Decreto 9.936, de 24/07/2019

Capítulo I - DAS CONDIÇÕES PARA FUNCIONAMENTO DOS GESTORES DE BANCOS DE DADOS (Ir para)

- O funcionamento dos gestores de bancos de dados e o compartilhamento de informações autorizados pela Lei 12.414/2011, deverão atender aos seguintes requisitos mínimos:

I - aspectos econômico-financeiros: patrimônio líquido mínimo de R$ 100.000.000,00 (cem milhões de reais), detido pelo gestor de banco de dados, comprovado por meio de demonstração financeira relativa ao exercício mais recente auditada por auditor independente registrado na Comissão de Valores Mobiliários;

II - aspectos técnico-operacionais:

a) certificação técnica emitida por empresa qualificada independente, renovada, no mínimo, a cada três anos, e revisada anualmente, que:

1. ateste a disponibilidade de plataforma tecnológica apta a preservar a integridade e o sigilo dos dados armazenados; e

2. indique que as estruturas tecnológicas envolvidas no fornecimento do serviço de cadastro seguem as melhores práticas de segurança da informação, inclusive quanto a plano de recuperação em caso de desastre, com infraestrutura de cópia de segurança para o armazenamento dos dados dos cadastrados, das autorizações e das solicitações de cancelamento e de reabertura de cadastro;

b) certificação técnica emitida por empresa qualificada independente, renovada, no mínimo, a cada três anos, e revisada anualmente, que ateste a adequabilidade da política de segurança da informação sobre a criação, a guarda, a utilização e o descarte de informações no âmbito interno e externo, inclusive quanto à transferência ou à utilização de informações por outras empresas prestadoras de serviço contratadas;

c) certificação técnica emitida por empresa qualificada independente, renovada, no mínimo, a cada três anos, com revisão anual, que ateste a adequabilidade da política de estabelecimento da responsabilidade, principalmente quanto aos quesitos de sigilo e proteção das informações, de privacidade de dados dos clientes e de prevenção e tratamento de fraudes;

d) implementação e manutenção de programa de gestão de vulnerabilidades, programa de prevenção de vazamentos de dados e controles de acesso privilegiado;

e) asseguração de procedimentos de segurança e realização de testes periódicos de firewalls, de vulnerabilidade e penetração, por entidade independente; e

f) implementação e manutenção de programa de gestão de fornecedores que os classifique de acordo com a criticidade, com a adoção de regras de verificações de acordo com sua relevância, de modo a assegurar o cumprimento dos requisitos estabelecidos na política de segurança do gestor de banco de dados;

III - aspectos relacionados à governança:

a) aprovação e manutenção de estatuto ou contrato social com o desenho e as regras relativas à estrutura administrativa do gestor de banco de dados;

b) disponibilização dos procedimentos operacionais do desempenho da atividade e dos controles de risco disponíveis;

c) disponibilização mensal das informações relevantes relacionadas ao seu funcionamento no período que atestem a plena operação do gestor de banco de dados, tais como:

1. desempenho econômico-financeiro;

2. quantitativo de operações registradas;

3. quantitativo de consultas realizadas;

4. quantitativo de cadastrados;

5. quantitativo de consulentes cadastrados;

6. quantitativo de fontes ativas;

7. relatório de erros ocorridos;

8. quantitativo de ocorrências registradas no serviço de atendimento ao consumidor; e

9. ouvidoria;

d) designação pelo conselho de administração ou, se inexistente, pela diretoria da entidade, de diretores responsáveis técnicos pela gestão do banco de dados e pela política de segurança da informação; e

e) asseguração da política de transparência de uso e coleta de dados por empresa de auditoria independente registrada na Comissão de Valores Mobiliários; e

IV - aspectos relacionais:

a) disponibilização de canais de acesso, inclusive em sítio eletrônico, que assegurem ao cadastrado a possibilidade de exercer os seus direitos, de forma simples e segura, em especial aqueles de que tratam os art. 5º e art. 6º da Lei 12.414/2011; [[Lei 12.414/2011, art. 5º. Lei 12.414/2011, art. 6º]]

b) manutenção de serviço gratuito de atendimento ao consumidor que atenda aos requisitos estabelecidos no Decreto 6.523, de 31/07/2008, ou em ato normativo que venha a substituí-lo;

c) constituição e manutenção de componente organizacional de ouvidoria, com a atribuição de atuar como canal de comunicação entre os gestores de bancos de dados e os cadastrados, inclusive na mediação de conflitos;

d) divulgação ampla dos serviços prestados pelo serviço de atendimento ao consumidor e pelo componente de ouvidoria, de que tratam as alíneas [b] e [c] do inciso IV do caput, com informações completas acerca das suas finalidades, suas formas de acesso e sua utilização; e

e) disponibilização aos cadastrados de formas de acesso gratuito ao serviço de atendimento ao consumidor e ao componente de ouvidoria por telefone, pelo sítio eletrônico da entidade e pelos demais canais de comunicação, inclusive nos extratos e nos comprovantes fornecidos ao cadastrado.

§ 1º - O ato constitutivo da pessoa jurídica, as suas eventuais alterações, a ata de eleição de administradores, quando aplicável, e os documentos comprobatórios dos aspectos a que se refere o caput serão disponibilizados aos órgãos públicos sempre que solicitado.

§ 2º - Os documentos referidos nos incisos II e III do caput serão atualizados e disponibilizados, de forma pública e de fácil acesso, no sítio eletrônico da entidade.

§ 3º - O serviço gratuito de atendimento ao consumidor deverá prestar esclarecimentos aos cadastrados sobre os principais elementos e critérios considerados para a composição da nota ou da pontuação de crédito, exceto quanto às informações consideradas sigilosas em decorrência de sigilo empresarial.

§ 4º - Compete ao órgão de ouvidoria, no mínimo:

I - receber, registrar, instruir, analisar e dar tratamento formal e adequado às reclamações dos cadastrados não solucionadas no prazo de cinco dias úteis pelos demais canais de atendimento;

II - prestar esclarecimentos e informar os reclamantes sobre o andamento de suas reclamações e das providências adotadas, conforme número de protocolo, observado o prazo de dez dias úteis para resposta, contado da data de registro da reclamação; e

III - propor ao gestor do banco de dados medidas corretivas ou de aprimoramento relativas aos procedimentos e às rotinas, em decorrência da análise das reclamações recebidas.

§ 5º - Para o gestor de banco de dados em operação na data da entrada em vigor deste Decreto, poderá ser considerado, para fins de cumprimento da exigência de que trata o inciso I do caput, o patrimônio líquido de pessoas jurídicas controladoras ou associadas que assumam, contratual ou estatutariamente, responsabilidade solidária pelo cumprimento das obrigações financeiras do gestor.

§ 6º - O patrimônio líquido dos controladores e associados que, nos termos do disposto no § 5º, vier a ser considerado na composição do valor previsto no inciso I do caput não será superior a:

I - sessenta por cento do valor, até 31/12/2020;

II - cinquenta por cento do valor, até 31/12/2022;

III - quarenta por cento do valor, até 31/12/2023;

IV - trinta por cento do valor, até 31/12/2024;

V - vinte por cento do valor, até 31/12/2025; e

VI - dez por cento do valor, até 31/12/2026.

§ 7º - A responsabilidade a ser estabelecida, contratual ou estatutariamente, na forma prevista no § 5º, abrangerá, no mínimo, os valores correspondentes aos percentuais de que trata o § 6º.

§ 8º - Na hipótese em que a responsabilidade pela gestão de banco de dados que esteja em operação na data da entrada em vigor deste Decreto seja transferida para outra pessoa jurídica:

I - as certificações e as assegurações emitidas e os testes realizados antes da transferência da responsabilidade pela gestão de banco de dados que ainda estejam em vigor podem ser considerados para fins de cumprimento dos requisitos de funcionamento de que trata o inciso II do caput pela pessoa jurídica que venha a assumir essa responsabilidade; e

II - o disposto nos § 5º ao § 7º se aplica à pessoa jurídica que venha a assumir essa responsabilidade.

§ 9º - Os responsáveis técnicos pela gestão do banco de dados e pela política de segurança da informação:

I - devem ocupar os cargos de diretor estatutário, administrador ou sócio gerente da entidade; e

II - podem acumular as atribuições de que trata o inciso I e o caput e exercer outras atividades na entidade, desde que não gerem conflito de interesses.