Legislação Informatizada - DECRETO Nº 9.936, DE 24 DE JULHO DE 2019 - Publicação Original
Veja também:
DECRETO Nº 9.936, DE 24 DE JULHO DE 2019
Regulamenta a Lei nº 12.414, de 9 de junho de 2011, que disciplina a formação e a consulta a bancos de dados com informações de adimplemento, de pessoas naturais ou de pessoas jurídicas, para formação de histórico de crédito.
O PRESIDENTE DA REPÚBLICA, no uso das atribuições que lhe confere o art. 84, caput, incisos IV e VI, alínea "a", da Constituição, e tendo em vista o disposto na Lei nº 12.414, de 9 de junho de 2011,
DECRETA:
Art. 1º Este Decreto regulamenta a Lei nº 12.414, de 9 de junho de 2011, que disciplina a formação e a consulta a bancos de dados com informações de adimplemento, de pessoas naturais ou de pessoas jurídicas, para formação de histórico de crédito.
DAS CONDIÇÕES PARA FUNCIONAMENTO DOS GESTORES DE BANCOS DE DADOS
Art. 2º O funcionamento dos gestores de bancos de dados e o compartilhamento de informações autorizados pela Lei nº 12.414, de 2011, deverão atender aos seguintes requisitos mínimos:
I - aspectos econômico-financeiros: patrimônio líquido mínimo de R$ 100.000.000,00 (cem milhões de reais), detido pelo gestor de banco de dados, comprovado por meio de demonstração financeira relativa ao exercício mais recente auditada por auditor independente registrado na Comissão de Valores Mobiliários;
II - aspectos técnico-operacionais:
a) |
certificação técnica emitida por empresa qualificada independente, renovada, no mínimo, a cada três anos, e revisada anualmente, que: 1. ateste a disponibilidade de plataforma tecnológica apta a preservar a integridade e o sigilo dos dados armazenados; e |
b) | certificação técnica emitida por empresa qualificada independente, renovada, no mínimo, a cada três anos, e revisada anualmente, que ateste a adequabilidade da política de segurança da informação sobre a criação, a guarda, a utilização e o descarte de informações no âmbito interno e externo, inclusive quanto à transferência ou à utilização de informações por outras empresas prestadoras de serviço contratadas; |
c) | certificação técnica emitida por empresa qualificada independente, renovada, no mínimo, a cada três anos, com revisão anual, que ateste a adequabilidade da política de estabelecimento da responsabilidade, principalmente quanto aos quesitos de sigilo e proteção das informações, de privacidade de dados dos clientes e de prevenção e tratamento de fraudes; |
d) | implementação e manutenção de programa de gestão de vulnerabilidades, programa de prevenção de vazamentos de dados e controles de acesso privilegiado; |
e) | asseguração de procedimentos de segurança e realização de testes periódicos de firewalls, de vulnerabilidade e penetração, por entidade independente; e |
f) | implementação e manutenção de programa de gestão de fornecedores que os classifique de acordo com a criticidade, com a adoção de regras de verificações de acordo com sua relevância, de modo a assegurar o cumprimento dos requisitos estabelecidos na política de segurança do gestor de banco de dados; |
III - aspectos relacionados à governança:
a) | aprovação e manutenção de estatuto ou contrato social com o desenho e as regras relativas à estrutura administrativa do gestor de banco de dados; |
b) | disponibilização dos procedimentos operacionais do desempenho da atividade e dos controles de risco disponíveis; |
c) |
disponibilização mensal das informações relevantes relacionadas ao seu funcionamento no período que atestem a plena operação do gestor de banco de dados, tais como: 1. desempenho econômico-financeiro; |
d) | designação pelo conselho de administração ou, se inexistente, pela diretoria da entidade, de diretores responsáveis técnicos pela gestão do banco de dados e pela política de segurança da informação; e |
e) | asseguração da política de transparência de uso e coleta de dados por empresa de auditoria independente registrada na Comissão de Valores Mobiliários; e |
IV - aspectos relacionais:
a) | disponibilização de canais de acesso, inclusive em sítio eletrônico, que assegurem ao cadastrado a possibilidade de exercer os seus direitos, de forma simples e segura, em especial aqueles de que tratam os art. 5º e art. 6º da Lei nº 12.414, de 2011; |
b) | manutenção de serviço gratuito de atendimento ao consumidor que atenda aos requisitos estabelecidos no Decreto nº 6.523, de 31 de julho de 2008, ou em ato normativo que venha a substituí-lo; |
c) | constituição e manutenção de componente organizacional de ouvidoria, com a atribuição de atuar como canal de comunicação entre os gestores de bancos de dados e os cadastrados, inclusive na mediação de conflitos; |
d) | divulgação ampla dos serviços prestados pelo serviço de atendimento ao consumidor e pelo componente de ouvidoria, de que tratam as alíneas "b" e "c" do inciso IV do caput, com informações completas acerca das suas finalidades, suas formas de acesso e sua utilização; e |
e) | disponibilização aos cadastrados de formas de acesso gratuito ao serviço de atendimento ao consumidor e ao componente de ouvidoria por telefone, pelo sítio eletrônico da entidade e pelos demais canais de comunicação, inclusive nos extratos e nos comprovantes fornecidos ao cadastrado. |
§ 1º O ato constitutivo da pessoa jurídica, as suas eventuais alterações, a ata de eleição de administradores, quando aplicável, e os documentos comprobatórios dos aspectos a que se refere o caput serão disponibilizados aos órgãos públicos sempre que solicitado.
§ 2º Os documentos referidos nos incisos II e III do caput serão atualizados e disponibilizados, de forma pública e de fácil acesso, no sítio eletrônico da entidade.
§ 3º O serviço gratuito de atendimento ao consumidor deverá prestar esclarecimentos aos cadastrados sobre os principais elementos e critérios considerados para a composição da nota ou da pontuação de crédito, exceto quanto às informações consideradas sigilosas em decorrência de sigilo empresarial.
§ 4º Compete ao órgão de ouvidoria, no mínimo:
I - receber, registrar, instruir, analisar e dar tratamento formal e adequado às reclamações dos cadastrados não solucionadas no prazo de cinco dias úteis pelos demais canais de atendimento;
II - prestar esclarecimentos e informar os reclamantes sobre o andamento de suas reclamações e das providências adotadas, conforme número de protocolo, observado o prazo de dez dias úteis para resposta, contado da data de registro da reclamação; e
III - propor ao gestor do banco de dados medidas corretivas ou de aprimoramento relativas aos procedimentos e às rotinas, em decorrência da análise das reclamações recebidas.
§ 5º Para o gestor de banco de dados em operação na data da entrada em vigor deste Decreto, poderá ser considerado, para fins de cumprimento da exigência de que trata o inciso I do caput, o patrimônio líquido de pessoas jurídicas controladoras ou associadas que assumam, contratual ou estatutariamente, responsabilidade solidária pelo cumprimento das obrigações financeiras do gestor.
§ 6º O patrimônio líquido dos controladores e associados que, nos termos do disposto no § 5º, vier a ser considerado na composição do valor previsto no inciso I do caput não será superior a:
I - sessenta por cento do valor, até 31 de dezembro de 2020;
II - cinquenta por cento do valor, até 31 de dezembro de 2022;
III - quarenta por cento do valor, até 31 de dezembro de 2023;
IV - trinta por cento do valor, até 31 de dezembro de 2024;
V - vinte por cento do valor, até 31 de dezembro de 2025; e
VI - dez por cento do valor, até 31 de dezembro de 2026.
§ 7º A responsabilidade a ser estabelecida, contratual ou estatutariamente, na forma prevista no § 5º, abrangerá, no mínimo, os valores correspondentes aos percentuais de que trata o § 6º.
§ 8º Na hipótese em que a responsabilidade pela gestão de banco de dados que esteja em operação na data da entrada em vigor deste Decreto seja transferida para outra pessoa jurídica:
I - as certificações e as assegurações emitidas e os testes realizados antes da transferência da responsabilidade pela gestão de banco de dados que ainda estejam em vigor podem ser considerados para fins de cumprimento dos requisitos de funcionamento de que trata o inciso II do caput pela pessoa jurídica que venha a assumir essa responsabilidade; e
II - o disposto nos § 5º ao § 7º se aplica à pessoa jurídica que venha a assumir essa responsabilidade.
§ 9º Os responsáveis técnicos pela gestão do banco de dados e pela política de segurança da informação:
I - devem ocupar os cargos de diretor estatutário, administrador ou sócio gerente da entidade; e
II - podem acumular as atribuições de que trata o inciso I e o caput e exercer outras atividades na entidade, desde que não gerem conflito de interesses.
DO HISTÓRICO DE CRÉDITO
Art. 3º O histórico de crédito do cadastrado é composto pelo conjunto de dados financeiros e de pagamentos relativos às operações de crédito e obrigações de pagamento adimplidas ou em andamento realizadas por pessoa natural ou jurídica.
Art. 4º Para fins do disposto neste Decreto, o conjunto de dados financeiros e de pagamentos é composto por:
I - data da concessão do crédito ou da assunção da obrigação de pagamento;
II - valor do crédito concedido ou da obrigação de pagamento assumida;
III - valores devidos das prestações ou das obrigações, com indicação das datas de vencimento e de pagamento; e
IV - valores pagos, integral ou parcialmente, das prestações ou obrigações, com indicação das datas de pagamento.
Art. 5º Os bancos de dados apresentarão, para fins de composição do histórico de crédito, informações objetivas, claras, verdadeiras e de fácil compreensão, que sejam necessárias para a avaliação da situação econômico-financeira do cadastrado e da composição de sua nota de crédito.
Art. 6º O gestor de banco de dados deverá disponibilizar ao cadastrado, por meio físico e eletrônico, acesso ao sistema de registro e acompanhamento de solicitação de correção de erro nas informações relativas ao histórico de crédito do cadastrado.
DA AUTORIZAÇÃO PARA DISPONIBILIZAÇÃO DE HISTÓRICO DE CRÉDITO A CONSULENTES
Art. 7º A disponibilização a consulentes do histórico de crédito do cadastrado, pelo gestor de banco de dados, fica condicionada à autorização, prévia e específica, do cadastrado.
Parágrafo único. A autorização de que trata o caput também se aplica aos bancos de dados em funcionamento em 9 de julho de 2019, conforme o disposto no inciso II do caput do art. 7º da Lei Complementar nº 166, de 8 de abril de 2019.
Art. 8º A autorização para disponibilização de histórico de crédito a consulentes será concedida pelo cadastrado a gestor de banco de dados, em formato físico ou eletrônico, diretamente ou por meio de consulente, conforme o modelo apresentado no Anexo.
§ 1º A autorização de que trata o caput será concedida:
I - para cada acesso pelo consulente autorizado; ou
II - para acesso pelo consulente autorizado por prazo fixo:
a) | de até três meses, na hipótese de autorização concedida por pessoa natural; ou |
b) | de até doze meses, na hipótese de autorização concedida por pessoa jurídica. |
§ 2º Na hipótese de o consulente ser instituição autorizada a funcionar pelo Banco Central do Brasil, a autorização de que trata o caput poderá ser concedida por prazo indeterminado, limitado ao período de duração do relacionamento contratual entre a instituição e o cadastrado.
§ 3º O cadastrado poderá revogar a autorização concedida por prazo fixo ou indeterminado, unilateralmente, a qualquer tempo, perante o gestor de bancos de dados.
§ 4º A autorização de que trata o caput será extensiva a todos os gestores de bancos de dados.
DA CONSULTA AO BANCO DE DADOS
Art. 9º As informações sobre o cadastrado constantes dos bancos de dados somente poderão ser acessadas por consulentes que com ele mantiverem ou pretenderem manter relação comercial ou creditícia.
Parágrafo único. O gestor do banco de dados manterá políticas e controles para garantir que as informações sobre o cadastrado sejam acessadas somente por consulente que atender ao disposto neste artigo.
DOS DEVERES E DAS RESPONSABILIDADES DO GESTOR DE BANCO DE DADOS
Art. 10. O gestor do banco de dados deverá:
I - indicar, em cada resposta a consulta, a data da última atualização das informações enviadas ao banco de dados;
II - adotar as cautelas necessárias à preservação do sigilo das informações que lhe forem enviadas e divulgá-las apenas para as finalidades previstas na Lei nº 12.414, de 2011;
III - manter sistemas de guarda e acesso com requisitos de segurança que protejam as informações de acesso por terceiros não autorizados e de uso em desacordo com as finalidades previstas na Lei nº 12.414, de 2011;
IV - dotar os sistemas de guarda e acesso das informações de características de rastreabilidade passíveis de serem auditadas;
V - disponibilizar, em seus sítios eletrônicos, para consulta do cadastrado, com acesso formalizado, de maneira segura e gratuita:
a) | as informações sobre o cadastrado constantes do banco de dados no momento da solicitação; |
b) | a indicação das fontes que encaminharam informações sobre o cadastrado, com endereço e telefone para contato; |
c) | a indicação dos gestores dos bancos de dados com os quais as informações sobre o cadastrado tenham sido compartilhadas; e |
d) | a indicação clara dos consulentes que tiveram acesso ao histórico de crédito e à nota de crédito do cadastrado nos seis meses anteriores à data da solicitação; |
VI - informar claramente os direitos do cadastrado definidos em lei e em normas infralegais pertinentes à sua relação com as fontes e os gestores de bancos de dados, inclusive em seu sítio eletrônico;
VII - disponibilizar, em seu sítio eletrônico, a relação de órgãos governamentais aos quais o cadastrado poderá recorrer em caso de violação de dados; e
VIII - manter por, no mínimo, quinze anos os dados sobre as autorizações concedidas, os pedidos de cancelamento e a reabertura de cadastro, exclusão, revogação e correção de anotação.
Parágrafo único. As informações de que trata o inciso V do caput serão gratuitamente disponibilizadas ao cadastrado também por telefone.
Art. 11. O gestor do banco de dados não poderá informar aos consulentes as fontes individuais das informações.
Art. 12. O gestor de banco de dados manterá em arquivo, exclusivamente para fins de auditoria, os dados, as autorizações concedidas, os pedidos de cancelamento e a reabertura de cadastro, exclusão, revogação e correção de anotação, pelo prazo mínimo de quinze anos, contado da data do cancelamento do cadastro.
DO CANCELAMENTO OU DA REABERTURA DO CADASTRO E DA SUSPENSÃO DE ACESSO
Art. 13. O cadastrado poderá requerer a gestor de banco de dados, a qualquer tempo, o cancelamento e a reabertura do seu cadastro e a suspensão do acesso à sua nota de crédito por consulentes.
§ 1º O gestor que receber a solicitação de suspensão de acesso à nota de crédito deverá, no prazo de dois dias úteis, contado da data de sua solicitação:
I - suspender, por prazo indeterminado, o acesso à nota de crédito por consulentes; e
II - transmitir a solicitação aos demais gestores, que deverão atendê-la no prazo de dois dias úteis, contado da data do recebimento da comunicação.
§ 2º O direito de acesso do cadastrado à sua própria nota de crédito será mantido durante o período de suspensão de que trata o caput.
Art. 14. As solicitações de cancelamento ou de reabertura do cadastro e de suspensão de acesso à nota de crédito do cadastrado serão realizadas de forma expressa e poderão ser feitas por meio eletrônico.
§ 1º Não será admitido pedido de exclusão parcial de informações registradas em banco de dados, exceto se houverem sido indevidamente registradas.
§ 2º O gestor de banco de dados não poderá anotar informações de adimplemento de cadastrado que tenha solicitado o cancelamento do seu cadastro após o prazo de dois dias úteis, contado da data de sua solicitação.
§ 3º O gestor de banco de dados manterá disponível ao cadastrado, por meio telefônico e eletrônico, sistema de registro e acompanhamento de solicitação de cancelamento ou reabertura do cadastro e de suspensão de acesso à nota de crédito do cadastrado.
DO ENVIO DE INFORMAÇÕES PELA FONTE
Art. 15. As fontes fornecerão aos gestores de bancos de dados o conjunto de dados financeiros e de pagamentos e os dados pessoais do cadastrado, mesmo na hipótese de o termo inicial desse período ser anterior a 9 de julho de 2019, conforme o inciso II do caput do art. 7º da Lei Complementar nº 166, de 2019.
§ 1º Os dados pessoais deverão ser fornecidos pelas fontes aos gestores de bancos de dados para a abertura do cadastro e sempre que houver alteração no conteúdo dessas informações.
§ 2º As informações de adimplemento prestadas pelas fontes compreenderão, no mínimo, o período de doze meses anteriores à data de prestação da informação.
Art. 16. O envio das informações pelas fontes aos gestores de bancos de dados será realizado por mecanismos que preservem a integridade e o sigilo dos dados enviados.
Parágrafo único. Os gestores de bancos de dados poderão fornecer às fontes os mecanismos de envio das informações, observado o disposto no art. 10 da Lei nº 12.414, de 2011.
Art. 17. Serão definidos em comum acordo entre as fontes e os gestores de bancos de dados o padrão e o leiaute para o envio das seguintes informações:
I - dados da fonte:
a) | nome da fonte; e |
b) | CNPJ/CPF da fonte; |
II - dados do cadastrado:
a) | nome do cadastrado; |
b) | CPF/CNPJ do cadastrado; |
c) | endereço residencial ou comercial do cadastrado; |
d) | endereço eletrônico do cadastrado, quando houver; e |
e) | telefone do cadastrado; |
III - informações de adimplemento:
a) | natureza da relação: |
b) | creditícia; |
c) | comercial; |
d) | de serviço continuado; ou |
e) | outra a ser definida; |
b) | data de início da concessão do crédito ou da assunção da obrigação de pagamento; |
c) | valor do crédito concedido ou, quando for possível definir, da obrigação assumida; |
d) | datas de pagamentos a vencer; |
e) | valores de pagamentos a vencer; |
f) | datas de vencimento pretéritas; |
g) | valores devidos nas datas de vencimento pretéritas; |
h) | datas dos pagamentos realizados, mesmo que parciais; e |
i) | valores dos pagamentos realizados, mesmo que parciais. |
Parágrafo único. Os reguladores das fontes poderão, no âmbito de suas competências legais, editar atos normativos complementares sobre o padrão e o leiaute de que trata o caput.
DOS PROCEDIMENTOS NA HIPÓTESE DE VAZAMENTO DE INFORMAÇÕES
Art. 18. Na ocorrência de vazamento de informações de cadastrados ou de outro incidente de segurança que possa acarretar risco ou prejuízo relevante a cadastrados, o gestor de banco de dados comunicará o fato:
I - à Autoridade Nacional de Proteção de Dados, na hipótese de ocorrência que envolva o fornecimento de dados de pessoas naturais;
II - ao Banco Central do Brasil, na hipótese de ocorrência que envolva o fornecimento de dados prestados por instituições autorizadas a funcionar pelo Banco Central do Brasil; e
III - à Secretaria Nacional do Consumidor do Ministério da Justiça e Segurança Pública, na hipótese de ocorrência que envolva o fornecimento de dados de consumidores.
§ 1º A comunicação de que trata o caput será feita no prazo de dois dias úteis, contado da data do conhecimento do incidente, e mencionará, no mínimo:
I - a descrição da natureza dos dados pessoais afetados;
II - as informações sobre os cadastrados envolvidos;
III - a indicação das medidas de segurança utilizadas para a proteção dos dados, inclusive os procedimentos de encriptação;
IV - os riscos relacionados ao incidente; e
V - as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.
§ 2º No juízo de gravidade do incidente de que trata o caput, será avaliada eventual comprovação de que foram adotadas medidas técnicas adequadas que tornem os dados pessoais afetados ininteligíveis para terceiros não autorizados a acessá-los.
§ 3º Será obrigatória a pronta comunicação aos cadastrados afetados pelo incidente de segurança de que trata este artigo.
DISPOSIÇÕES FINAIS
Art. 19. Na hipótese de decisão baseada em consulta ao banco de dados e realizada exclusivamente por meios automatizados, caso o cadastrado solicite ao consulente a revisão da decisão, o consulente apresentará o resultado no prazo de sete dias úteis, contado da data do requerimento de revisão.
Art. 20. Não poderá ser registrada pelo gestor do banco de dados como informação negativa a ausência de comunicação pela fonte sobre a situação de adimplência do cadastrado.
Art. 21. Compete exclusivamente ao Banco Central do Brasil requerer aos gestores de banco de dados, na forma e no prazo que estabelecer, as informações necessárias para o desempenho das atribuições de que trata o § 6º do art. 12 da Lei nº 12.414, de 2011.
Art. 22. Fica revogado o Decreto nº 7.829, de 17 de outubro de 2012.
Art. 23. Este Decreto entra em vigor na data de sua publicação.
Brasília, 24 de julho de 2019; 198º da Independência e 131º da República.
JAIR MESSIAS BOLSONARO
Sérgio Moro
Paulo Guedes
Roberto de Oliveira Campos Neto
- Diário Oficial da União - Seção 1 - 25/7/2019, Página 1 (Publicação Original)