A comunicação acerca de qualquer vazamento, independentemente do potencial de riscos ou danos, tornou-se uma obrigação para as instituições participantes do arranjo de pagamento instantâneo Pix.
Tal determinação, promulgada através da Resolução BCB de n.º 342/23 em 26 de setembro de 2023, impõe que essas instituições informem ao Banco Central do Brasil (Bacen) e aos titulares de contas transacionais sobre qualquer incidente envolvendo o vazamento de dados pessoais relacionados ao componente ou infraestrutura do Pix.
Embora essa medida busque proporcionar uma maior transparência sobre as operações do Pix aos usuários, ela aparenta estar em desacordo com o artigo 48 da Lei Geral de Proteção de Dados (LGPD). Este artigo estabelece que apenas incidentes de segurança que apresentem risco ou dano relevante aos titulares dos dados devem ser comunicados à Agência Nacional de Proteção de Dados (ANPD) e aos respectivos titulares.
Do ponto de vista jurídico, apesar dessa aparente contradição com a LGPD, a alteração proposta pelo Banco Central está alinhada com os princípios da transparência e segurança que orientam o tratamento de dados pessoais.
Essa normativa não apenas garante maior transparência quanto ao tratamento efetivo de dados pessoais no âmbito do Pix, mas também pressiona as instituições envolvidas a investirem em práticas e procedimentos de segurança mais robustos. Isso se justifica pelo fato de que qualquer incidente de segurança relacionado ao Pix pode significativamente aumentar o risco de prejudicar a reputação da instituição.
Essa nova obrigação faz parte de uma série de ações adotadas pelo Banco Central nos últimos anos, visando aprimorar e, principalmente, aumentar a confiança e segurança dos usuários ao utilizarem as diversas soluções de pagamento do Pix.
Como exemplos dessas medidas, destacam-se os recentes normativos que visam fortalecer a segurança do Pix e, em alguns casos, do Sistema Financeiro Nacional e do Sistema de Pagamentos Brasileiro como um todo:
Mecanismo especial de devolução (MED): Estabelece mecanismos de bloqueio e devolução de recursos no Pix, permitindo que instituições participantes bloqueiem cautelarmente recursos financeiros transacionados via Pix em casos de pagamentos indevidos ou fraudulentos, forçando a devolução dos recursos ao usuário pagador ou fraudado (Resolução BCB de n.º 147/21, atualmente em vigor);
Consulta obrigatória ao DICT: Instituições participantes do Pix devem acessar o Diretório de Identificadores de Conta Transacional (DICT) para fornecer informações sobre as chaves Pix registradas, alimentando os mecanismos de análise de fraude dos participantes (Resolução BCB de n.º 147/21, atualmente em vigor);
Sistemas de controles internos: Instituições autorizadas a funcionar pelo Banco Central devem implementar sistemas de controles internos dedicados a prevenir, detectar, investigar e corrigir fraudes (Resolução CMN de n.º 4.968/21 e Resolução BCB de n.º 260/22, ambas em vigor);
Compartilhamento de dados e informações sobre indícios de fraude: Instituições autorizadas devem compartilhar dados e informações entre si para subsidiar procedimentos e controles de prevenção de fraudes (Resolução Conjunta de n.º 6/23, em vigor a partir de novembro de 2023); e
Acesso ao DICT por entes públicos: Entes públicos podem solicitar autorização para acessar o DICT para cumprir suas atribuições legais, permitindo, por exemplo, que o Ministério Público acesse dados para produzir provas em processos criminais (Resolução BCB de n.º 338/23, atualmente vigente).
A Resolução BCB de n.º 342/23, que modificou o regulamento do Pix (Anexo I da Resolução BCB de n.º 1/20), entrou em vigor na data de sua publicação e é aplicável exclusivamente às instituições participantes do arranjo de pagamento privado Pix. O rol dessas instituições pode ser acessado aqui.
