Resolução CNSP Nº 429 DE 12/11/2021


 Publicado no DOU em 16 nov 2021


Estabelece os requisitos para credenciamento e funcionamento de sociedade processadora de ordem do cliente no âmbito do Sistema de Seguros Aberto (Open Insurance) e dá outras providências. (Redação da ementa dada pela Resolução CNSP Nº 450 DE 18/10/2022).


Recuperador PIS/COFINS

O Diretor da Diretoria Técnica 2 da Superintendência de Seguros Privados - SUSEP, no uso de suas atribuições delegadas pela Portaria Susep nº 7.875, de 22 de outubro de 2021, torna público que o Conselho Nacional de Seguros Privados - CNSP, em sessão extraordinária realizada em 11 de novembro de 2021, tendo em vista o disposto a Resolução CNSP nº 415, de 20 de julho de 2021, e

Considerando o que consta do Processo Susep nº 15414.636271/2021-46,

Resolve:

CAPÍTULO I DO OBJETO

Art. 1º Estabelecer os requisitos para credenciamento e funcionamento de sociedade processadora de ordem do cliente (SPOC) no âmbito do Open Insurance, de que trata a Resolução CNSP n.º 415, de 20 de julho de 2021, e dar outras providências. (Redação do artigo dada pela Resolução CNSP Nº 450 DE 18/10/2022).

CAPÍTULO II DAS DEFINIÇÕES

Art. 2º Para os fins do disposto nesta Resolução, considera-se as definições que constam no art. 2º da Resolução CNSP n.º 415, de 2021. (Redação do artigo dada pela Resolução CNSP Nº 450 DE 18/10/2022).

CAPÍTULO III DOS REQUISITOS APLICÁVEIS

Art. 3º As SPOC não podem reter quaisquer riscos de seguros, operar planos de previdência complementar aberta ou emitir títulos de capitalização. (Redação do artigo dada pela Resolução CNSP Nº 450 DE 18/10/2022).

(Redação do artigo dada pela Resolução CNSP Nº 450 DE 18/10/2022):

Art. 4º As SPOC e as sociedades supervisionadas que ofertem serviço de iniciação de movimentação deverão possuir procedimentos e processos internos para prevenir potenciais conflitos de interesses na oferta desses serviços."

Parágrafo único. O disposto no caput também se aplica às SPOC que prestem outros serviços ao cliente, baseados nos dados compartilhados no Open Insurance, nos termos da regulamentação do Sistema de Seguros Aberto.

Art. 5º Poderão ser efetuadas parcerias entre SPOC ou sociedades supervisionadas que prestem serviço de iniciação de movimentação e corretores de seguros, com o objetivo de fornecer mecanismos para a intermediação de produtos de seguros, de capitalização ou de previdência complementar aberta. (Redação do artigo dada pela Resolução CNSP Nº 450 DE 18/10/2022).

Parágrafo único. As parcerias definidas no caput não incluem o compartilhamento de dados pessoais dos clientes no Sistema de Seguros Aberto (Open Insurance) com os corretores de seguros.

(Artigo acrescentado pela Resolução CNSP Nº 450 DE 18/10/2022):

Art. 5º-A O corretor de seguros, pessoa jurídica, para ser credenciado como SPOC deverá:

I - atender a todos os requisitos para credenciamento e funcionamento estabelecidos nesta Resolução para SPOC; e

II - ter como objeto social, exclusivamente, a atuação como intermediária na contratação de produtos de seguros, de capitalização e previdência complementar aberta e a prestação de serviço de iniciação de movimentação no Open Insurance.

Parágrafo único. O corretor de seguros, pessoa jurídica, credenciado como SPOC deverá observar a regulamentação vigente relativa a corretor de seguros e Open Insurance.

CAPÍTULO IV DOS REQUISITOS PARA O CREDENCIAMENTO

Art. 6º Para o credenciamento na Susep, a SPOC deve atender aos seguintes requisitos mínimos: (Redação do caput dada pela Resolução CNSP Nº 450 DE 18/10/2022).

I - firmar Termo de Adesão com a Susep;

II - observar requisitos financeiros, conforme estabelecido no Anexo I;

III - observar exigências relativas a requisitos de governança, sigilo de dados e informações e segurança cibernética, conforme estabelecido no Anexo II;

IV - observar exigências relativas às práticas de conduta e tratamento adequado do cliente conforme estabelecido no Anexo III; e

V - assegurar à Susep o acesso integral às informações mantidas por si ou por terceiros por ela contratados para realizar suas atividades.

§ 1º O credenciamento de que trata o caput deve ser renovado, no mínimo, a cada 5 (cinco) anos.

§ 2º A Susep disponibilizará o Termo de Adesão de que trata o inciso I do caput no seu sítio eletrônico na rede mundial de computadores, sendo específico para o credenciamento de SPOC. (Redação do parágrafo dada pela Resolução CNSP Nº 450 DE 18/10/2022).

Art. 7º O pedido de credenciamento de SPOC deverá ser precedido de realização de reunião técnica com a área competente da Susep, na qual deverão ser apresentados os aspectos gerais do projeto. (Redação do artigo dada pela Resolução CNSP Nº 450 DE 18/10/2022).

CAPÍTULO V DO PEDIDO DE CREDENCIAMENTO

Art. 8º O pedido de credenciamento de SPOC deve ser encaminhado à Susep e instruído com, no mínimo, a seguinte documentação: (Redação do caput dada pela Resolução CNSP Nº 450 DE 18/10/2022).

I - estatuto social da SPOC; (Redação do inciso dada pela Resolução CNSP Nº 450 DE 18/10/2022).

II - sumário executivo contendo descrição:

a) das estruturas operacional e administrativa e dos mecanismos de governança, que demostre a aderência desses mecanismos ao Anexo II;

b) de suas políticas de sigilo de dados e informação e de segurança cibernética, alinhadas com as diretrizes apresentadas no Anexo II; e

c) dos planos de contingência tratados no Anexo II;

III - comprovação de atendimento dos requisitos financeiros estabelecidos no Anexo I, bem como da origem e movimentação dos recursos utilizados na composição do capital social por todos os investidores; (Redação do inciso dada pela Resolução CNSP Nº 450 DE 18/10/2022).

IV - demonstrações financeiras auditadas por auditor independente registrado na Comissão de Valores Mobiliários (CVM), relativo ao último exercício social encerrado, se houver;

V - autorização para a Susep realizar visitas técnicas, a qualquer tempo, para confirmação e monitoramento dos requisitos exigidos para credenciamento e funcionamento;

VI - Termo de Adesão assinado pelo representante legal da sociedade solicitante, nos termos do inciso I do caput do art. 6º;

VII - declarações, firmadas pelo presidente da sociedade solicitante, com a informação de que a interessada:

a) está em conformidade com a legislação e regulamentação vigentes aplicáveis à segurança cibernética e ao sigilo de dados, incluindo o disposto no Anexo II;

b) atende aos requisitos financeiros estabelecidos no Anexo I;

c) atende aos requisitos de capacitação técnica de que tratam os incisos I e II, do art. 1º, do Anexo II;

d) atende aos requisitos mínimos de credenciamento definidos nesta Resolução e de que os documentos solicitados nos incisos do caput refletem com veracidade a sua situação; (Redação da alínea dada pela Resolução CNSP Nº 450 DE 18/10/2022).

e) não incorre em situações que possam afetar a sua reputação, de seu presidente e demais administradores, estando a Susep autorizada a ter acesso às informações a esse respeito, constantes de qualquer sistema ou cadastro de informações público ou de natureza pública, inclusive processos e procedimentos judiciais ou administrativos e inquéritos policiais, para uso exclusivo no respectivo processo de credenciamento; e (Redação da alínea dada pela Resolução CNSP Nº 450 DE 18/10/2022).

f) se compromete em atender aos requisitos relativos a prática de conduta quanto ao relacionamento com o cliente estabelecidos no Anexo III.

Parágrafo único. A Susep poderá solicitar esclarecimentos ou documentos adicionais para análise do pedido de credenciamento a qualquer tempo, inclusive por meio de reunião técnica. (Redação do parágrafo dada pela Resolução CNSP Nº 450 DE 18/10/2022).

CAPÍTULO VI DA ANÁLISE

Art. 9º Os processos de credenciamento serão considerados regularmente instruídos quando toda a documentação necessária, bem como as informações pertinentes, forem integralmente apresentadas à Susep.

§ 1º A Susep poderá arquivar os processos de pedido de credenciamento quando:

I - não forem atendidas as solicitações de apresentação de documentos e de prestação de informações adicionais, no prazo por ela determinado; e

II - não for realizada a a reunião técnica prevista no art. 7º.

§ 2º Na hipótese de arquivamento dos processos de pedido de credenciamento, deverão ser formulados novos pedidos, instruídos com toda documentação requerida atualizada.

Art. 10. A Susep poderá indeferir os pedidos de credenciamento caso verifique:

I - circunstância que possa afetar a reputação dos administradores da SPOC; (Redação do inciso dada pela Resolução CNSP Nº 450 DE 18/10/2022).

II - falsidade ou discrepância nas declarações ou nos documentos apresentados na instrução dos processos; ou

III - não atendimento aos requisitos definidos no art. 6º.

Art. 11. A Susep comunicará à sociedade interessada o resultado da análise do pedido de credenciamento de que trata esta Resolução.

Parágrafo único. No caso de indeferimento de pedido, a Susep informará a motivação e concederá prazo à sociedade interessada para apresentação de pedido de reconsideração com as devidas justificativas.

CAPÍTULO VII DA PRESTAÇÃO DE SERVIÇOS DE INICIAÇÃO DE MOVIMENTAÇÃO POR SOCIEDADES SUPERVISIONADAS

Art. 12. Ficam dispensadas de credenciamento pela Susep, para prestar serviços de iniciação de movimentação, as sociedades supervisionadas participantes do Open Insurance, observada a regulamentação específica.

§ 1º As sociedades mencionadas no caput devem comunicar à Susep, com 90 (noventa) dias de antecedência, sua intenção de prestar serviço de iniciação de movimentação.

§ 2º A prestação de serviços de iniciação de movimentação por sociedades supervisionadas participante do Open Insurance requer a obtenção de certificação e de certificados de segurança específicos para esta finalidade no diretório de participantes.

§ 3º Para as sociedades supervisionadas que prestarem serviços de iniciação de movimentação, além dos requisitos previstos em regulamentações específicas, aplicam-se também os seguintes dispositivos desta Resolução:

I - o art. 4, o art. 14 e o art. 5º do Anexo I e os Anexos II e III; e

II - o cancelamento ou suspensão da certificação a que se refere o § 2º deste artigo nas hipóteses previstas nos art. 15, 16, 17 e 18 desta Resolução.

CAPÍTULO VIII DO FUNCIONAMENTO

Art. 13. É obrigatória a instituição de Serviço de Atendimento ao Cliente - SAC pelas SPOC, que deverá estar em funcionamento quando do início de sua operação. (Redação do artigo dada pela Resolução CNSP Nº 450 DE 18/10/2022).

(Redação do artigo dada pela Resolução CNSP Nº 450 DE 18/10/2022):

Art. 14. Os dados e as informações periódicas a serem enviados ou disponibilizados pelas SPOC serão disciplinados pela Susep.

§ 1º A Susep poderá solicitar, a qualquer tempo, informações que julgar necessárias sobre os serviços prestados pela SPOC, conforme previsão expressa no Termo de Adesão.

§ 2º As SPOC deverão informar à Susep, tempestivamente, qualquer alteração das informações de que trata o art. 6º desta Resolução.

CAPÍTULO IX DAS DISPOSIÇÕES FINAIS

Art. 15. A solicitação de cancelamento do credenciamento da SPOC, a pedido do interessado, deve observar as regras e definições do Termo de Adesão e ser instruída com os seguintes documentos: (Redação do caput dada pela Resolução CNSP Nº 450 DE 18/10/2022).

I - requerimento simplificado, subscrito por representante legal da sociedade;

II - declaração de responsabilidade, firmada pelo representante legal, com relação ao cumprimento da legislação aplicável; e

III - documentação contendo o plano de descontinuidade das atividades.

Art. 16. Garantido o direito ao contraditório, a Susep poderá cancelar, de ofício, a qualquer momento, o credenciamento de que trata esta Resolução, nas seguintes hipóteses:

I - ocorrência de prejuízos comprovados aos clientes;

II - descumprimento dos requerimentos previstos no art. 14 ou no Anexo I;

III - existência de indícios de prática de ilícito mediante dolo ou fraude;

IV - inobservância relevante ou reiterada dos requisitos estabelecidos nesta Resolução;

V - falsidade ou grave omissão nas declarações ou nos documentos apresentados na instrução do processo;

VI - situações que possam afetar a reputação da SPOC ou de seus administradores; (Redação do inciso dada pela Resolução CNSP Nº 450 DE 18/10/2022).

VII - falhas ou violações no sistema de segurança cibernética e de proteção de dados; ou

VIII - qualquer ato, omissivo ou comissivo, que contrarie lei ou norma infra legal, que seja considerado ato nocivo.

Art. 17. O credenciamento de que trata esta Resolução será cancelado na hipótese de a SPOC não iniciar a prestação dos serviços de que tratam os incisos VIII e IX do art. 2º da Resolução CNSP nº 415, de 2021, no prazo de 90 (noventa) dias contados da data de aprovação de seu credenciamento. (Redação do artigo dada pela Resolução CNSP Nº 450 DE 18/10/2022).

Art. 18. A SPOC poderá ter seu credenciamento suspenso, cautelarmente, em caso de iminente risco ou prejuízo aos clientes ou quando, após notificação da Susep, a sociedade deixar de implementar medidas corretivas necessárias ou não suspender práticas que conflitem com as exigências estabelecidas na legislação aplicável. (Redação do caput dada pela Resolução CNSP Nº 450 DE 18/10/2022).

§ 1º A suspensão será estabelecida até que a ocorrência que ensejou tal medida seja comprovadamente solucionada pela sociedade e a documentação comprobatória analisada pela Susep.

§ 2º No caso de reiteradas suspensões, a SPOC poderá ter seu credenciamento cancelado. (Redação do parágrafo dada pela Resolução CNSP Nº 450 DE 18/10/2022).

§ 3º A suspensão de que trata o caput será convertida em cancelamento do credenciamento quando a SPOC não comprovar a solução da ocorrência que ensejou a medida de suspensão em até 90 (noventa) dias. (Redação do parágrafo dada pela Resolução CNSP Nº 450 DE 18/10/2022).

Art. 19. No caso de suspensão ou cancelamento do credenciamento, a SPOC terá seu registro imediatamente suspenso ou excluído do diretório de participantes do Open Insurance, não podendo mais prestar serviços de iniciação de movimentação ou quaisquer outros serviços baseados em dados pessoais de seguro. (Redação do artigo dada pela Resolução CNSP Nº 450 DE 18/10/2022).

Art. 20. A Resolução CNSP nº 393, de 30 de outubro de 2020, passa a vigorar com a seguinte redação:  

"Art. 1º .....  

§ 1º O disposto nesta Resolução também se aplica às entidades autorreguladoras do mercado de corretagem, aos liquidantes, aos estipulantes e às sociedades iniciadoras de serviços de seguros. 

....." (NR) 

..... 
    
"Art. 73-A. Descumprir ou não observar quaisquer obrigações oriundas do Open Insurance, no que se refere ao relacionamento com o cliente, à segurança cibernética, às demonstrações financeiras ou à governança, inclusive sobre dados.      

Sanção: multa de R$ 30.000,00 (trinta mil reais) a R$ 1.000.000,00 (um milhão de reais).   

....." (NR) 

Art. 21. Esta Resolução entra em vigor em 1º de dezembro de 2021.

RAFAEL PEREIRA SCHERRE

ANEXO I REQUISITOS FINANCEIROS

CAPÍTULO I DAS DEMONSTRAÇÕES FINANCEIRAS

(Redação do artigo dada pela Resolução CNSP Nº 470 DE 25/09/2024):

Art. 1º As demonstrações financeiras da SPOC, auditadas por auditor independente registrado na CVM, deverão estar de acordo com o previsto na Lei n.º 6.404, de 15 de dezembro de 1976.

Parágrafo único. As SPOC deverão encaminhar à Susep até 15 de março do exercício seguinte, para divulgação em seu sítio eletrônico, as demonstrações financeiras mencionadas no caput, com o respectivo parecer da auditoria independente, incluindo manifestação acerca do cumprimento dos requisitos financeiros previstos neste Anexo.

CAPÍTULO II DO PATRIMÔNIO LÍQUIDO

Art. 2º As SPOC devem manter, a qualquer tempo, patrimônio líquido superior aos seguintes percentuais do valor médio mensal dos serviços de iniciação de movimentação prestados pela sociedade nos 12 (meses) anteriores ao mês de apuração desse patrimônio: (Redação do caput dada pela Resolução CNSP Nº 450 DE 18/10/2022).

I - 1% (um por cento) até 31 de dezembro de 2022;

II - 1,25% (um inteiro e vinte e cinco centésimos por cento) de 1º de janeiro de 2023 a 31 de dezembro de 2024; e

III - 1,5% (um inteiro e cinco décimos por cento) a partir de 1º de janeiro de 2025.

§ 1º O patrimônio líquido será apurado no último dia de cada mês e, para credenciamento e funcionamento das SPOC, deverá ter valor mínimo igual a R$ 1.000.000,00 (um milhão de reais). (Redação parágrafo dada pela Resolução CNSP Nº 450 DE 18/10/2022).

§ 2º Para efeito do disposto no caput, valor de serviço de iniciação de movimentação é a soma do valor do prêmio ou contribuição emitida, restituída ou cancelada, do valor do aumento ou redução no prêmio ou na contribuição e do valor do sinistro avisado, do sorteio pago, do resgate ou da portabilidade solicitada.

§ 3º Para as SPOC que forem instituições iniciadoras de transação de pagamento devidamente autorizadas, conforme regulamentação do Open Banking, o patrimônio líquido mínimo de que tratam o caput e o §1º deve ser complementar ao exigido pelo Banco Central do Brasil. (Redação parágrafo dada pela Resolução CNSP Nº 450 DE 18/10/2022).

Art. 3º O capital social da SPOC deve ser integralizado em moeda corrente, ressalvado o disposto no art. 4º, e mantido investido em títulos públicos federais. (Redação do artigo dada pela Resolução CNSP Nº 450 DE 18/10/2022).

Art. 4º Os aumentos no capital social que não forem realizados em moeda corrente somente poderão ser integralizados com recursos originários de:

I - lucros acumulados;

II - reservas de capital e de lucros; ou

III - créditos a acionistas relacionados com o pagamento de juros sobre o capital próprio, de que trata o art. 9º da Lei nº 9.249, de 26 de dezembro de 1995 , ou ao pagamento de dividendos.

Parágrafo único. Os aumentos de capital de que trata o caput independem de autorização da Susep.

Art. 5º As sociedades supervisionadas que prestarem serviço de iniciação de movimentação terão seu capital base, definido em regulação específica, acrescido de R$ 1.000.000,00 (um milhão de reais).

ANEXO II REQUISITOS DE GOVERNANÇA, SIGILO DOS DADOS E INFORMAÇÕES E SEGURANÇA CIBERNÉTICA

CAPÍTULO I DOS ADMINISTRADORES E CORPO DE FUNCIONÁRIOS

Art. 1º As SPOC, em relação aos administradores e corpo de funcionários, devem: (Redação do caput dada pela Resolução CNSP Nº 450 DE 18/10/2022).

I - contar com pessoal técnica e administrativamente capacitado, que lhe possibilite o pleno atingimento de seu objeto social; e

II - contar, como responsáveis por sua administração, com profissionais de reconhecida competência técnica na matéria, com autonomia de gestão, nos termos de seu contrato ou estatuto social.

Parágrafo único. Os responsáveis pela administração devem possuir experiência prévia de, no mínimo, 1 (um) ano em prestação de serviços de tecnologia da informação ou de desenvolvimento de novas tecnologias.

CAPÍTULO II DA GOVERNANÇA

Art. 2º As SPOC devem possuir estrutura organizacional e administrativa efetiva e transparente, de modo a possibilitar, inclusive, a avaliação do desempenho dos administradores. (Redação do artigo dada pela Resolução CNSP Nº 450 DE 18/10/2022).

Art. 3º As SPOC devem implementar Estrutura de Gestão de Riscos, que deve: (Redação do caput dada pela Resolução CNSP Nº 450 DE 18/10/2022).

I - ser compatível com a natureza das atividades da sociedade e a complexidade dos serviços oferecidos e proporcional à dimensão das exposições aos mencionados riscos;

II - ser segregada da unidade executora da atividade de auditoria interna;

III - permitir a identificação, a mensuração, o monitoramento, o controle, a mitigação e o gerenciamento contínuo e integrado de risco; e

IV - prever política de gestão de risco aprovada e revisada, no mínimo a cada dois anos, ou sempre que a SPOC julgar necessário, pela diretoria ou pelo conselho de administração, se houver, a fim de determinar sua compatibilidade com os objetivos da sociedade e com as condições de mercado. (Redação do inciso dada pela Resolução CNSP Nº 450 DE 18/10/2022).

Parágrafo único. A política prevista no inciso IV do caput deve contemplar a continuidade dos serviços de iniciação de movimentação prestados.

Art. 4º A Estrutura de Gestão de Riscos deve prever, no mínimo:

I - plano de contingência e outros mecanismos que garantam a continuidade dos serviços de iniciação de movimentação prestados;

II - mecanismos de proteção e segurança dos dados armazenados, processados ou transmitidos;

III - mecanismos de proteção e segurança de redes, sítios eletrônicos, servidores e canais de comunicação com vistas a reduzir a vulnerabilidade a ataques;

IV - procedimentos para monitorar, rastrear e restringir acesso a dados sensíveis, redes, sistemas, bases de dados e módulos de segurança;

V - monitoramento das falhas na segurança dos dados e das reclamações dos clientes a esse respeito;

VI - revisão das medidas de segurança e de sigilo de dados, especialmente depois da ocorrência de falhas e previamente a alterações na infraestrutura ou nos procedimentos;

VII - elaboração de relatórios que indiquem procedimentos para correção de falhas identificadas;

VIII - realização de testes que assegurem a robustez e a efetividade das medidas de segurança de dados adotadas;

IX - segregação de funções nos ambientes de tecnologia da informação destinados ao desenvolvimento, teste e produção;

X - identificação adequada do cliente;

XI - mecanismos de autenticação dos clientes e de autorização dos serviços de iniciação de movimentação;

XII - processos para assegurar que todos os serviços de iniciação de movimentação possam ser adequadamente rastreados;

XIII - mecanismos de monitoramento e de autorização dos serviços de iniciação de movimentação, com o objetivo de prevenir fraudes, detectar e bloquear solicitações, transações ou movimentações suspeitas de forma tempestiva;

XIV - avaliações e filtros específicos para identificar solicitações, transações ou movimentações consideradas de alto risco;

XV - notificação ao cliente acerca de eventual não execução de um serviço;

XVI - mecanismos que permitam ao cliente verificar se o serviço foi executado corretamente;

XVII - critérios de decisão quanto à terceirização de serviços e de seleção de seus prestadores;

XVIII - avaliação, gerenciamento e monitoramento dos riscos decorrentes de serviços terceirizados relevantes para o funcionamento regular da SPOC; e (Redação do inciso dada pela Resolução CNSP Nº 450 DE 18/10/2022).

XIX - mecanismos de monitoramento e controle de falhas na efetivação de serviços de iniciação de movimentação, segregando, no mínimo, os seguintes eventos:

a) serviço de iniciação de movimentação não autorizado;

b) não execução de serviço de iniciação de movimentação;

c) execução incorreta de serviço de iniciação de movimentação; e

d) atraso no serviço de iniciação de movimentação.

Parágrafo único. Caso as SPOC terceirizem funções relacionadas com a segurança dos serviços oferecidos, o respectivo contrato de prestação de serviços deve estipular que o contratado deverá: (Redação dada pela Resolução CNSP Nº 450 DE 18/10/2022).

I - atender ao disposto neste artigo; e

II - permitir o acesso da SPOC aos dados e às informações sobre os serviços prestados. (Redação do inciso dada pela Resolução CNSP Nº 450 DE 18/10/2022).

Art. 5º As SPOC devem implantar controles internos de suas atividades, de seus sistemas e do cumprimento das disposições da regulamentação do Open Insurance e desta Resolução. (Redação do caput dada pela Resolução CNSP Nº 450 DE 18/10/2022).

§ 1º Os controles internos devem ser periodicamente revisados e atualizados, de forma que sejam a eles incorporadas medidas relacionadas a novos riscos ou riscos não abordados anteriormente.

§ 2º As SPOC devem possuir uma política de conformidade que contemple, no mínimo: (Redação dada pela Resolução CNSP Nº 450 DE 18/10/2022).

I - o compromisso da diretoria e do conselho de administração, se houver, com a ética e a conformidade, bem como com a melhoria contínua dos seus processos e procedimentos; e

II - as diretrizes para:

a) promoção e disseminação de valores éticos e da cultura de controle entre os administradores, funcionários, prestadores de serviços terceirizados e demais parceiros relevantes da SPOC; e (Redação da alínea dada pela Resolução CNSP Nº 450 DE 18/10/2022).

b) identificação e tratamento de deficiências, riscos ou incidentes relativos à conformidade, bem como de desvios de ética e conduta, a fim de assegurar a aplicação de ações disciplinares adequadas e a comunicação às instâncias pertinentes da SPOC, à Susep ou a outras autoridades. (Redação da alínea dada pela Resolução CNSP Nº 450 DE 18/10/2022).

§ 3º A política de conformidade deve ser aprovada e revisada, no mínimo a cada dois anos, ou sempre que a SPOC julgar necessário, pela diretoria ou pelo conselho de administração, se houver. (Redação do parágrafo dada pela Resolução CNSP Nº 450 DE 18/10/2022).

Art. 6º As SPOC devem desenvolver e implementar, na forma da lei e da regulamentação vigentes, política, procedimentos e controles internos destinados especificamente à prevenção e combate aos crimes de "lavagem" ou ocultação de bens, direitos e valores, ou aos crimes que com eles possam relacionar-se, bem como à prevenção e coibição do financiamento do terrorismo. (Redação do caput dada pela Resolução CNSP Nº 450 DE 18/10/2022).

Parágrafo único. Para efeito de cumprimento do disposto no caput, aplicamse os requisitos regulatórios simplificados definidos pela Susep para as situações especiais previstas na regulamentação vigente.

(Redação do artigo dada pela Resolução CNSP Nº 450 DE 18/10/2022):

Art. 7º Sendo a atividade de auditoria interna exercida por unidade própria, esta deverá estar diretamente subordinada ao conselho de administração ou, na falta deste, à diretoria da SPOC.

§ 1º A atividade de auditoria de que trata o caput, quando não executada por unidade específica da própria SPOC ou de sociedade ou entidade integrante do mesmo grupo econômico, poderá ser exercida por auditor independente, desde que não seja aquele responsável pela auditoria das demonstrações financeiras.

§ 2º No caso de ser a atividade de auditoria interna exercida segundo a faculdade estabelecida no § 1º, deverá o responsável por sua execução reportar-se diretamente ao conselho de administração ou, na falta deste, à diretoria da SPOC.

Art. 8º Deve ser observada a separação entre as atividades e serviços prestados pela SPOC das demais atividades de quaisquer empresas de seu grupo econômico, sendo vedado, inclusive, o compartilhamento de dados ou informações obtidas pela SPOC, na prestação de seus serviços, com estas ou quaisquer outras empresas, à exceção das hipóteses de compartilhamento previstas na legislação em vigor. (Redação do artigo dada pela Resolução CNSP Nº 450 DE 18/10/2022).

CAPÍTULO III DO SIGILO DE DADOS E INFORMAÇÕES

Art. 9º É vedado às SPOC na prestação de serviços: (Redação do caput dada pela Resolução CNSP Nº 450 DE 18/10/2022).

I - armazenar o conjunto de dados relacionados com as credenciais dos clientes por tempo superior ao necessário para autenticar o serviço perante a sociedade supervisionada;

II - exigir do cliente quaisquer outros dados além dos necessários para prestar seus serviços;

III - utilizar, armazenar ou acessar os dados para outra finalidade que não seja a prestação de seus serviços, conforme expressamente solicitado pelo cliente;

IV - alterar o montante ou qualquer elemento do serviço de iniciação de movimentação autorizado pelo cliente; e

V - prestar serviço de iniciação de movimentação envolvendo sociedade não integrante do Open Insurance.

Art. 10. Ficam vedadas às SPOC a comercialização ou a disponibilização gratuita dos dados e informações utilizados na prestação de seus serviços, sejam eles na forma individualizada ou agregada, salvo com o consentimento expresso do respectivo titular dos dados. (Redação do caput dada pela Resolução CNSP Nº 450 DE 18/10/2022).

Parágrafo único. A vedação de que trata o caput não se aplica ao envio de dados para fins da prestação de informações à Susep.

Art. 11. A política de segurança e sigilo de dados e informações das SPOC deve, no mínimo: (Redação do caput dada pela Resolução CNSP Nº 450 DE 18/10/2022).

I - estabelecer mecanismos adequados para assegurar a proteção e o sigilo dos dados e informações disponibilizados pelo cliente para a prestação de serviços, de forma a impedir qualquer tipo de acesso indevido;

II - estar em conformidade com a legislação e a regulamentação vigentes que tratam da proteção e do sigilo de dados e informações, inclusive de dados pessoais;

III - assegurar condições adequadas de segurança da informação, inclusive no que se refere à segurança cibernética; e

IV - prever mecanismos para assegurar que a propriedade dos dados e informações em relação às solicitações ou movimentações sejam preservadas.

§ 1º A política de segurança e sigilo de dados e informações deve ser aprovada e revisada, no mínimo a cada dois anos, ou sempre que a SPOC julgar necessário, pela diretoria ou pelo conselho de administração, se houver.

§ 2º A política de sigilos de dados e informações é complementar à política de gestão de risco.

CAPÍTULO IV DOS REQUISITOS DE SEGURANÇA CIBERNÉTICA

Art. 12. As SPOC devem adotar, complementarmente ao disposto nos Capítulos II e III deste Anexo, os requisitos de segurança cibernética definidos em regulamentação específica da Susep. (Redação do caput dada pela Resolução CNSP Nº 450 DE 18/10/2022).

§ 1º A política de segurança cibernética é complementar à política de gestão de risco.

§ 2º As SPOC, na hipótese de divergência entre o disposto neste Anexo e na regulação específica da Susep que trata sobre segurança cibernética, devem adotar os requisitos definidos neste Anexo. (Redação do parágrafo dada pela Resolução CNSP Nº 450 DE 18/10/2022).

§ 3º As SPOC devem comunicar à estrutura de governança responsável pelo Open Insurance e à Susep, no prazo máximo de 5 (cinco) dias úteis contados a partir do conhecimento do evento, a ocorrência de incidentes relevantes, detalhando a extensão do dano causado e, se for o caso, as ações em curso para regularização completa da situação e os respectivos responsáveis e prazos. (Redação do parágrafo dada pela Resolução CNSP Nº 450 DE 18/10/2022).

CAPÍTULO V DAS DISPOSIÇÕES FINAIS

Art. 13. As SPOC devem manter a documentação acerca de sua política de gestão de risco, política de conformidade, política de sigilo de dados e informações e política de segurança cibernética à disposição da Susep. (Redação do artigo dada pela Resolução CNSP Nº 450 DE 18/10/2022).

Art. 14. A Susep poderá, a qualquer tempo, realizar os testes e as verificações técnicas que entender necessários para confirmar o fiel cumprimento das regras estabelecidas neste Anexo.

Art. 15. As SPOC devem indicar diretor responsável pelo cumprimento das regras estabelecidas neste Anexo. (Redação do caput dada pela Resolução CNSP Nº 450 DE 18/10/2022).

Parágrafo único. Para fins da responsabilidade de que trata o caput, admitese que o diretor indicado desempenhe outras funções na sociedade, desde que tais funções não impliquem assunção de riscos relevantes relativos ao negócio.

ANEXO III REQUISITOS RELATIVOS ÀS PRÁTICAS DE CONDUTA QUANTO AO RELACIONAMENTO COM O CLIENTE

Art. 1º Define-se o tratamento adequado do cliente como as condições estabelecidas para o tratamento do cliente, que devem observar, no mínimo, os seguintes aspectos:

I - prestação de serviços de forma a atender ao interesse, à necessidade e ao perfil do cliente;

II - o provimento proativo e efetivo de informação clara e adequada;

III - a adoção de medidas que tenham por objetivo minimizar o risco de serviços que produzam resultados não apropriados ou não adequados ao cliente;

IV - o aconselhamento e orientações adequados ao cliente, mitigando assimetria de informações que possam dificultar sua decisão por serviços que atendam ao seu interesse, necessidade e perfil;

V - o tratamento de demandas e reclamações de forma adequada e tempestiva; e

VI - a proteção da privacidade de dados pessoais, na forma da legislação e regulamentação vigentes.

Art. 2º As SPOC devem conduzir suas atividades observando princípios de ética, responsabilidade, transparência, diligência, lealdade, probidade, honestidade, boa-fé objetiva, livre iniciativa e livre concorrência, promovendo o tratamento adequado do cliente e observando os princípios de segurança, privacidade e de qualidade dos dados. (Redação do caput dada pela Resolução CNSP Nº 450 DE 18/10/2022).

§ 1º A observância do disposto no caput requer, no mínimo, as seguintes providências:

I - promover cultura organizacional que incentive o tratamento adequado e o relacionamento cooperativo e equilibrado com os clientes;

II - tratar os clientes de forma ética e adequada;

III - levar em consideração os interesses de diferentes tipos de clientes ao longo do ciclo de vida dos produtos;

IV - efetuar a oferta, a promoção e a divulgação dos serviços de forma clara, adequada e adotando práticas que visem minimizar a possibilidade de má compreensão por parte do cliente;

V - prover informações de forma clara, tempestiva e apropriada, visando à redução do risco de assimetria de informação;

VI - garantir que toda a operação relacionada aos serviços prestados seja tempestiva, transparente e apropriada;

VII - dar tratamento tempestivo e adequado às eventuais reclamações e solicitações efetuadas pelos clientes; e

VIII - observar as exigências da legislação que trata da proteção de dados pessoais, inclusive no tocante às regras de boas práticas e de governança.

§ 2º A SPOC permanece responsável pelo cumprimento do disposto neste artigo mesmo que haja terceirização de alguma de suas atividades. (Redação do parágrafo dada pela Resolução CNSP Nº 450 DE 18/10/2022).

§ 3º A política de remuneração dos executivos, conselheiros e demais funcionários da SPOC, assim como a de eventual provedor de serviços terceirizados, não deve conflitar com o tratamento adequado do cliente. (Redação do parágrafo dada pela Resolução CNSP Nº 450 DE 18/10/2022).

Art. 3º No fornecimento de serviços, a SPOC deve: (Redação do caput dada pela Resolução CNSP Nº 450 DE 18/10/2022).

I - apresentar a seus clientes o conceito de serviço de iniciação de movimentação;

II - dar transparência a respeito da metodologia utilizada para eventual seleção das ofertas de produtos ou serviços das sociedades supervisionadas efetivamente apresentadas ao cliente;

III - atuar de forma transparente deixando claro quais são as sociedades supervisionadas provedoras dos produtos objeto do serviço de iniciação de movimentação;

IV - fornecer serviços adequados às necessidades, interesses e objetivos dos clientes;

V -informar ao cliente os casos em que houver prestação de serviço em relação a produto de sociedade supervisionada integrante do mesmo grupo econômico da qual faz parte a SPOC; (Redação do inciso dada pela Resolução CNSP Nº 450 DE 18/10/2022).

VI - informar a forma e o montante de eventual remuneração pelos serviços prestados.

Parágrafo único. As informações prestadas pela SPOC devem: (Redação dada pela Resolução CNSP Nº 450 DE 18/10/2022).

I - ser divulgadas e mantidas atualizadas em local visível e formato legível no sítio eletrônico na internet, em seu aplicativo, caso tenha, e em outras plataformas de comunicação em rede, caso faça uso delas; e

II - possuir linguagem clara e objetiva.

Art. 4º A prestação de serviços pela SPOC junto a uma sociedade supervisionada não deve prejudicar o tratamento adequado do cliente.

Art. 4º A prestação de serviços pela SISS junto a uma sociedade supervisionada não deve prejudicar o tratamento adequado do cliente.

§ 1º O compartilhamento de serviço com uma sociedade supervisionada não pode constituir conflito de interesse em relação à representação do cliente pela SPOC. (Redação do parágrafo dada pela Resolução CNSP Nº 450 DE 18/10/2022).

§ 2º A forma e o montante de eventual remuneração da SPOC deverão ser estabelecidos de modo a mitigar a possibilidade de conflito de interesses e a não descaracterizar a condição da SPOC de representante do cliente. (Redação do parágrafo dada pela Resolução CNSP Nº 450 DE 18/10/2022).

§ 3º A SPOC deve informar ao cliente, no mínimo: (Redação dada pela Resolução CNSP Nº 450 DE 18/10/2022).

I - qualquer participação, direta ou indireta, igual ou superior a 10% nos direitos de voto ou no capital que detenha em sociedade supervisionada com a qual esteja compartilhando serviço; e

II - qualquer participação, direta ou indireta, igual ou superior a 10% nos seus direitos de voto ou no seu capital detida por sociedades supervisionada ou pelo controlador da sociedade supervisionada com a qual esteja compartilhando serviço.

§ 4º É vedada existência de relação contratual ou de parceria para garantir exclusividade de compartilhamento de serviços entre a SPOC e uma ou mais sociedades supervisionadas, tendo em vista os objetivos do Open Insurance.

Art. 5º Quando um serviço de iniciação de movimentação for prestado de forma acessória a outro produto ou serviço de qualquer espécie, a SPOC deve garantir que o cliente possa adquiri-los independentemente da prestação do serviço de iniciação de movimentação acessório. (Redação do artigo dada pela Resolução CNSP Nº 450 DE 18/10/2022).

Art. 6º A Susep poderá pesquisar, simular e testar os serviços de iniciação de movimentação com vistas a verificar a adequação das práticas de conduta da SPOC à presente regulamentação. (Redação do artigo dada pela Resolução CNSP Nº 450 DE 18/10/2022).

Art. 7º Os serviços de iniciação de movimentação prestados pela SPOC devem ser realizados de forma imediata, a partir da obtenção do consentimento do cliente, além de observar as demais disposições previstas em regulamentação específica. (Redação do caput dada pela Resolução CNSP Nº 450 DE 18/10/2022).

Parágrafo único. O serviço de iniciação de movimentação relacionado a aviso de sinistro poderá ser prestado durante a vigência do consentimento obtido junto ao cliente, observado seu prazo máximo de validade e o tratamento adequado do cliente, visando seu melhor interesse.