-
Notifications
You must be signed in to change notification settings - Fork 257
New issue
Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.
By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.
Already on GitHub? Sign in to your account
[Dúvida] no [LGPD] - Como fica o Pix com a LGPD? #153
Comments
@feinstein , já era uma questão mapeada, estamos ajustando para a próxima release. |
Você pode me dar um preview do que vai ser? Apenas para eu poder modelar meu banco de dados de acordo. |
o pix.pagador seria removido. |
Sempre ou só no caso de pagamentos não ligados a cobranças ? |
@ninrod em uma primeira análise discordo com remoção do Importante considerar que a LGPD tem dispositivos bem claros sobre para transações financeiras e para pagamentos. Nestas é permitido conhecer os dados da outra parte, até porque estes dados são importantes para atender outras obrigações como exemplo obrigações fiscais. Em suma recomendo que temas envolvendo LGPD devem ter um embasamento jurídico, considerando que o padrão Pix não deveria ser inferior ao que já existe com por exemplo TED, DOC. |
Correto porém incompleto, você é obrigado a armazenar os dados de clientes ao emitir Nfes e pagamentos, inclusive empresas são obrigadas a armazenar estes dados. Por exemplo para atender SPED fiscal. Neste contexto à luz da LGPD estes dados possivelmente são esperados. Recomendo que este tema seja analisado com o devido embasamento jurídico. |
@rturk excelente. Realmente eu desconheço a LGPD em profundidade. Se realmente possui embasamento jurídico então não vejo porque remover. No máximo poderia se manter com uma máscaras |
Ok Pessoal. Vamos levar em consideração as informações colocadas aqui. |
Sempre. Qual seria o problema de negócio? @rubenskuhl |
Impedir reconhecimento do pagador para transferências iniciadas pelo pagador com valor escolhido por ele, por exemplo em recarga de sistemas pré-pagos. Há sistemas que hoje sem que o pagador precise acessar qualquer site ou aplicativo, ele faz uma transferência e isso já lhe dá créditos (de valor não pré-determinado, à escolha do pagador) num determinado sistema associado a essa conta destino. Como já comentado, a TED tem hoje esse recurso, e ele é usado por exemplo nas corretoras para só permitir depósitos a partir de contas do titular da carteira de investimento. Fora o fato de que a LGPD não impede o envio da informação, o que mais preocupa é remover a possibilidade de envio da informação. Há pessoas que prefeririam não enviar, há aquelas que não veem problema desde que isso tenha uma finalidade. |
Você não consegue emitir uma cobrança atrelada a um txid e associar o pagamento eventual à conta pré-paga específica? |
@ninrod Não recomendo, pode ser uma porta para lavagem de dinheiro exemplo: Gero um QRCode com uma transação que eu espero que será cobrado da pessoa Lembrando que empresas são obrigadas (através de outros dispositivos legais) a saber as origem dos recursos e poder rastrear estes recursos. Isto vale em várias regulamentações, como na esfera fiscal ou até mesmo KYC. Vou recomendar adicionar outro stakeholder nesta discussão, além do jurídico, já citado acima. Acredito ser importante time de prevenção à fraudes também ser consultado. Menos dados, tradicionalmente implica em mais ambiguidade e maior margem para erros ou fraudes. Conforme já mencionei antes, parece prematuro reduzir dados de transações, quando estes são fundamentais para outras esferas fiscais, contábeis, segurança do sistema financeiro, prevenção à fraude, etc |
Uma cobrança tem valor específico, e nesse caso não se sabe o valor a priori. O quanto o usuário quiser carregar no pré-pago, ele pode. O mesmo vale para corretoras (que poderiam estar no Pix como correntista, como participante se houver um banco no grupo). |
@rubenskuhl a conciliação feita com base no nome e CPF significa que o recebedor já tem a priori essa informação. Ele pode fazer, sem problema, seja consultando com base no CPF, seja usando a forma que já existe (onde consulta se ocorreu um pagamento via TED por exemplo - e que certamente envolve um acordo com o banco que fornece a informação). @rturk o recebedor (titular da conta que recebeu o deposito) sabe quem depositou. Não se trata de excluir a informação do fluxo. Ao contrário, o fluxo permanece absolutamente inalterado. Não abre nenhuma possibilidade de 'lavagem' por exemplo. Nos atendo especificamente à duvida do @feinstein, que é muito pertinente, o 'cliente' da API Pix estaria recebendo uma informação que não pediu, e teria a responsabilidade de garantir que ela será devidamente descartada, ou arcar com as consequências de ocorrer vazamento ou uso indevido, por exemplo. |
@rturk quais informações as empresas são obrigadas a guardar? Quais desses dados os clientes são obrigados a fornecer? E, se são obrigados a fornecer, fazem isso sem consentimento (de forma 'automática')? |
@dmkamers mas nem sempre o recebedor sabe quem depositou, pense numa caixa de supermercado por exemplo, ou o garçom de um bar. |
Exato, nem nunca, eu diria. Ele não sabe, e nem deve saber. Podes desenvolver melhor? Note, ele vai conciliar, sem problemas. Nada muda. Inclusive o lojista pode pesquisar pelo pagamento específico, SE o cliente fornecer o CPF e pedir por isso (o que por si só não autoriza o lojista a 'guardar' essa informação - mas, se o fizer, será por decisão própria). |
@rubenskuhl nos casos em que o pagador precisa informar algo (ou isso convém ao recebedor), já existe provisão na API. Neste caso, supostamente o recebedor informa o pagador a priori da necessidade, propósito, e escopo dessa informação. Ele pode gerar a cobrança usando o campo 'solicitacaoPagador', e receber a informação no campo 'infoPagador'. |
Se isso estiver especificado na API Pix para que, se fornecida, seja dessa forma, parece razoável. Quem tem uso para essa informação pode pedir para o PSP que envie tal informação, e assume a gestão do ciclo de vida da informação fornecida. O que não acho bom seria ter essa informação apenas através de outra API proprietária. |
Uma informação preenchida pelo pagador não atende a muitos desses casos de uso. Só o que efetivamente atende é que seja a informação validada pela IF/IP como parte do KYC. |
Está sim. A solicitacaoPagador é indicada na cobrança. A infoPagador deve ser colhida pelo PSP pagador e transita na mensagem de pagamento, até o PSP recebedor. Esta informação está disponível no Pix recebido. |
Como eu disse acima, isso não atende. Não pode ser informação que o pagador tem arbitrariedade de preenchimento. |
Não em um QR Code estático. |
@rubenskuhl a unica informação nesta linha é o 'endToEndId', de conhecimento do PSP recebedor. Se há necessidade de correlacionar esta informação com um pagador em particular, certamente isso só se faz com um propósito e escopo previamente estabelecido entre quem acessa e o PSP recebedor. Note: o dono da conta pode ter acesso ao nome e CPF de quem depositou, não há problema algum aí. O que não existe é uma forma automatizada e irrestrita de obter essa informação. Se quiser detalhar algum caso de uso específico, se avalia. Se for o caso, se trataria de uma autorização específica na API, com este escopo. Algo entre a corretora e o PSP (pegando o seu exemplo), em que foi previamente estabelecido que pagamentos recebidos neste contexto pressupõe o fornecimento (e concordância) de determinadas informações pelos pagadores. |
Sim, continua identificado. Quem recebe, sabe, sempre, quem pagou. Não entendi bem sua dúvida. |
Dados pessoais do pagador não são requisito para conciliação. Esse caso de uso é específico (e provavelmente essas APIs de extrato não estão fazendo a coisa certa). Se um PSP te fornecer isso no seu extrato, o problema é do banco. Se isso for fornecido via API Pix, certamente será num contexto de 'extrato' (com condições e autorização específica), não de conciliação/confirmação de pagamento. |
Sim, por isso o caso de uso das corretoras como ECs. Se elas fossem PSPs, elas já receberiam a informação na interface ICOM.
Sem TxID, sem notificação no Webhook.
Enquanto isso, na TED há todo um sistema orientado a eventos que já coloca o saldo lá. Sem ter que fazer refresh, sem ter que logar no app, sem ter que checar todos os clientes por GET. Só a XP tem 3 milhões de correntistas, o ciclo de GET deles vai ser... sub-ótimo. |
A XP só precisa, uma vez, apresentar um QR pro cliente (que tem um txid que representa esse cliente). |
Existem correntistas que não entram no site da corretora, eles usam apps externos para fazer a análise das ações e emitir as ordens de compra, como o Metatrader e o NinjaTrader, que possuem integrações com corretoras. |
Aí a jornada do usuário fica tão longa como a que descrevi acima. Então ou é sub-ótimo do lado do EC, ou do lado do pagador... enquanto a TED funciona totalmente para ambos. |
O usuario paga sem se cadastrar antes? "Investe aí pra mim, 10 mil, CPF tal, esse pagamento significa que voce pode criar a conta, investir, e está autorizado". É isso? |
Não, os procedimentos de KYC das corretoras são tão rígidos quanto de bancos. Mas veja a jornada do usuário que descrevi acima mesmo já cadastrado quando se usa um QR-Code, ela é para titulares já cadastrados. |
Pronto, no cadastro o usuário recebe um QR. Copia e cola, e nunca mais precisa repetir isso. |
O que pressupõe um recurso hoje não especificado no manual de experiência, que é o de "lembrar" um QR. |
voltando ao fluxo utilizando txid via QR estático sem valor, mas com txid. Se tivesse a funcionalidade do PSP pagador: "pagar novamente QR Estático XYZ'. Resolveria, certo?
Ok, o manual de experiência eu posso alterar. O que eu preciso saber é se resolve o caso de uso colocado. |
Resolveria. O que eu não sei se poderia ser usado também é o QR-Code dinâmico com reuso de location, mas ele é muito abstrato para mim no momento para que eu possa ser taxativo. O método de guardar pode ser uma opção depois de realizado o pagamento para guardar aquele QR para reuso. Se estático ou estático + dinâmico, depende do ponto acima sobre reuso de location. |
Não ficou claro pra mim se chegaram a um consenso. No meu ponto de vista, é possível replicar a mesma segurança do TED em relação a garantia da identidade do efetivo pagador com o Pix, sem a quebra de privacidade do pagador 'por default' quando este não quer se identificar pelo próprio envio do Pix, mesmo com a remoção do pix.pagador:
Não há a necessidade de polling nem de um aviso por parte do cliente do tipo "enviei o Pix, me autentique / carregue minha conta". Se vocês já tinham chegado a esse fluxo, me desculpem por fazê-los perder tempo. 😛 |
@renatofrota , é por aí mesmo. Você adicional um último passo que não constava aqui na discussão, que realmente fica útil para validar a identidade do efetivo pagador. Melhor ainda. |
Só faltou ao final a opção de guardar o QR-Code para pagamentos futuros, quer seja um estático com TxID (que é necessário para ativar o webhook, tanto que você mencionou no exemplo) quer seja um dinâmico com reuso de location. Isso ainda não consta do manual de experiência mas possivelmente seja adicionado. |
"Desenterrando" o issue para perguntar: Os termos de uso do Pix evidenciam, no momento do cadastramento de uma chave - de forma bastante explícita (conforme manual de UX do Pix) - quais dados serão expostos ao pagador na ocasião do uso daquela Chave Pix para identificar o recebedor:
A mesma informação é constante dos Termos de Uso que o usuário concorda ao cadastrar a chave. Porém, o que tenho visto são instituições abrindo outras informações a respeito do recebedor, não somente em comprovantes mas, até mesmo, quando da inserção da chave (antes mesmo de realizar o pagamento). Em detalhes
As instituições de pagamento estão erradas? Se sim, o BACEN deveria comunicá-las. Se elas estão corretas em expôr esses dados não previstos, então são os termos de uso do Pix que deveriam ser revistos (assim como o manual de UX) e - num mundo perfeito - os usuários deveriam concordar com a atualização desses termos antes que suas chaves possam ser consultadas de novo. |
Outra coisa com relação a privacidade que eu estou vendo bastante é as pessoas falarem que não querem fazer Pix porque "o governo está rastreando todas as minhas operações". Até onde eu sei o Bacen não pode rastrear nada e enviar a Receita Federal, seria quebra de sigilo bancário, então isso deveria ser melhor comunicado ao público em geral. |
@renatofrota as contribuições sao importantes, mas é melhor avisar as instituições e encaminhar os relatos para pix-operacional@bcb.gov.br com evidencias dos problemas encontrados |
Obrigado. Eu enviei por este e-mail e me falaram pra abrir RDR - o que eu devo fazer para cada instituição, individualmente. Eu até escrevi um "rant" aqui, mas já apaguei. Vida que segue. |
Quando se é correntista da instituição é factível abrir RDR, mas e quando não ? |
Exato. Não se pode mais fazer denúncias nesse país. Só delação premiada. Talvez eu devesse processar logo o banco por expor meus dados? 🤔 Estou aceitando contatos de advogados especializados na área. |
As questões de privacidade especificamente poderão ser denunciadas à ANPD quando ela existir. Enquanto isso, o MPDFT já tomou outras ações contra instituições financeiras e de crédito em casos de quebra de privacidade/sigilo/segurança, e pode se interessar (ou não) pela questão: Ministério Público do Distrito Federal e Territórios Eixo Monumental, Praça do Buriti, Lote 2, Sala 922 D, Sede do MPDFT, Brasília-DF |
Caros, uma vez que as orientações que tentei repassar nao agregaram na discussão do tópico, tomei a liberdade de remove-las. |
enquanto PSP, ... protocolo digital ou pix-operacional@bcb.gov.br, dependendo do propósito. Enquanto pessoa física RDR. |
E o site da ANPD está no ar, e há canais de comunicação. Se já estão operacionais de fato, não sei. |
Segundo a LGPD não podemos armazenar os dados dos clientes sem o consentimento deles.
Pela API Pix, ao receber os dados de um Pix, recebemos o nome completo e o CPF de um cliente.
A transação Pix com a loja já seria considerada como um "aceite", onde o usuário entende que está entregando esses dados pessoais a serem armazenados em algum sistema de rastreamento de transações financeiras da loja?
Me refiro mais a lojas físicas, restaurantes e etc. Onde não há um fluxo de cadastro para se pagar o produto.
The text was updated successfully, but these errors were encountered: