por: Dennys Eduardo Gonsales Camara
A aprovação da Lei Geral de Proteção de Dados (“LGPD”), em agosto de 2018, foi um importante passo para o Brasil atualizar sua legislação diante de questões envolvendo privacidade e tecnologia.
Uma série de mudanças são necessárias após a aprovação de uma lei que se aplique a todos os setores que realizem tratamento de dados. No Brasil, as normas de proteção de dados eram fragmentadas e setoriais. Assim, essas normas deverão ser atualizadas ou receber novas interpretações segundo os ditames da LGPD.
Um dos setores que já vem se atualizando é o mercado financeiro. Por meio de audiências públicas, o setor tem aprovado regulamentações sobre o tema. Isso cria demanda por empresas de segurança da informação e proteção de dados. No presente artigo trataremos de uma audiência e uma resolução já aprovada que sinalizam essa abertura de novas oportunidades de atuação no Brasil.
Resolução nº 4.658, de 26/4/2018 do Banco Central do Brasil sobre segurança da informação
Em setembro de 2017, o Banco Central (“BACEN”) anunciou o edital de Consulta Pública 57/2017 sobre “a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento, armazenamento de dados e de computação em nuvem, a serem observados pelas instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil”.
Em abril de 2018, o BACEN publicou a Resolução nº 4.658/2018, resultado da Consulta Pública citada. Estabeleceu-se, assim, que instituições financeiras e outros órgãos autorizados a funcionar pelo BACEN precisam conter uma política de proteção de dados.
O artigo 3º da Resolução apresenta os requisitos mínimos que devem ser contemplados por essas políticas, como os procedimentos e controles utilizados para reduzir a vulnerabilidade à incidentes e os controles específicos para rastreabilidade das informações. Ou seja, a norma cria demanda para de empresas de segurança da informação.
O artigo 13 da Resolução utiliza o termo “serviços de computação em nuvem” de maneira bastante abrangente. Caso uma empresa realize um dos serviços abaixo, ela será enquadrada nessa categoria:
“I – processamento de dados, armazenamento de dados, infraestrutura de redes e outros recursos computacionais que permitam à instituição contratante implantar ou executar softwares, que podem incluir sistemas operacionais e aplicativos desenvolvidos pela instituição ou por ela adquiridos;
II – implantação ou execução de aplicativos desenvolvidos pela instituição contratante, ou por ela adquiridos, utilizando recursos computacionais do prestador de serviços; ou
III – execução, por meio da internet, dos aplicativos implantados ou desenvolvidos pelo prestador de serviço, com a utilização de recursos computacionais do próprio prestador de serviços.”
As instituições financeiras devem prestar ao BACEN[1]informações sobre as empresas contratadas: a denominação, os serviços contratados e indicação dos países e das regiões de cada país onde os dados em questão serão tratados[2]. O artigo 17 da Resolução vai além e estabelece as cláusulas mínimas que devem constar no contrato para este tipo de prestação de serviços.
Quando se trata de empresas estrangeiras prestando esses serviços, no entanto, informações adicionais devem ser apresentadas[3] tais como (a) a existência de convênio de troca de informações entre o BACEN e as autoridades responsáveis dos países onde os serviços poderão ser prestados, (b) a instituição contratante deve assegurar que os serviços não causem prejuízo à atuação do BACEN, (c) a instituição contratante deve definir em quais países e regiões os serviços serão prestados e, por fim, (d) a instituição contratante também deve prever alternativas para continuidade das atividades caso haja impossibilidade de manutenção ou se o contrato for extinto.
Audiência Pública SMD 05/2018 da Comissão de Valores Mobiliários
A Comissão de Valores Mobiliários (“CVM”) lançou Audiência Pública para alterar sua Instrução CVM nº 505, de 27 de setembro de 2011, que trata de normas e procedimentos que devem ser observados nas operações realizadas com valores mobiliários no mercado regulamentado.
A alteração busca dirimir dois riscos: o de eventos que possam paralisar a execução das atividades e o risco de falhas relacionadas à segurança da informação envolvendo as negociações em bolsa.
Entre as preocupações da minuta de Audiência Pública que podem ser vistas como abertura de oportunidades para empresas de segurança da informação, podemos citar alguns exemplos:
- a necessidade de os intermediários do mercado desenvolverem procedimentos específicos para preservar o atendimento aos investidores e manter a continuidade das operações em momentos adversos;
- o dever dos intermediários de desenvolver e implementar políticas e práticas que garantam confidencialidade, integridade e disponibilidade dos dados atrelados;
- o dever dos intermediários de possuir estrutura tecnológica e política de segurança de informação para mitigação e controle de riscos;
- o dever dos intermediários em empregar medidas visando proteger os dados e informações sensíveis, principalmente aquelas que possibilitem a identificação dos investidores.
As informações descritas acima são os principais elementos que serão introduzidos na regulação, estando a sua versão final ainda indefinida.
[1] BANCO CENTRAL DO BRASIL. Resolução nº 4.658, de 26 de abril de 2018. Artigo 15.
[2] O termo “tratamento de dados” é o mesmo utilizado no artigo 5º, X, da Lei nº 13.709, de 14 de agosto de 2018. “…tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
[3] BANCO CENTRAL DO BRASIL. Resolução nº 4.658, de 26 de abril de 2018. Artigo 16.
Dennys Eduardo Gonsales Camara é pesquisadore no Baptista Luz Advogados, associados da Câmara.
written by: Dennys Eduardo Gonsales Camara
The approval of the general law on data protection (“LGPD”) Lei Geral de Proteção de Dados in August 2018 was an important step for Brazil to update its legislation on matters related to privacy and technology.
Several changes are needed though, after the approval of a law that applies to all data processing sectors. In Brazil, data protection norms were fragmented and sectoral, hence the necessity to update them and come up with new interpretations pursuant to the dictates of the LGPD.
One of the sectors that has been self-updating is the financial market. Through public notice and comment, the sector has passed regulations on the matter. This creates demand from information security and data protection companies. This article will address an audience and an already approved resolution which signal the opening of new opportunities in Brazil.
Resolution no. 4.658, of 4/26/2018 of the Banco Central do Brasil on Information Security
In September 2017, the Banco Central (“BACEN”) announced Public Notice and Comment 57/2017 over the “cybersecurity policy and the requirements for contracting services of processing data, data storage and cloud computing, to be complied with by financial institutions and other entities authorized to operate by the Banco Central do Brasil.”
In April 2018, BACEN published Resolution No. 4.658/2018, as a result of the abovementioned Public Notice and Comment. It was thus established that financial institutions and other bodies authorized to operate by BACEN must contain a data protection policy.
Article 3 of the Resolution sets out the minimum requirements to be covered by these policies, such as procedures and controls used to reduce vulnerability to incidents, and the specific controls for traceability of information. That is, the norm creates demand for information security companies.
Article 13 of the Resolution uses the term “cloud computing services” in a quite broadly manner. If a company provides one of the following services, it will fall into such category:
“I – data processing, data storage, network infrastructure and other computing resources that enable the contracting institution to implement or execute software, which may include operating systems and applications developed or acquired by the institution;
II – implementation or execution of applications developed or acquired by the contracting institution, using the computer resources of the service provider; or
III – execution, through the Internet, of the applications implemented or developed by the service provider, using the computing resources of the service provider itself. “
Financial institutions should provide BACEN[1] with information on contracted companies, such as name, contracted services and indication of countries and regions of each country where the data in question will be processed[2]. Article 17 of the Resolution goes beyond by establishing the minimum clauses to include in the contract for this type of service.
When it comes to foreign companies providing such services, however, additional information should be submitted[3] such as (a) the existence of an information exchange agreement between BACEN and the responsible authorities of the countries where services will be provided, (b) the contracting institution shall ensure that the services do not cause any damage to BACEN, (c) the contracting institution must define in which countries and regions the services will be provided and, finally, (d) the contracting institution should also provide alternatives for continuity of the activities if it is impossible to maintain or if the contract is terminated.
Public Notice and Comment SMD 05/2018 of the Securities and Exchange Commission
The Brazilian Securities and Exchange Commission (“CVM”) released a Public Notice and Comment to amend its CVM Instruction 505, as of September 27, 2011, which deals with norms and procedures that must be complied with in securities transactions within the regulated market.
The amendment seeks to resolve two risks: that of events which may paralyze the execution of activities and the risk of failure related to information security involving stock market trading.
Among the concerns of the draft of the Public Notice and Comments which can be seen as opening opportunities for information security companies, we can come up with some examples:
- the need for market intermediaries to develop specific procedures in order to preserve investor service and maintain continuity of operations in times of adversity;
- the duty of intermediaries to develop and implement policies and practices that ensure the confidentiality, integrity, and availability of the “crossed” data;
- the duty of intermediaries to have a technological structure and information security policy for risk control and mitigation;
- the duty of intermediaries to implement measures to protect sensitive data and information, especially those enabling the identification of investors.
The information described above is the main element to be introduced into the regulation, the final version of which is yet to be defined.
[1] BANCO CENTRAL DO BRASIL. Resolution no. 4.658, of April 26, 2018. Article 15.
[2] The term “Data treatment” is the same used as that of Article 5, X, of Law no. 13.709, of August 14, 2018. “…treatment: every operation conducted with personal data such as those referring to gathering, production, receiving, classifying, using, accessing, reproducing, transmitting, distributing, processing, filing, storing, eliminating, evaluating or controling information, modifying, communicating, transferring, broadcasting or extracting;
[3] BANCO CENTRAL DO BRASIL. Resolution no. 4.658, of April 26, 2018. Article 16.
Dennys Eduardo Gonsales Camara is a researcher at Baptista Luz Advogados, member of the Câmara.