O Banco Central do Brasil (BCB) publicou a Resolução Conjunta Nº 6, que dispõe sobre os requisitos para compartilhamento de dados e informações sobre indícios de fraudes entre instituições financeiras, de pagamento e demais autorizadas a funcionar pelo BCB na terça-feira (23). A resolução entrará em vigor em 1º de novembro deste ano.
Diante do constante aumento das fraudes nos serviços bancários, a norma prevê que as instituições reguladas pelo BCB devem compartilhar entre si os dados relacionados ao tema, com a finalidade de subsidiar seus procedimentos e controles para prevenção de novas fraudes.
Os dados serão compartilhados por meio de sistema eletrônico a ser implementado pelas instituições, que deverá contemplar as funcionalidades de registro, alteração, exclusão e consulta de dados e informações sobre indícios de ocorrência ou tentativas de fraudes e, em resumo, deverão conter, no mínimo:
• Identificação de quem, segundo os indícios definidos pela instituição, teria executado ou tentado executar uma fraude, quando aplicável;
• Descrição dos indícios da ocorrência ou da tentativa de fraude;
• Indicação da instituição responsável pelo registro dos dados e das informações;
• Definição dos dados da conta destinatária e de seu titular, em caso de transferência ou pagamento de recursos.
Segurança e privacidade das informações
Além de definir obrigações a serem atendidas pelas instituições e regular implementação do sistema de registro e compartilhamento dos dados, a Resolução fortalece a sistemática criada pela Lei Geral de Proteção de Dados Pessoais (LGPD) 13.709/18 e promove a segurança e privacidade das informações compartilhadas entre as instituições. Dentre as principais obrigações introduzidas pela norma, destacam-se:
• Obtenção do consentimento do cliente para registro dos dados e das informações a serem compartilhadas, mediante cláusula em destaque no contrato firmado entre o cliente e a instituição ou por outro instrumento jurídico válido;
• Limitação do consentimento para o tratamento dos dados à finalidade de subsidiar os procedimentos e controles das instituições para prevenção de fraudes;
• Implementação do sistema para registro dos dados e informações sobre indícios de roubo, garantindo o acesso pleno das instituições, um padrão único e comum de comunicação, controles para assegurar a segurança do sistema, incluindo a elaboração de relatórios por empresa de auditoria especializada e acesso ao titular dos dados, e interoperabilidade com outros sistemas eletrônicos de registro de dados e informações sobre indícios de fraudes;
• Identificação de controles internos para assegurar a efetividade do compartilhamento dos dados e cumprimento da norma, incluindo a definição de processos, testes e trilhas de auditoria, definição de métricas e indicadores adequados, e a percepção e correção de eventuais deficiências;
• Definição e documentação de procedimentos e critérios para a identificação de indícios de ocorrências ou de tentativas de fraudes, os quais devem incluir a conferência dos dados em sistemas de cadastros e demais bases disponíveis para consultas;
• Garantia, ao titular, de livre acesso aos dados e informações que lhe digam respeito, bem como da qualidade dos dados e informações compartilhados, por meio da sua exclusão ou correção tempestiva em caso de eventuais erros, inconsistências ou outras demandas;
• Armazenamento e manutenção à disposição ao BCB de dados sobre indícios de fraude compartilhados, bem como documentação sobre os procedimentos para identificação dos dados de indícios de fraude pelo período de dez anos, e informações relativas à aplicação dos mecanismos de acompanhamento e de controles internos para assegurar a efetividade do compartilhamento dos dados e cumprimento da norma, pelo período de cinco anos.
Para mais informações sobre o tema, conheça as práticas de Bancos e Serviços financeiros e Proteção de Dados e Cybersecurity do Mattos Filho.