O Comitê de Governança, Riscos e Controles (GRC) do Banco Central do Brasil, no exercício de suas atribuições, tendo em vista o disposto na Lei nº 13.709, de 14 de agosto de 2018, no Decreto nº 9.203, de 22 de novembro de 2017, na Instrução Normativa Conjunta nº 1, de 10 de maio de 2016, do então Ministério do Planejamento, Orçamento e Gestão e da Controladoria-Geral da União, na Portaria nº 1.089, de 25 de abril de 2018, do Ministro de Estado da Transparência e Controladoria-Geral da União, e no Voto GRC 56/2022, de 27 de julho de 2022, resolve:

Art. 1º Fica divulgada a Política de Conformidade (Compliance) do Banco Central do Brasil, na forma anexa.

Art. 2º Fica revogada a Portaria nº 100.288, de 19 de novembro de 2018.

Art. 3º Esta Resolução entra em vigor na data de sua publicação.

ROBERTO DE OLIVEIRA CAMPOS NETO
Presidente do Banco Central do Brasil

(DOU de 29.07.2022 – págs. 113 e 114 – Seção 1)

ANEXO
POLÍTICA DE CONFORMIDADE (COMPLIANCE) DO BANCO CENTRAL DO BRASIL

CAPÍTULO I
DISPOSIÇÕES PRELIMINARES

Seção I
Das Definições

Art. 1º Gestão de conformidade é o processo que visa a garantir que as atividades, executadas por servidores e demais colaboradores, sejam conduzidas de acordo com as normas, como leis, decretos e votos, bem como com as fontes não normativas, a exemplo de padrões e procedimentos, aplicáveis à instituição.

Parágrafo único. A gestão de conformidade engloba a integridade, que é a conformidade específica para a prevenção, detecção, punição e remediação de fraudes e atos de corrupção, além da adesão a valores, princípios e normas de conduta, éticas e disciplinares, que visem ao sustento e à priorização do interesse público.

Art. 2º Para efeitos deste Regulamento, são adotadas as seguintes definições:

I - ações de conformidade: ações definidas para tratamento de riscos de conformidade e para prevenção, identificação e correção de procedimentos que facilitem a ocorrência de falhas de conformidade;

II - colaborador: pessoa física que tenha vínculo funcional com o Banco Central do Brasil ou preste serviços mediante contrato ou outro tipo de acordo congênere;

III - encarregado de dados pessoais: pessoa indicada pelo Banco Central do Brasil para atuar como canal de comunicação entre a Instituição, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD), neste documento será referido como "Encarregado";

IV - política de conformidade: regras organizacionais que definem as finalidades, princípios e a estrutura de governança da gestão da conformidade no âmbito do Banco Central do Brasil;

V - riscos de conformidade: eventos potenciais relacionados ao não cumprimento de normas ou fontes não normativas aplicáveis à instituição, englobando os riscos para a integridade, que representam ações ou omissões que possam favorecer a ocorrência de fraudes ou atos de corrupção e a não adesão a valores, princípios e normas de conduta, éticas e disciplinares, que visem ao sustento e à priorização do interesse público;

VI - instâncias de integridade: estruturas e arranjos institucionais que possuem competências referentes à promoção da integridade;

VII - integridade pública: alinhamento e aderência a valores, princípios e normas para defender e priorizar o interesse público;

VIII - Programa de Integridade: medida administrativa que determina a formulação e a adoção de Política de Integridade, de Planos de Integridade e de ações relacionadas à sua continuidade;

IX - Plano de Integridade: roteiro que operacionaliza o Programa de Integridade do Banco Central do Brasil mediante a apresentação e consolidação de ações e medidas com vistas à prevenção e à mitigação de vulnerabilidades;

X - Privacidade na concepção (Privacy by Design): diretiva para que os meios de tratamento de dados pessoais, o próprio tratamento, bem como os produtos, serviços, processos e atividades incorporem, desde a concepção, medidas técnicas e organizacionais adequadas para atender aos princípios da Lei Geral de Proteção de Dados Pessoais (LGPD) de forma eficaz, levando em conta o estado da arte, o custo de implementação e a natureza, o escopo, o contexto e os propósitos do tratamento, bem como os riscos de probabilidade e gravidade variados para direitos e liberdades das pessoas naturais representadas pelo tratamento;

XI - Privacidade por padrão (Privacy by Default): diretiva para que, independentemente de menção ou determinação expressa, sejam adotadas medidas técnicas e organizacionais adequadas para garantir que todos os produtos, serviços, processos e atividades, existentes ou futuras, por padrão, somente viabilizem o tratamento de dados pessoais necessários para cada finalidade específica permitida pela LGPD e segundo os princípios dessa Lei, não permitindo acesso indiscriminado sem controle de um responsável e a indivíduos indefinidos.

Seção II
Dos Objetivos

Art. 3º A Política de Conformidade do Banco Central do Brasil (PCO-BCB) tem os seguintes objetivos:

I - assegurar que as atividades do Banco Central do Brasil sejam conduzidas em conformidade com as normas e fontes não normativas aplicáveis à instituição;

II - assegurar elevados padrões de conduta dos servidores e demais colaboradores;

III - garantir a impessoalidade nos processos de tomada de decisão;

IV - estabelecer abordagem estratégica para mitigar os riscos de conformidade;

V - fortalecer a governança corporativa do Banco Central do Brasil; e

VI - estimular uma cultura de conformidade.

Seção III
Dos Princípios

Art. 4º São princípios da PCO-BCB:

I - ética;

II - probidade;

III - interesse público;

IV - conformidade;

V - integridade;

VI - impessoalidade; e

VII - profissionalismo.

Seção IV
Das Diretrizes

Art. 5º São diretrizes da PCO-BCB:

I - estabelecimento de responsabilidades institucionais, garantido o comprometimento e o apoio da alta direção, para planejar, coordenar, liderar e implantar ações de conformidade;

II - estímulo à adoção e ao aprimoramento de controles que mitiguem riscos de conformidade;

III - integração e padronização das ações de conformidade, em respeito às especificidades dos processos da cadeia de valor;

IV - promoção da seleção, do desenvolvimento e da realização de avaliações contínuas e/ou independentes da gestão de conformidade;

V - promoção do monitoramento contínuo das ações de conformidade;

VI - autonomia da gestão de conformidade;

VII - geração, utilização e transmissão de informações relevantes, com qualidade e de forma integrada, para assegurar a efetividade da gestão de conformidade;

VIII - preservação da integridade pública e da boa reputação, ética e profissional;

IX - promoção contínua da gestão de conformidade, adequada estrutura organizacional e delegação de autoridade, eliminação de eventual conflito de interesse, estímulo ao desenvolvimento de pessoas e avaliação dos resultados da gestão de conformidade;

X - fortalecimento das instâncias de integridade e a sua integração;

XI - estímulo ao desenvolvimento de medidas que fomentem elevados padrões de conduta dos servidores e demais colaboradores;

XII - apoio à atuação das lideranças na promoção da integridade;

XIII - manutenção de canais abertos para comunicação, esclarecimentos e denúncias referentes à integridade;

XIV - garantia de respostas adequadas às violações éticas e disciplinares; e

XV - Privacidade na concepção e Privacidade por padrão.

CAPÍTULO II
COMPETÊNCIAS E ATRIBUIÇÕES

Art. 6º Cabe à Diretoria Colegiada a responsabilidade pela gestão de conformidade, sem prejuízo dos deveres e obrigações de servidores e colaboradores, no âmbito de suas atribuições.

Art. 7º Compete ao Comitê de Governança, Riscos e Controles (GRC):

I - aprovar e revisar a PCO-BCB;

II - avaliar periodicamente a execução da PCO-BCB;

III - acompanhar a disseminação da cultura de conformidade;

IV - aprovar e revisar o Programa de Integridade; e

V - garantir que medidas corretivas sejam tomadas quando falhas de conformidade forem identificadas.

Art. 8º Compete ao Diretor de Assuntos Internacionais e de Gestão de Riscos Corporativos (Direx):

I - propor ao GRC revisões na PCO-BCB; e

II - propor ao GRC as estratégias do Banco Central do Brasil para a condução dos processos relacionados à gestão de conformidade e, no caso dos temas de integridade, em consonância com as deliberações do Comitê de Integridade do Banco Central do Brasil (CIBCB).

Art. 9º Compete ao CIBCB, no que se refere à integridade:

I - zelar pela observância da PCO-BCB;

II - propor ao GRC revisões na PCO-BCB;

III - coordenar a estruturação, a execução e o monitoramento do Programa de Integridade;

IV - coordenar a elaboração e revisar o Plano de Integridade; e

V - promover estratégias de ampla divulgação do Programa de Integridade.

Art. 10. Compete ao Departamento de Riscos Corporativos e Referências Operacionais (Deris), ressalvadas as competências das demais unidades e componentes organizacionais:

I - propor ao Direx revisões na PCO-BCB;

II - elaborar os padrões de gestão de conformidade a serem utilizados pelas unidades e demais componentes organizacionais, bem como definir periodicidade para o envio de informações ao Deris;

III - assegurar a integração das atividades relativas à função de conformidade com a de controles internos da gestão, riscos e auditoria interna, por meio de comunicações estruturadas e tempestivas, reuniões técnicas para harmonização de metodologias e integração de sistemas, conforme o caso;

IV - integrar as informações de conformidade e assegurar o envio tempestivo dessas aos membros do GRC, Chefes de Unidades e demais componentes organizacionais, conforme o caso;

V - apoiar as discussões técnicas que envolvam a gestão de conformidade;

VI - promover a adoção e a manutenção de boas práticas de conformidade;

VII - promover a disseminação da cultura de conformidade, inclusive, auxiliando na informação e na capacitação de todos os funcionários e dos prestadores de serviços terceirizados relevantes, em assuntos relativos à conformidade;

VIII - manter informações atualizadas sobre conformidade para o público interno e externo;

IX - coordenar avaliações e testes de aderência das unidades e demais componentes organizacionais às obrigações aplicáveis aos seus processos de trabalho; e

X - acompanhar as soluções dos pontos levantados no relatório de descumprimento de dispositivos legais e regulamentares elaborado pela Auditoria Interna do Banco Central do Brasil (Audit), por outros órgãos de controle e por auditor independente.

Art. 11. Compete à Procuradoria-Geral do Banco Central (PGBC) prestar consultoria e assessoramento jurídicos sobre os temas tratados nessa Política de Conformidade, sempre que demandada pelas áreas competentes.

Art. 12. Compete às unidades e demais componentes organizacionais do Banco Central do Brasil:

I - garantir a conformidade na execução de seus processos de trabalho, segundo os objetivos da PCO-BCB;

II - reportar ao Deris as informações de conformidade, de acordo com a periodicidade e padrões de envio de informações definidos institucionalmente;

III - planejar, executar e monitorar ações de conformidade;

IV - manter em adequado funcionamento as atividades de sua responsabilidade que contribuam para a garantia da conformidade;

V - comunicar eventuais falhas de conformidade tempestivamente ao Deris;

VI - promover a disseminação da cultura de conformidade no âmbito da unidade ou componente organizacional; e

VII - designar Agente de Conformidade e Controles Internos (ACCI) e alterno, servidores detentores de função comissionada, responsáveis por centralizar a comunicação com o Deris.

§ 1º Cabe ao Chefe de Unidade ou do componente organizacional atestar as informações de conformidade.

§ 2º As unidades e demais componentes organizacionais devem disponibilizar acesso do Deris às informações necessárias ao fortalecimento da prevenção ou à detecção de falhas de conformidade.

§3º O exercício das competências do caput também deve ter por objeto as atividades de empresas contratadas pelo Banco Central do Brasil e relacionadas aos correspondentes contratos.

Art. 13. Compete às unidades e demais componentes organizacionais que atuam como instâncias de integridade implantar as ações e medidas previstas no Plano de Integridade em sua área de competência, de acordo com o Regimento Interno do Banco Central do Brasil.

CAPÍTULO III
PROGRAMA DE INTEGRIDADE

Art. 14. O Programa de Integridade será operacionalizado a partir de um Plano de Integridade.

Art. 15. As atividades desempenhadas no âmbito do Programa de Integridade poderão contar com a participação de outras áreas do Banco Central do Brasil, a convite do CIBCB.

CAPÍTULO IV
PLANO DE INTEGRIDADE

Art. 16. O Plano de Integridade poderá contemplar, dentre outras, ações referentes aos seguintes temas:

I - padrões de ética e regras de conduta para servidores e demais colaboradores, inclusive concernentes a conflito de interesses e nepotismo;

II - comunicação e treinamento;

III - tratamento de denúncias;

IV - práticas de integridade no âmbito de processos de licitação e contratação;

V - medidas de responsabilização;

VI - transparência ativa e acesso à informação; e

VII - controles internos e cumprimento de recomendações de auditoria.

Art. 17. O Plano de Integridade será elaborado a partir do mapeamento de riscos para a integridade e do exame das ações de integridade existentes.

Parágrafo único. O Plano contemplará ações e medidas com vistas à prevenção e à mitigação de vulnerabilidades, com indicação dos respectivos prazos de implantação e a definição dos responsáveis.

Art. 18. As ações e medidas propostas para constar no Plano de Integridade deverão ser submetidas à apreciação e à aprovação do CIBCB.

Art. 19. O monitoramento do Plano de Integridade será realizado trimestralmente pelo CIBCB.

Parágrafo único. O CIBCB poderá solicitar aos responsáveis pelas medidas do Plano de Integridade o encaminhamento de informações sobre o andamento de suas ações.

Art. 20. A implantação das medidas do Plano de Integridade será reportada, anualmente, pelo Secretário do CIBCB ao GRC.

CAPÍTULO V
PROTEÇÃO DE DADOS PESSOAIS

Art. 21. Compete ao GRC avaliar e revisar a estrutura de governança da proteção de dados pessoais.

Art. 22. Compete ao Encarregado:

I - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

II - receber comunicações da ANPD e adotar providências;

III - orientar os colaboradores, servidores ou contratados, a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;

IV - coordenar a comunicação à ANPD e ao titular de ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares;

V - coordenar o tratamento de eventuais violações à proteção de dados pessoais;

VI - propor ao GRC melhorias na estrutura de governança da proteção de dados pessoais; e

VII - validar comunicados, recomendações e relatórios.

Parágrafo único. As comunicações, as violações e seus tratamentos, mencionadas neste artigo, deverão ser informadas ao Deris.

Art. 23. Compete ao Deris:

I - propor a elaboração e a revisão de políticas e procedimentos de proteção de dados pessoais, quando necessário, aos responsáveis técnicos;

II - propor ações para o aprimoramento, se for o caso, do inventário de bases de dados pessoais;

III - coordenar o gerenciamento dos riscos organizacionais, dos controles internos da gestão e de não conformidades referentes à proteção de dados pessoais;

IV - coordenar a elaboração e a revisão de relatórios internos e externos;

V - coordenar a elaboração de recomendações de proteção de dados pessoais à Diretoria Colegiada e às áreas de negócios;

VI - coordenar a elaboração e a revisão das páginas de proteção de dados pessoais na Internet e na Intranet do Banco Central do Brasil; e

VII - promover a disseminação da cultura de conformidade em proteção de dados pessoais.

Art. 24. Compete ao Departamento de Tecnologia da Informação (Deinf):

I - gerir o inventário de bases de dados pessoais;

II - agir em seu âmbito de atuação, em conjunto com as demais unidades e componentes organizacionais, para o tratamento de eventuais violações à proteção de dados pessoais; e

III - revisar a implementação das diretivas de Privacidade na concepção (Privacy by Design) e de Privacidade por padrão (Privacy by Default).

Art. 25. Compete ao Departamento de Infraestrutura e Gestão Patrimonial (Demap) coordenar o gerenciamento de cláusulas contratuais que vinculam terceiros.

Art. 26. Compete ao Departamento de Atendimento Institucional (Deati) coordenar o gerenciamento de demandas de titulares de dados pessoais.

Parágrafo único. Sempre que houver necessidade do exercício das competências do Encarregado previstas no art. 22, as demandas formuladas com base na LGPD serão imediatamente encaminhadas a essa autoridade, salvo quando já houver sua orientação para o respectivo tratamento.

Art. 27. Compete a todas as unidades e demais componentes organizacionais:

I - manter atualizadas as informações que compõem o inventário de base de dados pessoais;

II - identificar, avaliar e promover o tratamento de riscos organizacionais e de não conformidades referentes à proteção de dados pessoais;

III - identificar, avaliar e promover a melhoria dos controles internos referentes à proteção de dados pessoais;

IV - adotar providências para o tratamento de eventuais violações à proteção de dados pessoais que sejam de sua responsabilidade;

V - adotar medidas, sempre que necessário, nas comunicações à ANPD e ao titular de ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, bem como nas comunicações recebidas da ANPD; e

VI - implementar as diretivas de Privacidade na concepção (Privacy by Design) e de Privacidade por padrão (Privacy by Default).

CAPÍTULO VI
DISPOSIÇÕES GERAIS

Art. 28. As unidades que recepcionam e tratam denúncias de integridade por meio dos canais institucionais devem restringir, quando for o caso, o acesso a informações de identificação do denunciante de boa-fé, como medidas para mitigar riscos de assédio ou retaliação.

Art. 29. A revisão da PCO-BCB dar-se-á a cada três anos ou em período inferior, sempre que necessário.

Tags Legismap:

BCB Normas (BCB/CMN) Resolução BCB