Por Lucas Euzébio e Layon Lopes*
O Banco Central (Bacen) disponibilizou, em abril, a resolução Resolução nº 85 que trata das novas políticas de segurança cibernética a serem observadas pelas Instituições de Pagamento. Há quem diga que o novo texto não teve alterações importantes. Porém o que trazemos neste artigo para você, caro leitor, é uma perspectiva de que sim, tivemos boas alterações sobre segurança cibernética na nova resolução.
A Resolução nº 85 revogou praticamente na íntegra o texto da Circular nº 3.909/18 que tratava sobre o mesmo tema, bem como revogou a Circular nº 3.969/19, que realizou algumas pequenas alterações na Circular de 2018 citada acima.
O novo texto dispõe sobre políticas de segurança cibernética e sobre os requisitos para a contratação de empresas que prestem os serviços de processamento e armazenamento de dados e de computação em nuvem. A resolução inclui tanto as empresas nacionais quanto as estrangeiras, uma vez que é muito comum, principalmente a computação em nuvem, ser um serviço cross border.
Uma das alterações mais importantes que a Resolução nº 85 diz respeito à contratação desses serviços. Anteriormente, era necessário comunicar ao Bacen a intenção de contratação de forma prévia, com no mínimo 60 dias de antecedência. Com a nova redação, não existe mais a obrigação prévia, entretanto, deve-se fazer a comunicação à autarquia após a contratação ser realizada – o prazo é de dez dias. A mudança certamente traz mais agilidade para as Instituições de Pagamento e até melhores condições comerciais para a contratação desse tipo de serviço.
Há um ponto que, embora esteja mais discreto no texto, traz um impacto tremendo na gestão jurídica e acompanhamento contratual das Instituições de Pagamento. Estamos falando do art. 17, que prevê uma série de pontos que os contratos “devem” prever, como adoção de medidas de segurança, manutenção, etc.
A nova redação deixa expressamente previsto que os contratos “devem conter cláusulas dispondo”. Ou seja, não basta uma previsão subjetiva nos contratos, mas sim uma redação expressa e clausulada sobre as indicações previstas, como cláusulas explicando a adoção de medidas de segurança, manutenção, transferência de dados, monitoramento e informações e recursos de gestão adequados, etc.
Outra mudança substancial da nova Resolução nº 85 ressalta que as Instituições de Pagamento devem estabelecer, documentar e manter à disposição do Bacen os critérios que configuram uma “situação de crise”. A alteração, que entra em vigor no dia 1º de agosto deste ano, nitidamente acompanha as disposições legais trazidas pelas Lei Geral de Proteção de Dados (LGPD).
O art. 46 da Lei traz algumas previsões similares ao tratar da segurança e do sigilo de dados, bem como no art. 50 que trata sobre as boas práticas e da governança de dados pessoais – sendo uma nova obrigação que a Instituição de Pagamento deverá se preparar, revisando seus procedimentos internos, documentando isso e deixando atualizado à disposição do Bacen.
Por fim, verificamos que foram poucas modificações. Entretanto, as mesmas se justificam e são substanciais para a organização jurídica e operacional de uma Instituição de Pagamento. Destacamos também a importância da empresa já começar a observar tais diretrizes internas de compliance, governança e operacionais, pois o prazo de adequação é de 120 dias.
Dúvidas? A equipe do Silva | Lopes Advogados pode te ajudar!
*Lopes é CEO do Silva | Lopes Advogados e Euzébio é integrante do time do escritório.
PODCAST
Go Global
