A Resolução BCB n° 342 de 26/9/2023 e Instrução Normativa nº 412 trazem elementos importantes sobre o dever de comunicação aos titulares quando da ocorrência de algum incidente de segurança envolvendo dados pessoais bem como sobre o descumprimento de requisitos técnicos de segurança do Pix e os critérios para aplicação de penalidades.
Destacamos uma interface importante entre esta Resolução e a Lei Geral de Proteção de Dados Pessoais – LGPD, na medida em que nesta última, há dever de comunicação de um incidente de segurança envolvendo dados pessoais apenas quando houver possibilidade de acarretar risco ou dano relevante aos titulares afetados. Isso difere do critério apresentado nesta Resolução do BCB, que amplia o escopo desta comunicação em incidentes de segurança dentro do PIX: a ocorrência de incidente de segurança com dados pessoais envolvendo banco de dados relacionado a componente ou a infraestrutura do Pix sempre deve ser comunicada aos titulares de contas transacionais providas pelo participante que sejam pessoas naturais. Essa obrigação incide mesmo nos casos em que o participante provedor da conta não seja o responsável pelo incidente.
Mudanças relevantes também foram feitas no Manual de Penalidades do Pix (Anexo I à Resolução BCB nº 177, de 22 de dezembro de 2021), como hipóteses de aumento da penalidade de multa, avaliadas conforme atuação do participante do Pix e tipos de dados eventualmente comprometidos. Nossas equipes de Payments e Privacidade e Proteção de Dados está à disposição para mais informações e auxílio no cumprimento destas normas.