Na sequência de textos sobre relações da Lei Geral de Proteção de Dados com outros atos normativos no país que também tratam da proteção de dados, após a análise da Constituição, do Código de Defesa do Consumidor e do Código Civil, passa-se à Lei do Sigilo Bancário.
A LGPD também dialoga com a Lei do Sigilo Bancário (Lei Complementar nº 105/2001), não apenas nas relações dos clientes com as instituições (o que leva também à observância do Código de Defesa do Consumidor), mas ainda nas relações jurídicas das instituições financeiras entre si e nas suas demais contratações com terceiros.
A Lei Complementar nº 105/2001 regula o sigilo das operações realizadas pelas instituições financeiras (listadas em seu art. 1º, §§ 1º e 2º) e as situações em que ele pode ser excepcionado. Como a própria denominação indica, a Lei do Sigilo Bancário trata do sigilo como regra geral nas atividades bancárias, em virtude da natureza jurídica dos dados e em respeito à privacidade da vida financeira das pessoas. Por outro lado, a lei também contém regras para evitar que o sigilo seja utilizado como um meio para facilitar a prática de atividades ilícitas.
As normas de proteção de dados na Lei do Sigilo Bancário são as seguintes:
1) Dever de sigilo (art. 1º, caput, da Lei do Sigilo Bancário): o direito à privacidade previsto na Constituição é tratado como regra nas atividades das instituições financeiras, com base na natureza jurídica dos dados dos clientes. Assim, a lei inicia com o principal dever imposto a suas destinatárias, de manutenção do sigilo em todas as operações ativas e passivas e nos serviços prestados. Além disso, o § 3º do art. 1º da da Lei do Sigilo Bancário descreve as atividades que podem ser realizadas sem a violação do dever de sigilo (que serão analisadas na sequência), enquanto o seu § 4º prevê as hipóteses de quebra do sigilo. Logo, há novamente uma preocupação legislativa anterior com a proteção e o sigilo dos dados pessoais, em decorrência da tutela da vida privada, o que se repete na Lei Geral de Proteção de Dados, que tem entre os seus fundamentos a inviolabilidade da intimidade, da honra e da imagem (art. 2º, IV, da LGPD) e os direitos do titular têm sua base principal nos direitos fundamentais de liberdade, de intimidade e de privacidade (arts. 1º e 17 da LGPD);
2) Compartilhamento de dados cadastrais entre instituições financeiras e centrais de risco (art. 1º, § 3º, I, da Lei do Sigilo Bancário): conforme a primeira hipótese de ausência de violação de sigilo, as instituições financeiras podem trocar informações entre si, o que compreende, inclusive, o compartilhamento de dados para verificar a veracidade e a autenticidade dos dados cadastrais (e, entre outros objetivos, evitar fraudes de cadastros e documentos), além de comunicarem mutuamente a ocorrência de eventuais riscos nas contratações (de inadimplência, fraude ou por outras razões). Esse compartilhamento deve observar, especialmente, os princípios da finalidade e da necessidade (art. 6º, I e III, da LGPD), razão pela qual os dados compartilhados devem ser apenas os necessários para o objetivo pretendido e devem ser utilizados para a finalidade específica pretendida com o compartilhamento. Acrescenta-se que o titular tem o direito de obter informações sobre o compartilhamento de seus dados e da sua finalidade (art. 9º, V, da LGPD);
3) Fornecimento de informações em cadastros de emitentes de cheques sem provisão de fundos e de inadimplentes a entidades de proteção de crédito (art. 1º, § 3º, II, da Lei do Sigilo Bancário): na segunda hipótese de ausência de violação de sigilo, as instituições financeiras não precisam consultar previamente o devedor sobre a comunicação do fato (dívidas vencidas e cheques sem provisão de fundos) aos órgãos de proteção de crédito. Contudo, ele deve ser notificado previamente da inscrição, o que lhe dá, por exemplo, o direito de acesso e de correção de dados eventualmente incorretos (art. 18, II e III, da LGPD). Ainda, tal fornecimento e tratamento dos dados enquadra-se na hipótese de proteção do crédito prevista no art. 7º, X, da LGPD, e o o titular tem o direito de obter informações sobre o compartilhamento dos dados e da sua finalidade (art. 9º, V, da LGPD);
4) Fornecimento de informações acerca de contribuições tributárias recolhidas que incidirem sobre operações bancárias e financeiras (art. 1º, § 3º, III, da Lei do Sigilo Bancário): a terceira hipótese de ausência de violação de sigilo trata do fornecimento de dados que eram prestados pelas instituições financeiras à Receita Federal, sobre a retenção e o recolhimento da contribuição provisória sobre movimentação ou transmissão de valores e de créditos e direitos de natureza financeira (CPMF), com a identificação dos contribuintes e suas operações (art. 11, § 2º, da Lei nº 9.311/96). Assim, o dispositivo permite que, nos tributos incidentes sobre operações financeiras, as instituições devem repassar à Receita Federal as informações (e os dados) relacionadas ao fato gerador, como os contribuintes e os valores globais das operações que levaram à incidência do tributo, entre outras. Esse tratamento dos dados pelas instituições financeiras e, de forma compartilhada, pela Receita Federal, enquadra-se na hipótese de cumprimento de dever legal prevista no art. 7º, II, da LGPD. Da mesma forma que nos dois casos anteriores, o titular tem o direito de obter informações sobre o compartilhamento de seus dados e da sua finalidade (art. 9º, V, da LGPD);
5) Comunicação da prática de ilícitos penais ou administrativos (art. 1º, § 3º, IV, da Lei do Sigilo Bancário): de acordo com a quarta hipótese de ausência de violação, o sigilo bancário não protege a prática de atos ilícitos, penais ou administrativos, o que compreende também as operações posteriormente realizadas com os recursos oriundos das práticas criminosas (ou seja, a lavagem de dinheiro);
6) Fornecimento consentido de dados pelos interessados (art. 1º, § 3º, V, da Lei do Sigilo Bancário): na quinta hipótese de ausência de violação de sigilo, em acréscimo às anteriores, a Lei do Sigilo Bancário já prevê a possibilidade do consentimento do titular como um requisito para o tratamento dos dados, ou seja, é lícita a revelação dos dados bancários com o consentimento expresso do titular. Na Lei Geral de Proteção de Dados, o consentimento deve ser livre, expresso (manifestação positiva da vontade do titular), inequívoco, por escrito, revogável (revogabilidade do consentimento), de finalidade específica e limitada (art. 5º, II, da LGPD).
7) Prestação de informações no cumprimento de dever legal (art. 1º, § 3º, VI, da Lei do Sigilo Bancário): a sexta hipótese de ausência de violação de sigilo é a mais ampla e prevê que devem ser fornecidas informações pelas instituições financeiras nos termos e condições dos casos previstos nos arts. 2º a 7º e 9º da lei, que compreendem, por exemplo, o acesso aos dados pelo Banco Central do Brasil no desempenho de suas funções de fiscalização, o envio de dados bancários para cumprimento de decisão judicial ou para a instrução de processo administrativo fiscal, entre outras. Do mesmo modo que em casos anteriores, o titular tem o direito de obter informações sobre o compartilhamento de seus dados e da sua finalidade (art. 9º, V, da LGPD);
8) Dados de pagamentos e operações de créditos (em cumprimento ou adimplidas), para cadastros positivos de crédito (art. 1º, § 3º, VII, da Lei do Sigilo Bancário): por fim, conforme a sétima hipótese de ausência de violação de sigilo, os dados podem ser compartilhados não apenas para os bancos de dados de cadastros de inadimplentes (como visto no art. 1º, § 3º, II), mas também para a apuração de nota ou o cálculo de pontuação em cadastros positivos de crédito, ou seja, em benefício do titular dos dados. Conforme visto no compartilhamento de dados para os cadastros de inadimplentes, nos cadastros positivos o titular também tem o direito de obter informações sobre o compartilhamento dos dados e da sua finalidade (art. 9º, V, da LGPD) e de correção de dados eventualmente incorretos (art. 18, II e III, da LGPD).
Por fim, destaca-se que, em dezembro de 2019, o STF reafirmou o seu entendimento sobre a constitucionalidade do compartilhamento de dados bancários com a Receita Federal e com o Ministério Público para fins penais, independentemente de autorização prévia em processo judicial, e fixou as seguintes tese no Tema nº 990 da Repercussão Geral:
“1. É constitucional o compartilhamento dos relatórios de inteligência financeira da UIF e da íntegra do procedimento fiscalizatório da Receita Federal do Brasil, que define o lançamento do tributo, com os órgãos de persecução penal para fins criminais, sem a obrigatoriedade de prévia autorização judicial, devendo ser resguardado o sigilo das informações em procedimentos formalmente instaurados e sujeitos a posterior controle jurisdicional.
2. O compartilhamento pela UIF e pela RFB, referente ao item anterior, deve ser feito unicamente por meio de comunicações formais, com garantia de sigilo, certificação do destinatário e estabelecimento de instrumentos efetivos de apuração e correção de eventuais desvios”.