La nueva Resolución BCB N° 342, de 26 de septiembre de 2023, amplió el deber de informar incidentes de seguridad que involucren a Pix, incluso si no representan un riesgo relevante para los titulares. Esto difiere de la LGPD, que exige la comunicación sólo en casos de riesgo significativo. Las instituciones financieras reguladas por Bacen deben estar preparadas para responder a consultas sobre este tipo de incidentes.
por cecilia castro, Juan Luz e Luis Doles, Gerente de DPO de NP3 y abogados de Peck Advogados respectivamente.
La Resolución BCB N° 342, de 26 de septiembre de 2023, modificó el Reglamento adjunto a la Resolución BCB N° 1, de 12 de agosto de 2020, que estableció el funcionamiento del esquema de pagos Pix, así como los Anexos I y II de la Resolución BCB N° 177, de 22 de diciembre de 2021 (Manual de Sanciones de Pix), para disponer el incumplimiento de los requisitos técnicos de seguridad de Pix y de los criterios para la aplicación de sanciones.
El gran punto culminante es el Ampliación del deber de informar de incidentes de seguridad de datos. personal si se trata de una base de datos relacionada con el componente o la infraestructura de Pix.
Al analizar la LGPD, el deber de comunicación –a los titulares y a los Autoridad Nacional de Protección de Datos (ANPD) – sólo existe cuando el incidente de seguridad, que involucra datos personales, podría resultar en un riesgo o daño significativo para los interesados afectados. Dicha medición es responsabilidad del responsable del tratamiento, quien deberá llevar un registro de las medidas adoptadas, incluso si opta por no comunicarlas por entender que no existe riesgo o daño relevante.
La nueva Resolución del BCB, sin embargo, amplía este deber si el incidente involucra una base de datos relacionada con un componente o infraestructura de Pix.
De hecho, para evitar dudas, la Resolución expresa este deber “incluso si el incidente de seguridad no puede causar riesgo o daño significativo a los titulares”.
Por tanto, los agentes regulados por Bacen deberán valorar adicionalmente si la incidencia involucra, de alguna forma, a Pix, lo que requerirá su comunicación a los titulares.
Si existiera riesgo o daño relevante, la comunicación se extenderá también a la ANPD, pero de conformidad con lo dispuesto en la LGPD.
Operativamente, a partir de esta comunicación, la institución debe estar preparada para recibir y responder las más diversas consultas sobre el incidente, ya que las personas están cada vez más preocupadas por el uso de sus datos y las noticias sobre incidentes han llegado a los titulares de prensa de gran circulación.
Además, el único párrafo del artículo 32 indica que el Banco Central de Brasil establecerá en un documento específico los procedimientos operativos relacionados con la comunicación, por lo que las políticas de las instituciones financieras deberán actualizarse para incluir este procedimiento cuando ocurra este tipo de incidentes. .seguridad
Por otro lado, vale la pena señalar que esta actualización menciona específicamente solo a las personas físicas, lo que no elimina el deber de seguridad de la información también en relación con los datos de las personas jurídicas dentro del alcance de pix.
No existe ninguna limitación que especifique que solo los datos de personas físicas están protegidos dentro del alcance de pix y el concepto de usuario final incluye a las personas jurídicas.