Bacen e CMN publicam regras sobre compartilhamento de dados

O Banco Central do Brasil (Bacen) e o Conselho Monetário Nacional (CMN) publicaram na terça-feira, dia 23, a Resolução Conjunta 6/23, que dispõe sobre o compartilhamento de dados relacionados a indícios de fraudes pelas instituições financeiras, instituições de pagamento e demais instituições autorizadas pelo Bacen a funcionar entre si.

A regra tem o objetivo de reduzir a assimetria de informações entre essas instituições ao estabelecer um rol mínimo de dados e informações que devem ser compartilhados por elas em seus procedimentos e controles internos para prevenção de fraudes.

Quem está sujeito à regra?

• Instituições financeiras, instituições de pagamento e demais instituições autorizadas a funcionar pelo Bacen.
• Administradoras de consórcio estão expressamente excluídas do escopo da resolução.
• As instituições sujeitas à regra poderão participar do sistema de compartilhamento tanto na ponta do registro quanto na ponta do acesso aos dados e informações registrados.

O que deve ser compartilhado?

• Aqueles que teriam executado ou tentado executar a fraude, segundo os indícios disponíveis, quando aplicável. Essa apuração, por sua vez, deverá ocorrer a partir de procedimentos e critérios definidos e documentados pelas instituições de forma detalhada e compatível com seu perfil de risco, legislação e regulamentação em vigor (incluindo, no mínimo, a conferência com dados constantes de sistemas, cadastros e demais bases de dados disponíveis para consulta).
• A descrição dos indícios da ocorrência ou da tentativa de fraude.
• A instituição responsável pelo registro dos dados e das informações.
• Os dados da conta destinatária e de seu titular em caso de transferência ou pagamento de recursos.

O registro não se aplica a dados e informações sigilosos – nos termos expressos em legislação especial – relacionados a indícios da prática dos crimes de lavagem ou ocultação de bens, direitos e valores e de financiamento do terrorismo.

O cliente precisa consentir?

• As instituições deverão obter do cliente com quem tenham relacionamento o consentimento prévio e geral para registrar seus dados e informações, com a finalidade de tratar e compartilhar informações sobre indícios de fraudes nos termos da resolução.
• O consentimento pode constar do contrato firmado entre o cliente e a instituição, em cláusula destacada, ou ser obtido por meio de outro instrumento jurídico válido. Em ambos os casos, a documentação deverá ficar à disposição do Bacen.
• As previsões da resolução não afastam o dever de sigilo, de proteção de dados pessoais e a livre concorrência a serem observados pelas instituições.

Como será o compartilhamento?

• O normativo prevê a implementação e o uso de sistema eletrônico que permita, minimamente, o registro de dados e de informações sobre indícios de ocorrência ou de tentativa de fraudes identificadas pelas instituições, bem como sua alteração, exclusão e consulta.
• O compartilhamento deverá observar ainda os princípios listados na norma, que incluem segurança e privacidade, além de acesso pleno e não discriminatório das instituições às funcionalidades do sistema.
• A Resolução Conjunta 6/23 estabelece, ainda, requisitos de segurança, proteção de dados e interoperabilidade a serem observados pelas instituições. Entre os requisitos, vale destacar a necessidade de identificar e segregar os dados registrados por meio de controles físicos ou lógicos, bem como de adotar um padrão único e comum de comunicação que permita executar as funcionalidades do sistema.
• As instituições deverão adotar também mecanismos de controle para garantir o efetivo cumprimento da resolução, inclusive com a definição de processos, testes e trilhas de auditoria, métricas e indicadores, bem como com a identificação e a correção de eventuais deficiências.
• A instituição poderá contratar terceiros para prestação do serviço de compartilhamento de dados, permanecendo responsável pelo cumprimento da resolução e por observar a regulamentação aplicável (principalmente a Resolução Bacen 4.893/21, relativa à contratação de serviços de processamento e armazenamento de dados e de computação em nuvem).

Atuação do Bacen

• As instituições deverão deixar a documentação sobre o sistema eletrônico e o cumprimento dos requisitos aplicáveis à sua implementação – inclusive de segurança, proteção de dados e interoperabilidade – à disposição do Bacen.
• Os dados compartilhados pelo sistema e a documentação contendo os critérios e procedimentos para identificação do possível responsável pela tentativa de fraude deverão ficar disponíveis por dez anos.
• Os dados, registros e informações sobre a aplicação dos mecanismos de controle do sistema deverão permanecer disponíveis por cinco anos, contados a partir de cada aplicação dos controles.
• O Bacen poderá adotar as medidas necessárias para a execução da resolução, como estabelecer funcionalidades adicionais para o sistema eletrônico, observado o conteúdo mínimo previsto, e detalhar os parâmetros sobre acordos de níveis de serviço na execução das funcionalidades.

O cumprimento do disposto na Resolução Conjunta 6/23 não exime a instituição da responsabilidade de efetuar procedimentos e controles para prevenção de fraudes previstos na regulamentação em vigor nem de comunicar informações sobre fraudes às autoridades competentes, conforme previsto em lei.