O Sistema de Autorregulação Bancária da Federação Brasileira de Bancos (FEBRABAN) aprovou, em dezembro de 2021, o normativo de proteção de dados pessoais (Normativo SARB 025/2021), estabelecendo princípios e diretrizes a serem adotados pelas signatárias no relacionamento com titulares de dados.

A vigência deste normativo se inicia neste mês, coincidindo com a ocorrência do terceiro vazamento de dados do sistema PIX, e faz parte da Autorregulação Bancária da FEBRABAN, contando com mais de 20 signatários, incluindo os maiores bancos do país.

Quais os compromissos trazidos pelo normativo?

Além de reforçar as disposições da Lei Geral de Proteção de Dados Pessoais (LGPD), o normativo traz o compromisso de elaboração e implementação de um programa de governança em privacidade por todas as signatárias, podendo estar integrado à estrutura de governança das mesmas, bem como sujeito à aplicação de mecanismos internos de supervisão.

Devendo o programa (minimamente):

I – Abranger todo e qualquer dado pessoal tratado pelas signatárias;
II – Dispor sobre ações e medidas técnicas e administrativas que previnam a ocorrência de dados decorrentes de situações acidentais ou ilícitas no tratamento de dados e protejam os dados desde a concepção do produto ou serviço até sua execução (Privacy by Design e by Default);
III – Estabelecer plano de resposta a incidentes de segurança e remediação;
IV – Adotar, manter e divulgar políticas que assegurem o cumprimento de normas e boas práticas relativas à proteção de dados pessoais;
V – Prever e implementar fluxo de atendimento aos direitos dos titulares; e
VI – Contemplar a realização de ações educativas.

As signatárias deverão, ainda, manter Política de Privacidade que garanta informações claras, completas e facilmente acessíveis aos titulares, assim como um canal para o exercício de seus direitos previstos na LGPD, de forma gratuita e seguindo o prazo da legislação.

Por fim, deverão realizar o tratamento de dados em conformidade com a LGPD, incluindo a definição de bases legais, a adoção de ações educativas, a manutenção do registro de atividades de tratamento e a nomeação de um encarregado pelo tratamento de dados.

Pontos de destaque

Apesar de conter disposições muito semelhantes ao texto original da LGPD, o normativo da FEBRABAN traz à tona a importância da autorregulação em temas relacionados à proteção de dados e ao direito digital. Isto porque, além de sujeitas às sanções da própria Lei, as signatárias estão também sujeitas às sanções estabelecidas pelo Código de Conduta Ética e Autorregulação Bancária, podendo variar de 1 a 10 vezes o valor da menor anuidade recolhida pela Associada, assim como a possível suspensão ou exclusão da participação no Sistema de Autorregulação Bancária.

A norma não só demonstra um esforço para a prevenção de incidentes de segurança com os dados pessoais, como também uma tentativa de remediar e evitar potenciais danos causados pelos incidentes já ocorridos até o momento.