Publicador de Conteúdos e Mídias

RESOLUÇÃO CNSP N° 429, DE 12 DE NOVEMBRO DE 2021

Brasão do Brasil

Diário Oficial da União

Publicado em: 16/11/2021 | Edição: 214 | Seção: 1 | Página: 29

Órgão: Ministério da Economia/Superintendência de Seguros Privados

RESOLUÇÃO CNSP N° 429, DE 12 DE NOVEMBRO DE 2021

Estabelece os requisitos para credenciamento e funcionamento das sociedades iniciadoras de serviço de seguro no âmbito do Sistema de Seguros Aberto (Open Insurance) e dá outras providências.

O DIRETOR DA DIRETORIA TÉCNICA 2 DA SUPERINTENDÊNCIA DE SEGUROS PRIVADOS - SUSEP, no uso de suas atribuições delegadas pela Portaria Susep nº 7.875, de 22 de outubro de 2021, torna público que o CONSELHO NACIONAL DE SEGUROS PRIVADOS - CNSP, em sessão extraordinária realizada em 11 de novembro de 2021, tendo em vista o disposto a Resolução CNSP nº 415, de 20 de julho de 2021, e considerando o que consta do Processo Susep n.º 15414.636271/2021-46, resolve:

CAPÍTULO I

DO OBJETO

Art. 1º Estabelecer os requisitos para credenciamento e funcionamento das sociedades iniciadoras de serviço de seguro (SISS) no âmbito do Open Insurance, de que trata a Resolução CNSP n.º 415, de 20 de julho de 2021, e dar outras providências.

CAPÍTULO II

DAS DEFINIÇÕES

Art. 2º Para os fins do disposto nesta Resolução, considera-se sociedade supervisionada a sociedade seguradora, incluindo aquela participante exclusivamente de ambiente regulatório experimental (Sandbox Regulatório), a entidade aberta de previdência complementar ou a sociedade de capitalização.

CAPÍTULO III

DOS REQUISITOS APLICÁVEIS

Art. 3º As SISS não podem reter quaisquer riscos de seguros, operar planos de previdência complementar aberta ou emitir títulos de capitalização.

Art. 4º As SISS e as sociedades supervisionadas que ofertem serviço de iniciação de movimentação deverão possuir procedimentos e processos internos para prevenir potenciais conflitos de interesses na oferta de serviços de iniciação de movimentação.

Parágrafo único. O disposto no caput também se aplica às SISS que prestem outros serviços ao cliente, baseados nos dados compartilhados no Open Insurance, nos termos da regulamentação do Sistema de Seguros Aberto.

Art. 5º Poderão ser efetuadas parcerias entre SISS ou sociedades supervisionadas que prestem serviço de iniciação de movimentação e corretores de seguros, com o objetivo de fornecer mecanismos para a intermediação de produtos de seguros, de capitalização ou de previdência complementar aberta.

Parágrafo único. As parcerias definidas no caput não incluem o compartilhamento de dados pessoais dos clientes no Sistema de Seguros Aberto (Open Insurance) com os corretores de seguros.

CAPÍTULO IV

DOS REQUISITOS PARA O CREDENCIAMENTO

Art. 6º Para o credenciamento na Susep, a SISS deve atender aos seguintes requisitos mínimos:

I - firmar Termo de Adesão com a Susep;

II - observar requisitos financeiros, conforme estabelecido no Anexo I;

III - observar exigências relativas a requisitos de governança, sigilo de dados e informações e segurança cibernética, conforme estabelecido no Anexo II;

IV - observar exigências relativas às práticas de conduta e tratamento adequado do cliente conforme estabelecido no Anexo III; e

V - assegurar à Susep o acesso integral às informações mantidas por si ou por terceiros por ela contratados para realizar suas atividades.

§ 1º O credenciamento de que trata o caput deve ser renovado, no mínimo, a cada 5 (cinco) anos.

§ 2º A Susep disponibilizará o Termo de Adesão de que trata o inciso I do caput no seu sítio eletrônico na rede mundial de computadores, sendo específico para o credenciamento de SISS.

Art. 7º O pedido de credenciamento de SISS deverá ser precedido de realização de reunião técnica com a área competente da Susep, na qual deverão ser apresentados os aspectos gerais do projeto.

CAPÍTULO V

DO PEDIDO DE CREDENCIAMENTO

Art. 8º O pedido de credenciamento de SISS deve ser encaminhado à Susep e instruído com, no mínimo, a seguinte documentação:

I - estatuto social da SISS;

II - sumário executivo contendo descrição:

a) das estruturas operacional e administrativa e dos mecanismos de governança, que demostre a aderência desses mecanismos ao Anexo II;

b) de suas políticas de sigilo de dados e informação e de segurança cibernética, alinhadas com as diretrizes apresentadas no Anexo II; e

c) dos planos de contingência tratados no Anexo II;

III - comprovação de atendimento dos requisitos financeiros estabelecidos no Anexo I;

IV - demonstrações financeiras auditadas por auditor independente registrado na Comissão de Valores Mobiliários (CVM), relativo ao último exercício social encerrado, se houver;

V - autorização para a Susep realizar visitas técnicas, a qualquer tempo, para confirmação e monitoramento dos requisitos exigidos para credenciamento e funcionamento;

VI - Termo de Adesão assinado pelo representante legal da sociedade solicitante, nos termos do inciso I do caput do art. 6º;

VII - declarações, firmadas pelo presidente da sociedade solicitante, com a informação de que a interessada:

a) está em conformidade com a legislação e regulamentação vigentes aplicáveis à segurança cibernética e ao sigilo de dados, incluindo o disposto no Anexo II;

b) atende aos requisitos financeiros estabelecidos no Anexo I;

c) atende aos requisitos de capacitação técnica de que tratam os incisos I e II, do art. 1º, do Anexo II;

d) atende aos requisitos mínimos de credenciamento definidos nesta Resolução e de que os documentos solicitados nos incisos do caput refletem com veracidade a sua situação; e

e) não incorre em situações que possam afetar a sua reputação, de seu presidente e demais administradores, estando a Susep autorizada a ter acesso às informações a esse respeito, constantes de qualquer sistema ou cadastro de informações público ou de natureza pública, inclusive processos e procedimentos judiciais ou administrativos e inquéritos policiais, para uso exclusivo no respectivo processo de credenciamento.

Parágrafo único. A Susep poderá solicitar esclarecimentos adicionais para análise do pedido de credenciamento a qualquer tempo, inclusive por meio de reunião técnica.

CAPÍTULO VI

DA ANÁLISE

Art. 9º Os processos de credenciamento serão considerados regularmente instruídos quando toda a documentação necessária, bem como as informações pertinentes, forem integralmente apresentadas à Susep.

§ 1º A Susep poderá arquivar os processos de pedido de credenciamento quando:

I - não forem atendidas as solicitações de apresentação de documentos e de prestação de informações adicionais, no prazo por ela determinado; e

II - não for realizada a a reunião técnica prevista no art. 7º.

§ 2º Na hipótese de arquivamento dos processos de pedido de credenciamento, deverão ser formulados novos pedidos, instruídos com toda documentação requerida atualizada.

Art. 10. A Susep poderá indeferir os pedidos de credenciamento caso verifique:

I - circunstância que possa afetar a reputação dos administradores da SISS;

II - falsidade ou discrepância nas declarações ou nos documentos apresentados na instrução dos processos; ou

III - não atendimento aos requisitos definidos no art. 6º.

Art. 11. A Susep comunicará à sociedade interessada o resultado da análise do pedido de credenciamento de que trata esta Resolução.

Parágrafo único. No caso de indeferimento de pedido, a Susep informará a motivação e concederá prazo à sociedade interessada para apresentação de pedido de reconsideração com as devidas justificativas.

CAPÍTULO VII

DA PRESTAÇÃO DE SERVIÇOS DE INICIAÇÃO DE MOVIMENTAÇÃO POR SOCIEDADES SUPERVISIONADAS

Art. 12. Ficam dispensadas de credenciamento pela Susep, para prestar serviços de iniciação de movimentação, as sociedades supervisionadas participantes do Open Insurance, observada a regulamentação específica.

§ 1º As sociedades mencionadas no caput devem comunicar à Susep, com 90 (noventa) dias de antecedência, sua intenção de prestar serviço de iniciação de movimentação.

§ 2º A prestação de serviços de iniciação de movimentação por sociedades supervisionadas participante do Open Insurance requer a obtenção de certificação e de certificados de segurança específicos para esta finalidade no diretório de participantes.

§ 3º Para as sociedades supervisionadas que prestarem serviços de iniciação de movimentação, além dos requisitos previstos em regulamentações específicas, aplicam-se também os seguintes dispositivos desta Resolução:

I - o art. 4, o art. 14 e o art. 5º do Anexo I e os Anexos II e III; e

II - o cancelamento ou suspensão da certificação a que se refere o §2º deste artigo nas hipóteses previstas nos art. 15, 16, 17 e 18 desta Resolução.

CAPÍTULO VIII

DO FUNCIONAMENTO

Art. 13. É obrigatória a instituição de Serviço de Atendimento ao Cliente - SAC pelas SISS, que deverá estar em funcionamento quando do início de sua operação.

Art. 14. Os dados e as informações periódicas a serem enviados ou disponibilizados pelas SISS serão disciplinados pela Susep.

§ 1º A Susep poderá solicitar, a qualquer tempo, informações que julgar necessárias sobre os serviços prestados pela SISS, conforme previsão expressa no Termo de Adesão.

§ 2º As SISS deverão informar à Susep, tempestivamente, qualquer alteração das informações de que trata o art. 6º desta Resolução.

CAPÍTULO IX

DAS DISPOSIÇÕES FINAIS

Art. 15. A solicitação de cancelamento do credenciamento da SISS, a pedido do interessado, deve observar as regras e definições do Termo de Adesão e ser instruída com os seguintes documentos:

I - requerimento simplificado, subscrito por representante legal da sociedade;

II - declaração de responsabilidade, firmada pelo representante legal, com relação ao cumprimento da legislação aplicável; e

III - documentação contendo o plano de descontinuidade das atividades.

Art. 16. Garantido o direito ao contraditório, a Susep poderá cancelar, de ofício, a qualquer momento, o credenciamento de que trata esta Resolução, nas seguintes hipóteses:

I - ocorrência de prejuízos comprovados aos clientes;

II - descumprimento dos requerimentos previstos no art. 14 ou no Anexo I;

III - existência de indícios de prática de ilícito mediante dolo ou fraude;

IV - inobservância relevante ou reiterada dos requisitos estabelecidos nesta Resolução;

V - falsidade ou grave omissão nas declarações ou nos documentos apresentados na instrução do processo;

VI - situações que possam afetar a reputação da SISS ou de seus administradores;

VII - falhas ou violações no sistema de segurança cibernética e de proteção de dados; ou

VIII - qualquer ato, omissivo ou comissivo, que contrarie lei ou norma infra legal, que seja considerado ato nocivo.

Art. 17. O credenciamento de que trata esta Resolução será cancelado na hipótese de a SISS não iniciar a prestação dos serviços de que tratam os incisos VIII e IX do art. 2º da Resolução CNSP nº 415, de 2021, no prazo de 90 (noventa) dias contados da data de aprovação de seu credenciamento.

Art. 18. A SISS poderá ter seu credenciamento suspenso, cautelarmente, em caso de iminente risco ou prejuízo aos clientes ou quando, após notificação da Susep, a sociedade deixar de implementar medidas corretivas necessárias ou não suspender práticas que conflitem com as exigências estabelecidas na legislação aplicável.

§ 1º A suspensão será estabelecida até que a ocorrência que ensejou tal medida seja comprovadamente solucionada pela sociedade e a documentação comprobatória analisada pela Susep.

§ 2º No caso de reiteradas suspensões, a SISS poderá ter seu credenciamento cancelado.

§ 3º A suspensão de que trata o caput será convertida em cancelamento do credenciamento quando a SISS não comprovar a solução da ocorrência que ensejou a medida de suspensão em até 90 (noventa) dias.

Art. 19. No caso de suspensão ou cancelamento do credenciamento, a SISS terá seu registro imediatamente suspenso ou excluído do diretório de participantes do Open Insurance, não podendo mais prestar serviços de iniciação de movimentação ou quaisquer outros serviços baseados em dados pessoais de seguro.

Art. 20. A Resolução CNSP nº 393, de 30 de outubro de 2020, passa a vigorar com a seguinte redação:

"Art. 1º...

§ 1º O disposto nesta Resolução também se aplica às entidades autorreguladoras do mercado de corretagem, aos liquidantes, aos estipulantes e às sociedades iniciadoras de serviços de seguros.

..." (NR)

...

"Art. 73-A. Descumprir ou não observar quaisquer obrigações oriundas do Open Insurance, no que se refere ao relacionamento com o cliente, à segurança cibernética, às demonstrações financeiras ou à governança, inclusive sobre dados.

Sanção: multa de R$ 30.000,00 (trinta mil reais) a R$ 1.000.000,00 (um milhão de reais).

..." (NR)

Art. 21. Esta Resolução entra em vigor em 1º de dezembro de 2021.

RAFAEL PEREIRA SCHERRE

ANEXO I

REQUISITOS FINANCEIROS

CAPÍTULO I

DAS DEMONSTRAÇÕES FINANCEIRAS

Art. 1º As demonstrações financeiras da SISS deverão estar de acordo com o previsto na Lei n.º 6.404, de 15 de dezembro de 1976.

Paragrafo único. As SISS deverão encaminhar à Susep até 15 de março do exercício seguinte, para divulgação em seu sítio eletrônico, as demonstrações financeiras mencionadas no caput.

CAPÍTULO II

DO PATRIMÔNIO LÍQUIDO

Art. 2º As SISS devem manter, a qualquer tempo, patrimônio líquido superior aos seguintes percentuais do valor médio mensal dos serviços de iniciação de movimentação prestados pela sociedade nos 12 (meses) anteriores ao mês de apuração desse patrimônio:

I - 1% (um por cento) até 31 de dezembro de 2022;

II - 1,25% (um inteiro e vinte e cinco centésimos por cento) de 1º de janeiro de 2023 a 31 de dezembro de 2024; e

III - 1,5% (um inteiro e cinco décimos por cento) a partir de 1º de janeiro de 2025.

§ 1º O patrimônio líquido será apurado no último dia de cada mês e, para credenciamento e funcionamento das SISS, tem valor mínimo igual a R$ 1.000.000,00 (um milhão de reais).

§ 2º Para efeito do disposto no caput, valor de serviço de iniciação de movimentação é a soma do valor do prêmio ou contribuição emitida, restituída ou cancelada, do valor do aumento ou redução no prêmio ou na contribuição e do valor do sinistro avisado, do sorteio pago, do resgate ou da portabilidade solicitada.

§ 3º Para as SISS que forem instituições iniciadoras de transação de pagamento devidamente autorizadas, conforme regulamentação do Open Banking, o patrimônio líquido mínimo de que tratam o caput e o §1º deve ser complementar ao exigido pelo Banco Central do Brasil.

Art. 3º O capital social da SISS deve ser integralizado em moeda corrente, ressalvado o disposto no art. 4º e mantido investido em títulos públicos federais.

Art. 4º Os aumentos no capital social que não forem realizados em moeda corrente somente poderão ser integralizados com recursos originários de:

I - lucros acumulados;

II - reservas de capital e de lucros; ou

III - créditos a acionistas relacionados com o pagamento de juros sobre o capital próprio, de que trata o art. 9º da Lei n.º 9.249, de 26 de dezembro de 1995, ou ao pagamento de dividendos.

Parágrafo único. Os aumentos de capital de que trata o caput independem de autorização da Susep.

Art. 5º As sociedades supervisionadas que prestarem serviço de iniciação de movimentação terão seu capital base, definido em regulação específica, acrescido de R$ 1.000.000,00 (um milhão de reais).

ANEXO II - REQUISITOS DE GOVERNANÇA, SIGILO DOS DADOS E INFORMAÇÕES E SEGURANÇA CIBERNÉTICA

CAPÍTULO I

DOS ADMINISTRADORES E CORPO DE FUNCIONÁRIOS

Art. 1º As SISS, em relação aos administradores e corpo de funcionários, devem:

I - contar com pessoal técnica e administrativamente capacitado, que lhe possibilite o pleno atingimento de seu objeto social; e

II - contar, como responsáveis por sua administração, com profissionais de reconhecida competência técnica na matéria, com autonomia de gestão, nos termos de seu contrato ou estatuto social.

Parágrafo único. Os responsáveis pela administração devem possuir experiência prévia de, no mínimo, 1 (um) ano em prestação de serviços de tecnologia da informação ou de desenvolvimento de novas tecnologias.

CAPÍTULO II

DA GOVERNANÇA

Art. 2º As SISS devem possuir estrutura organizacional e administrativa efetiva e transparente, de modo a possibilitar, inclusive, a avaliação do desempenho dos administradores.

Art. 3º As SISS devem implementar Estrutura de Gestão de Riscos, que deve:

I - ser compatível com a natureza das atividades da sociedade e a complexidade dos serviços oferecidos e proporcional à dimensão das exposições aos mencionados riscos;

II - ser segregada da unidade executora da atividade de auditoria interna;

III - permitir a identificação, a mensuração, o monitoramento, o controle, a mitigação e o gerenciamento contínuo e integrado de risco; e

IV - prever política de gestão de risco aprovada e revisada, no mínimo a cada dois anos, ou sempre que a SISS julgar necessário, pela diretoria ou pelo conselho de administração, se houver, a fim de determinar sua compatibilidade com os objetivos da sociedade e com as condições de mercado.

Parágrafo único. A política prevista no inciso IV do caput deve contemplar a continuidade dos serviços de iniciação de movimentação prestados.

Art. 4º A Estrutura de Gestão de Riscos deve prever, no mínimo:

I - plano de contingência e outros mecanismos que garantam a continuidade dos serviços de iniciação de movimentação prestados;

II - mecanismos de proteção e segurança dos dados armazenados, processados ou transmitidos;

III - mecanismos de proteção e segurança de redes, sítios eletrônicos, servidores e canais de comunicação com vistas a reduzir a vulnerabilidade a ataques;

IV - procedimentos para monitorar, rastrear e restringir acesso a dados sensíveis, redes, sistemas, bases de dados e módulos de segurança;

V - monitoramento das falhas na segurança dos dados e das reclamações dos clientes a esse respeito;

VI - revisão das medidas de segurança e de sigilo de dados, especialmente depois da ocorrência de falhas e previamente a alterações na infraestrutura ou nos procedimentos;

VII - elaboração de relatórios que indiquem procedimentos para correção de falhas identificadas;

VIII - realização de testes que assegurem a robustez e a efetividade das medidas de segurança de dados adotadas;

IX - segregação de funções nos ambientes de tecnologia da informação destinados ao desenvolvimento, teste e produção;

X - identificação adequada do cliente;

XI - mecanismos de autenticação dos clientes e de autorização dos serviços de iniciação de movimentação;

XII - processos para assegurar que todos os serviços de iniciação de movimentação possam ser adequadamente rastreados;

XIII - mecanismos de monitoramento e de autorização dos serviços de iniciação de movimentação, com o objetivo de prevenir fraudes, detectar e bloquear solicitações, transações ou movimentações suspeitas de forma tempestiva;

XIV - avaliações e filtros específicos para identificar solicitações, transações ou movimentações consideradas de alto risco;

XV - notificação ao cliente acerca de eventual não execução de um serviço;

XVI - mecanismos que permitam ao cliente verificar se o serviço foi executado corretamente;

XVII - critérios de decisão quanto à terceirização de serviços e de seleção de seus prestadores;

XVIII - avaliação, gerenciamento e monitoramento dos riscos decorrentes de serviços terceirizados relevantes para o funcionamento regular da SISS; e

XIX - mecanismos de monitoramento e controle de falhas na efetivação de serviços de iniciação de movimentação, segregando, no mínimo, os seguintes eventos:

a) serviço de iniciação de movimentação não autorizado;

b) não execução de serviço de iniciação de movimentação;

c) execução incorreta de serviço de iniciação de movimentação; e

d) atraso no serviço de iniciação de movimentação.

Parágrafo único. Caso as SISS terceirizem funções relacionadas com a segurança dos serviços oferecidos, o respectivo contrato de prestação de serviços deve estipular que o contratado deverá:

I - atender ao disposto neste artigo; e

II - permitir o acesso da SISS aos dados e às informações sobre os serviços prestados.

Art. 5º As SISS devem implantar controles internos de suas atividades, de seus sistemas e do cumprimento das disposições da regulamentação do Open Insurance e desta Resolução.

§ 1º Os controles internos devem ser periodicamente revisados e atualizados, de forma que sejam a eles incorporadas medidas relacionadas a novos riscos ou riscos não abordados anteriormente.

§ 2º As SISS devem possuir uma política de conformidade que contemple, no mínimo:

I - o compromisso da diretoria e do conselho de administração, se houver, com a ética e a conformidade, bem como com a melhoria contínua dos seus processos e procedimentos; e

II - as diretrizes para:

a) promoção e disseminação de valores éticos e da cultura de controle entre os administradores, funcionários, prestadores de serviços terceirizados e demais parceiros relevantes da SISS; e

b) identificação e tratamento de deficiências, riscos ou incidentes relativos à conformidade, bem como de desvios de ética e conduta, a fim de assegurar a aplicação de ações disciplinares adequadas e a comunicação às instâncias pertinentes da SISS, à Susep ou a outras autoridades.

§ 3º A política de conformidade deve ser aprovada e revisada, no mínimo a cada dois anos, ou sempre que a SISS julgar necessário, pela diretoria ou pelo conselho de administração, se houver.

Art. 6º As SISS devem desenvolver e implementar, na forma da lei e da regulamentação vigentes, política, procedimentos e controles internos destinados especificamente à prevenção e combate aos crimes de "lavagem" ou ocultação de bens, direitos e valores, ou aos crimes que com eles possam relacionar-se, bem como à prevenção e coibição do financiamento do terrorismo.

Parágrafo único. Para efeito de cumprimento do disposto no caput, aplicam-se os requisitos regulatórios simplificados definidos pela Susep para as situações especiais previstas na regulamentação vigente.

Art. 7º Sendo a atividade de auditoria interna exercida por unidade própria, esta deverá estar diretamente subordinada ao conselho de administração ou, na falta deste, à diretoria da SISS.

§ 1º A atividade de auditoria de que trata o caput, quando não executada por unidade específica da própria SISS ou de sociedade ou entidade integrante do mesmo grupo econômico, poderá ser exercida por auditor independente, desde que não seja aquele responsável pela auditoria das demonstrações financeiras.

§ 2º No caso de ser a atividade de auditoria interna exercida segundo a faculdade estabelecida no § 1º deste artigo, deverá o responsável por sua execução reportar-se diretamente ao conselho de administração ou, na falta deste, à diretoria da SISS.

Art. 8º Deve ser observada a separação entre as atividades e serviços prestados pela SISS das demais atividades de quaisquer empresas de seu grupo econômico, sendo vedado, inclusive, o compartilhamento de dados ou informações obtidas pela SISS, na prestação de seus serviços, com estas ou quaisquer outras empresas, à exceção das hipóteses de compartilhamento previstas na legislação em vigor.

CAPÍTULO III

DO SIGILO DE DADOS E INFORMAÇÕES

Art. 9º É vedado às SISS na prestação de serviços:

I - armazenar o conjunto de dados relacionados com as credenciais dos clientes por tempo superior ao necessário para autenticar o serviço perante a sociedade supervisionada;

II - exigir do cliente quaisquer outros dados além dos necessários para prestar seus serviços;

III - utilizar, armazenar ou acessar os dados para outra finalidade que não seja a prestação de seus serviços, conforme expressamente solicitado pelo cliente;

IV - alterar o montante ou qualquer elemento do serviço de iniciação de movimentação autorizado pelo cliente; e

V - prestar serviço de iniciação de movimentação envolvendo sociedade não integrante do Open Insurance.

Art. 10. Ficam vedadas às SISS a comercialização ou a disponibilização gratuita dos dados e informações utilizados na prestação de seus serviços, sejam eles na forma individualizada ou agregada, salvo com o consentimento expresso do respectivo titular dos dados.

Parágrafo único. A vedação de que trata o caput não se aplica ao envio de dados para fins da prestação de informações à Susep.

Art. 11. A política de segurança e sigilo de dados e informações das SISS deve, no mínimo:

I - estabelecer mecanismos adequados para assegurar a proteção e o sigilo dos dados e informações disponibilizados pelo cliente para a prestação de serviços, de forma a impedir qualquer tipo de acesso indevido;

II - estar em conformidade com a legislação e a regulamentação vigentes que tratam da proteção e do sigilo de dados e informações, inclusive de dados pessoais;

III - assegurar condições adequadas de segurança da informação, inclusive no que se refere à segurança cibernética; e

IV - prever mecanismos para assegurar que a propriedade dos dados e informações em relação às solicitações ou movimentações sejam preservadas.

§ 1º A política de segurança e sigilo de dados e informações deve ser aprovada e revisada, no mínimo a cada dois anos, ou sempre que a SISS julgar necessário, pela diretoria ou pelo conselho de administração, se houver.

§ 2º A política de sigilos de dados e informações é complementar à política de gestão de risco.

CAPÍTULO IV

DOS REQUISITOS DE SEGURANÇA CIBERNÉTICA

Art. 12. As SISS devem adotar, complementarmente ao disposto nos Capítulos II e III deste Anexo, os requisitos de segurança cibernética definidos em regulamentação específica da Susep.

§ 1º A política de segurança cibernética é complementar à política de gestão de risco.

§ 2º As SISS, na hipótese de divergência entre o disposto neste Anexo e na regulação específica da Susep que trata sobre segurança cibernética, devem adotar os requisitos definidos neste Anexo.

§ 3º As SISS devem comunicar à estrutura de governança responsável pelo Open Insurance e à Susep, no prazo máximo de 5 (cinco) dias úteis contados a partir do conhecimento do evento, a ocorrência de incidentes relevantes, detalhando a extensão do dano causado e, se for o caso, as ações em curso para regularização completa da situação e os respectivos responsáveis e prazos.

CAPÍTULO V

DAS DISPOSIÇÕES FINAIS

Art. 13. As SISS devem manter a documentação acerca de sua política de gestão de risco, política de conformidade, política de sigilo de dados e informações e política de segurança cibernética à disposição da Susep.

Art. 14. A Susep poderá, a qualquer tempo, realizar os testes e as verificações técnicas que entender necessários para confirmar o fiel cumprimento das regras estabelecidas neste Anexo.

Art. 15. As SISS devem indicar diretor responsável pelo cumprimento das regras estabelecidas neste Anexo.

Parágrafo único. Para fins da responsabilidade de que trata o caput, admite-se que o diretor indicado desempenhe outras funções na sociedade, desde que tais funções não impliquem assunção de riscos relevantes relativos ao negócio.

ANEXO III - REQUISITOS RELATIVOS ÀS PRÁTICAS DE CONDUTA QUANTO AO RELACIONAMENTO COM O CLIENTE

Art. 1º Define-se o tratamento adequado do cliente como as condições estabelecidas para o tratamento do cliente, que devem observar, no mínimo, os seguintes aspectos:

I - prestação de serviços de forma a atender ao interesse, à necessidade e ao perfil do cliente;

II - o provimento proativo e efetivo de informação clara e adequada;

III - a adoção de medidas que tenham por objetivo minimizar o risco de serviços que produzam resultados não apropriados ou não adequados ao cliente;

IV - o aconselhamento e orientações adequados ao cliente, mitigando assimetria de informações que possam dificultar sua decisão por serviços que atendam ao seu interesse, necessidade e perfil;

V - o tratamento de demandas e reclamações de forma adequada e tempestiva; e

VI - a proteção da privacidade de dados pessoais, na forma da legislação e regulamentação vigentes.

Art. 2º As SISS devem conduzir suas atividades observando princípios de ética, responsabilidade, transparência, diligência, lealdade, probidade, honestidade, boa-fé objetiva, livre iniciativa e livre concorrência, promovendo o tratamento adequado do cliente e observando os princípios de segurança, privacidade e de qualidade dos dados.

§ 1º A observância do disposto no caput requer, no mínimo, as seguintes providências:

I - promover cultura organizacional que incentive o tratamento adequado e o relacionamento cooperativo e equilibrado com os clientes;

II - tratar os clientes de forma ética e adequada;

III - levar em consideração os interesses de diferentes tipos de clientes ao longo do ciclo de vida dos produtos;

IV - efetuar a oferta, a promoção e a divulgação dos serviços de forma clara, adequada e adotando práticas que visem minimizar a possibilidade de má compreensão por parte do cliente;

V - prover informações de forma clara, tempestiva e apropriada, visando à redução do risco de assimetria de informação;

VI - garantir que toda a operação relacionada aos serviços prestados seja tempestiva, transparente e apropriada;

VII - dar tratamento tempestivo e adequado às eventuais reclamações e solicitações efetuadas pelos clientes; e

VIII - observar as exigências da legislação que trata da proteção de dados pessoais, inclusive no tocante às regras de boas práticas e de governança.

§ 2º A SISS permanece responsável pelo cumprimento do disposto neste artigo mesmo que haja terceirização de alguma de suas atividades.

§ 3º A política de remuneração dos executivos, conselheiros e demais funcionários da SISS, assim como a de eventual provedor de serviços terceirizados, não deve conflitar com o tratamento adequado do cliente.

Art. 3º No fornecimento de serviços, a SISS deve:

I - apresentar a seus clientes o conceito de serviço de iniciação de movimentação;

II - dar transparência a respeito da metodologia utilizada para eventual seleção das ofertas de produtos ou serviços das sociedades supervisionadas efetivamente apresentadas ao cliente;

III - atuar de forma transparente deixando claro quais são as sociedades supervisionadas provedoras dos produtos objeto do serviço de iniciação de movimentação;

IV - fornecer serviços adequados às necessidades, interesses e objetivos dos clientes;

V - informar ao cliente os casos em que houver prestação de serviço em relação a produto de sociedade supervisionada integrante do mesmo grupo econômico da qual faz parte a SISS; e

VI - informar a forma e o montante de eventual remuneração pelos serviços prestados.

Parágrafo único. As informações prestadas pela SISS devem:

I - ser divulgadas e mantidas atualizadas em local visível e formato legível no sítio eletrônico na internet, em seu aplicativo, caso tenha, e em outras plataformas de comunicação em rede, caso faça uso delas; e

II - possuir linguagem clara e objetiva.

Art. 4º A prestação de serviços pela SISS junto a uma sociedade supervisionada não deve prejudicar o tratamento adequado do cliente.

§ 1º O compartilhamento de serviço com uma sociedade supervisionada não pode constituir conflito de interesse em relação à representação do cliente pela SISS.

§ 2º A forma e o montante de eventual remuneração da SISS deverão ser estabelecidos de modo a mitigar a possibilidade de conflito de interesses e a não descaracterizar a condição da SISS de representante do cliente.

§ 3º A SISS deve informar ao cliente, no mínimo:

I - qualquer participação, direta ou indireta, igual ou superior a 10% nos direitos de voto ou no capital que detenha em sociedade supervisionada com a qual esteja compartilhando serviço; e

II - qualquer participação, direta ou indireta, igual ou superior a 10% nos seus direitos de voto ou no seu capital detida por sociedades supervisionada ou pelo controlador da sociedade supervisionada com a qual esteja compartilhando serviço.

§ 4º É vedada existência de relação contratual ou de parceria para garantir exclusividade de compartilhamento de serviços entre a SISS e uma ou mais sociedades supervisionadas, tendo em vista os objetivos do Sistema de Seguros Aberto (Open Insurance).

Art. 5º Quando um serviço de iniciação de movimentação for prestado de forma acessória a outro produto ou serviço de qualquer espécie, a SISS deve garantir que o cliente possa adquiri-los independentemente da prestação do serviço de iniciação de movimentação acessório.

Art. 6º A Susep poderá pesquisar, simular e testar os serviços de iniciação de movimentação com vistas a verificar a adequação das práticas de conduta da SISS à presente regulamentação.

Art. 7º Os serviços de iniciação de movimentação prestados pela SISS devem ser realizados de forma imediata, a partir da obtenção do consentimento do cliente, além de observar as demais disposições previstas em regulamentação específica.

Parágrafo único. O serviço de iniciação de movimentação relacionado a aviso de sinistro poderá ser prestado durante a vigência do consentimento obtido junto ao cliente, observado seu prazo máximo de validade e o tratamento adequado do cliente, visando seu melhor interesse.

Este conteúdo não substitui o publicado na versão certificada.

Borda do rodapé
Logo da Imprensa