Código de Distribuição ANBIMA apresenta normas de privacidade e proteção de dados pessoais, segurança da informação e cibernética, além de contingência para Gestoras de Recursos que realizam atividade de distribuição.

O Código de Distribuição de Produtos de Investimentos da ANBIMA (Código ANBIMA) foi atualizado, trazendo novidades sobre os temas de suitability, de privacidade e proteção de dados, dentre outros aspectos.

Especificamente nos temas que são correlatos à Lei Geral de Proteção de Dados (LGPD), entrou em vigor em 08 de maio de 2023, as normas de privacidade de dados pessoais, de segurança da informação e cibersegurança, plano de continuidade de negócios e tratamento de incidentes.

Com o avanço da Autoridade Nacional de Proteção de Dados (ANPD) na regulamentação da LGPD, é natural que outros órgãos reguladores passem a dar maior atenção ao tema de dados pessoais. Após a entrada em vigor da LGPD, tivemos diversas iniciativas da ANPD para elucidar algumas questões sobre a proteção de dados pessoais, tais como:

(i) Resolução 1 – Aprova o Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador;

(ii) Guia Orientativo para Definição dos Agentes de Tratamento de Dados Pessoais e do Encarregado;

(iii) Guia Orientativo sobre “Cookies” e Proteção de Dados Pessoais;

(iv) Resolução 4 – Norma de dosimetria e aplicação de sanções administrativas;

(v) Consulta Pública sobre a Norma de Comunicação de Incidente de Segurança envolvendo Dados Pessoais.

Voltando ao Código ANBIMA, destacamos alguns pontos relevantes para os quais as Gestoras de Recursos devem se adequar:

• Regras, procedimentos e controles internos que tratam da privacidade e dos dados pessoais

As Gestoras de Recurso devem implementar e manter, em documento escrito e com base em critérios próprios, regras, procedimentos e controles internos que tratem da privacidade e dos dados pessoais a que a Gestora tenha acesso, detalhando como se dá o controle de privacidade e dados pessoais, identificando ao menos o controlador, processador, bases legais, finalidade, duração de tratamento, compartilhamento e responsabilidades.

Nesse sentido, é importante que a Gestora de Recursos tenha seus processos mapeados, identificando todos os dados pessoais de sua responsabilidade, bem como os controles associados a estes dados pessoais. Com base no mapeamento de processos, a instituição pode preparar um relatório com um inventário de dados pessoais, atendendo os aspectos elencados pela ANBIMA.

• Confidencialidade dos ativos de informação e dos dados pessoais

Conforme classificação da informação, a Gestora de Recursos deve indicar os critérios adotados para a proteção da confidencialidade dos ativos de informação e dos dados pessoais tratados durante todo seu ciclo de vida, abordando desde a sua geração até o seu descarte, incluindo armazenamento, acesso, tratamento, transmissão e reporte.

Uma Política de Privacidade, ou ainda, um Manual Interno Operacional de LGPD, podem apresentar o detalhamento de controles e procedimentos adotados pela instituição durante o ciclo de vida do dado pessoal tratado.

• Tratamento de Incidentes

As Gestoras de Recursos devem estabelecer plano de ação e de resposta a incidentes visando à implementação das regras, procedimentos e controles internos de privacidade, proteção de dados pessoais, segurança da informação, segurança cibernética e contingência.

Essas determinações podem ser estabelecidas em uma Política de Segurança da Informação ou na própria Política de Privacidade da Gestora.

• Treinamento

Por fim, as Gestoras devem implementar e manter treinamento para todos seus profissionais, incluindo terceiros, sobre práticas gerais de proteção de informações confidenciais, reservadas ou privilegiadas e dados pessoais, segurança da informação e cibersegurança, e sobre os protocolos de continuidade de negócios e prevenção de incidentes.

A RRZ Consultoria já apoiou diversas Gestoras de Recursos na implementação de um Programa de Privacidade de Dados para adequação à LGPD, abordando os aspectos elencados pela ANBIMA, dentre outros tópicos relevantes estabelecidos pela ANPD, incluindo a realização de treinamento sobre proteção de dados pessoais por meio de plataforma EAD, e se coloca à disposição para sanar quaisquer dúvidas e/ou demandas sobre o assunto em questão.