O que são essas normas?
GDPR (ou “General Data Protection Rule”) é o Regulamento Geral de Proteção de Dados da União Europeia, que entrou em vigor em maio de 2018. A LGDP (“Lei Geral de Proteção de Dados Pessoais”) é sua equivalente brasileira, recentemente sancionada pelo presidente Michel Temer. Ambas estabelecem regras de coleta, armazenamento, tratamento e disponibilização de informações pessoais, com previsão de imposição de multas pesadas para as empresas que as descumprirem. Vale esclarecer que a GDPR se aplica a todos os cidadãos europeus, independentemente da empresa com a qual se relacionam ou onde estejam localizadas. Ou seja, se uma empresa brasileira possui clientes europeus, deve observar a GDPR, além, claro, da LGDP.
E as normas do Banco Central? Também regulamentam a proteção de dados?
Sim. Com o inevitável aumento do uso de meios eletrônicos e inovações tecnológicas no setor financeiro, o Conselho Monetário Nacional e o Banco Central viram necessidade de definir regras de controle e impor às instituições a contratação de sistemas aptos a lidar com ataques cibernéticos. Para isso, editou a Resolução 4658/18, que determina as regras para as instituições financeiras, e a Circular 3909/2018 – com regras quase idênticas mas prazos mais elásticos para adaptação destinada às Instituições de Pagamento.
Quais as regras impostas pelo Banco Central?
Em linhas gerais, ambas as regras determinam os parâmetros as serem observados pelas instituições na definição e implantação da política de segurança cibernética e requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados, além das regras e parâmetros para a elaboração e implantação de um plano de ação e de resposta a incidentes.
E o que as instituições devem fazer para atender a todas essas determinações?
Como todas as normas aqui citadas tratam da implantação de políticas visando aumentar o nível de segurança e proteção de dados considerados sensíveis ,sejam eles dados de transações financeiras, sujeitos às regulamentações do Banco Central, sejam dados pessoais de clientes ou funcionários, sujeitos à GDPR e/ou à LGDP, a primeira providência é efetuar um gap analysis dos processos que a instituição já possui, para se identificar o que falta para adaptá-los às novas normas. Após, será necessário implementar as ações necessárias: elaboração e implementação da Política de Segurança Cibernética e Plano de Ação e de Resposta a Incidentes, nomeação do Data Protection Officer, definição e implementação de rotinas de procedimentos, treinamentos de pessoal e adaptação de contratos, em especial com terceiros e prestadores de serviços de armazenamento ou tratamento de dados. Também devem criados os controles internos, de verificação de conformidade, monitoramento e reporte.
Qual o prazo para adoção das medidas?
Instituições Financeiras | Instituições de Pagamento | |
Cronograma de ajustes nos contratos | 23/10/2018 | 29/11/2019 |
Política, Plano, Incidentes | 06/05/2019 | 29/11/2019 |
Contratos ajustados | 31/12/2021 | 31/12/2021 |