Quando falamos sobre setor financeiro, na maioria das vezes a regulamentação chega com algum atraso. É um fato com o qual todos nós, que trabalhamos com riscos e compliance, temos de nos acostumar, faz parte do jogo. Principalmente no âmbito da cybersegurança, o ritmo de atualização da legislação tende a não acompanhar a velocidade das transformações sociais, econômicas e tecnológicas, tanto no país, como no mundo.
Mas vamos dar a César o que é de César. Com os avanços da tecnologia e a crescente utilização de meios eletrônicos de pagamento cada vez mais complexos, é preciso dizer que o Banco Central do Brasil (Bacen) e o Conselho Monetário Nacional (CMN) vêm fazendo sua parte – no intuito de trazer segurança jurídica a este segmento que ainda carece de regras específicas.
É o caso da Resolução 4.658, que tem como missão regulamentar a política de segurança cibernética nacional e os requisitos para contratação de serviços de processamento e armazenamento de dados e de computação em nuvem. A norma foi aprovada pelo CMN com o intuito de garantir mais segurança às operações das instituições financeiras – e segurança, no nosso meio, nunca é demais. Com base nessa resolução, o Bacen emitiu a Circular 3.909, que regulamenta a questão de segurança cibernética para as instituições de pagamento seguindo, em linhas gerais, as mesmas regras estabelecidas para as instituições financeiras.
Mas a questão central, como de hábito, é o prazo. Os players de mercado têm até 31 de dezembro de 2021 para se adequar, porém, vale destacar que a norma, para as instituições de pagamentos, entra em vigor em setembro de 2019, e as empresas têm até 90 dias após a data para apresentar seu plano de adequação.
Além disso, há outras questões relevantes da norma, como a nomeação de um diretor estatutário responsável pelo tema e a obrigatoriedade de elaboração de relatórios e publicação de política corporativa.
Um outro ponto a ser comemorado é a nova Lei Geral de Proteção de Dados (LGPD), que está em perfeita consonância com a GDPR (General Data Protection Regulation, da União Europeia), uma das mais modernas do mundo.
Parece muito, mas, levando-se em conta a estrutura necessária a essa transformação, é bastante plausível dizer que será um desafio gigantesco para as empresas se adequarem à lei até a data-limite. Vale destacar que a LGPD aplica-se a todas empresas do mercado brasileiro e não especificamente às instituições financeiras e de pagamento.
A nova fornada de leis lança os pilares para aquisição, uso, controle, responsabilidade, restrições e a conscientização sobre um insumo central aos negócios da atualidade – as bases de dados que as empresas possuem. Trata-se de um avanço a ser comemorado, pois envolve o ativo mais importante do nosso segmento: a confiança do consumidor de que seus dados estão em segurança.
Levando em conta os aspectos esmiuçados pela regulamentação, é de se supor que, a partir de agora, vejamos cada vez mais investimentos sendo feitos nesse segmento tão fundamental para a democratização dos serviços financeiros. Porque uma coisa é certa: somente reforçando o conceito de necessidade de adequado controle e tratamento das informações dos usuários/clientes é que se criará um ambiente mais saudável e ciberneticamente confiável.
E isso significa mais e melhores negócios para todos!
Daniela Bottai, diretora regional de Risco e Compliance do PayPal Latam.
