Resolução do Banco Central obriga a comunicação de incidentes de segurança envolvendo o Pix

Nesta semana, o Banco Central publicou a Resolução BCB n° 342 de 26/9/2023, que tratou de criar cria uma nova obrigação para as instituições financeiras de comunicar incidentes de segurança relacionados ao Pix.

O dever de comunicação aos titulares de contas (pessoas naturais) resulta da ocorrência de qualquer incidente que envolva seus dados pessoais que constem em bancos de dados relacionados a infraestrutura ou componente do Pix.

Assim, a comunicação é mandatória nos casos em que a base de dados do Pix esteja envolvida, ainda que a instituição financeira ou de pagamento que configura como participante provedor da conta não seja o responsável pelo incidente.

Interessante que a Resolução indica que a comunicação é necessária “mesmo que não acarrete risco ou dano relevante aos titulares”, o que excepciona expressamente os gatilhos previstos pela LGPD.

O Banco Central do Brasil ainda estabelecerá em documento específico os procedimentos operacionais relativos à esta comunicação.

Ressalta-se que penalidades da Resolução BCB nº 177 de 22/12/2021 (Manual de Penalidades do Pix) são aplicáveis pela falta de comunicação.