As novas normas do Banco Central sobre segurança cibernética e serviços de nuvem

A partir de 1º de julho e 1º de agosto, entrarão em vigor, respectivamente, a Resolução CMN nº 893/2021, destinada a instituições autorizadas a funcionar pelo Banco Central do Brasil (BACEN) e a Resolução BCB nº 85/2021, destinada a instituições de pagamento autorizadas a funcionar pelo BACEN. Ambas tratam da política de segurança cibernética e requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados por tais instituições.

Tais resoluções revogam as disposições das normas até aqui vigentes sobre o mesmo assunto, quais sejam, as Resoluções nºs 4.658/2018 e 4.752/2019 para instituições autorizadas a funcionar pelo BACEN e as Circulares nºs 3.909/208 e 3.969/2019 para instituições de pagamento.

O propósito de tais normas é criar um padrão mínimo envolvendo a cibersegurança aplicável às instituições autorizadas a funcionar pelo BACEN, uma vez que, no setor financeiro, incidentes de segurança da informação podem ter consequências gravíssimas e irreparáveis para toda a população.

De forma geral, as novas resoluções seguem estipulando que as instituições devem (i) prever itens mínimos em sua política de segurança cibernética, devendo essa ser compatível com o porte, o perfil de risco e o modelo negocial, com a natureza das atividades e complexidade de seus produtos e serviços, e com a sensibilidade dos dados tratados; (ii) implementar um plano de ação e de respostas a incidentes, com relatório anual sobre os incidentes relevantes; (iii) seguir determinados procedimentos para contratação de serviços relevantes de processamento e armazenamento de dados e de computação em nuvem, no país ou no exterior, sendo estabelecido um conteúdo contratual mínimo; e (iv) comunicar contratações relevantes de processamento, armazenamento de dados e de computação em nuvem ao BACEN; e (v) manter os documentos previstos nas Resoluções para consulta pelo BACEN por até cinco anos.

Ainda, segue mantido o prazo de até 31 de dezembro de 2021 para as instituições adequarem todos os seus contratos para o processamento, armazenamento de dados e de computação em nuvem já vigentes às regras estabelecidas nas resoluções.

As modificações em relação às normas até aqui vigentes foram poucas, sendo as principais: (i) a redução do prazo para comunicação ao BACEN de contratações e alterações a contratações relevantes de processamento, armazenamento de dados e de computação em nuvem, que deverá ocorrer em até 10 dias e não mais 60 dias; e (ii) a nova obrigação de as instituições estabelecerem e documentarem os critérios que caracterizem uma situação de crise que deva ser comunicada ao BACEN, configurada a partir da ocorrência de incidente relevante e interrupções de serviços relevantes.

Uma dúvida recorrente diz respeito à interação de tais normas com a Lei Geral de Proteção de Dados (LGPD). Tais regras são complementares e absolutamente compatíveis com o novo sistema estabelecido para a proteção de dados pessoais, apesar de serem aplicáveis a uma maior gama de informações, que vão além daquelas que possam identificar pessoas físicas. Dentro dos projetos de adequação à LGPD e também nesse momento em que muitas empresas encontram-se na fase de pós-implementação e governança em privacidade e proteção de dados, faz-se de grande importância incluir nos cuidados com a conformidade as resoluções aqui descritas.

Por fim, o assunto é de interesse não apenas das instituições autorizadas a funcionar pelo BACEN. Todas as empresas contratadas que façam qualquer parte do tratamento de dados dessas organizações deverão estar preparadas para atender aos requisitos previstos nas resoluções, nunca tendo havido um melhor momento para concluir seus projetos de conformidade legislativa a fim de manter os seus contratos e de atrair novos negócios.

Luiza Sato é advogada, sócia da área de Proteção de Dados, Direito Digital e Propriedade Intelectual do ASBZ Advogados