Sua FINTECH e a LGPD: cuidados sobre o tratamento de dados

04/11/2019
  • Sua FINTECH e a LGPD: cuidados sobre o tratamento de dados

    Sua FINTECH e a LGPD: cuidados sobre o tratamento de dados

    Sua FINTECH e a LGPD: cuidados sobre o tratamento de dados

Abordamos por diversas vezes (ex: aqui, aqui, aqui, aqui e aqui) sobre a Lei Geral de Proteção de Dados - LGPD (Lei 13.709/2018) envolvendo desde questões legais até conceitos práticos.

Dessa vez iremos abordar a questão de cibersegurança para as fintechs e alguns cuidados bem importantes para se tomar e garantir a segurança de dados dos usuários.

1 – Normas fundamentais para seguir

Primeiramente, é válido destacarmos aqui como o Banco Central do Brasil (BACEN) regulamentou a questão da cibersegurança para as instituições financeiras: Resolução 4.658 de 2018 e Resolução 4.752 de 2019.

A Resolução 4.658, em seu art. 1º, dispõe:

“Art. 1º Esta Resolução dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil.”

Já a Resolução 4.752 altera algumas disposições específicas da Resolução 4.658, com alguns pontos importantes que iremos abordar a seguir.

2 – Política de segurança cibernética

Sobre a política de segurança cibernética, é importante a fintech se atentar a algumas questões práticas.

Primeiramente, a política de segurança cibernética da fintech deve conter, dentre outros, os seguintes itens:

• Os objetivos de segurança cibernética da instituição;

• Os procedimentos e os controles adotados para reduzir a vulnerabilidade da instituição a incidentes e atender aos demais objetivos de segurança cibernética;

• Os controles específicos, incluindo os voltados para a rastreabilidade da informação, que busquem garantir a segurança das informações sensíveis;

• O registro, a análise da causa e do impacto, bem como o controle dos efeitos de incidentes relevantes para as atividades da instituição;

Além disso, é muito importante disponibilizar a política a toda a equipe da fintech, parceiros, prestadores de serviços, usuários da plataforma e um resumo das políticas para o público em geral.

Também é importante destacar que a fintech deve ser sempre diligente para garantir que a política está sendo regularmente aplicada, principalmente se houver situações que envolvam incidentes na segurança dos dados.

3 – Da contratação de empresas especializadas em armazenamento e tratamento de dados.

Sabemos que armazenar e tratar os dados pessoais inseridos na plataforma da fintech é essencial para a atividade ser desempenhada e estar em conformidade com as regras trazidas pela LGPD.

Devido à complexidade da operação, é perfeitamente possível a contratação de serviços referentes a processamento, tratamento e armazenamento de dados e de computação em nuvem.

É muito importante, porém, observar o prazo para informar o BACEN sobre tais contratações. A Resolução 4.752 trata de alguns prazos que devem ser observados, são eles:

• Informar o BACEN sobre a contratação de tais serviços em até 10 dias contados após a assinatura do contrato. O mesmo prazo se aplica para casos de alterações contratuais;

• Caso essa empresa prestadora de serviços seja estrangeira e não tenha convênio para troca de informações entre o Banco Central do Brasil e as autoridades supervisoras dos países onde os serviços poderão ser prestados, a empresa contratante deve requisitar ao BACEN a autorização para realizar a contratação do serviço, com prazo mínimo de 60 (sessenta) dias antes da contratação para que o Banco Central aprecie a questão.

Válido ressaltar que, ao realizar a contratação, é crucial para a fintech deixar claro e alinhado com a prestadora de serviços sobre as políticas de segurança cibernética para prevenir a empresa de ter suas políticas violadas pela execução errada dos serviços de proteção e tratamento de dados.

4 – Conclusão.

Por fim, é muito importante elaborar a política de segurança cibernética e garantir o cumprimento dela para o empreendedor que opera ou pretende abrir uma fintech, uma vez que a empresa terá acesso a dados pessoais que podem gerar enormes danos se forem vazados.

Por se tratar de um documento complexo e de uma questão essencial para o negócio, recomendamos sempre possuir um profissional especializado para elaborar as políticas e orientar em todo o processo de contratação de uma empresa para realizar o tratamento o serviço de processamento e proteção de dados pessoais dos usuários.

Por José Roberto Martinez.

Categorias