NOVAS NORMAS SOBRE INCIDENTES DE SEGURANÇA RELACIONADOS AO PIX SÃO PUBLICADAS PELO BACEN

Escrito por Évelyn Vieira Gomes

O Banco Central do Brasil (“BACEN”) publicou, no dia 26 de setembro, a Resolução nº 342/2023 (“Resolução”) e a Instrução Normativa nº 412/2023 (“Instrução Normativa”), que trazem novas informações quanto aos procedimentos operacionais e o dever de comunicação das instituições financeiras aos titulares na ocorrência de incidente de segurança envolvendo dados pessoais relacionados aos pagamentos realizados via Pix, bem como os critérios para aplicação de penalidades.

A Resolução altera a Resolução BCB n° 1 de 12/8/2020 (“Regulamento do Pix”) e insere disposições quanto a obrigação das instituições financeiras comunicarem aos seus clientes, titulares de contas, a ocorrência de incidentes de segurança com dados pessoais que envolvam bancos de dados relacionados a componente ou infraestrutura do Pix, ainda que a instituição não tenha ocasionado o incidente.

No que tange a transparência aos titulares, a Resolução estabelece o dever de comunicação do incidente mesmo que ele não acarrete riscos ou danos relevantes aos titulares, indo além do estabelecido pela Lei Geral de Proteção de Dados (LGPD), que determina que a comunicação aos titulares de dados só é obrigatória nos casos em que houver potencial risco ou dano relevante.

A Resolução insere ainda ao Manual de Penalidades do Pix (Anexo I da Resolução BCB nº 177, de 22 de dezembro de 2021) novos elementos para a aplicação de penalidades, além de causas de aumento das penalidades previstas, que podem variar conforme o impacto e repercussões do incidente, o tipo de instituição afetada, a quantidade de chaves Pix potencialmente comprometidas pelo incidente e as medidas adotadas pela instituição financeira responsável pelo incidente quanto a contenção e minimização dos efeitos do ocorrido.

Por sua vez, a Instrução Normativa estabelece os procedimentos operacionais que devem ser seguidos pelas instituições financeiras para a comunicação aos titulares em caso de ocorrência de incidente de segurança que envolverem banco de dados relacionados a componente ou infraestrutura do Pix.

De acordo com a Instrução Normativa, o BACEN, por meio do Sistema de Correio Eletrônico do Banco Central (BC Correio), solicitará que as instituições participantes do Pix, detentores de contas transacionais de usuários potencialmente afetados por incidente de segurança, procedam com a transmissão da informação aos titulares, bem como indicará os titulares que devem ser comunicados.

Ademais, a comunicação deverá ser realizada no prazo determinado pelo BACEN, deverá utilizar linguagem clara, ser realizada de forma individual aos titulares por meio do canal habitualmente utilizado pela instituição para se comunicar com o titular e acessado após a sua devida autenticação em ambiente seguro, e deverá mencionar no mínimo: (i) informações sobre o incidente; (ii) descrição dos dados pessoais potencialmente afetados; e (iii) riscos relacionados ao incidente.

A Equipe de Negócios Digitais, Tecnologia e Proteção de Dados do PLC Advogados coloca-se à disposição para esclarecimentos e providências que se fizerem necessários relativos ao tema tratado neste informativo.