O Banco Central do Brasil (“BCB”), em conjunto com o Conselho Monetário Nacional (“CMN”) publicou, ao dia 23 de maio de 2023, a Resolução Conjunta nº 6 (“Resolução”), que dispõe sobre requisitos para compartilhamento de dados e informações sobre indícios de fraudes.
Primeiramente, foi estabelecido que é dever das instituições autorizadas a funcionar pelo BCB, a quem essa Resolução se aplica, o compartilhamento de dados e informações com as demais instituições com o objetivo de prevenir fraudes.
Cabe ressaltar que os dados e informações a serem compartilhados deverão estar em conformidade com a legislação e regulamentação em vigor, tendo como base o dever de sigilo, proteção de dados e a livre concorrência, bem como os princípios de segurança e privacidade de informação, qualidade das informações compartilhadas, do acesso pleno e não discriminatório e.
Nesse sentido, a Resolução determina que as instituições devem obter de seus clientes consentimento prévio e geral que possibilite o registro de seus dados e informações.
O compartilhamento desses dados e informações deve ser realizado por meio de um sistema eletrônico que contenha, pelo menos:
1- O registro de dados e de informações sobre indícios de ocorrências ou de tentativas de fraudes identificadas pelas instituições em suas atividades. Tal registro deverá conter, ao menos: (i) a identificação de quem teria realizado ou tentado executar a fraude; (ii) a descrição dos indícios de ocorrência; (iii) a identificação da instituição responsável pelo registro dos dados e informações;(iv) e a identificação dos dados da conta destinatária e de seu titular, na hipótese de transferência ou pagamento de recursos.
2- A alteração e a exclusão dos dados e das informações registrados.
3- A consulta dos dados e das informações registradas.
É importante ressaltar que as instituições devem, ainda, observar os demais requisitos acerca da implementação do sistema eletrônico de compartilhamento de dados e informações, listados no Art. 4º da Resolução. Além disso, o atendimento aos requisitos de implementação de tal sistema eletrônico deve ser documentado.
A Resolução também prevê a possibilidade de a instituição contratar empresa terceirizada para a prestação do serviço de compartilhamento de dados e informações, desde que tal empresa cumpra o disposto nesta Resolução e nas demais legislações e regulamentações em vigor. É importante apontar que tal contratação não transmite aos contratados a responsabilidade pelo tratamento e compartilhamento desses dados e informações, que permanece com a instituição contratante.
No entanto, o BCB poderá vetar ou impor restrições à contratação de empresa terceirizada para a prestação desse serviço caso não estejam sendo observados os dispositivos desta e das demais normas que tratam do compartilhamento de dados e informações.
As instituições devem instituir mecanismos de acompanhamento visando o cumprimento das obrigações voltadas ao compartilhamento de dados e informações. Tais mecanismos devem ser submetidos a testes periódicos pela auditoria interna, bem como conter, sobretudo: (i) – a definição de processos, testes e trilhas de auditoria; (ii) a definição de métricas e indicadores adequados; e (iii) a identificação e a correção de eventuais deficiências.
A Resolução também prevê o dever das instituições deixar à disposição do BCB os documentos e informações listadas ao Art. 9º da norma.
Por fim, cabe ressaltar que o cumprimento do disposto na Resolução não exime a responsabilidade das instituições em efetuar os procedimentos e controles para a prevenção de fraudes previstas na regulamentação já em vigor, nem de comunicar às autoridades competentes caso tenha ciência acerca da ocorrência de fraudes.
A Resolução Conjunta entrará em vigor no dia 1º de novembro de 2023.
