No final de setembro, o Banco Central do Brasil (BCB) publicou duas importantes normas contendo requisitos a serem atendidos pelos participantes do PIX envolvendo segurança da informação: a Resolução BCB nº 342/2023 e a Instrução Normativa (IN) BCB nº 412/2023, ambas já vigentes desde a publicação.
A Resolução nº 342 altera a resolução do BCB que disciplina o funcionamento do PIX, bem como o Manual de Penalidades do PIX.
Como importante novo requisito, a resolução impõe aos participantes do PIX – as instituições financeiras e de pagamento que aderiram à infraestrutura – a obrigação de comunicar aos titulares pessoas naturais a ocorrência de incidente de segurança com dados pessoais envolvendo banco de dados relacionado a componente ou a infraestrutura do PIX, mesmo que o participante provedor da conta não seja o responsável pelo incidente e ainda que o incidente de segurança não possa acarretar risco ou dano relevante aos titulares.
Isso significa que a Resolução nº 342 traz requisitos ainda mais onerosos do que aqueles previstos pela Lei Geral de Proteção de Dados (LGPD) para a notificação de incidentes de segurança da informação a titulares de dados.
Ainda, a Resolução nº 342 inclui no Manual de Penalidades do PIX sanções envolvendo incidentes de segurança da informação. Dentre elas, está aquela mais gravosa, de valor-base de R$ 1.000.000,00 (valor que será multiplicado pelos fatores de ponderação previstos no Manual de Penalidades do PIX), para os participantes que deixarem de atender requisitos técnicos de segurança que tenham como consequência incidente de segurança com as seguintes repercussões: (i) comprometimento, ainda que de forma parcial, do funcionamento de componentes ou de infraestruturas do PIX; ou (ii) subtração de recursos em conta transacional de usuário final.
Desse modo, um incidente de segurança da informação relacionado a falhas nos requisitos técnicos de segurança do PIX envolvendo dados pessoais pode gerar sanções aos agentes de tratamento adicionais àquelas previstas pela LGPD.
Por sua vez, a IN nº 412, em complementação à Resolução nº 342, traz os procedimentos operacionais para a comunicação aos titulares de contas transacionais em caso de ocorrência de incidente de segurança com dados pessoais.
Nesse sentido, após confirmação do incidente pelo BCB, o BCB solicitará, por meio do Sistema de Correio Eletrônico do Banco Central (BC Correio), que os participantes do PIX detentores de contas transacionais de usuários potencialmente afetados pelo incidente de segurança procedam com a transmissão da informação aos titulares. O BCB proverá as orientações necessárias para a devida comunicação; identificará os titulares de dados que deverão ser comunicados; e determinará o prazo para que a comunicação seja feita.
Sem prejuízo de eventuais outros aspectos a serem considerados conforme instruções do BCB, a comunicação aos titulares deve conter, ao menos: as informações sobre o incidente; a descrição dos dados pessoais potencialmente afetados e da sua natureza; e os riscos relacionados ao incidente. Ainda, a comunicação deve ser feita em linguagem clara e de maneira individual e diretamente aos titulares dos dados, preferencialmente por meio do canal habitualmente utilizado pelo participante do PIX para se comunicar com o usuário após a devida autenticação em ambiente seguro.
As equipes de Cybersecurity & Data Privacy e Bancário e Operações Financeiras de TozziniFreire Advogados estão à disposição para qualquer assistência relacionada ao tema.
