SPA publica em seu FAQ a permissão do reuso de documentos para processos de KYC

A SPA (Secretaria de Prêmios e Apostas) publicou em seu FAQ oficial (Perguntas Mais Frequentes, em tradução livre) um texto que oficializa o posicionamento de reuso de documentos para processos de KYC em plataformas de bets 

Segundo o FAQ da SPA (de nº 136, que pode ser visualizado aqui):

A Secretaria de Prêmios e Apostas admite o uso de métodos eletrônicos de verificação que substituam a captura/armazenamento da imagem do documento físico, mantendo a segurança do KYC?

Sim. A exigência de verificação de identidade por biometria pode ser considerada cumprida quando: 

I) o operador se utiliza de base de dados na qual a confirmação da identidade por meio do envio de cópia digital do documento tenha sido realizada anteriormente mediante procedimentos de KYC que garantam sua autenticidade; 

II) por meio de consulta a bases de dados governamentais de alta confiança que permitam a confirmação da biometria capturada, realiza a verificação da identidade do apostador e armazena um comprovante auditável dessa verificação. Estes procedimentos devem resultar na confirmação de autenticidade dos dados a partir de uma fonte primária, que atenda à finalidade da norma de garantir a identidade do apostador, em linha com os princípios de segurança e modernização já adotados em outros setores regulados no Brasil. Tais procedimentos não eximem o agente operador de apostas de manter em bancos de dados as informações e documentos dos apostadores. Além disso, esses procedimentos devem ser precedidos da confirmação de identidade do apostador mediante reconhecimento facial e devem garantir a proteção dos dados dos apostadores. .

A resposta da SPA admite dois caminhos: o uso de base de dados confiável onde o documento já foi verificado anteriormente, sem necessidade de nova solicitação ao apostador, ou a consulta a bases de dados governamentais, como as do TSE ou da SENATRAN, com armazenamento de comprovante auditável da verificação. Em ambos os casos, quatro condições são inegociáveis: o reconhecimento facial do apostador é obrigatório; o operador continua obrigado a manter os dados e documentos em seus bancos de dados; o processo deve ser auditável; e os dados pessoais devem estar protegidos. 

De forma geral, a resposta da SPA é que sim, é permitido usar outros métodos, desde que sejam igualmente seguros. Na prática, existem dois caminhos aceitos:

1. Usar uma base de dados confiável onde o documento já foi verificado antes. Ou seja, se o apostador já passou por um processo de verificação de identidade (KYC) em outro momento, e esse processo foi feito de forma segura, a empresa pode se apoiar nessa verificação já existente, sem precisar pedir a foto do documento de novo.
   
2. Consultar bases de dados do governo. A empresa pode confirmar a identidade do apostador comparando a biometria facial dele com registros oficiais (como a base do TSE ou do Denatran, por exemplo) e guardar um comprovante de que essa checagem foi feita.

No entanto, o texto menciona quatro condições importantes:

1 – Em ambos os casos, é obrigatório fazer reconhecimento facial do apostador.

2 – O operador de apostas continua obrigado a guardar os dados e documentos dos apostadores em seus bancos de dados.

3 – Tudo precisa ser auditável, ou seja, deve existir um registro que comprove que a verificação foi feita corretamente.

4 – Os dados pessoais dos apostadores devem ser protegidos.

Em resumo, o operador de apostas não precisa necessariamente pedir foto do documento físico, desde que use métodos digitais seguros (como reconhecimento facial cruzado com bases governamentais) e mantenha tudo registrado e protegido.

Autorização ocorre depois de discussão e parecer

A publicação sobre o tema no FAQ da SPA representa uma vitória das empresas de KYC sérias, como a Legitimuz, que oferecem soluções confiáveis, seguras e certificadas por instituições do setor mundialmente reconhecidas. 

Em junho do ano passado, durante as discussões com a secretaria para obter a permissão de reuso de documentos para processos de KYC, a Legitimuz elaborou –  juntamente com um dos mais renomados escritório de advocacia brasileiros especializado em Proteção de Dados, Direito Digital e Novas Tecnologia – um parecer em que se conclui que “o tratamento dos dados realizado no fluxo [de KYC] atual é legítimo e adequado”. 

De forma geral, o parecer informa que a forma de atuar é legítima por diversos motivos:

“A lei brasileira de proteção de dados não exige que a empresa peça autorização expressa (consentimento) para todo tipo de uso de dados. Existem outras justificativas previstas em lei, todas com o mesmo peso. No caso da Legitimuz, as justificativas usadas são duas: para os dados biométricos (como a foto do rosto), a lei permite o tratamento quando ele serve para prevenir fraudes e garantir a segurança do usuário; para os dados comuns (como nome e CPF), o uso se justifica pelo chamado “interesse legítimo”, ou seja, a empresa tem razões válidas, como melhorar a experiência do usuário e prevenir fraudes, e essas razões não prejudicam os direitos das pessoas”.

Além disso, a Legitimuz já tomou uma série de cuidados que reforçam essa conformidade: 

– Elaborou documentos técnicos que avaliam os riscos e benefícios do uso dos dados (o RIPD e o LIA), 

– Mantém uma Política de Privacidade acessível que explica como os dados são tratados, 

– Possui contratos com seus clientes e parceiros com regras claras sobre proteção de dados, 

– Oferece ao usuário a opção de aceitar ou não a reutilização de seus dados em uma tela clara e objetiva, 

– Valida continuamente as informações com fontes atualizadas para garantir que os dados estejam corretos.

Em resumo, o parecer confirma que a Legitimuz não apenas segue a lei, mas adota boas práticas que vão além do mínimo exigido, protegendo as informações dos usuários com transparência, segurança e responsabilidade.

Leia mais:

• A importância de ter um ótimo KYC em período de Copa do Mundo: verificação de identidade, compliance e prevenção a fraude
• Como a verificação de identidade se tornou vantagem competitiva: o caso de sucesso do Grupo BPX com a Legitimuz

Pronto para elevar o nível de segurança da sua operação?

Se você busca transformar a burocracia do cadastro em uma experiência de onboarding digital seguro e fluido, precisa conhecer o que a Legitimuz preparou para o mercado. Unimos o que há de mais moderno em inteligência artificial e segurança da biometria facial para garantir que sua empresa escale com eficiência, sem abrir as portas para fraudadores. Nossas soluções de verificação de documentos online são desenhadas para serem invisíveis para o bom usuário e intransponíveis para criminosos, garantindo a conformidade total com as normas de o que é KYC no cenário atual.

Não deixe que os mitos sobre KYC limitem o crescimento do seu negócio ou comprometam a confiança dos seus clientes. A Legitimuz oferece um ecossistema completo de verificação de identidade digital que se adapta perfeitamente ao seu fluxo de trabalho, independentemente do seu nicho de atuação.