This template is based on the Smarty template engine
Please find the documentation at http://www.form2content.com/documentation.
The list of all possible template parameters can be found here.

---

PORTARIA GM-MD Nº 5.814, DE 29.11.2022

This is an automatically generated default intro template - please do not edit.

---

ementa: Dispõe sobre a Diretriz para a Proteção de Dados Pessoais no Ministério da Defesa.

---

revogada:

---

assunto:

---

Secao_Responsabilidades_Ramos:

---

Secao_Riscos_Especiais_Ramos:

---

Secao_Automovel_Ramos:

---

Secao_Transportes_Ramos:

---

Secao_Riscos_Financeiros_Ramos:

---

Secao_Pessoas_Coletivo_Ramos:

---

Secao_Habitacional_Ramos:

---

Secao_Rural_Ramos:

---

Secao_Pessoas_Individuais_Ramos:

---

Secao_Maritimos_Ramos:

---

Secao_Aeronauticos_Ramos:

---

Secao_Resseguros_Ramos:

---

normas_contabeis:

---

materia:

CONTEÚDO

---

PORTARIA GM-MD Nº 5.814, DE 29.11.2022

Dispõe sobre a Diretriz para a Proteção de Dados Pessoais no Ministério da Defesa.

O MINISTRO DE ESTADO DA DEFESA, no uso das atribuições que lhe confere o art. 87, parágrafo único, incisos I e II, da Constituição, tendo em vista o disposto no art. 5º, inciso VI, da Lei nº 13.709, de 14 de agosto de 2018, e de acordo com o que consta do Processo Administrativo nº 60220.000120/2022-68, resolve:

CAPÍTULO I
DISPOSIÇÕES GERAIS

Art. 1º Esta Portaria dispõe sobre a Diretriz para a Proteção de Dados Pessoais no Ministério da Defesa, exceto quanto às Forças Armadas.

Parágrafo único. Os Comandos da Marinha, do Exército e da Aeronáutica definirão suas diretrizes para a proteção de dados pessoais e exercerão as funções típicas de controlador previstas na Lei nº 13.709, 14 de agosto de 2018.

Art. 2º O Ministério da Defesa exercerá as funções típicas de controlador, subsidiado, no que se refere à dimensão estratégica do assunto, pelo Comitê de Governança do Ministério da Defesa (CG-MD), instituído pela Portaria GM-MD nº 3.127, de 28 de julho de 2021.

Art. 3º Os órgãos que integram o Ministério da Defesa deverão observar as disposições da Lei nº 13.709, de 2018, e aplicar os princípios previstos no seu art. 6º, em toda e qualquer operação de tratamento de dados pessoais que realizarem, independentemente do meio ou do país onde os dados estejam localizados.

Parágrafo único. Deverão ser adotadas as diretrizes, os regulamentos, as normas, as orientações e os procedimentos expedidos pela Autoridade Nacional de Proteção de Dados Pessoais (ANPD), observadas as competências do art. 55-J da Lei nº 13.709, de 2018.

CAPÍTULO II
GOVERNANÇA, GESTÃO E BOAS PRÁTICAS

Art. 4º O tratamento de dados pessoais no âmbito do Ministério da Defesa será promovido de forma a atender à finalidade pública, na busca do interesse público, tendo como objetivos executar suas competências e atribuições legais e normativas.

Art. 5º O Comitê de Governança do Ministério da Defesa (CG-MD) acompanhará, em nível estratégico, as ações relacionadas ao tratamento de dados pessoais, por meio da estrutura de governança estabelecida, competindo-lhe:

I - apreciar propostas de diretrizes e políticas visando à conformidade com as disposições da Lei nº 13.709, de 2018;

II - promover e acompanhar a implementação de medidas e iniciativas para o incremento do nível de maturidade da proteção de dados pessoais;

III - fomentar a cultura de privacidade e proteção de dados pessoais; e

IV - propor aperfeiçoamentos na estrutura de governança estabelecida para o tratamento de dados pessoais.

Art. 6º A gestão das operações de proteção de dados pessoais será orientada e acompanhada:

I - no âmbito da administração central do MD, pelo Comitê de Governança Digital do Ministério da Defesa (CGD-MD); e

II - no âmbito do Hospital das Forças Armadas (HFA), da Escola Superior de Guerra (ESG), da Escola Superior de Defesa (ESD) e do Centro Gestor e Operacional do Sistema de Proteção da Amazônia (CENSIPAM), pelos respectivos comitês internos de governança ou instâncias equivalentes, os quais poderão estabelecer diretrizes e procedimentos complementares para o tratamento de dados pessoais em razão de suas especificidades.

Art. 7º Cabe ao CGD-MD e aos comitês internos de governança ou instância equivalentes do HFA, da ESG, da ESD e do CENSIPAM, no âmbito de suas competências:

I - subsidiar o CG-MD nos temas afetos à proteção de dados pessoais;

II - aprovar o Programa de Gestão em Privacidade (PGP), bem como suas revisões;

III - orientar e monitorar a implementação do PGP, acompanhando seus indicadores; e

IV - propor aperfeiçoamentos nas diretrizes, políticas, procedimentos e estruturas relacionados à proteção de dados pessoais.

Art. 8º O PGP tem por objetivos aperfeiçoar as operações de tratamento de dados pessoais e promover um ciclo de melhoria contínua para cumprir a legislação e normativos pertinentes, consolidando os requisitos de privacidade e proteção de dados pessoais no âmbito do Ministério da Defesa.

Parágrafo único. O PGP deverá conter no mínimo:

I - ações que visem elevar o nível de maturidade da proteção de dados pessoais;

II - plano de comunicação que estabeleça os procedimentos internos e as formas de comunicação com os titulares de dados pessoais e com a ANPD; e

III - modelos padronizados de inventário de dados, de relatório de impacto à proteção de dados pessoais e de plano de resposta a incidentes.

Art. 9º O PGP deverá considerar as prioridades e as peculiaridades das unidades organizacionais para o cumprimento desta Portaria.

Parágrafo único. Para efeito desta Portaria, unidade organizacional responsável pelo tratamento de dados pessoais corresponde a todo componente da estrutura organizacional do Ministério da Defesa que realize operação de tratamento de dados pessoais.

Art. 10. Na implementação dos procedimentos para o tratamento de dados pessoais, a unidade organizacional responsável, considerando o volume e a natureza dos dados tratados, deverá adotar, ao menos, as seguintes boas práticas:

I - mapear as atividades de tratamento e realizar o inventário dos dados pessoais tratados, mantendo-o atualizado;

II - elaborar o relatório de impacto à proteção de dados pessoais quando necessário;

III - adotar medidas de transparência aos usuários sobre o tratamento de dados pessoais, por meio do sítio institucional do Ministério da Defesa da internet;

IV - fazer cumprir, no âmbito de suas atribuições e competências, a Política de Segurança da Informação;

V - determinar, no âmbito de suas atribuições e competências, que terceiros contratados estejam em conformidade com a LGPD; e

VI - incentivar a participação em eventos de capacitação, visando estimular a cultura de proteção de dados pessoais.

CAPÍTULO III
MAPEAMENTO E INVENTÁRIO DE DADOS PESSOAIS

Art. 11. A unidade organizacional responsável pelo tratamento de dados pessoais deverá realizar o mapeamento e o inventário dos dados pessoais sob sua custódia.

§ 1º O mapeamento de dados pessoais consiste na atividade de identificar os dados pessoais objeto de tratamento e o seu ciclo de vida, bem como seus repositórios e banco de dados.

§ 2º O mapeamento de dados pessoais de que trata o caput inclui todas as operações de tratamento, a compreender:

I - coleta;

II - retenção;

III - processamento;

IV - compartilhamento;

V - eliminação; e

VI - demais operações em que dados pessoais estejam sujeitos.

Art. 12. O produto da atividade de mapeamento de dados pessoais será denominado "Inventário de Dados Pessoais", conforme modelo padronizado no PGP.

Parágrafo único. Para efeito do caput, são deveres do responsável pela unidade organizacional onde os dados pessoais forem tratados:

I - garantir que o inventário de dados pessoais contenha os registros e fluxos de tratamento dos dados, com base na consolidação do mapeamento dos serviços e processos de negócio que realizem o tratamento de dados pessoais, a compreender informações sobre:

a) finalidade do tratamento;

b) base legal;

c) categorias de dados pessoais;

d) identificação das formas de obtenção e coleta dos dados pessoais;

e) categoria dos titulares;

f) fases do ciclo de vida do tratamento;

g) compartilhamento de dados com terceiros, identificando eventual transferência internacional;

h) categorias de destinatários, se houver;

i) prazo de retenção dos dados;

j) medidas de segurança organizacionais e técnicas adotadas; e

k) contratos de serviço ou soluções de Tecnologia da Informação - TI relacionados ao tratamento de dados pessoais.

II - elaborar plano de ação, alinhado com o PGP, para aperfeiçoar as operações de tratamento de dados pessoais mapeadas;

III - identificar lacunas à proteção de dados pessoais nos processos geridos, avaliar os riscos decorrentes e elaborar, sempre que necessário, o relatório de impacto à proteção de dados pessoais (RIPD);

IV - apresentar ao Gestor de Segurança da Informação a minuta do RIPD com a proposta para tratamento dos riscos e implementar as adequações necessárias e compatíveis conforme orientação daquele Gestor;

V - encaminhar cópia atualizada do inventário de dados pessoais e do RIPD ao Gestor de Segurança da Informação e ao Encarregado pelo Tratamento de Dados Pessoais; e

VI - arquivar o inventário de dados pessoais e os relatórios de impacto à proteção de dados pessoais, permanecendo em condições de disponibilizá-los, em caso de solicitação da ANPD ou de outro órgão de controle.

Art. 13. Quando o "Inventário de Dados Pessoais" relacionar dados pessoais sensíveis e de crianças e adolescentes, deverão ser adotadas medidas adicionais de proteção e segurança, nos termos do art. 14 da Lei nº 13.709, de 2018.

CAPÍTULO IV
RELATÓRIO DE IMPACTO À PROTEÇÃO DE DADOS PESSOAIS

Art. 14. O responsável pela unidade organizacional que realizar o tratamento de dados pessoais deverá confeccionar o relatório de impacto à proteção de dados pessoais referente aos atos em que o tratamento de tais dados tenha potencial de gerar risco a direitos e liberdades fundamentais, de acordo com as orientações previstas no PGP e as normas expedidas pela ANPD.

Parágrafo único. A elaboração do Relatório de Impacto à Proteção de Dados Pessoais deverá:

I - conter, no mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e garantia da segurança das informações, os riscos e as medidas, salvaguardas e mecanismos de mitigação de riscos, conforme modelo estabelecido no PGP;

II - anteceder à celebração de contrato ou convênio que tenha por objeto operações de tratamento de dados pessoais;

III - anteceder ao tratamento de dados pessoais realizado para fins exclusivos de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais, ou quando esse tratamento for realizado com fundamento no legítimo interesse do Ministério da Defesa; e

IV - ocorrer sempre que for demandado pela ANPD, conforme prazo estabelecido.

Art. 15. Os relatórios de impacto gerados deverão ser mantidos atualizados, no mínimo, anualmente, e arquivados no setor que o originou, que deverá encaminhar uma cópia para o Gestor de Segurança da Informação e para o Encarregado pelo Tratamento de Dados Pessoais.

CAPÍTULO V
MEDIDAS DE SEGURANÇA

Art. 16. Cabe ao responsável pela unidade organizacional onde os dados pessoais são tratados implementar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais, ou não, de eliminação, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito, nos termos da Lei nº 13.709, de 2018, por meio das seguintes ações:

I - implementação do previsto na Política de Segurança da Informação;

II - adoção de mecanismos de segurança e privacidade, desde a concepção de novos produtos ou serviços (security by design e privacy by design);

III - elaboração de um plano de resposta a incidentes identificados no relatório de impacto;

IV - avaliação dos sistemas e bancos de dados em que houver tratamento de dados pessoais ou tratamento de dados sensíveis, bem como suas eventuais integrações com outros sistemas, submetendo os riscos identificados, quando não passíveis de tratamento, à apreciação do Gestor de Segurança da Informação, para as orientações necessárias;

V - análise da segurança das hipóteses de compartilhamento de dados pessoais; e

VI - realização de treinamentos.

Parágrafo único. O plano de resposta a incidentes envolvendo dados pessoais deverá prever a comunicação imediata do incidente ao Encarregado pelo Tratamento de Dados Pessoais e ao Gestor de Segurança da Informação, no prazo máximo de vinte e quatro horas, com esclarecimento da natureza do incidente e das medidas adotadas para a apuração das suas causas e a mitigação de novos riscos e dos impactos causados aos titulares dos dados.

Art. 17. A eliminação de documentos que contenham dados pessoais deverá estar em conformidade com a Tabela de Temporalidade do Ministério da Defesa e com as orientações do Arquivo Nacional, devendo ser realizada de forma a impedir a identificação dos dados pessoais neles contidos, sem prejuízo dos registros documentais correspondentes para fim de rastreamento das medidas adotadas, mediante publicação do ato correspondente em Boletim Interno do Ministério da Defesa.

Parágrafo único. A eliminação de documentos de que trata o caput não afasta os deveres previstos na Lei nº 13.709, de 2018, em relação aos dados pessoais que remanescerem em índices, classificadores, indicadores, banco de dados, arquivos de cópia de segurança ou qualquer outro modo de conservação adotado.

Art. 18. O responsável pela unidade organizacional armazenará os documentos físicos que contenham dados pessoais e dados pessoais sensíveis de forma segura e com acesso restrito.

CAPÍTULO VI
INCIDENTES ENVOLVENDO DADOS PESSOAIS

Art. 19. As unidades organizacionais responsáveis pelo tratamento de dados pessoais devem monitorar preventivamente os eventos relacionados no relatório de impacto à proteção de dados pessoais, visando evitar incidentes envolvendo dados pessoais.

§ 1º É dever de todos que tiverem conhecimento de qualquer evento que possa gerar risco às liberdades civis e aos direitos fundamentais de titulares de dados pessoais tratados, informar imediatamente ao Encarregado pelo Tratamento de Dados Pessoais, que proverá as orientações pertinentes, e ao Gestor de Segurança da Informação.

§ 2º O Encarregado pelo Tratamento de Dados Pessoais providenciará a divulgação no sítio institucional da intranet, na área proteção de dados pessoais, informações e o canal oficial interno para registro de requisições e ocorrências envolvendo o tratamento de dados pessoais.

Art. 20. Os incidentes de segurança que possam acarretar risco ou dano relevante aos titulares de dados pessoais deverão ser comunicados:

I - ao Encarregado pelo Tratamento de Dados Pessoais e ao Gestor de Segurança da Informação, no prazo máximo de vinte e quatro horas, com esclarecimento da natureza do incidente e das medidas adotadas para a apuração das suas causas e a mitigação de novos riscos e dos impactos causados aos titulares dos dados, conforme previsto no plano de resposta a incidentes de que trata o art. 15; e

II - aos titulares de dados pessoais e à ANPD, conforme estabelecido no Plano de Comunicação do Programa de Gestão de Privacidade.

§ 1º Caberá ao Gestor de Segurança da Informação:

I - dar ciência do incidente ao Ministro de Estado de Defesa;

II - coordenar as medidas técnicas e administrativas para cessar o incidente;

III - elaborar comunicado de incidente dirigido à ANPD e aos respectivos titulares, observados os prazos estabelecidos e procedimentos adotados pela ANPD; e

IV - acompanhar as medidas afetas ao incidente até o término de seus efeitos.

§ 2º Caberá às unidades organizacionais responsáveis pelo tratamento de dados pessoais:

I - prestar todas as informações e adotar as medidas necessárias para apurar a natureza dos dados pessoais afetados;

II - informar quais os titulares de dados pessoais foram atingidos pelo incidente; e

III - indicar as medidas técnicas e de segurança utilizadas para a proteção dos dados e as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo decorrente do incidente, empregando, sempre que possível, plano de resposta a incidentes previsto no art. 15.

§ 3º Caso as unidades organizacionais responsáveis pelo tratamento de dados pessoais não comuniquem imediatamente o incidente ao Gestor de Segurança da Informação e ao Encarregado pelo Tratamento de Dados Pessoais, será necessário justificar o motivo da demora e as medidas que foram tomadas para reverter ou mitigar os efeitos.

Art. 21. Caberá às unidades organizacionais responsáveis pelo tratamento de dados pessoais elaborar o relatório de impacto à proteção de dados pessoais específico sobre o incidente, mediante apoio do Gestor de Segurança da Informação e orientação do Encarregado pelo Tratamento de Dados Pessoais.

CAPÍTULO VII
ADEQUAÇÃO DE CONTRATOS

Art. 22. A unidade organizacional deverá revisar e adequar todos os contratos que envolvam as atividades de tratamento de dados pessoais às normas de privacidade e proteção de dados pessoais, considerando a responsabilização dos agentes de tratamento prevista na lei, devendo:

I - revisar os modelos existentes de minutas de contratos e convênios externos, proceder aos ajustes nos instrumentos contratuais vigentes e incluir nos novos contratos que envolvam atividades de tratamento de dados pessoais, cláusulas específicas, em especial sobre compartilhamento, retenção e eliminação de dados pessoais, conforme a finalidade pública e a necessidade das operações de tratamento;

II - elaborar, quando necessário, termos de tratamento de dados pessoais para assinatura com os operadores de serviços, incluindo as informações sobre:

a) os dados pessoais que serão tratados;

b) as categorias de titulares dos dados pessoais tratados;

c) as finalidades dos dados pessoais tratados; e

d) os limites do tratamento dos dados pessoais.

III - elaborar orientações e procedimentos para as contratações futuras, em conformidade com a Lei nº 13.709, de 2018; e

IV - criar procedimentos de auditoria regulares para realizar a gestão de terceiros com quem houver o compartilhamento de dados pessoais.

Parágrafo único. Os responsáveis pelas unidades organizacionais deverão exigir de seus fornecedores de tecnologia, automação e armazenamento a adequação às exigências da Lei nº 13.709, de 2018, quanto aos sistemas e programas de gestão de dados pessoais por eles tratados.

CAPÍTULO VIII
CULTURA DE PRIVACIDADE

Art. 23. O Plano de Desenvolvimento de Pessoas da administração central do Ministério da Defesa e os documentos equivalentes da ESG, da ESD, do CENSIPAM e do HFA deverão prever treinamentos para implementação da cultura de privacidade e proteção de dados pessoais.

CAPÍTULO IX
TRANSPARÊNCIA E DIREITOS DOS TITULARES

Art. 24. A Plataforma Integrada de Ouvidoria e Acesso à Informação - Fala.br constitui-se no canal oficial para atendimento das requisições e reclamações apresentadas pelos titulares dos dados pessoais.

§ 1º Todas as demandas recebidas por meio do Fala.br relativas ao atendimento de requisições e reclamações apresentadas pelos titulares dos dados pessoais deverão ser encaminhadas para conhecimento do Encarregado pelo Tratamento de Dados Pessoais, que adotará as seguintes medidas:

I - distribuição do processo, quando aplicável; e

II - acompanhamento do fluxo para atendimento aos direitos dos titulares de dados pessoais, requisições e reclamações apresentadas, desde o seu ingresso até o fornecimento da resposta.

§ 2º O Encarregado pelo Tratamento de Dados Pessoais deverá manter canal eletrônico específico para orientação aos titulares dos dados pessoais, devendo informar aos titulares de dados pessoais que as demandas oficiais deverão ser direcionadas para o Fala.br.

Art. 25. O responsável pela unidade organizacional que realizar o tratamento de dados pessoais deverá acompanhar o fluxo correspondente durante todo seu ciclo de vida, respeitando os princípios da Lei nº 13.709, de 2018.

Art. 26. Os responsáveis pelo tratamento de dados pessoais deverão disponibilizar informações adequadas a respeito dos procedimentos de tratamento de dados pessoais, nos termos do art. 9º da Lei nº 13.709, de 2018, por meio de:

I - termos de uso e avisos de privacidade dos serviços e sistemas que tratem dados pessoais; e

II - avisos de cookies nos sítios eletrônicos, quando aplicável.

Art. 27. Os responsáveis pela unidade organizacional que realizar o tratamento de dados pessoais deverá informar ao Encarregado pelo Tratamento de Dados Pessoais, semestralmente, as categorias de dados tratados e suas finalidades.

Art. 28. O Encarregado pelo Tratamento de Dados Pessoais encaminhará à Assessoria Especial de Comunicação Social do Ministério da Defesa, sempre que houver atualização, as informações para a divulgação, no sítio eletrônico institucional, a respeito dos procedimentos de tratamento de dados, a compreender:

I - categorias de dados tratados e suas finalidades;

II - os direitos dos titulares dos dados;

III - o canal de atendimento disponibilizado aos titulares de dados para que exerçam seus direitos; e

IV - os dados de contato do Encarregado pelo Tratamento de Dados Pessoais.

Art. 29. Para o tratamento de dados pessoais realizado com fundamento no consentimento do titular, a unidade responsável pelo tratamento deverá prover a rastreabilidade do ciclo de vida destes dados, com a finalidade de possibilitar a revogação do consentimento mediante requisição do titular.

CAPÍTULO X
COMPARTILHAMENTO E TRANSFERÊNCIA INTERNACIONAL

Art. 30. O compartilhamento de dados pessoais com órgãos públicos deverá considerar o disposto no Decreto nº 10.046, de 9 de outubro de 2019 e na Lei nº 13.709, de 2018, em especial os princípios da adequação, da necessidade e a finalidade pública que justificam o compartilhamento, observados os regulamentos e as normas editados pela ANPD.

Parágrafo único. Para o compartilhamento de dados pessoais com pessoa de direito privado deverá ser observado o disposto no art. 4º, § 4º, no art. 24, parágrafo único, no art. 26, § 1º, e no art. 27 da Lei nº 13.709, de 2018.

Art. 31. O compartilhamento de dados com órgãos públicos somente será autorizado nas hipóteses previstas no art. 7º e 11 da Lei nº 13.709, de 2018.

§ 1º Sempre que possível deverão ser estabelecidos limites ao tratamento de dados pessoais e a responsabilidade dos respectivos agentes de tratamento.

§ 2º O compartilhamento deverá ser oferecido na modalidade de fornecimento de acesso a informações específicas adequadas, necessárias e proporcionais ao atendimento das finalidades específicas, observados os protocolos de segurança da informação e evitando a transferência de bancos de dados, salvo quando estritamente necessária para o pleno atendimento do interesse público.

Art. 32. O responsável por compartilhar dados pessoais efetuará, sempre que possível, a criptografia ou a pseudonimização de dados pessoais para o acesso a informações ou transferência dos dados para terceiros, observados os requisitos de segurança da informação, a finalidade do tratamento e a base legal que o autorize.

Art. 33. A transferência internacional de dados pessoais deverá observar o estabelecido nos arts. 33 a 36 da Lei nº 13.709, de 2018, e será regulada por norma específica a ser proposta pela unidade organizacional que realize transferência internacional de dados no âmbito de suas competências.

Parágrafo único. As operações de transferência de dados pessoais devem ser informadas para o Encarregado pelo Tratamento de Dados Pessoais, para fins de acompanhamento.

CAPÍTULO X
DISPOSIÇÕES FINAIS

Art. 34. Esta Portaria será publicada em Diário Oficial da União e disponibilizada no Portal do Ministério da Defesa e na sua Intranet.

Art. 35. Esta Portaria entra em vigor em 2 de janeiro de 2023.

PAULO SÉRGIO NOGUEIRA DE OLIVEIRA

(DOU de 02.12.2022 – págs. 147 a 149 – Seção 1)

---

Secao_Microsseguros:

---

Secao_Ent_Fechadas_Prev_Complem:

---

Leia mais...

This template is based on the Smarty template engine
Please find the documentation at http://www.form2content.com/documentation.
The list of all possible template parameters can be found here.

---

RESOLUÇÃO BCB Nº 269, DE 01.12.2022

This is an automatically generated default intro template - please do not edit.

---

ementa: Altera o Regulamento anexo à Resolução BCB nº 1, de 12 de agosto de 2020, que disciplina o funcionamento do arranjo de pagamentos Pix, para ajustar dispositivos sobre os critérios e as condições para terceirização de atividades, sobre a definição de conta transacional, sobre a oferta de Pix Cobrança, sobre a API Pix, sobre o Diretório de Identificadores de Contas Transacionais (DICT), sobre a devolução de transações, sobre a resolução de disputas, sobre a verificação de aderência da atuação dos participantes ao regulamento e as penalidades aplicadas e sobre aspectos relacionados ao Open Finance.

---

revogada:

---

assunto:

---

Secao_Responsabilidades_Ramos:

---

Secao_Riscos_Especiais_Ramos:

---

Secao_Automovel_Ramos:

---

Secao_Transportes_Ramos:

---

Secao_Riscos_Financeiros_Ramos:

---

Secao_Pessoas_Coletivo_Ramos:

---

Secao_Habitacional_Ramos:

---

Secao_Rural_Ramos:

---

Secao_Pessoas_Individuais_Ramos:

---

Secao_Maritimos_Ramos:

---

Secao_Aeronauticos_Ramos:

---

Secao_Resseguros_Ramos:

---

normas_contabeis:

---

materia:

RESOLUÇÃO BCB Nº 269, DE 01.12.2022

Altera o Regulamento anexo à Resolução BCB nº 1, de 12 de agosto de 2020, que disciplina o funcionamento do arranjo de pagamentos Pix, para ajustar dispositivos sobre os critérios e as condições para terceirização de atividades, sobre a definição de conta transacional, sobre a oferta de Pix Cobrança, sobre a API Pix, sobre o Diretório de Identificadores de Contas Transacionais (DICT), sobre a devolução de transações, sobre a resolução de disputas, sobre a verificação de aderência da atuação dos participantes ao regulamento e as penalidades aplicadas e sobre aspectos relacionados ao Open Finance.

A Diretoria Colegiada do Banco Central do Brasil, em sessão realizada em 30 de novembro de 2022, com base no art. 10, inciso IV, da Lei nº 4.595, de 31 de dezembro de 1964, no art. 10 da Lei nº 10.214, de 27 de março de 2001, nos arts. 6º, 7º, 9º, 10, 14 e 15 da Lei nº 12.865, de 9 de outubro de 2013, na Resolução nº 4.282, de 4 de novembro de 2013, no Comunicado nº 32.927, de 21 de dezembro de 2018, e no Comunicado nº 34.085, de 28 de agosto de 2019, resolve:

Art. 1º O Regulamento anexo à Resolução BCB nº 1, de 12 de agosto de 2020, passa a vigorar com as seguintes alterações:

"Art. 3º .........................................................................

.......................................................................................

VI - .................................................................................

.......................................................................................

d) conta de depósito ou conta de pagamento pré-paga da instituição financeira ou instituição de pagamento, caso seja participante indireto no SPI, para pagamentos ou recebimentos decorrentes, exclusivamente, de obrigações e de direitos próprios;

e) conta contábil mantida em participante do Pix em nome de correspondente no País, para movimentação de valores relativos à prestação de serviços, desde que utilizada apenas para receber recursos; ou

f) conta destinada ao registro e ao controle do fluxo de recursos relativos ao pagamento de salários, proventos, soldos, vencimentos, aposentadorias, pensões e similares (conta-salário), exclusivamente para o recebimento de valores enviados pela Secretaria do Tesouro Nacional;

............................................................................." (NR)

"Art. 11-C. ....................................................................

Parágrafo único. O participante que ofertar Pix Cobrança por meio da geração de QR Code estático deverá disponibilizar as funcionalidades relacionadas a recebimentos de pagamentos imediatos e de pagamentos referentes à facilitação de serviço de saque no âmbito do produto Pix Saque." (NR)

"Art. 15-B. ....................................................................

§ 1º É facultada a oferta, pelos participantes, em APIs próprias, de funcionalidades acessórias ou complementares àquelas disponibilizadas na API Pix.

§ 2º O disposto no caput não se aplica nos casos em que a oferta de funcionalidades previstas na API Pix for disponibilizada diretamente por outros meios em que não há automatização da interação do usuário final com o participante do Pix que lhe presta serviço de pagamento." (NR)

"Art. 39-B. ....................................................................

§ 1º ...............................................................................

I - a quantidade de notificações de infração vinculadas ao usuário recebedor;

............................................................................." (NR)

"CAPÍTULO XI

DA DEVOLUÇÃO DE TRANSAÇÕES

Seção I

Dos aspectos gerais

............................................................................." (NR)

"Art. 41-C. ....................................................................

I - por iniciativa própria, caso a conduta supostamente fraudulenta tenha sido identificada pelo participante ou a falha operacional tenha ocorrido no âmbito de seus sistemas, ou após bloqueio cautelar, caso o participante avalie que a transação tenha fundada suspeita de fraude; ou

II - por solicitação do participante prestador de serviço de pagamento do usuário pagador, por meio do DICT, caso ele próprio identifique a conduta supostamente fraudulenta ou receba uma reclamação do usuário pagador, ou a falha operacional tenha ocorrido no âmbito dos sistemas desse participante.

§ 1º A possibilidade de devoluções e de bloqueios dos recursos realizados no âmbito do Mecanismo Especial de Devolução, inclusive a possibilidade de devoluções e de bloqueios parciais durante o período previsto para a efetivação de devoluções de que trata o art. 41-A, deverá constar do contrato firmado entre o usuário recebedor e o correspondente prestador de serviço de pagamento, mediante cláusula em destaque no corpo do instrumento contratual ou por outro instrumento jurídico válido.

............................................................................." (NR)

"Art. 41-D. .....................................................................

.......................................................................................

Parágrafo único. Em caso de devolução em valor inferior ao da transação original, o participante deverá realizar múltiplos bloqueios ou devoluções parciais a partir da conta transacional do usuário recebedor, sempre que recursos sejam nela creditados, até que se alcance:

I - o valor total da transação objeto da solicitação de devolução; ou

II - noventa dias, contados a partir da transação original." (NR)

"Art. 41-I. .....................................................................

I - rejeitar, sem justo motivo, a notificação de infração de que trata o art. 78-F, quando vinculada a uma solicitação de devolução;

............................................................................." (NR)

"Art. 75. As consultas ao DICT devem ser feitas com o propósito de:

I - iniciar um Pix;

II - identificar os dados da conta transacional vinculada à chave Pix para fins de credenciamento da conta para estabelecimento de limite diferenciado de valor; ou

III - executar verificações de segurança, pelo detentor da conta, em transações iniciadas por meio de serviço de iniciação de transação de pagamento." (NR)

"Art. 78. Os dados que o participante do Pix deve disponibilizar para o usuário pagador estarão dispostos no manual de Requisitos Mínimos para a Experiência do Usuário." (NR)

"Art. 79. Todas as funcionalidades do DICT dispostas na Seção III deste Capítulo estão disponíveis 24 (vinte e quatro) horas por dia, em todos os dias do ano." (NR)

"Art. 90. É facultado aos participantes estabelecer relação contratual com terceiros, por meio de contrato específico, para a realização de atividades no âmbito do Pix, ressalvado o disposto no art. 90-A.

............................................................................." (NR)

"Art. 90-A. Na relação contratual de que trata o art. 90, é vedado atribuir:

I - ao terceiro detentor de conta transacional, a iniciação ou o recebimento de transações Pix por meio de conta transacional provida pelo próprio terceiro ao usuário final; ou

II - ao terceiro não detentor de conta transacional, a iniciação de transações Pix por meio da conta transacional provida pelo participante." (NR)

"Art. 90-B. Na relação contratual de que trata o art. 90, é permitida a oferta e a iniciação de transações Pix a usuários finais pelo terceiro, em nome do participante e sob responsabilidade deste, desde que não incidam as vedações do art. 90-A." (NR)

"Art. 90-C. Nos casos previstos no art. 90-B, as funcionalidades e os produtos disponibilizados pelo terceiro são de livre escolha e de comum acordo entre o participante e o terceiro que estabelecerem relação contratual.

§ 1º As funcionalidades e os produtos disponibilizados pelo terceiro, de que trata o caput, devem:

I - estar previstos no contrato entre as partes; e

II - seguir as regras dispostas no manual de Requisitos Mínimos para a Experiência do Usuário.

§ 2º As soluções desenvolvidas para o usuário final que sejam providas pelo terceiro:

I - estão sujeitas à verificação de aderência pelo Banco Central do Brasil, nos termos do § 3º deste artigo;

II - devem identificar o participante com o qual foi estabelecida relação contratual; e

III - devem apresentar orientações claras para o usuário final sobre a responsabilidade do participante com o qual foi estabelecida relação contratual em caso de eventuais disputas, que devem ser resolvidas conforme previsto no Capítulo XVIII deste Regulamento.

§ 3º O participante é responsável por verificar a aderência das soluções desenvolvidas para o usuário final que sejam providas pelo terceiro, nos termos do documento específico divulgado pelo Banco Central do Brasil que dispõe sobre os procedimentos necessários para a adesão ao Pix, ficando sujeito a comprovar a aderência ao Regulamento do Pix perante o Banco Central do Brasil sempre que solicitado." (NR)

"Art. 91. As divergências, os conflitos e as controvérsias entre participantes e entre participantes e usuários finais a respeito da execução do disposto neste Regulamento serão tratadas, quando não for possível solução entre as partes envolvidas, de acordo com procedimentos definidos pelo Banco Central do Brasil, nos termos de manual específico.

Parágrafo único. ...........................................................

.......................................................................................

II - segundo os procedimentos e os mecanismos para o tratamento e a solução de disputas estabelecidos pelas instituições participantes do Open Finance, na forma do art. 44, inciso IV, da Resolução Conjunta nº 1, de 4 de maio de 2020, quando envolverem, de um lado, participantes que prestam serviço de iniciação de transação de pagamento e, de outro, participantes provedores de contas transacionais." (NR)

"Art. 91-B. ....................................................................

.......................................................................................

§ 5º O Banco Central do Brasil poderá, a seu critério, conceder dilação do prazo concedido ao participante para o saneamento do problema, de que trata o § 1º, desde que a solicitação seja devidamente justificada e apresentada antes do vencimento do referido prazo." (NR)

"Art. 92. Os participantes do Pix sujeitam-se às penalidades previstas neste Regulamento, no caso de descumprimento, total ou parcial, das disposições deste Regulamento, inclusive no que se refere:

.......................................................................................

§ 1º Na hipótese em que a conduta do participante do Pix descrita no caput também constituir infração à regulação do Sistema Financeiro Nacional ou do Sistema de Pagamentos Brasileiro, a notificação de que trata o art. 91-B poderá ser suspensa.

§ 2º Não será aplicada a penalidade de multa de que trata o art. 93, inciso I, caso a apuração decorrente da infração à regulação do Sistema Financeiro Nacional ou do Sistema de Pagamentos Brasileiro resulte em aplicação de penalidade ou em assinatura de termo de compromisso, ou ainda se houver decisão que reconheça a não autoria da conduta.

§ 3º No caso de aplicação de penalidade ou de assinatura de termo de compromisso decorrente de infração à regulação do Sistema Financeiro Nacional ou do Sistema de Pagamentos Brasileiro, a conduta que a originou será considerada para fins do disposto no § 1º do art. 93-A." (NR)

"Art. 93-A. ....................................................................

I - a irregularidade seja sanada pelo participante antes do envio da notificação de que trata o art. 91-B ou, uma vez enviada a notificação, sejam cumpridas as exigências dela constantes; e

............................................................................." (NR)

"Art. 101-D. Poderão ser disponibilizadas, em conformidade com o cronograma estabelecido no âmbito do arcabouço normativo do Open Finance:

............................................................................." (NR)

Art. 2º Ficam revogados os seguintes dispositivos do Regulamento anexo à Resolução BCB nº 1, de 2020:

I - o § 3º do art. 7º;

II - o parágrafo único do art. 15-B;

III - o § 2º do art. 41-C;

IV - os incisos I, II e III do art. 78;

V - o art. 78-D;

VI - o art. 78-E; e

VII - o art. 81.

Art. 3º Esta Resolução entra em vigor:

I - em 1º de março de 2023, para as alterações do art. 1º referentes aos arts. 90, 90-A, 90-B e 90-C do Regulamento anexo à Resolução BCB nº 1, de 2020; e

II - em 1º de janeiro de 2023, para os demais dispositivos.

PAULO SÉRGIO NEVES DE SOUZA
Diretor de Organização do Sistema Financeiro e de Resolução
Substituto

(DOU de 02.12.2022 – pág. 227 – Seção 1)

---

Secao_Microsseguros:

---

Secao_Ent_Fechadas_Prev_Complem:

---

Leia mais...