As instituições participantes do arranjo de pagamento instantâneo Pix estão obrigadas, desde 26 de setembro, com a publicação da Resolução BCB 342/23, a informar ao Banco Central do Brasil (Bacen) e titulares de contas transacionais todo e qualquer vazamento de dados pessoais que envolva o banco de dados relacionado ao componente ou à infraestrutura do Pix.
Apesar de proporcionar maior transparência sobre as operações aos usuários das diversas soluções de pagamento do Pix, a determinação afronta o artigo 48 da Lei Geral de Proteção de Dados (LGPD). Esse dispositivo estabelece que apenas incidentes de segurança que possam acarretar risco ou dano relevante aos titulares dos dados devem ser comunicados à Agência Nacional de Proteção de Dados (ANPD) e aos respectivos titulares dos dados.
Do ponto de vista jurídico, apesar de contrariar de certa forma a LGPD, a alteração criada pelo Banco Central vai em linha com os princípios da transparência e segurança que, entre outros, regem o tratamento de dados pessoais.
O normativo não só assegura maior transparência em relação ao efetivo tratamento de dados pessoais no âmbito do Pix como pressiona as instituições que participam desse meio de pagamento a investir em práticas e procedimentos de segurança mais robustos. Isso porque qualquer incidente de segurança envolvendo o Pix aumentará substancialmente o risco de afetar a imagem da instituição.
A nova obrigação faz parte de uma série de ações tomadas pelo Banco Central nos últimos anos para aperfeiçoar e, principalmente, aumentar a confiança e a segurança dos usuários ao utilizarem as diversas soluções de pagamento do Pix.
Como exemplo, citamos os recentes normativos que buscam trazer maior segurança ao Pix e, em determinados casos, ao Sistema Financeiro Nacional e Sistema de Pagamentos Brasileiro como um todo:
- Mecanismo especial de devolução (MED) – consiste em mecanismos de bloqueio e devolução de recursos no âmbito do Pix, por meio dos quais instituições participantes podem:
- bloquear de forma cautelar recursos financeiros transacionados via Pix em caso de pagamentos indevidos ou fraudulentos; e
- forçar a devolução dos recursos bloqueados ao usuário pagador ou fraudado no âmbito do Pix (instituído pela Resolução BCB 147/21 e atualmente em vigor);
- Consulta obrigatória ao DICT – instituições participantes do Pix são obrigadas a acessar o Diretório de Identificadores de Conta Transacional (DICT) para alimentar os mecanismos de análise de fraude dos participantes com as informações sobre as chaves Pix registradas no DICT (instituído pela Resolução BCB 147/21 e atualmente em vigor);
- Sistemas de controles internos – instituições autorizadas a funcionar pelo Banco Central devem implementar sistemas de controles internos dedicados a, entre outros objetivos, prevenir, detectar, investigar e corrigir fraudes (instituído pela Resolução CMN 4.968/21 e Resolução BCB 260/22, ambas em vigor);
- Compartilhamento de dados e informações sobre indícios de fraude – instituições autorizadas a funcionar pelo Banco Central (com exceção de administradoras de consórcio) devem compartilhar entre si dados e informações, com o objetivo de subsidiar seus procedimentos e controles para prevenção de fraudes (instituído pela Resolução Conjunta 6/23, que entrará em vigor a partir de novembro de 2023); e
- Acesso ao DICT por entes públicos – entes públicos podem solicitar autorização do Banco Central para acessar o DICT para cumprirem suas atribuições legais – o Ministério Público, por exemplo, pode requerer acesso para produzir provas em eventuais processos criminais envolvendo crimes contra o patrimônio, entre outros possíveis tipos penais (instituído pela Resolução BCB 338/23 e atualmente vigente).
A Resolução BCB 342/23, que alterou o regulamento do Pix (Anexo I da Resolução BCB 1/20), entrou em vigor na data de sua publicação e se aplica exclusivamente às instituições participantes do arranjo de pagamento privado Pix. Para acessar o rol de instituições participantes, clique aqui.