Com o objetivo de se obter um mercado dos serviços de pagamento mais inovador e competitivo, a Diretiva (UE) 2015/2366 do Parlamento Europeu e do Conselho, de 25 de novembro de 2015, relativa aos serviços de pagamento no mercado interno (DSP2), cede lugar ao Open Banking[1], que obriga à abertura dos sistemas dos bancos a novos prestadores de serviços e permite que estes tenham acesso aos dados bancários dos seus clientes. A DSP2 foi transposta para a ordem jurídica portuguesa pelo Decreto-Lei n.º 91/2018 de 12 de novembro, que estabelece o novo Regime Jurídico dos Serviços de Pagamento e da Moeda Eletrónica (RJSPME). Os diplomas vêm expressamente reconhecer o surgimento de novos dois serviços desenvolvidos pela mão de variadas Fintechs e à margem do âmbito da aplicação da anterior diretiva.
Os serviços de iniciação de pagamentos (SIP) desenvolveram-se no seio do comércio eletrónico, em substituição da utilização de cartões de pagamento ou crédito e oferecem a possibilidade de iniciar uma ordem de pagamento por solicitação do utilizador relativamente a uma conta junto do outro prestador de serviço que gere essa mesma conta (PSGCP)[2]. O utilizador permite, deste modo, o acesso por parte de um terceiro à sua relação com o banco, para que o primeiro possa iniciar um pagamento em sua substituição. Os prestadores de serviços de informação sobre contas (PSIC) dedicam-se, por sua vez, a fornecer ao utilizador de serviços de pagamento informações agregadas em linha sobre uma ou mais contas de pagamento detidas junto de outros prestadores de serviços de pagamento que estejam igualmente acessíveis online através de interfaces que o PSGCP faculta aos seus clientes.
A abertura da operação bancária dá-se precisamente pela necessidade dos novos prestadores, também denominados por Third Party Providers (TPP), de aceder às contas de pagamento do utilizador sediadas noutras entidades para prestar os seus próprios serviços. Posto isto, os bancos veem-se obrigados a permitir o acesso numa base objetiva, não discriminatória e proporcionada[3], reservando-se, somente, à faculdade de recusar o acesso por “motivos objetivamente justificados” perante o Banco de Portugal. Nos termos do disposto no n.º 1 do artigo 109.º do RJSPME, o banco pode recusar o acesso por motivos relacionados com o acesso fraudulento ou não autorizado à conta do pagamento por parte do prestador terceiro. Nos restantes casos, caberá aos Estados-Membros concretizar as condições de acesso que refere o artigo 36.º da DSP2 e outros fundamentos de recusa, o que envolve algum risco de fragmentação e desarmonização na aplicação da Diretiva.
O Open Banking configura uma consequência natural da evolução tecnológica que tem atingido o setor financeiro e os sistemas de pagamentos. Estes operadores já acediam às contas dos utilizadores através do meio disponibilizado pelo banco ao cliente, como se do próprio utilizador se tratasse. O acolhimento feito pela DSP2 exige que os TPPs se identifiquem como tal perante o banco do cliente e que comuniquem os dados necessários à execução do serviço de forma segura.[4] Para tal, prevê-se a possibilidade às instituições de crédito de construir interfaces dedicadas à comunicação com os Third Party Providers, evitando que o acesso se faça pela mesma interface que o utilizador – o homebanking.
Apesar de a lei seguir no sentido da salvaguarda dos dados e das credenciais de segurança personalizadas do utilizador[5], não se exige a manutenção de uma relação contratual entre os bancos e os TPPs para que o acesso se concretize. Tal circunstância poderia configurar um reforço à proteção do utilizador, na medida em que a responsabilidade pelo tratamento de dados seria melhor acordada e repartida entre os intervenientes e ajustada à realidade de cada prática comercial. O n.º 5 do artigo 106.º do RJSPME em nada impede a existência desse acordo, desde que tal não seja pressuposto sem o qual o TPP não possa aceder à conta de pagamento.
A lei determina que o utilizador tem de consentir expressamente na prestação e execução do serviço prestado pelos TPPs. A exigência de consentimento expresso do utilizador na Diretiva e no regime que a transpôs surge sempre associada ao acesso à conta de pagamento por parte de outros prestadores de serviços e no âmbito da proteção de dados pessoais, como consta no artigo 136.º do RJSPME. À primeira vista, parece fazer denotar que a exigência do consentimento para o acesso e prestação dos serviços pelos TPPs é diferente do consentimento necessário para autorizar a execução de uma operação de pagamento previsto no artigo 103.º do diploma.
Em sentido semelhante entendeu a Organização Europeia de Consumidores (BEUC)[6], ao considerar que se deve distinguir entre consentimento simples, exigido para a autorização das operações de pagamento, e consentimento expresso[7], necessário para o acesso aos dados bancários do utilizador por parte de prestadores terceiros. De igual modo considera que a menção do consentimento expresso remete para a definição de consentimento prevista no Regulamento Geral da Proteção de Dados (RGPD). Diferentemente, há quem considere que o consentimento expresso previsto na DSP2 se distingue do consentimento prestado nos termos do RGPD. Certo é que, não definindo o regime em que consiste o consentimento que o utilizador deverá prestar, quando estiver em causa o tratamento de dados pessoais cuja base de licitude se funda neste, nos termos da alínea a), do n.º 1 do artigo 6.º do RGPD, é necessário cumprir os requisitos de validade do consentimento, nomeadamente, consistir na manifestação de vontade livre, informada, expressa e específica.
Apesar da razão que lhe assiste, não nos parece que seja tão estático que o consentimento expresso referido na DSP2 e no nosso RJSPME se refira automaticamente ao consentimento necessário para o tratamento de dados pessoais. Veja-se o caso da alínea f), do n.º 2 do artigo 107.º do RJSPME, que refere que o prestador de serviços “não utiliza (…) dados nem acede aos mesmos para outros fins que não sejam a prestação do serviço de informação sobre contas expressamente solicitado pelo utilizador, de acordo com as regras em matéria de proteção de dados.” Com isto, parece-nos haver alguma ambiguidade entre consentir e solicitar expressamente um serviço com a consequente celebração de um contrato. A preocupação da manifestação expressa poderá ir ao encontro da necessidade, aquando da celebração do contrato, de fazer o utilizador ficar ciente de que está a permitir – e a consentir – o acesso à sua conta.
O considerando 89 da DSP2 reconhece precisamente a possibilidade da prestação de serviços de pagamento implicar o tratamento de dados pessoais, remetendo para a legislação competente. Este preceito enumera a importância da referência à base jurídica para o tratamento desses dados ao utilizador. Pois bem, não se compreende a necessidade da exigência do consentimento expresso, uma vez que, na prestação de um serviço estará em causa a celebração e execução de um serviço, que o poderá ser feito ao abrigo de um contrato-quadro ou através de um contrato de prestação de serviços para a execução de operações de pagamento de carácter isolado.
Se o prestador, mesmo que terceiro à relação do banco e o seu cliente, acede à conta de pagamento e, consequentemente, a certos dados referentes à mesma, fá-lo ao abrigo da execução do contrato que o utilizador se dispôs a celebrar com o TPP, mesmo que no seio do comércio eletrónico. Pelo exposto, é difícil compreender a exigência, no n.º 3 do artigo 136.º do RJSPME, do consentimento expresso para tratar e conservar os dados pessoais do utilizador, dado que, o tratamento é lícito ao abrigo da alínea b), do n.º 1 do artigo 6.º do RGPD. O mesmo se diz em relação à necessidade de conservação dos dados relativos à operação efetuada ao abrigo da alínea c) da referida norma, para cumprimento do ónus que impende sobre o prestador de provar que a operação foi devidamente autenticada, registada e que não foi afetada por qualquer avaria técnica ou por deficiência do serviço prestado, nos termos do n.º 2 do artigo 113.º do RJSPME. O tratamento deverá estar sempre limitado ao estritamente necessário para a prestação do serviço, embora a concretização e limitação dessa necessidade no âmbito dos serviços de informação sobre contas seja de maior complexidade.
Deste modo, o caso mais desafiante do ponto de vista do tratamento de dados pessoais, é a atividade desenvolvida pelos prestadores de serviços de informação sobre contas, que se desenvolve, precisamente, em torno da recolha e utilização de informações financeiras de um concreto utilizador. Pela própria funcionalidade, estes serviços recorrerão com frequência a decisões automatizadas e à definição de perfis com os dados recolhidos dos seus clientes, nomeadamente, para a prestação de aconselhamento sobre gestão financeira. Por outro lado, estas entidades terão acesso a todas as transações realizadas por um utilizador nas suas várias contas de pagamento, podendo tais operações estar iminentemente ligadas a dados sensíveis do mesmo ou revelar dados sobre o beneficiário ou de um segundo titular da conta que não solicitou, nem consentiu no entender da DSP2, a prestação do serviço. [8]
O tratamento de dados sensíveis, as decisões automatizadas e a definição de perfis são objeto de proteção reforçada no âmbito do RGPD, respetivamente, nos artigos 9.º, 21.º e 22.º. Os prestadores de serviços de informação sobre contas têm de ser capazes de assegurar os direitos que assistem ao utilizador enquanto titular dos dados pessoais e salvaguardar as obrigações de transparência que lhes incumbe, ao informar o utilizador da existência de decisões automatizadas, a lógica subjacente às mesmas e importância e as consequências que daí advêm.
Em relação ao tratamento de categorias especiais de dados, a execução de um contrato já não se mantém suficiente para o tratamento lícito do mesmo. Será, certamente, um desafio conciliar o consentimento explícito que o RGPD exige para o tratamento destes dados com o modelo de negócio da maioria dos TPP, que opera no seio de um ambiente digital. Por outro lado, é um incentivo aos vários operadores de se tornarem a melhor opção para os utilizadores. É esta senda que tende a fomentar o desenvolvimento tecnológico, exigindo das entidades uma crescente inovação.
A retirada do protagonismo às instituições de crédito no mercado dos serviços de pagamento permitirá oferecer aos consumidores soluções menos onerosas e associadas a uma crescente simplicidade. Tudo tende a parecer promissor com a nova abertura, aliada ao reforço da segurança no seio das transações de pagamento eletrónicas. As oportunidades são evidentes, mas não deixa de se fazer incidir um novo risco com a transmissão das credenciais de segurança personalizadas aos prestadores terceiros e a suscetibilidade de surgir novos meios sofisticados de fraude aquando da comunicação entre os prestadores ou no momento da intermediação feita pelo serviço de iniciação. Mas, por outro lado, o aumento da responsabilidade por parte de todos os intervenientes, permitirá assumir uma atitude preventiva no sentido de se adotar medidas eficientes de segurança para proteger a confidencialidade e a integridade das credenciais e o mesmo se pode entender em relação à implementação da autenticação forte a operações realizadas online, efetuada de forma dinâmica para cada transação e que, por força do n.º 6 do artigo 104.º do RJSPME, pode ser aplicada pelos TPPs.
[1] Em português, operação bancária aberta. [2] O RJSPME define, na alínea qq) do artigo 2.º, a nova figura de “Prestador de serviços de pagamento que gere a conta”, que consiste num prestador de serviços de pagamento que disponibiliza e mantém contas de pagamento para um ordenante. [3] O artigo 69.º n.º 1 da RJSPME prevê expressamente que “as instituições de crédito asseguram às instituições de pagamento e às instituições de moeda eletrónica, numa base objetiva, não discriminatória e proporcionada, o acesso aos serviços de pagamento referidos no artigo 4.º que sejam adequados a permitir que as instituições requerentes prestem serviços de pagamento de forma eficiente e sem entraves.” [4] Neste âmbito, revela o Regulamento Delegado (UE) 2018/389 da Comissão, de 27 de novembro de 2017 que complementa a Diretiva (UE) 2015/2366 do Parlamento Europeu e do Conselho no que respeita às normas técnicas de regulamentação relativas à autenticação forte do cliente e às normas abertas de comunicação comuns e seguras, cuja aplicação se iniciou a 13 de setembro de 2019, juntamente com outras normas presentes na DSP2 em matéria de segurança. [5] Veja-se a alínea e), do n.º 3 do artigo 106.º do RJSPME, que estabelece que o PSIP não pode armazenar dados de pagamento sensíveis do utilizador que, de acordo com a definição plasmada na alínea k) do artigo 4.º, consistem, precisamente, nas credenciais de segurança personalizadas. [6] The European Consumer Organisation, “Beuc’s recommendations to the EDPB on the interplay between the GDPR and PSD2”, BEUC-X-2019-021, Bruxelas, abril de 2019. [7] Na versão inglesa da DSP2 refere-se a “explicit consent”. [8] A BEUC refere como exemplo as doações para um grupo partidário ou o pagamento da mensalidade referente à subscrição de uma revista religiosa.
