Resolução do Banco Central obriga a comunicação de incidentes de segurança envolvendo o Pix
Nesta semana, o Banco Central publicou a Resolução BCB n° 342 de 26/9/2023, que tratou de criar cria uma nova obrigação para as instituições financeiras de comunicar incidentes de segurança relacionados ao Pix.
O dever de comunicação aos titulares de contas (pessoas naturais) resulta da ocorrência de qualquer incidente que envolva seus dados pessoais que constem em bancos de dados relacionados a infraestrutura ou componente do Pix.
Assim, a comunicação é mandatória nos casos em que a base de dados do Pix esteja envolvida, ainda que a instituição financeira ou de pagamento que configura como participante provedor da conta não seja o responsável pelo incidente.
Interessante que a Resolução indica que a comunicação é necessária “mesmo que não acarrete risco ou dano relevante aos titulares”, o que excepciona expressamente os gatilhos previstos pela LGPD.
O Banco Central do Brasil ainda estabelecerá em documento específico os procedimentos operacionais relativos à esta comunicação.
Ressalta-se que penalidades da Resolução BCB nº 177 de 22/12/2021 (Manual de Penalidades do Pix) são aplicáveis pela falta de comunicação.