O objetivo da regra, a ser implementada até 1º de novembro, é regulamentar o compartilhamento de dados e informações sobre indícios de fraudes entre as instituições financeiras, com o objetivo de evitar ações criminosas. Mas alguns pontos podem criar mais problemas.
O Banco Central (BC) e o Conselho Monetário Nacional (CMN) aprovaram recentemente norma que pretende reduzir a assimetria de informação no que diz respeito ao acesso a dados e informações utilizadas para subsidiar procedimentos e controles para prevenção de fraudes no ambiente financeiro.
As instituições financeiras e demais empresas autorizadas a funcionar pelo BC terão de compartilhar dados e informações entre si sobre fraudes registradas no Sistema Financeiro Nacional (SFN) e no Sistema de Pagamentos Brasileiro (SPB).
Prevista para ser implementada até 1º de novembro de 2023, a nova resolução, de acordo com especialistas, pode gerar mais dor de cabeça se não passar por uma revisão em determinados pontos.
Fernando Gardinali, sócio do Kehdi Vieira Advogados, lembra que em primeiro lugar, por tratar de compartilhamento de informação sigilosa (assim prevista em lei), essa regulamentação deveria ser feita por lei (talvez por alteração da própria lei de sigilo bancário – Lei Complementar 105/01).
Segundo ele, o compartilhamento dessas informações depende do prévio consentimento do cliente (art. 2º, § 3º: “As instituições de que trata o caput devem obter do cliente com quem possuam relacionamento o consentimento prévio e geral, possibilitando o registro dos dados e das informações de que trata o § 2º que digam respeito ao referido cliente”). Daí surgiria uma questão. “Como a instituição financeira deverá tratar o cliente que não der esse consentimento? Poderá considerar essa negativa como um fator de incremento de risco? Se sim, isso não violaria a LGPD (autodeterminação informacional) ou mesmo a presunção de inocência (art. 5º, LVII, da Constituição Federal)?
Gardinali lembra que João André Calvino, chefe do departamento de regulação do BC, disse em entrevista ao jornal Valor Econômico que “se o cliente não dá a autorização, acende um alerta. A norma não especifica qual é a ação que deve ser tomada, depende dos controles internos de cada instituição”.
Esse sistema de troca de informações constituirá um gigantesco banco de dados, com informações relevantes sobre fraudes bancárias. Os dados serão oriundos dos agentes privados (instituições financeiras) e a inteligência também será feita pelos agentes privados. De acordo com Gardinali, “guardadas as devidas proporções, será um novo COAF”, pelo volume e relevância das informações. Só que, ao contrário do COAF, que faz a análise das informações (trabalho de inteligência estatal), aqui teremos a análise feita pelas próprias instituições financeiras (trabalho de inteligência privado)”.
Em relação à privatização do trabalho de inteligência, ele questiona que por um lado, pode ser positivo, por representar um incremento da análise (os agentes privados podem dispor de melhor aparato, se comparado com o público). Por outro lado, frisa que pode ser negativo, tanto para o agente privado, porque isso implica maior responsabilidade sobre o agente privado (se a instituição financeira errar na análise, talvez possa ser responsabilizada pelas consequências que essa informação financeira repercutir na atividade de investigação estatal), como para o ente público, que acaba perdendo o controle de uma tarefa fundamental da investigação (que é justamente o trabalho de inteligência)
A resolução ainda prevê que o acesso aos dados e às informações será restrito às instituições financeiras, ao BACEN e às “demais autoridades competentes, nos termos da legislação em vigor” (art. 11). Ele questiona: “Quais são essas autoridades? Polícia, Ministério Público? Esse acesso necessita de autorização judicial?
Outro ponto crítico enfatizado por Gardinali. “Outras instituições financeiras poderão utilizar, externamente, as informações de fraudes que receberem nesse intercâmbio? Exemplificando: se a instituição A verifica que foi vítima de um ilícito praticado pela pessoa X; e se ela verifica nesse sistema que essa pessoa X é suspeita de ter praticado uma fraude na instituição B (que compartilhou essa informação no sistema); a instituição A poderá utilizar a informação que obteve no sistema em uma notícia de crime (ou, de qualquer modo, comunicar esse fato a alguma autoridade)?”.
São pontos críticos ainda não bem elucidados e que mereceriam um olhar mais atento para não gerar problemas futuros.