do compartilhamento,
IV. O acesso da instituição contratante aos relatórios elaborados por empresa de auditoria especializada independente, contratada pelo potencial parceiro, relativos aos procedimentos e aos controles utilizados no compartilhamento;
V. O provimento de informações e a existência de recursos de gestão adequados ao monitoramento do compartilhamento;
VI. A qualidade dos controles de acesso voltados à proteção dos dados e de informações sobre serviços compartilhados.
A contratação de parcerias entre instituições autorizadas a funcionar pelo BCB e com o objetivo de que o parceiro contratado atue em nome da instituição contratante para fins de compartilhamento é vedada pela regulamentação.
A instituição participante do Open Finance que contratar parcerias com empresas não supervisionadas pelo BCB deve possuir recursos e competências necessários para a adequada gestão da parceria.
As instituições devem assegurar que suas políticas e estratégias para gerenciamento de riscos contemplem, inclusive, os critérios de decisão para a contratação de parcerias. Para compartilhamento de dados com entidades localizadas no exterior, a avaliação deve contemplar o local para o qual os dados dos clientes poderão ser compartilhados, com observância da legislação vigente. Essas políticas e estratégias devem ser aprovadas previamente pelo Conselho de Administração.
A contratação de parceria deve ser precedida da emissão de parecer favorável por parte do diretor responsável pelo Open Finance na instituição participante.
Além do compartilhamento dos dados, os contratos de parcerias devem contemplar:
I. Os papéis e as responsabilidades das partes contratantes;
II. Indicação dos países e da região em cada país para onde os dados ou informações poderão ser compartilhados;
III. Adoção de medidas de segurança para a recepção e o armazenamento dos dados ou informações;
IV. Informações relativas à s certificações e aos relatórios de auditoria;
V. Informações e recursos de gestão adequados ao monitoramento do compartilhamento;
VI. Permissão de acesso do BCB aos contratos firmados para o compartilhamento, à documentação e à s informações referentes aos dados ou informações sobre serviços compartilhados, bem como aos códigos de acesso a tais informações;
VII. Permissão para adoção de medidas pela instituição contratante, em decorrência de determinação do BCB;
VIII. Observância dos padrões tecnológicos e de procedimentos operacionais estabelecidos na regulamentação e convenção;
IX. Obrigação de o parceiro contratado manter a instituição contratante permanentemente informada sobre eventuais limitações que possam afetar o compartilhamento;
X. Os procedimentos para o tratamento de demandas encaminhadas pelos clientes.
A norma prevê, ainda, vedação à inclusão no objeto do contrato, a prestação de serviços, pelo parceiro contratado, de atividades de atendimento a clientes em nome da instituição contratante, previstas na regulamentação que dispõe sobre correspondentes no País. De igual modo, há vedação para o compartilhamento de dados de transações de clientes de outras instituições.
O contrato ainda deve contemplar o dever de informação ao cliente de que o parceiro não atua em nome da instituição, para fins do compartilhamento, bem como regras de suspensão do compartilhamento em caso de resoluções das instituições e rescisões contratuais.
As instituições que na data de entrada em vigor desta Resolução Conjunta nº1, ou seja, 01.06.2020, já tiverem contratos com entidades não autorizadas, cujo objeto preveja o compartilhamento de dados e serviços, conforme exposto no item 1, devem ter apresentado ao BCB, até 3 de novembro de 2020, cronograma para adequação ao cumprimento dessas regras, sendo 31.12.2021 o prazo máximo para finalização do plano de adequação.
Desse modo, as instituições participantes devem avaliar eventuais parcerias já contratadas, de modo a identificar se essas se enquadram nos requisitos aqui descritos, e, em caso afirmativo, devem ter apresentados o cronograma de adequação no prazo supra informado, além de implementar processos de modo a adequar seus contratos e políticas com os parceiros, caso seja necessário.