Em 26 de setembro de 2023,
o Banco Central do Brasil (“BACEN”) publicou a Resolução nº 342/2023, a qual
altera (i) o Regulamento do Pix (Resolução BCB nº 1 de 12 agosto de 2020); e
(ii) o Manual de Penalidades do Pix (Resolução BCB nº 177, de 22 de dezembro de 2021).
A Resolução nº 342/2023
versa sobre a comunicação
aos titulares sobre a ocorrência de incidente de segurança com dados pessoais e
estabelece as penalidades a serem aplicadas em caso de descumprimento de
requisitos técnicos de segurança do Pix.
Destacamos os seguintes
pontos da Resolução nº 342/2023:
(i) “Participantes do Pix”
(e.g. instituições financeiras, instituições de meio de pagamento autorizadas
ou não a funcionar e cooperativas de crédito) devem comunicar os titulares de
contas transacionais providas por eles, sobre a ocorrência de incidente de
segurança que afete dados pessoais, ainda
que o incidente de segurança não implique em risco ou dano relevante.
Importante notar que a Resolução
nº 342/2023 é mais rígida do que a Lei Geral de Proteção de Dados – “LGPD”, uma
vez que a regra geral de comunicação de incidente de segurança de dados
pessoais, disciplinada pelo artigo 48 da LGPD, é a de que o titular deverá ser
comunicado apenas sobre incidente que possa lhe acarretar risco ou dano
relevante.
(ii) o incidente deve ser
comunicado mesmo que o participante provedor da conta não seja o responsável
pelo incidente.
(iii) o BACEN emitirá
normativa específica sobre os procedimentos que devem ser observados na
comunicação aos titulares.
(iv) poderá ser penalizado o
Participante do Pix que deixar de observar aos requisitos técnicos de segurança
do Pix resultando em comprometimento de (a) realização de transações Pix que envolvam seus
usuários finais, e (b) confidencialidade, da
integridade ou da disponibilidade de informações vinculadas a chaves Pix, a
transações Pix ou a usuários finais do Pix, excetuados os eventos cujas
consequências se restrinjam à exposição de informações que possam ser
disponibilizadas nas condições previstas no Regulamento do Pix.
(v) para a penalidade de multa, o valor-base atribuível à infração será
multiplicado pelo resultado da soma de fatores de ponderação que se baseiam, no
tipo de instituição, no percentual do total de transações Pix do participante
cursadas no Sistema de Pagamentos Instantâneos e no percentual do total de
chaves Pix potencialmente comprometidas em incidente de segurança.
Para acessar à Resolução nº
342, clique aqui.
A equipe de Tecnologia e
Proteção de Dados do Cescon Barrieu permanece à disposição para auxiliá-los em
relação a esclarecimentos ou implementação prática das novas regras.
