Alerta
BACEN publica normas sobre incidentes de segurança da informação envolvendo dados pessoais na infraestrutura do Pix
O Banco Central do Brasil (BACEN) publicou, em 26 de setembro, a Resolução nº 342/2023 (Resolução), que altera o regulamento disciplinador do funcionamento do arranjo de pagamentos Pix (Regulamento do Pix) para incluir disposições sobre a comunicação a titulares em caso de incidentes de segurança com dados pessoais e sobre o descumprimento de requisitos técnicos de segurança do Pix; bem como a Instrução Normativa nº 412/2023 (Instrução Normativa), que prevê os procedimentos operacionais para a comunicação aos titulares em caso de incidentes desta natureza.
Desse modo, o BACEN passa a estabelecer obrigações e penalidades às instituições reguladas participantes do arranjo Pix relacionadas especificamente ao descumprimento de requisitos de segurança e à ocorrência de incidentes. Ambos os normativos entraram em vigor na data de sua publicação.
Resolução BACEN nº 342/2023
A Resolução insere no Regulamento do Pix disposição que obriga os participantes do arranjo Pix a comunicar aos titulares de contas transacionais por eles providas e de titularidade de pessoais naturais a ocorrência de incidentes de segurança com dados pessoais que envolvam bancos de dados relacionados a componente ou infraestrutura do Pix. Esta obrigação recai sobre o participante que possui relação com o titular afetado, mesmo que o participante não seja responsável pelo incidente.
Além disso, diferentemente das disposições da Lei Geral de Proteção de Dados (LGPD) sobre incidentes de segurança, a Resolução prevê a obrigação da comunicação do incidente ao titular, mesmo que o ocorrido não acarrete risco ou dano relevante a este. A norma, portanto, é ainda mais rígida do que a LGPD no que diz respeito à transparência aos titulares acerca da ocorrência de incidentes de segurança da informação.
Adicionalmente, a Resolução insere no manual de penalidades do Pix novas infrações sujeitas à sanção, incluindo a falha no atendimento aos requisitos de segurança do arranjo Pix que resulte em um incidente de segurança. As penalidades previstas variam, dentre outros fatores, de acordo com as consequências do incidente, as medidas adotadas pela instituição participante para conter e minimizar os efeitos do ocorrido, o tipo de instituição afetada e a quantidade de chaves Pix potencialmente comprometidas pelo incidente.
Instrução Normativa BACEN nº 412/2023
Por sua vez, a Instrução Normativa estabelece procedimentos a serem seguidos pelas instituições reguladas para a comunicação aos titulares da ocorrência de incidente de segurança com dados pessoais relacionado ao arranjo Pix.
De acordo com a norma, o BACEN solicitará que os participantes do Pix informem aos titulares potencialmente afetados a ocorrência do incidente de segurança. A solicitação será realizada por meio do Sistema de Correio Eletrônico do Banco Central (BC Correio) e o BACEN indicará aos participantes os titulares que devem ser comunicados.
A comunicação deverá ser realizada pela instituição participante por meio do canal habitualmente por ela utilizado para se comunicar com o titular e acessado após a sua devida autenticação em ambiente seguro. Ainda, a comunicação deverá ser realizada em prazo indicado pelo BACEN, contendo, no mínimo, as seguintes informações, além de outras potencialmente exigidas pelo órgão: (i) informações sobre o incidente; (ii) descrição dos dados pessoais potencialmente afetados; e (iii) riscos relacionados ao incidente.
Acesse aqui integramente a Resolução e a Instrução Normativa.
As equipes especializadas em Bancário, Operações e Serviços Financeiros e em Tecnologia, Proteção de Dados e Propriedade Intelectual acompanham de perto as mudanças que impactam o mercado brasileiro. Para obter mais esclarecimentos sobre o tema, ou outros que sejam de seu interesse, entre em contato com nossos profissionais.
Paulo Lilla
paulo.lilla@lefosse.com
+55 11 3024 6490
Renata Cardoso
renata.cardoso@lefosse.com
+55 11 3024 6221
Carla Segala
carla.segala@lefosse.com
+55 11 3024 6256
Fábio Perez
fabio.perez@lefosse.com
+55 11 3024 6241
Tem alguma dúvida? Entre em contato com a nossa equipe marketing@lefosse.com