Estabelece os procedimentos operacionais para a comunicação aos titulares de dados pessoais em caso de ocorrência de incidente de segurança envolvendo banco de dados relacionado a componente ou a infraestrutura do Pix.
O Chefe do Departamento de Competição e de Estrutura do Mercado Financeiro (Decem), no uso das atribuições que lhe conferem os arts. 23, inciso I, alínea “a”, 94 e 95 do Regimento Interno do Banco Central do Brasil, anexo à Resolução BCB nº 340, de 21 de setembro de 2023, tendo em vista o disposto no art. 32, parágrafo único, do Regulamento anexo à Resolução BCB nº 1, de 12 de agosto de 2020, resolve:
Art. 1º Esta Instrução Normativa estabelece os procedimentos operacionais para a comunicação aos titulares de contas transacionais em caso de ocorrência de incidente de segurança com dados pessoais envolvendo banco de dados relacionado a componente ou infraestrutura do Pix.
Art. 2º A comunicação de que trata o art. 1º compreende a transmissão de informação por participante do Pix aos titulares de dados potencialmente afetados em incidente de segurança relacionado ao Pix confirmado pelo Banco Central do Brasil.
Parágrafo único. O participante do Pix responsável por transmitir a informação será aquele que detiver a conta transacional do titular de dados potencialmente afetado pelo incidente de segurança, mesmo que ele não seja o responsável pelo incidente.
Art. 3º O Banco Central do Brasil solicitará, por meio do Sistema de Correio Eletrônico do Banco Central (BC Correio), que os participantes do Pix detentores de contas transacionais de usuários potencialmente afetados por incidente de segurança procedam com a transmissão da informação aos titulares.
Parágrafo único. Na mensagem a ser enviada pelo BC Correio, o Banco Central do Brasil proverá as orientações necessárias para a devida comunicação.
Art. 4º O Banco Central do Brasil identificará para cada participante do Pix os titulares de dados que devem ser comunicados.
§ 1º A identificação de que trata o caput compreende o envio individual a cada participante do Pix, por meio do Sistema de Transferência de Arquivos (STA), de arquivo tipo APIX003 com a relação de chaves Pix cujos titulares devem ser comunicados.
§ 2º Os arquivos tipo APIX003 correspondentes a cooperativas filiadas a sistemas cooperativos serão consolidados em um único arquivo APIX003 que será enviado ao respectivo sistema cooperativo.
§ 3º Os arquivos tipo APIX003 deverão ser baixados pelos usuários do participante do Pix credenciados no STA com o perfil SPIX003.
§ 4º A comunicação aos titulares de dados potencialmente afetados deve ser realizada ainda que eventual chave Pix relacionada no arquivo APIX003 não esteja mais vinculada a uma conta transacional mantida no Participante do Pix, desde que o relacionamento com o titular da chave Pix ainda exista.
Art. 5º A comunicação será feita no prazo definido pelo Banco Central do Brasil a cada evento e informado na mensagem de que trata o art. 3º, e deverá mencionar, no mínimo:
I – as informações sobre o incidente;
II – a descrição dos dados pessoais potencialmente afetados e da sua natureza; e
III – os riscos relacionados ao incidente.
Parágrafo único. O Banco Central do Brasil poderá, a seu critério, estabelecer outros aspectos a serem incorporados na comunicação, a depender do incidente de segurança.
Art. 6º A comunicação deve utilizar linguagem clara e deve ser feita de maneira individual e diretamente aos titulares dos dados, preferencialmente por meio do canal habitualmente utilizado pelo participante do Pix para se comunicar com o usuário, que seja acessado pelo cliente após a devida autenticação em ambiente seguro.
Art. 7º O Banco Central do Brasil poderá solicitar aos participantes do Pix, a qualquer tempo, cópia da comunicação realizada aos titulares de dados potencialmente afetados.
Art. 8º Esta Instrução Normativa entra em vigor na data de sua publicação.
CARLOS EDUARDO DE ANDRADE BRANDT SILVA
NOTA
(exclusivo para assinantes)