O Banco Central do Brasil (BC) publicou, em setembro, uma nova resolução, visando aprimorar as regras sobre os incidentes de segurança relacionados ao Pix. Em específico, a resolução trata da obrigatoriedade de comunicação aos titulares de dados quando da ocorrência de vazamento de dados pessoais, além de indicar quais são as penalidades aplicáveis em casos de descumprimento pelo setor regulado.
A Resolução BCB nº 342, do BC, determina que as instituições financeiras que tratem dados pessoais deverão comunicar seus próprios clientes de forma ativa sobre todo e qualquer incidente envolvendo dados pessoais relacionados ao Pix ocorrido, ainda que não tenha dado causa a ele ou que o incidente não acarrete risco ou dano relevante ao usuário.
O racional por trás de tal obrigatoriedade se dá pelo fato de que o BC entende que, mesmo que não tenha sido a instituição a responsável por ter dado causa ao incidente, é ela que detém meios de contatos seguros com o cliente, acessível de forma exclusiva por identificação pessoal como senhas, reconhecimentos biométricos e outras medidas.
Vale dizer que a resolução é ainda mais protetiva que a própria Lei Geral de Proteção de Dados (LGPD), que aponta que os controladores somente são obrigados a comunicar os titulares de dados pessoais em casos de incidente quando houver risco ou dano relevante a ele associado.
Isso quer dizer que as instituições participantes do Pix agora estão sujeitas a um regime específico e a penalidades adicionais quando da ocorrência de incidentes, além dos já passíveis de aplicação pela Autoridade Nacional de Proteção de Dados (ANPD) e pelo Judiciário.
Segundo o BC, o compromisso com a transparência total traz inúmeros benefícios para a sociedade, em especial a manutenção da confiabilidade do meio de pagamento que é, hoje, o mais usado pelos brasileiros. Um levantamento da Febraban do final de 2022 indica que, desde novembro de 2020, quando começou a funcionar no país, foram feitas 26 bilhões de transações pelo PIX, movimentando R$12,9 trilhões.
Os procedimentos operacionais entraram em vigor de forma imediata em setembro, e alterou a Resolução BCB nº 1, responsável por instituir o Pix, para que passasse a constar, nos deveres dos participantes do Pix, como inciso VIII do art. 32, a obrigação de “comunicar aos titulares de contas transacionais providas pelo participante que sejam pessoas naturais a ocorrência de incidente de segurança com dados pessoais envolvendo banco de dados relacionado a componente ou a infraestrutura do Pix, mesmo que o participante provedor da conta não seja o responsável pelo incidente e ainda que o incidente de segurança não possa acarretar risco ou dano relevante aos titulares”. A resolução dispõe, ainda, que o BC estabelecerá, em um documento próprio, os procedimentos operacionais para a comunicação indicada no inciso VIII.
Também sofreu alterações a Resolução BCB nº 177, conhecida como Manual de Penalidades do Pix, para que seja aplicável o valor-base da multa de R$ 50.000,00 (cinquenta mil reais) para infrações praticadas no âmbito do Pix quando a instituição deixar de atender requisitos técnicos de segurança do Pix, que tenham como consequência um incidente de segurança que comprometa a confidencialidade, integridade ou disponibilidade de informações vinculadas a chaves Pix, como dados pessoais.
Para tais casos, o valor-base da multa será multiplicado por fatores de ponderação previstos pelo próprio BC, os quais são baseados em três frentes, a saber, (i) o tipo de instituição; (ii) o percentual de transação Pix do participante e (iii) o percentual do total de chaves Pix potencialmente comprometidas no incidente.
Exemplificativamente, o valor-base da multa será multiplicado por 25 nos casos em que o percentual de chaves Pix potencial comprometidas atinja mais do que 0,5% do total, resultando em um valor de R$1.250.000,00 (um milhão, duzentos e cinquenta mil reais).
A medida do BC caminha para garantir a transparência e a confiabilidade dos meios de pagamento, em especial do Pix, dada a sensibilidade das informações financeiras e os potenciais riscos aos titulares, sendo uma iniciativa positiva em prol do aculturamento e da formação de uma sociedade fundada nas bases da garantia da privacidade, da segurança e da transparência necessárias.