Segurança cibernética e proteção de dados na regulação brasileira do mercado financeiro

Está em voga nos noticiários a questão do vazamento de dados de usuários de plataformas digitais e a proteção destas informações. Recentemente, teve repercussão o caso de vazamento de dados de correntistas do Banco Inter, devido a um incidente de segurança em seu sistema[1]. Houve também o conhecido caso de uso político de dados de quase 90 milhões usuários do Facebook pela Cambridge Analytica[2], levando-o a suspender 400 aplicativos em razão de investigação de dados[3].

A temática da insegurança cibernética e da consequente possível necessidade de regulamentar as plataformas digitais entrou na agenda regulatória do mercado financeiro, visto que muitas instituições reguladas pelo Banco Central do Brasil, como as instituições de pagamento (“IPs”), oferecem serviços digitais e possuem acesso a milhares de informações sensíveis de clientes. Nesse sentido, privacidade e segurança são princípios valiosos a serem buscados num contexto de Quarta Revolução Industrial, na qual dados pessoais são o principal insumo que cria valor no mundo digital[4] – e que, inclusive, podem expressar valor em pecúnia e podem ser objeto de negociação[5]. No caso de instituições que operam no mercado financeiro, a importância da proteção de dados é ainda reforçada pela preservação do sigilo bancário, objeto da Lei Complementar nº 105/2001[6].

É nessa perspectiva que a cibersegurança[7] revela-se urgente, uma vez que a observância de políticas e ferramentas de segurança cibernética culmina num armazenamento mais seguro de dados e informações pessoais, reduzindo a sua vulnerabilidade a ataques cibernéticos, cada vez mais sofisticados.

Tendo em vista este cenário, em 16 de agosto de 2018, o Banco Central do Brasil publicou a Circular nº 3.909/18, que dispõe sobre a política de segurança cibernética e processamento de dados para IPs e que entra em vigor em 1º de setembro de 2019[8]. Norma semelhante já havia sido estabelecida em abril deste ano pelo Conselho Monetário Nacional com relação às instituições financeiras por meio da Resolução nº 4.658/18[9]. À época, o diretor de regulação do Banco Central, Otávio Damaso, afirmou que a medida estava alinhada à agenda de redução do custo de crédito, já que o custo com a política seria “extremamente baixo” comparando-se aos ganhos com transparência e segurança[10].

A Circular nº 3.909/18 foi publicada dois dias depois que a Lei nº 13.709/18 (Lei Geral de Proteção de Dados Pessoais – LGPD) foi sancionada. Segundo o artigo 1º desta Lei, seu objetivo é dispor “sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade”[11]. A Lei foi inspirada e estimulada pela Regulation (EU) 2016/679 (General Data Protection Regulation – GDPR) da União Europeia vigente no Espaço Econômico Europeu há três meses, relativa à proteção de dados particulares de pessoas naturais e à livre circulação desses dados[12]. Definitivamente, o tema está em voga e é relevante, dada a preocupação do Estado e dos órgãos de regulação do mercado financeiro em não se eximirem dele.

De acordo com a Circular nº 3.909/18, as instituições de pagamento devem implementar e manter política de segurança cibernética com base em princípios e diretrizes que busquem assegurar a confidencialidade, a integridade e a disponibilidade dos dados e dos sistemas de informação utilizados. As exigências da norma giram em torno de três pontos principais: (i) instituição de política de segurança cibernética; (ii) elaboração de plano de ação e de resposta a incidentes cibernéticos; e (iii) adoção de precauções na terceirização de serviços relevantes de processamento e armazenamento de dados e de computação em nuvem.

A política de segurança cibernética deve, contemplar, por exemplo: (i) os objetivos de segurança cibernética da instituição de pagamento; (ii) os procedimentos e os controles adotados para reduzir a vulnerabilidade da instituição a incidentes; (iii) os controles específicos que busquem garantir a segurança das informações sensíveis; (iv) registro, análise da causa e do impacto e o controle dos efeitos de incidentes; e (v) os mecanismos para disseminação da cultura de segurança cibernética na instituição de pagamento.

O plano de ação e de resposta a incidentes estabelecidos pelas IPs, por sua vez, deve conter, no mínimo: (i) as ações a serem desenvolvidas pela instituição para adequar suas estruturas organizacional e operacional aos princípios e às diretrizes da política de segurança cibernética; (ii) rotinas, procedimentos, controles e tecnologias a serem utilizados na prevenção e na resposta a incidentes; e (iii) a área responsável pelo registro e controle dos efeitos de incidentes relevantes.

As IPs também devem adotar precauções na terceirização de serviços relevantes de processamento e armazenamento de dados e de computação em nuvem. Por exemplo, a Circular estabelece requisitos prévios à contratação destes serviços, como: (i) a adoção de práticas de governança corporativa e de gestão; (ii) a verificação da capacidade do potencial prestador de serviço de assegurar o cumprimento da legislação e da regulamentação em vigor, o acesso da instituição aos dados e às informações a serem processados pelo prestador de serviço; e (iii) a qualidade dos controles de acesso voltados à proteção dos dados e das informações, entre outros.

Por fim, a Circular estabelece termos obrigatórios dos contratos para essa prestação de serviços, que buscam assegurar que o Banco Central do Brasil terá mecanismos para dar efetividade à norma, como por exemplo: (i) a indicação dos países e da região em cada país onde os serviços poderão ser prestados e os dados poderão ser gerenciados; (ii) a adoção de medidas de segurança para a transmissão e armazenamento dos dados; (iii) a segregação dos dados e dos controles de acesso para proteção das informações dos usuários finais; e (iv) a permissão de acesso do Banco Central do Brasil aos contratos e aos acordos firmados, à documentação e às informações referentes aos serviços prestados e aos dados armazenados.

A segurança cibernética é tema de crescente importância no Brasil, inclusive no mercado financeiro, tendo merecido atenção regulatória pelo Banco Central e Conselho Monetário Nacional. A tendência é que a atenção dos órgãos reguladores à proteção cibernética cresça cada vez mais, tendo em vista as constantes evoluções do mercado quanto à utilização e monetização de dados pessoais. De fato, essa é uma nova realidade que busca evitar o acontecimento de incidentes cibernéticos como aqueles que afetaram importantes instituições recentemente. Assim, políticas de cibersegurança serão importantes para a garantia do direito à privacidade de dados e informações dos clientes, previsto no art. 5º, X, da Constituição Federal, assim como ao sigilo bancário.

 

 

[1] ESTADÃO CONTEÚDO. Banco Inter confirma vazamento de dados de correntistas. Disponível em <https://epocanegocios.globo.com/Empresa/noticia/2018/08/banco-inter-confirma-vazamento-de-dados-de-correntistas.html>. Acesso em 23 de agosto de 2018.

[2] ROSEMBERG, Matthew; CONFESSORE, Nicholas; CADWALLADR, Carole. How Trump Consultants Exploited the Facebook Data of Millions. Disponível em: <https://www.nytimes.com/2018/03/17/us/politics/cambridge-analytica-trump-campaign.html>.  Acesso em 23 de ago. 2018.

[3] FRIER, Sarah. Facebook Suspends 400 Apps in Developer Data Investigation. Disponível em: <https://www.bloomberg.com/news/articles/2018-08-22/facebook-suspends-400-apps-in-developer-data-investigation>. Acesso em 23 de agosto de 2018.

[4] TRUDEL, Pierre. La valeur de nos données personnelles. Disponível em: <https://www.ledevoir.com/opinion/chroniques/522496/la-valeur-de-nos-donnees-personnelles>. Acesso em 23 de agosto de 2018.

[5] SOUZA, Renato. Dados pessoais de brasileiros são negociados livremente na internet.Disponível em: <https://www.correiobraziliense.com.br/app/noticia/brasil/2018/07/16/interna-brasil,695136/dados-pessoais-de-milhares-de-brasileiros-sao-negociados-na-internet.shtml>. Acesso em 23 de agosto de 2018.

[6] BRASIL. LEI COMPLEMENTAR Nº 105, DE 10 DE JANEIRO DE 2001. Disponível em: <http://www.planalto.gov.br/ccivil_03/LEIS/LCP/Lcp105.htm>. Acesso em 24 de agosto de 2018.

[7] “Cibersegurança (cybersecurity) consiste em um conjunto de tecnologias, procedimentos e práticas que objetivem a segurança de redes online, computadores ou programas contra possíveis ataques, danos ou acesso não autorizado”, vide: MOREIRA, Amanda; BECKER, Daniel; LAMEIRÃO, Pedro. Os incidentes cibernéticos e a advocacia. Disponível em: <https://www.lexmachinae.com/2017/09/25/os-incidentes-ciberneticos-e-advocacia/>. Acesso em 23 de agosto de 2018.

[8] BANCO CENTRAL DO BRASIL. CIRCULAR Nº 3.909, DE 16 DE AGOSTO DE 2018. Disponível em: <http://www.imprensanacional.gov.br/materia/-/asset_publisher/Kujrw0TZC2Mb/content/id/37402932/do1-2018-08-20-circular-n-3-909-de-16-de-agosto-de-2018-37402763> Acesso em 23 de agosto de 2018.

[9] BANCO CENTRAL DO BRASIL. RESOLUÇÃO Nº 4.658, DE 26 DE ABRIL DE 2018. Disponível em: <https://www.bcb.gov.br/pre/normativos/busca/downloadNormativo.asp?arquivo=/Lists/Normativos/Attachments/50581/Res_4658_v1_O.pdf>- Acesso em 23 de agosto de 2018.

[10] PUPO, Fábio; RIBEIRO, Alex; CAMPOS, Eduardo. Novas regras de segurança cibernética protegem contra ataques digitais. Disponível em: <https://www.valor.com.br/financas/5486447/novas-regras-de-seguranca-cibernetica-protegem-contra-ataques-digitais>. Acesso em 23 de agosto de 2018.

[11] BRASIL. LEI Nº 13.709, DE 14 DE AGOSTO DE 2018. Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm>. Acesso em 23 de ago. 2018.

[12] OFFICIAL JOURNAL OF THE EUROPEAN UNION. REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 27 April 2016. Disponível em: <https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679>. Acesso em 24 de agosto de 2018.

 

Por Carolina Germano e Ricardo Mafra

Fonte: https://www.lexmachinae.com/2018/08/27/seguranca-cibernetica-protecao-de-dados-regulacao-mercado-financeiro/

 

Comentários

Comentários