Notícia extraída do site da Presidência da República:

DECRETO N° 7.829, DE 17 DE OUTUBRO DE 2012

A PRESIDENTA DA REPÚBLICA, no uso da atribuição que lhe confere o art. 84, caput, inciso IV, da Constituição, e tendo em vista o disposto na Lei n^o 12.414, de 9 de junho de 2011, DECRETA:

CAPÍTULO I: DAS CONDIÇÕES PARA FUNCIONAMENTO DOS BANCOS DE DADOS:

Art. 1^o São requisitos mínimos para o funcionamento dos bancos de dados e o compartilhamento de informaçôes autorizados pela Lei n^o 12.414, de 9 de junho de 2011:

I -  aspectos econômico-financeiros: patrimônio líquido mínimo de R$ 20.000.000,00 (vinte milhôes de reais), detido pelo gestor de banco de dados ou por grupo de pessoas jurídicas que, conjuntamente, exercem a atividade de gestor de bancos de dados;

II - aspectos técnico-operacionais:

a) certificação técnica emitida por empresa qualificada independente, renovada, no mínimo, a cada dois anos, que ateste a disponibilidade de plataforma tecnológica apta a preservar a integridade e o sigilo dos dados armazenados, e indique que as estruturas tecnológicas envolvidas no fornecimento do serviço de cadastro seguem as melhores práticas de segurança da informação, inclusive quanto a plano de recuperação em caso de desastre, com infraestrutura de cópia de segurança para o armazenamento dos dados e das autorizaçôes;

b) certificação técnica emitida por empresa qualificada independente, renovada, no mínimo, a cada dois anos, que ateste a adequabilidade da política de segurança da informação sobre a criação, guarda, utilização e descarte de informaçôes no âmbito interno e externo, inclusive quanto à transferência ou utilização de informaçôes por outras empresas prestadoras de serviço contratadas; e

c) certificação técnica emitida por empresa qualificada independente, renovada, no mínimo, a cada dois anos, que ateste a adequabilidade da política de estabelecimento da responsabilidade, principalmente nos quesitos sigilo e proteção das informaçôes, privacidade de dados dos clientes e prevenção e tratamento de fraudes;

III - aspectos relacionados à governança:

a) estatuto ou contrato social com o desenho e as regras relativas à sua estrutura administrativa;

b) disponibilização dos procedimentos operacionais do desempenho da atividade e, quando for o caso, dos controles de risco disponíveis; e

c) disponibilização mensal de todas as informaçôes relevantes relacionadas a seu funcionamento no período, que contemple desempenho econômico-financeiro, número de operaçôes registradas, número total de consultas realizadas, número de cadastrados autorizados, número de consulentes cadastrados, número de fontes ativas, relatório de erros ocorridos, entre outras que atestem a plena operação do gestor de banco de dados; e

IV - aspectos relacionais:

a) manutenção de serviço de atendimento ao consumidor que atenda os requisitos do Decreto n^o 6.523, de 31 de julho de 2008; e

b) manutenção de ouvidoria, com a atribuição de atuar como canal de comunicação entre os gestores de bancos de dados e os cadastrados.

§ 1^o O ato constitutivo da pessoa jurídica, suas eventuais alteraçôes, a ata de eleição de administradores, quando aplicável, e os documentos comprobatórios do disposto nos incisos do caput ficarão disponíveis para verificação por órgãos públicos e serão a eles encaminhados sempre que solicitado.

§ 2^o Os documentos referidos nos incisos II e III do caput deverão ser atualizados e disponíveis de forma pública e de fácil acesso nos sítios eletrônicos da entidade.

§ 3^o O gestor de banco de dados deve dar ampla divulgação sobre a ouvidoria e o serviço de atendimento ao consumidor, com informaçôes completas acerca da sua finalidade e forma de utilização, acesso telefônico gratuito por número divulgado de forma ampla e mantido atualizado nos recintos de atendimento ao público, no sítio eletrônico da entidade e nos seus demais canais de comunicação, inclusive nos extratos e comprovantes fornecidos ao cadastrado.

§ 4^o Serão atribuiçôes da ouvidoria, no mínimo:

I - receber, registrar, instruir, analisar e dar tratamento formal e adequado às reclamaçôes dos cadastrados não solucionadas em vinte dias úteis pelos demais canais de atendimento;

II - prestar esclarecimentos e informar reclamantes acerca do andamento de suas demandas, das providências adotadas, conforme número de protocolo, observado prazo de dez dias úteis para resposta; e

III - propor ao gestor do banco de dados medidas corretivas ou de aprimoramento relativas aos procedimentos e rotinas, em decorrência da análise das reclamaçôes recebidas.

CAPÍTULO II: DO HISTÓRICO DE CRÉDITO:

Art. 2^o O histórico de crédito do cadastrado é composto pelo conjunto de dados financeiros e de pagamentos relativos às operaçôes de crédito e obrigaçôes de pagamento, adimplidas ou em andamento, necessárias para avaliar o risco financeiro do cadastrado.

Art. 3^o Para os fins deste Decreto, o conjunto de dados financeiros e de pagamentos é composto por:

I - data da concessão do crédito ou da assunção da obrigação de pagamento;

II - valor do crédito concedido ou da obrigação de pagamento assumida;

III - valores devidos das prestaçôes ou obrigaçôes, indicadas as datas de vencimento e de pagamento; e

IV - valores pagos, mesmo que parciais, das prestaçôes ou obrigaçôes, indicadas as datas de pagamento.

Art. 4^o As instituiçôes financeiras e demais instituiçôes autorizadas a funcionar pelo Banco Central do Brasil prestarão informaçôes de acordo com diretrizes aprovadas pelo Conselho Monetário Nacional.

Art. 5^o As informaçôes de que trata este Decreto serão prestadas conforme o Anexo I, inclusive pelos prestadores de serviços continuados referidos no art. 11 da Lei n° 12.414, de 2011.

Art. 6^o Os bancos de dados, para fins de composição do histórico de crédito, deverão apresentar informaçôes objetivas, claras, verdadeiras e de fácil compreensão, que sejam necessárias para avaliação da situação econômico-financeira do cadastrado.

CAPÍTULO III: DA AUTORIZAÇÃO PARA ABERTURA DO CADASTRO E COMPARTILHAMENTO:

Art. 7^o As autorizaçôes para abertura de cadastro e para compartilhamento da informação de adimplemento, de que tratam, respectivamente, os arts. 4° e 9° da Lei no 12.414, de 2011, podem ser concedidas pelo cadastrado em forma física ou eletrônica, diretamente à fonte ou ao gestor de banco de dados, observados os termos e condiçôes constantes do Anexo II.

§ 1^o Quando qualquer das autorizaçôes for concedida à fonte, esta deverá encaminhar a autorização concedida, por meio eletrônico, aos gestores de bancos de dados indicados no ato de concessão, no prazo de sete dias úteis contado de seu recebimento.

§ 2^o O gestor do banco de dados ou a fonte, conforme o caso, deverá manter os registros adequados para comprovar a autenticidade e a validade da autorização.

§ 3^o A abertura de cadastro não poderá ser condicionada à concessão de autorização para compartilhamento da informação de adimplemento.

Art. 8^o A verificação da validade e autenticidade das autorizaçôes de que trata o art. 7^o, caberá àquele que recepcionou diretamente a autorização concedida pelo cadastrado, sem prejuízo do disposto no art. 16 da Lei n^o 12.414, de 2011.

Parágrafo único. O gestor do banco de dados será responsável por avaliar a adequabilidade do processo de validação e autenticação da autorização.

CAPÍTULO IV: DA CONSULTA AO BANCO DE DADOS:

Art. 9^o As informaçôes sobre o cadastrado constantes dos bancos de dados somente poderão ser acessadas por consulentes que com ele mantiverem ou pretenderem manter relação comercial ou creditícia.

§ 1^o Ao realizar a consulta, o consulente deverá declarar ao gestor do banco de dados que mantém ou pretende manter relação comercial ou creditícia com o cadastrado.

§ 2^o O gestor do banco de dados deverá manter políticas e controles para garantir que as informaçôes sobre o cadastrado somente serão acessadas por consulente que atenda ao disposto neste artigo.

CAPÍTULO V : DO DEVER E RESPONSABILIDADE DO GESTOR DE BANCO DE DADOS:

Art. 10.  O gestor do banco de dados deverá:

I - comunicar às fontes eventual exclusão ou revogação da autorização pelo cadastrado;

II - indicar, em cada resposta a consulta, a data da última atualização das informaçôes enviadas ao banco de dados;

III - adotar as cautelas necessárias à preservação do sigilo das informaçôes que lhe forem enviadas, divulgando-as apenas para as finalidades previstas na Lei n^o 12.414, de 2011;

IV - manter sistemas de guarda e acesso com requisitos de segurança que protejam as informaçôes de acesso por terceiros não autorizados e de uso em desacordo com as finalidades previstas na Lei n^o 12.414, de 2011;

V - dotar os sistemas de guarda e acesso das informaçôes de características de rastreabilidade, passíveis de serem auditadas;

VI - disponibilizar em seus sítios eletrônicos para consulta do cadastrado, com acesso formalizado, de maneira segura e gratuita:

a) as informaçôes sobre o cadastrado constantes do banco de dados no momento da solicitação;

b) a indicação das fontes que encaminharam informaçôes sobre o cadastrado, com endereço e telefone para contato;

c) a indicação dos gestores dos bancos de dados com os quais as informaçôes sobre o cadastrado foram compartilhadas; e

d) a indicação clara dos consulentes que tiveram acesso ao histórico de crédito do cadastrado nos seis meses anteriores ao momento da solicitação; e

VII - informar, claramente, inclusive em seu sítio eletrônico, os direitos do cadastrado, definidos em lei e em normas infralegais pertinentes à sua relação com as fontes e os gestores de bancos de dados, e disponibilizar lista de órgãos governamentais aos quais poderá recorrer em caso de violação.

Parágrafo único.  As informaçôes dispostas no inciso VI do caput também poderão ser acessadas, gratuitamente, por telefone.

Art. 11.  O gestor do banco de dados não poderá informar aos consulentes as fontes individuais das informaçôes.

Art. 12.  O cancelamento do cadastro poderá ser realizado perante qualquer gestor de banco de dados que mantenha cadastro ou perante a fonte que recebeu a autorização para abertura do cadastro.

§ 1^o Caso o cancelamento não seja solicitado perante o gestor do banco de dados originário, o pedido será encaminhado ao gestor do banco de dados originário no prazo de dois dias úteis.

§ 2^o Na hipótese do § 1^o, gestor do banco de dados originário:

I - encerrará o histórico de crédito do cadastrado, não disponibilizará informaçôes para novas consultas e não incluirá novas informaçôes; e

II - informará o cancelamento, no prazo de sete dias, a: a) todas as fontes das quais recebeu informaçôes relativas ao cadastrado; e

b) todos os gestores de bancos de dados com os quais compartilhou informaçôes relativas ao cadastrado.

§ 3^o O gestor de banco de dados deverá manter em arquivo, exclusivamente para fins de auditoria, dados, autorizaçôes concedidas pelos cadastrados, pedidos de cancelamento, exclusão, revogação e correção de anotação, pelo prazo mínimo de cinco anos, contado do cancelamento do cadastro.

Art. 13.  O cadastrado poderá requerer:

I - que suas informaçôes não sejam acessíveis por determinados consulentes ou em período determinado de tempo; e

II - o não compartilhamento de informaçôes ou ainda a revogação de autorização para o compartilhamento de suas informaçôes com um ou mais bancos de dados.

Parágrafo único. Não será admitido pedido de exclusão parcial de informaçôes registradas em banco de dados, salvo se indevida ou erroneamente anotadas.

Art. 14.  As solicitaçôes de cancelamento do cadastro, de vedação de acesso e de não compartilhamento deverão ser realizadas de forma expressa, e poderão ser feitas por  meio eletrônico. CAPÍTULO VI DO ENVIO DE INFORMAÇÕES PELA FONTE.

Art. 15.  O envio das informaçôes pelas fontes aos gestores de bancos de dados deverá ser realizado por mecanismos que preservem a integridade e o sigilo dos dados enviados.

Parágrafo único.  Os gestores de bancos de dados, observado o disposto no art. 10 da Lei n^o 12.414, de 2011, poderão fornecer às fontes os mecanismos de envio das informaçôes.

CAPÍTULO VII: DISPOSIÇÕES GERAIS E FINAIS:

Art. 16.  No caso de decisão realizada exclusivamente por meios automatizados, se o cadastrado solicitar ao consulente a revisão da decisão, o consulente deverá apresentar o resultado no prazo de sete dias úteis, contado da data do requerimento de revisão.

Art. 17.  A simples falta de comunicação pela fonte do adimplemento de operação de crédito ou de obrigação continuada antes em curso não poderá ser registrada pelo gestor do banco de dados  como informação negativa.

Art. 18.  Este Decreto entra em vigor no dia 1^o de janeiro de 2013.

Brasília, 17 de outubro de 2012; 191° da Independência e 124° da República.

DILMA ROUSSEFF

Guido Mantega

José Eduardo Cardozo

Alexandre Antonio Tombini

Este texto não substitui o publicado no DOU de 18.10.2012

ANEXO I

INFORMAÇÕES PRESTADAS A BANCOS DE DADOS AUTORIZADOS POR PRESTADORES DE SERVIÇOS CONTINUADOS E DEMAIS FONTES Nome da Fonte CNPJ/CPF da Fonte Nome do Cadastrado CPF/CNPJ do Cliente Natureza da Relação (creditícia, comercial, de serviço continuado, outra a definir) Data de início da concessão do crédito ou da assunção da obrigação de pagamento Valor do crédito concedido ou da obrigação assumida (quando possível definir) Datas de pagamentos a vencer Valores de pagamentos a vencer Datas de vencimento pretéritas Valores devidos nas datas de vencimento pretéritas Data dos pagamentos realizados, mesmo que parciais Valores dos pagamentos realizados, mesmo que parciais

ANEXO II

MODELO DE AUTORIZAÇÃO PARA ABERTURA DE CADASTRO de que trata a Lei n° 12.414, de 9 de junho de 2011

1- Autorizo a abertura de cadastro para anotação dos dados relativos a todas as obrigaçôes pecuniárias assumidas ou que venham a ser assumidas por mim perante quaisquer pessoas jurídicas ou naturais com as quais eu mantenha ou venha a manter relação comercial ou creditícia, abrangendo os dados financeiros e de pagamentos relativos às operaçôes de crédito e obrigaçôes de pagamento adimplidas em seus respectivos vencimentos ou em atraso, e aquelas a vencer, para constarem do(s) Banco(s) de Dados indicado(s) abaixo, com a finalidade, única e exclusiva, de subsidiar a análise e eventual concessão de crédito, a venda a prazo ou outras transaçôes comerciais e empresariais que impliquem risco financeiro.

2- Identificação do(s) Banco(s) de Dados originário(s) indicado(s): Nome CNPJ End. Nome CNPJ End.

3- Compartilhamento das informaçôes com outros Bancos de Dados: (  ) Não autorizo                      (   ) Autorizo Bancos de Dados autorizados para o compartilhamento das informaçôes: Nome CNPJ End. Nome CNPJ End.

4-  Esta solicitação e autorização é válida para informaçôes oriundas de prestadores de serviços continuados de água, esgoto, eletricidade, gás, telecomunicaçôes (exceto telefonia móvel na modalidade pós-paga), assistência ou seguro médico e odontológico, outros tipos de seguro, provedores de Internet e TV por assinatura, escolas, administradoras de cartôes de crédito, desde que não integrantes de conglomerados financeiros, e de condomínios: (   ) Não                                 (   ) Sim

5 - Fica(m) esse(s) Banco(s) de Dados habilitado(s) a requerer as informaçôes de histórico de crédito e de obrigaçôes financeiras acima às fontes. (   ) Não                                 (   ) Sim

6- O acesso às informaçôes somente será permitido aos consulentes devidamente credenciados pelo(s) Banco(s) de Dados por mim indicado(s). Desde já concedo minha expressa autorização para que os consulentes com os quais eu mantenha ou pretenda manter relação comercial ou creditícia possam acessar meus dados nos bancos de dados acima mencionados.

7 - Estou ciente de que poderei revogar, a qualquer tempo, esta solicitação, perante a entidade receptora desta autorização para abertura de cadastro ou perante o gestor do banco de dados detentor das informaçôes. Local e data: Nome: CPF/CNPJ: RG.: Endereço: Telefones: E-mail: Assinatura:”  

*Mauricio Miranda.

**Imagem extraída do Google.