Decreto 7.829, de 17/10/2012

Capítulo I - DAS CONDIÇÕES PARA FUNCIONAMENTO DOS BANCOS DE DADOS (Ir para)

- São requisitos mínimos para o funcionamento dos bancos de dados e o compartilhamento de informações autorizados pela Lei 12.414, de 9/06/2011:

I - aspectos econômico-financeiros: patrimônio líquido mínimo de R$ 20.000.000,00 (vinte milhões de reais), detido pelo gestor de banco de dados ou por grupo de pessoas jurídicas que, conjuntamente, exercem a atividade de gestor de bancos de dados;

II - aspectos técnico-operacionais:

a) certificação técnica emitida por empresa qualificada independente, renovada, no mínimo, a cada dois anos, que ateste a disponibilidade de plataforma tecnológica apta a preservar a integridade e o sigilo dos dados armazenados, e indique que as estruturas tecnológicas envolvidas no fornecimento do serviço de cadastro seguem as melhores práticas de segurança da informação, inclusive quanto a plano de recuperação em caso de desastre, com infraestrutura de cópia de segurança para o armazenamento dos dados e das autorizações;

b) certificação técnica emitida por empresa qualificada independente, renovada, no mínimo, a cada dois anos, que ateste a adequabilidade da política de segurança da informação sobre a criação, guarda, utilização e descarte de informações no âmbito interno e externo, inclusive quanto à transferência ou utilização de informações por outras empresas prestadoras de serviço contratadas; e

c) certificação técnica emitida por empresa qualificada independente, renovada, no mínimo, a cada dois anos, que ateste a adequabilidade da política de estabelecimento da responsabilidade, principalmente nos quesitos sigilo e proteção das informações, privacidade de dados dos clientes e prevenção e tratamento de fraudes;

III - aspectos relacionados à governança:

a) estatuto ou contrato social com o desenho e as regras relativas à sua estrutura administrativa;

b) disponibilização dos procedimentos operacionais do desempenho da atividade e, quando for o caso, dos controles de risco disponíveis; e

c) disponibilização mensal de todas as informações relevantes relacionadas a seu funcionamento no período, que contemple desempenho econômico-financeiro, número de operações registradas, número total de consultas realizadas, número de cadastrados autorizados, número de consulentes cadastrados, número de fontes ativas, relatório de erros ocorridos, entre outras que atestem a plena operação do gestor de banco de dados; e

IV - aspectos relacionais:

a) manutenção de serviço de atendimento ao consumidor que atenda os requisitos do Decreto 6.523, de 31/07/2008; e

b) manutenção de ouvidoria, com a atribuição de atuar como canal de comunicação entre os gestores de bancos de dados e os cadastrados.

§ 1º - O ato constitutivo da pessoa jurídica, suas eventuais alterações, a ata de eleição de administradores, quando aplicável, e os documentos comprobatórios do disposto nos incisos do caput ficarão disponíveis para verificação por órgãos públicos e serão a eles encaminhados sempre que solicitado.

§ 2º - Os documentos referidos nos incisos II e III do caput deverão ser atualizados e disponíveis de forma pública e de fácil acesso nos sítios eletrônicos da entidade.

§ 3º - O gestor de banco de dados deve dar ampla divulgação sobre a ouvidoria e o serviço de atendimento ao consumidor, com informações completas acerca da sua finalidade e forma de utilização, acesso telefônico gratuito por número divulgado de forma ampla e mantido atualizado nos recintos de atendimento ao público, no sítio eletrônico da entidade e nos seus demais canais de comunicação, inclusive nos extratos e comprovantes fornecidos ao cadastrado.

§ 4º - Serão atribuições da ouvidoria, no mínimo:

I - receber, registrar, instruir, analisar e dar tratamento formal e adequado às reclamações dos cadastrados não solucionadas em vinte dias úteis pelos demais canais de atendimento;

II - prestar esclarecimentos e informar reclamantes acerca do andamento de suas demandas, das providências adotadas, conforme número de protocolo, observado prazo de dez dias úteis para resposta; e

III - propor ao gestor do banco de dados medidas corretivas ou de aprimoramento relativas aos procedimentos e rotinas, em decorrência da análise das reclamações recebidas.