Pix e a revolução da proteção de dados no sistema bancário: lições do BACEN

A recente edição da Resolução BCB 342 e da Instrução Normativa BCB 412, ambas de 26 de setembro de 2023, pelo Banco Central do Brasil - BACEN, trouxe à tona uma discussão crucial sobre a proteção de dados no sistema bancário, com um foco especial no Pix. Tais normativos estabelecem deveres e penalidades para as instituições que participam do Pix no que diz respeito ao descumprimento de requisitos de segurança e à ocorrência de incidentes de segurança que envolvam dados pessoais. Neste artigo, discutiremos a importância da proteção de dados no sistema bancário, destacando lições valiosas a serem aprendidas com essa nova regulamentação.

O sistema bancário - além de ser de gigantesca importância para a economia - é um dos setores mais críticos quando se trata de proteção de dados. Os bancos lidam com informações altamente sensíveis de dezenas e dezenas de milhões de clientes, incluindo detalhes financeiros e pessoais. Qualquer violação de segurança nesse contexto pode resultar em sérias consequências, tanto para os titulares de contas quanto para as próprias instituições financeiras.

O Pix, um arranjo de pagamentos instantâneos instuído pela Resolução BCB 1, de 12 de agosto de 2020, revolucionou a forma como os brasileiros realizam transferências de dinheiro e transações financeiras, além de trazer consigo a necessidade de se implementar nível mais elevado de segurança em relação aos dados pessoais dos usuários. Com a edição da Resolução 342/23, o BACEN estabelece novas regras que exigem a comunicação de incidentes de segurança envolvendo dados pessoais, mesmo que tais incidentes não representem um risco iminente ou dano significativo aos titulares desses dados.

Uma das lições mais importantes que se pode extrair das novas normas é a ênfase dada à transparência e à responsabilidade. As normas vão além do que a LGPD exige em termos de comunicação de incidentes. Mesmo incidentes que não causem danos substanciais devem ser comunicados aos titulares. Isso demonstra maior compromisso com a transparência e com a garantia de que os titulares tenham ciência de qualquer evento que envolva seus dados pessoais.

Essa abordagem rigorosa é um reconhecimento da importância de manter a confiança dos clientes no sistema bancário. A confiança é um ativo valioso no setor financeiro, e a transparência na comunicação de incidentes de segurança contribui para fortalecê-la.

Outra lição que se pode extrair da nova regulamentação é o uso de penalidades como um incentivo à conformidade. De fato, as novas normas trazem penalidades para o descumprimento de requisitos de segurança do Pix que resultem em incidentes de segurança. A aplicação das punições deverá levar em consideração uma série de fatores, incluindo a gravidade do incidente e as medidas adotadas pelas instituições para conter e minimizar seus efeitos.

Esse sistema de penalidades não apenas responsabiliza as instituições participantes do Pix, mas também incentiva a implementação de medidas de eficazes de segurança. Assim, o BACEN passa um importante recado às instituições que integram o referido arranjo de pagamentos: adequem-se e adaptem-se à nova realidade, dando fiel cumprimento às normas de proteção da privacidade e da segurança de dados pessoais.

É importante ressaltar que tais punições são de caráter administrativo. Mas, ao que parece, o alcance indireto delas pode ir além. De fato, nada impede que, uma vez constatado o vazamento de dados pessoais e a falta de cumprimento das referidas normas, os titulares também proponham medidas judicias com vistas a exigir o pleno cumprimento legal e regulatório, bem como a buscar eventual ressarcimento por danos causados. Assim, procedimentos e eventuais punições administrativos certamente servirão como facilitador e base para que o Poder Judiciário decida em favor das pessoas físicas usuárias dos serviços financeiros. É uma clara mudança de paradigma que, na visão dos presentes autores, veio para ficar.

A proteção de dados no sistema bancário é prioridade crítica. As recém editadas normas deixam isso bem claro. No cenário atual de crescente digitalização e ameaças cibernéticas, a lição é clara: a proteção de dados não é apenas uma questão de conformidade legal, mas também uma parte fundamental da manutenção da confiança do cliente e da integridade do sistema financeiro como um todo. Portanto, as instituições integrantes do Pix devem encarar a proteção de dados como uma prioridade estratégica e não apenas como uma obrigação legal.