No dia 26 de setembro, o Banco Central do Brasil (“BCB”) publicou duas normas referente às regras sobre incidente de segurança da informação no contexto do Pix:
(i) Resolução BCB n° 342, que altera o Regulamento do Pix para dispor sobre a comunicação aos titulares da ocorrência de incidente de segurança com dados pessoais, e altera o Manual de Penalidades do Pix, para dispor sobre o descumprimento de requisitos técnicos de segurança do Pix e sobre os critérios para aplicação de penalidades; e,
(ii) Instrução Normativa BCB n° 412, que estabelece os procedimentos operacionais para a comunicação aos titulares de dados pessoais em caso de ocorrência de incidente de segurança envolvendo banco de dados relacionado a componente ou a infraestrutura do Pix.
Ambas as normas já estão em vigor, e, num primeiro momento, destacamos os seguintes pontos:
– A comunicação aos titulares de contas transacionais em caso de incidente de segurança com dados pessoais no contexto do Pix deverá ser feita pelo participante que detiver a conta transacional do titular, mesmo que ele não seja o responsável pelo incidente;
– A comunicação deverá ser realizada dentro do prazo sinalizado pelo BCB, e deverá mencionar, no mínimo: (a) informações sobre o incidente; (b) descrição dos dados pessoais potencialmente afetados; e, (c) riscos relacionados ao incidente;
– Diferentemente do texto da LGPD (Lei nº 13.709/18 – a Lei Geral de Proteção de Dados Pessoais), o dever de comunicação aos titulares de dados pessoais sobre o incidente de segurança da informação independe de caracterização de risco ou dano relevante; e,
– Para o BCB, a tempestividade na comunicação é essencial para que os titulares possam tratar adequadamente os riscos relacionados ao incidente.
Nos próximos dias, este assunto certamente será discutido por vários agentes de mercado e reguladores, e as equipes de Fintechs e Meios de Pagamento e de Privacidade e Proteção de Dados do Cascione Advogados estão à disposição para lhe auxiliar.
—-