A Nova Resolução BCB nº 342, de 26 de setembro de 2023, ampliou o dever de comunicar incidentes de segurança envolvendo o Pix, mesmo que não representem risco relevante para os titulares. Isso difere da LGPD, que exige a comunicação apenas em casos de risco significativo. As instituições financeiras reguladas pelo Bacen precisam estar preparadas para responder a consultas sobre tais incidentes.
Por Cecilia Castro, Jean Luz e Luiz Doles, Gestora NP3 DPO e advogados do Peck Advogados respectivamente.
A Resolução BCB nº 342, de 26 de setembro de 2023, alterou o Regulamento anexo à Resolução BCB nº 1, de 12 de agosto de 2020, que instituiu o funcionamento do arranjo de pagamentos Pix, bem como os Anexos I e II da Resolução BCB nº 177, de 22 de dezembro de 2021 (Manual de Penalidades do Pix), para dispor sobre o descumprimento de requisitos técnicos de segurança do Pix e sobre os critérios para aplicação de penalidades.
O grande destaque se dá ao elastecimento do dever de comunicação de incidentes de segurança com dados pessoais se este envolver banco de dados relacionado a componente ou a infraestrutura do Pix.
Ao olharmos para a LGPD, o dever de comunicação – a titulares e à Autoridade Nacional de Proteção de Dados (ANPD) – somente existe quando o incidente de segurança que, envolvendo dados pessoais, puder acarretar risco ou dano relevante aos titulares afetados. Tal aferição é de responsabilidade do controlador, que deverá manter registro das medidas adotadas, inclusive caso opte pela não comunicação por entender que não há risco ou dano relevante.
A nova Resolução do BCB, no entanto, elastece esse dever caso o incidente envolva banco de dados relacionado a componente ou a infraestrutura do Pix.
Inclusive, para que não haja dúvidas, a Resolução expressa este dever “ainda que o incidente de segurança não possa acarretar risco ou dano relevante aos titulares”.
Assim, os agentes regulados pelo Bacen deverão avaliar adicionalmente se o incidente envolve, de alguma forma, o Pix, o que exigirá a sua comunicação aos titulares.
Em havendo risco ou dano relevante, a comunicação se estenderá também à ANPD, mas por força do disposto na LGPD.
Operacionalmente, a partir desta comunicação, a instituição deverá estar pronta para receber e atender os mais diversos questionamentos a respeito do incidente, visto que as pessoas estão cada vez mais preocupadas com o uso de seus dados e notícias sobre incidentes tem chegado aos destaques da imprensa de grande circulação.
Ainda, o parágrafo único do artigo 32 indica que o Banco Central do Brasil estabelecerá em documento específico os procedimentos operacionais relativos à comunicação, fazendo com que as políticas das instituições financeiras tenham que ser atualizadas para incluir este procedimento quando da ocorrência deste tipo de incidente de segurança
De outro lado, vale delinear que esta atualização menciona, especificamente, apenas pessoas naturais, o que não afasta o dever de segurança da informação também em relação aos dados de pessoas jurídicas no âmbito do pix.
Não há limitação que especifique que apenas os dados de pessoas naturais são protegidos no âmbito do pix e o conceito de usuário final contempla pessoa jurídica.