RESOLUÇÃO BCB Nº 236, DE 27 DE JULHO DE 2022
Documento normativo revogado pela Resolução BCB nº 386, de 5/6/2024.
Divulga
a Política de Conformidade (Compliance)
do Banco Central do Brasil.
O Comitê de Governança, Riscos e
Controles (GRC) do Banco Central do Brasil, no exercício de suas atribuições,
tendo em vista o disposto na Lei nº
13.709, de 14 de agosto de 2018, no Decreto nº 9.203, de 22
de novembro de 2017, na Instrução Normativa Conjunta nº 1, de 10 de maio de
2016, do então
Ministério do Planejamento, Orçamento e Gestão e da Controladoria-Geral da União, na
Portaria nº 1.089, de 25 de abril de 2018, do Ministro de Estado da
Transparência e Controladoria-Geral da União, e no Voto GRC 56/2022, de 27 de
julho de 2022,
R E S O L V E
:
Art. 1º Fica divulgada a Política de Conformidade (Compliance) do Banco Central do Brasil,
na forma anexa.
Art. 2º Fica revogada a Portaria nº 100.288, de 19 de
novembro de 2018.
Art. 3º Esta
Resolução entra em vigor na data de sua publicação.
Roberto de Oliveira Campos Neto
Presidente do Banco Central do
Brasil
POLÍTICA DE CONFORMIDADE (COMPLIANCE) DO BANCO CENTRAL DO BRASIL,
ANEXA À RESOLUÇÃO BCB Nº 236, DE 27 DE JULHO DE 2022
CAPÍTULO I
DISPOSIÇÕES PRELIMINARES
Seção
I
Das
Definições
Art. 1º Gestão de conformidade é o processo que visa a
garantir que as atividades, executadas por servidores e demais colaboradores, sejam
conduzidas de acordo com as normas, como leis, decretos e votos, bem como com
as fontes não normativas, a exemplo de padrões e procedimentos, aplicáveis à
instituição.
Parágrafo
único. A gestão de conformidade engloba
a integridade, que é a conformidade específica para a prevenção, detecção,
punição e remediação de fraudes e atos de corrupção, além da adesão a valores,
princípios e normas de conduta, éticas e disciplinares, que visem ao sustento e
à priorização do interesse público.
Art. 2º Para efeitos deste Regulamento, são adotadas
as seguintes definições:
I - ações de conformidade: ações definidas para tratamento de
riscos de conformidade e para prevenção, identificação e correção de
procedimentos que facilitem a ocorrência de falhas de conformidade;
II - colaborador: pessoa física que tenha vínculo funcional com o
Banco Central do Brasil ou preste serviços mediante contrato ou outro tipo de
acordo congênere;
III - encarregado de dados pessoais: pessoa indicada pelo Banco Central
do Brasil para atuar como canal de comunicação entre a Instituição, os
titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD), neste
documento será referido como “Encarregado”;
IV - política de conformidade: regras organizacionais que definem
as finalidades, princípios e a estrutura de governança da gestão da
conformidade no âmbito do Banco Central do Brasil;
V - riscos de conformidade: eventos potenciais relacionados ao não
cumprimento de normas ou fontes não normativas aplicáveis à instituição,
englobando os riscos para a integridade, que representam ações ou omissões que
possam favorecer a ocorrência de fraudes ou atos de corrupção e a não adesão a
valores, princípios e normas de conduta, éticas e disciplinares, que visem ao
sustento e à priorização do interesse público;
VI - instâncias de integridade: estruturas e arranjos
institucionais que possuem competências referentes à promoção da integridade;
VII - integridade pública: alinhamento e aderência a valores,
princípios e normas para defender e priorizar o interesse público;
VIII - Programa de Integridade: medida administrativa que
determina a formulação e a adoção de Política de Integridade, de Planos de Integridade
e de ações relacionadas à sua continuidade;
IX - Plano de
Integridade: roteiro que operacionaliza o Programa de Integridade do Banco Central
do Brasil mediante a apresentação e consolidação de ações e medidas com vistas
à prevenção e à mitigação de vulnerabilidades;
X - Privacidade
na concepção (Privacy by Design): diretiva para que os meios de
tratamento de dados pessoais, o próprio tratamento, bem como os produtos,
serviços, processos e atividades incorporem, desde a concepção, medidas
técnicas e organizacionais adequadas para atender aos princípios da Lei Geral
de Proteção de Dados Pessoais (LGPD) de forma eficaz, levando em conta o estado
da arte, o custo de implementação e a natureza, o escopo, o contexto e os propósitos
do tratamento, bem como os riscos de probabilidade e gravidade variados para
direitos e liberdades das pessoas naturais representadas pelo tratamento;
XI - Privacidade
por padrão (Privacy by Default): diretiva para que, independentemente de
menção ou determinação expressa, sejam adotadas medidas técnicas e
organizacionais adequadas para garantir que todos os produtos, serviços,
processos e atividades, existentes ou futuras, por padrão, somente viabilizem o
tratamento de dados pessoais necessários para cada finalidade específica permitida
pela LGPD e segundo os princípios dessa Lei, não permitindo acesso
indiscriminado sem controle de um responsável e a indivíduos indefinidos.
Seção
II
Dos
Objetivos
Art. 3º A Política de Conformidade do Banco Central do
Brasil (PCO-BCB) tem os seguintes objetivos:
I - assegurar
que as atividades do Banco Central do Brasil sejam conduzidas em conformidade
com as normas e fontes não normativas aplicáveis à instituição;
II -
assegurar elevados padrões de conduta dos servidores e demais colaboradores;
III -
garantir a impessoalidade nos processos de tomada de decisão;
IV -
estabelecer abordagem estratégica para mitigar os riscos de conformidade;
V -
fortalecer a governança corporativa do Banco Central do Brasil; e
VI -
estimular uma cultura de conformidade.
Seção
III
Dos
Princípios
Art. 4º São princípios da PCO-BCB:
I - ética;
II -
probidade;
III - interesse
público;
IV -
conformidade;
V -
integridade;
VI -
impessoalidade; e
VII -
profissionalismo.
Seção
IV
Das
Diretrizes
Art. 5º São diretrizes da PCO-BCB:
I - estabelecimento
de responsabilidades institucionais, garantido o comprometimento e o apoio da
alta direção, para planejar, coordenar, liderar e implantar ações de
conformidade;
II - estímulo
à adoção e ao aprimoramento de controles que mitiguem riscos de conformidade;
III - integração
e padronização das ações de conformidade, em respeito às especificidades dos
processos da cadeia de valor;
IV - promoção
da seleção, do desenvolvimento e da realização de avaliações contínuas e/ou
independentes da gestão de conformidade;
V - promoção
do monitoramento contínuo das ações de conformidade;
VI - autonomia
da gestão de conformidade;
VII - geração,
utilização e transmissão de informações relevantes, com qualidade e de forma
integrada, para assegurar a efetividade da gestão de conformidade;
VIII - preservação
da integridade pública e da boa reputação, ética e profissional;
IX - promoção
contínua da gestão de conformidade, adequada estrutura organizacional e
delegação de autoridade, eliminação de eventual conflito de interesse, estímulo
ao desenvolvimento de pessoas e avaliação dos resultados da gestão de
conformidade;
X - fortalecimento
das instâncias de integridade e a sua integração;
XI - estímulo
ao desenvolvimento de medidas que fomentem elevados padrões de conduta dos
servidores e demais colaboradores;
XII - apoio à
atuação das lideranças na promoção da integridade;
XIII - manutenção
de canais abertos para comunicação, esclarecimentos e denúncias referentes à
integridade;
XIV - garantia
de respostas adequadas às violações éticas e disciplinares; e
XV -
Privacidade na concepção e Privacidade por padrão.
CAPÍTULO II
COMPETÊNCIAS E ATRIBUIÇÕES
Art. 6º Cabe à Diretoria Colegiada a responsabilidade pela gestão de
conformidade, sem prejuízo dos deveres e obrigações de servidores e
colaboradores, no âmbito de suas atribuições.
Art. 7º Compete ao Comitê de Governança, Riscos e
Controles (GRC):
I - aprovar e
revisar a PCO-BCB;
II
- avaliar periodicamente a execução da PCO-BCB;
III - acompanhar a disseminação da cultura de conformidade;
IV - aprovar
e revisar o Programa de Integridade; e
V - garantir
que medidas corretivas sejam tomadas quando falhas de conformidade forem
identificadas.
Art. 8º Compete ao Diretor de Assuntos Internacionais
e de Gestão de Riscos Corporativos (Direx):
I - propor ao
GRC revisões na PCO-BCB; e
II - propor
ao GRC as estratégias do Banco Central do Brasil para a condução dos processos
relacionados à gestão de conformidade e, no caso dos temas de integridade, em
consonância com as deliberações do Comitê de Integridade do Banco Central do
Brasil (CIBCB).
Art. 9º Compete ao CIBCB, no que se refere à
integridade:
I - zelar
pela observância da PCO-BCB;
II - propor
ao GRC revisões na PCO-BCB;
III -
coordenar a estruturação, a execução e o monitoramento do Programa de
Integridade;
IV - coordenar
a elaboração e revisar o Plano de Integridade; e
V - promover
estratégias de ampla divulgação do Programa de Integridade.
Art. 10. Compete ao Departamento de Riscos Corporativos
e Referências Operacionais (Deris), ressalvadas as competências das demais unidades
e componentes organizacionais:
I - propor ao
Direx revisões na PCO-BCB;
II - elaborar
os padrões de gestão de conformidade a serem utilizados pelas unidades e demais
componentes organizacionais, bem como definir periodicidade para o envio de informações
ao Deris;
III -
assegurar a integração das atividades relativas à função de conformidade com a
de controles internos da gestão, riscos e auditoria interna, por meio de
comunicações estruturadas e tempestivas, reuniões técnicas para harmonização de
metodologias e integração de sistemas, conforme o caso;
IV - integrar
as informações de conformidade e assegurar o envio tempestivo dessas aos
membros do GRC, Chefes de Unidades e demais componentes organizacionais,
conforme o caso;
V - apoiar as
discussões técnicas que envolvam a gestão de conformidade;
VI - promover
a adoção e a manutenção de boas práticas de conformidade;
VII - promover
a disseminação da cultura de conformidade, inclusive,
auxiliando na informação e na capacitação de todos os funcionários e dos
prestadores de serviços terceirizados relevantes, em assuntos relativos à
conformidade;
VIII - manter
informações atualizadas sobre conformidade para o público interno e externo;
IX -
coordenar avaliações e testes de aderência das unidades e demais componentes
organizacionais às obrigações aplicáveis aos seus processos de trabalho; e
X - acompanhar
as soluções dos pontos levantados no relatório de descumprimento de
dispositivos legais e regulamentares elaborado pela Auditoria Interna do Banco
Central do Brasil (Audit), por outros órgãos de controle e por auditor
independente.
Art. 11. Compete à Procuradoria-Geral do Banco Central (PGBC)
prestar consultoria e assessoramento jurídicos sobre os temas tratados nessa
Política de Conformidade, sempre que demandada pelas áreas competentes.
Art. 12. Compete às unidades e demais componentes
organizacionais do Banco Central do Brasil:
I - garantir
a conformidade na execução de seus processos de trabalho, segundo os objetivos
da PCO-BCB;
II - reportar
ao Deris as informações de conformidade, de acordo com a periodicidade e padrões
de envio de informações definidos institucionalmente;
III - planejar,
executar e monitorar ações de conformidade;
IV - manter
em adequado funcionamento as atividades de sua responsabilidade que contribuam
para a garantia da conformidade;
V - comunicar
eventuais falhas de conformidade tempestivamente ao Deris;
VI - promover
a disseminação da cultura de conformidade no âmbito da unidade ou componente
organizacional; e
VII - designar
Agente de Conformidade e Controles Internos (ACCI) e alterno, servidores detentores
de função comissionada, responsáveis por centralizar a comunicação com o Deris.
§ 1º Cabe ao Chefe de Unidade ou do componente
organizacional atestar as informações de conformidade.
§ 2º As unidades e demais componentes
organizacionais devem disponibilizar acesso do Deris às informações necessárias
ao fortalecimento da prevenção ou à detecção de falhas de conformidade.
§ 3º O exercício das competências do caput
também deve ter por objeto as atividades de empresas contratadas pelo Banco Central
do Brasil e relacionadas aos correspondentes contratos.
Art. 13. Compete às unidades e demais componentes
organizacionais que atuam como instâncias de integridade implantar as ações e medidas
previstas no Plano de Integridade em sua área de competência, de acordo com o
Regimento Interno do Banco Central do Brasil.
CAPÍTULO III
PROGRAMA
DE INTEGRIDADE
Art. 14. O Programa de Integridade será
operacionalizado a partir de um Plano de Integridade.
Art. 15. As atividades desempenhadas no âmbito do
Programa de Integridade poderão contar com a participação de outras áreas do Banco
Central do Brasil, a convite do CIBCB.
CAPÍTULO IV
PLANO DE INTEGRIDADE
Art. 16. O Plano de Integridade poderá contemplar,
dentre outras, ações referentes aos seguintes temas:
I - padrões
de ética e regras de conduta para servidores e demais colaboradores, inclusive
concernentes a conflito de interesses e nepotismo;
II -
comunicação e treinamento;
III -
tratamento de denúncias;
IV - práticas
de integridade no âmbito de processos de licitação e contratação;
V - medidas
de responsabilização;
VI -
transparência ativa e acesso à informação; e
VII -
controles internos e cumprimento de recomendações de auditoria.
Art. 17. O Plano de Integridade será elaborado a partir
do mapeamento de riscos para a integridade e do exame das ações de integridade
existentes.
Parágrafo único.
O Plano contemplará ações e medidas com
vistas à prevenção e à mitigação de vulnerabilidades, com indicação dos
respectivos prazos de implantação e a definição dos responsáveis.
Art. 18. As ações e medidas propostas para constar no
Plano de Integridade deverão ser submetidas à apreciação e à aprovação do CIBCB.
Art. 19. O monitoramento do Plano de Integridade será
realizado trimestralmente pelo CIBCB.
Parágrafo único.
O CIBCB poderá solicitar aos responsáveis
pelas medidas do Plano de Integridade o encaminhamento de informações sobre o
andamento de suas ações.
Art. 20. A implantação das medidas do Plano de
Integridade será reportada, anualmente, pelo Secretário do CIBCB ao GRC.
CAPÍTULO V
PROTEÇÃO DE DADOS PESSOAIS
Art. 21. Compete ao GRC avaliar e revisar a estrutura
de governança da proteção de dados pessoais.
Art. 22. Compete ao Encarregado:
I - aceitar
reclamações e comunicações dos titulares, prestar esclarecimentos e adotar
providências;
II - receber
comunicações da ANPD e adotar providências;
III -
orientar os colaboradores, servidores ou contratados, a respeito das práticas a
serem tomadas em relação à proteção de dados pessoais;
IV -
coordenar a comunicação à ANPD e ao titular de ocorrência de incidente de
segurança que possa acarretar risco ou dano relevante aos titulares;
V - coordenar
o tratamento de eventuais violações à proteção de dados pessoais;
VI - propor
ao GRC melhorias na estrutura de governança da proteção de dados pessoais; e
VII - validar
comunicados, recomendações e relatórios.
Parágrafo
único. As comunicações, as violações e
seus tratamentos, mencionadas neste artigo, deverão ser informadas ao Deris.
Art. 23. Compete ao Deris:
I - propor a
elaboração e a revisão de políticas e procedimentos de proteção de dados
pessoais, quando necessário, aos responsáveis técnicos;
II - propor
ações para o aprimoramento, se for o caso, do inventário de bases de dados
pessoais;
III -
coordenar o gerenciamento dos riscos organizacionais, dos controles internos da
gestão e de não conformidades referentes à proteção de dados pessoais;
IV -
coordenar a elaboração e a revisão de relatórios internos e externos;
V - coordenar
a elaboração de recomendações de proteção de dados pessoais à Diretoria
Colegiada e às áreas de negócios;
VI -
coordenar a elaboração e a revisão das páginas de proteção de dados pessoais na
Internet e na Intranet do Banco Central do Brasil; e
VII -
promover a disseminação da cultura de conformidade em proteção de dados
pessoais.
Art. 24. Compete ao Departamento de Tecnologia da
Informação (Deinf):
I - gerir o
inventário de bases de dados pessoais;
II - agir em
seu âmbito de atuação, em conjunto com as demais unidades e componentes
organizacionais, para o tratamento de eventuais violações à proteção de dados
pessoais; e
III - revisar
a implementação das diretivas de Privacidade na concepção (Privacy by Design)
e de Privacidade por padrão (Privacy by Default).
Art. 25. Compete ao Departamento
de Infraestrutura e Gestão Patrimonial (Demap) coordenar o gerenciamento de
cláusulas contratuais que vinculam terceiros.
Art. 26. Compete ao Departamento de Atendimento
Institucional (Deati) coordenar o gerenciamento de demandas de titulares de
dados pessoais.
Parágrafo
único. Sempre que houver necessidade do
exercício das competências do Encarregado previstas no art. 22, as demandas
formuladas com base na LGPD serão imediatamente encaminhadas a essa autoridade,
salvo quando já houver sua orientação para o respectivo tratamento.
Art. 27. Compete a todas as unidades e demais
componentes organizacionais:
I - manter
atualizadas as informações que compõem o inventário de base de dados pessoais;
II -
identificar, avaliar e promover o tratamento de riscos organizacionais e de não
conformidades referentes à proteção de dados pessoais;
III -
identificar, avaliar e promover a melhoria dos controles internos referentes à
proteção de dados pessoais;
IV - adotar
providências para o tratamento de eventuais violações à proteção de dados
pessoais que sejam de sua responsabilidade;
V - adotar
medidas, sempre que necessário, nas comunicações à ANPD e ao titular de
ocorrência de incidente de segurança que possa
acarretar risco ou dano relevante aos titulares, bem como nas comunicações
recebidas da ANPD; e
VI -
implementar as diretivas de Privacidade na concepção (Privacy by
Design) e de Privacidade por padrão (Privacy by Default).
CAPÍTULO VI
DISPOSIÇÕES GERAIS
Art. 28. As unidades que recepcionam e tratam denúncias
de integridade por meio dos canais institucionais devem restringir, quando for
o caso, o acesso a informações de identificação do denunciante de boa-fé, como
medidas para mitigar riscos de assédio ou retaliação.
Art. 29. A revisão da PCO-BCB dar-se-á a cada três anos
ou em período inferior, sempre que necessário.
