<div class="ExternalClassC3B959B31C50406D9246E0BF258DC6A8"><span style="color:#444444;"><span style="font-family:calibri;font-size:17.3333px;">
</span><style style="font-family:calibri;font-size:17.3333px;">
</style><span style="font-family:calibri;font-size:17.3333px;">
</span><div class="WordSection1"><span style="color:#444444;">
<p class="MsoNormal" align="center" style="margin-bottom:18pt;text-align:center;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">INSTRUÇÃO NORMATIVA BCB
Nº 412, DE 26 DE SETEMBRO DE 2023</span></p>
<p class="MsoNormal" style="margin:0cm 0cm 6pt 212.65pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">Estabelece
os procedimentos operacionais para a comunicação aos titulares de dados
pessoais em caso de ocorrência de incidente de segurança envolvendo banco de
dados relacionado a componente ou a infraestrutura do Pix.</span></p>
<p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">O Chefe do
Departamento de Competição e de Estrutura do Mercado Financeiro (Decem), no uso
das atribuições que lhe conferem os arts. 23, inciso I, alínea “a”, 94 e 95 do
Regimento Interno do Banco Central do Brasil, anexo à Resolução BCB nº 340, de
21 de setembro de 2023, tendo em vista o disposto no art. 32, parágrafo único,
do Regulamento anexo à Resolução BCB nº 1, de 12 de agosto de 2020,</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">R E S O L V E :</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">Art. 1º Esta
Instrução Normativa estabelece os procedimentos operacionais para a comunicação
aos titulares de contas transacionais em caso de ocorrência de incidente de
segurança com dados pessoais envolvendo banco de dados relacionado a componente
ou infraestrutura do Pix.</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">Art. 2º  A
comunicação de que trata o art. 1º compreende a transmissão de informação por
participante do Pix aos titulares de dados potencialmente afetados em incidente
de segurança relacionado ao Pix confirmado pelo Banco Central do Brasil.</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">Parágrafo único. O
participante do Pix responsável por transmitir a informação será aquele que
detiver a conta transacional do titular de dados potencialmente afetado pelo
incidente de segurança, mesmo que ele não seja o responsável pelo incidente.</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">Art. 3º  O Banco
Central do Brasil solicitará, por meio do Sistema de Correio Eletrônico do
Banco Central (BC Correio),  que os participantes do Pix detentores de contas
transacionais de usuários potencialmente afetados por incidente de segurança
procedam com a transmissão da informação aos titulares.</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">Parágrafo único. Na
mensagem a ser enviada pelo BC Correio, o Banco Central do Brasil proverá as
orientações necessárias para a devida comunicação.</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">Art. 4º  O Banco
Central do Brasil identificará para cada participante do Pix os titulares de
dados que devem ser comunicados.</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">§ 1º  A identificação
de que trata o caput compreende o envio individual a cada participante do Pix,
por meio do Sistema de Transferência de Arquivos (STA), de arquivo tipo APIX003
com a relação de chaves Pix cujos titulares devem ser comunicados.</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">§ 2º  Os arquivos
tipo APIX003 correspondentes a cooperativas filiadas a sistemas cooperativos
serão consolidados em um único arquivo APIX003 que será enviado ao respectivo
sistema cooperativo.</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">§ 3º  Os arquivos
tipo APIX003 deverão ser baixados pelos usuários do participante do Pix
credenciados no STA com o perfil SPIX003.</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">§ 4º  A comunicação
aos titulares de dados potencialmente afetados deve ser realizada ainda que
eventual chave Pix relacionada no arquivo APIX003 não esteja mais vinculada a
uma conta transacional mantida no Participante do Pix, desde que o
relacionamento com o titular da chave Pix ainda exista.</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">Art. 5º  A
comunicação será feita no prazo definido pelo Banco Central do Brasil a cada
evento e informado na mensagem de que trata o art. 3º, e deverá mencionar, no
mínimo:</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">I - as informações
sobre o incidente;</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">II - a descrição dos
dados pessoais potencialmente afetados e da sua natureza; e</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">III - os riscos
relacionados ao incidente.</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">Parágrafo único.  O
Banco Central do Brasil poderá, a seu critério, estabelecer outros aspectos a
serem incorporados na comunicação, a depender do incidente de segurança. </span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">Art. 6º  A
comunicação deve utilizar linguagem clara e deve ser feita de maneira
individual e diretamente aos titulares dos dados, preferencialmente por meio do
canal habitualmente utilizado pelo participante do Pix para se comunicar com o
usuário, que seja acessado pelo cliente após a devida autenticação em ambiente
seguro.</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">Art. 7º  O Banco
Central do Brasil poderá solicitar aos participantes do Pix, a qualquer tempo,
cópia da comunicação realizada aos titulares de dados potencialmente afetados.</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin-bottom:36pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">Art. 8º  Esta
Instrução Normativa entra em vigor na data de sua publicação. </span></p>
<p class="MsoNormal" align="center" style="text-align:center;"><span style="text-transform:uppercase;font-family:calibri;font-size:17.3333px;color:#444444;">Carlos
Eduardo de Andrade Brandt Silva<br></span><span style="font-family:calibri;font-size:17.3333px;color:#444444;">Chefe do Departamento
de Competição e de Estrutura do Mercado Financeiro substituto</span></p>
<p class="MsoNormal" align="center" style="margin-bottom:18pt;text-align:center;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;"> </span></p>
<p class="MsoNormal" style="margin-bottom:18pt;text-align:center;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">NOTA</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">O Decreto nº 10.411, de
30 de junho de 2020, prevê a obrigatoriedade da realização de análise de
impacto regulatório (AIR) para a edição de atos normativos de interesse geral
produzidos pelos órgãos e entidades da administração pública federal direta e
indireta.         </span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">Todavia, consoante se
definiu no parágrafo 8 do Voto 280/2021–BCB, de 10 de novembro de 2021, o
Regulamento do Pix, inclusive os demais documentos que o integram ou que o
detalham e o complementam, não se caracterizam como ato regulatório de força
cogente, ostentando, em verdade, natureza eminentemente contratual. Assim,
modificações promovidas no referido regulamento e nos demais documentos que o
integram ou que o detalham e o complementam não se sujeitam à produção prévia
de AIR.</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin-bottom:36pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">Em razão da urgência
em comunicar-se aos titulares de dados potencialmente afetados pelo incidente
de segurança tratado pelo Voto 140/2023-BCB, esta instrução normativa entrará
em vigor na data de sua publicação. A tempestividade na comunicação é essencial
para que os titulares possam tratar adequadamente os riscos relacionados ao
incidente.</span></p>
<p class="MsoNormal" align="center" style="text-align:center;"><span style="text-transform:uppercase;font-family:calibri;font-size:17.3333px;color:#444444;">Carlos
Eduardo de Andrade Brandt Silva<br></span><span style="font-family:calibri;font-size:17.3333px;color:#444444;">Chefe do Departamento
de Competição e de Estrutura do Mercado Financeiro substituto</span></p>
</span></div>
</span></div>
