Rascunho da Estrutura de Governança de Dados do RBI: Principais Mudanças para Bancos, NBFCs
O Reserve Bank of India introduziu projetos de normas abrangentes para um quadro de governação de dados, que obriga os bancos comerciais e as entidades não bancárias a melhorar a precisão, a segurança e a rastreabilidade dos dados, antecipando o quadro de perdas de crédito esperado até 2027.
Foto: Francisco Mascarenhas/Reuters
Pontos-chave
- O RBI divulgou projetos de normas para uma estrutura de governança de dados (DGF) para entidades regulamentadas, incluindo bancos comerciais e NBFCs, para garantir a precisão, consistência, confidencialidade, integridade e rastreabilidade dos dados.
- O DGF é essencial para a próxima implementação do quadro de perdas de crédito esperadas (ECL) para provisões para perdas com empréstimos, planeado a partir de 1 de abril de 2027.
- As entidades reguladas devem estabelecer um DGF abrangente, proporcional à sua dimensão e complexidade, abrangendo a estrutura organizacional, as políticas, a gestão de riscos (incluindo a proteção e segurança de dados), a tecnologia e os mecanismos de auditoria.
- A estrutura exige conformidade com a Lei de Proteção de Dados Pessoais Digitais (DPDP) de 2023 e outras leis aplicáveis, que exigem revisões anuais.
- Um comité de governação de dados a nível do conselho ou um comité existente supervisionará o DGF, com uma função de dados dedicada chefiada por um executivo sénior para garantir uma implementação consistente e monitorizar a eficácia.
O Reserve Bank of India (RBI) divulgou na quarta-feira um projeto de normas para uma estrutura de governança de dados para entidades regulamentadas, como bancos comerciais e empresas financeiras não bancárias (NBFCs), enfatizando a necessidade de precisão, consistência, confidencialidade, integridade e rastreabilidade de dados em sistemas e funções de negócios.
O projeto de normas de governação de dados antecede a implementação do quadro de perdas de crédito esperadas (ECL) para perdas com empréstimos, prevista para 1 de abril de 2027.
Espera-se que os bancos priorizem o fortalecimento da sua infraestrutura de dados para implementar com sucesso o quadro ECL.
Abordar o crescimento dos serviços financeiros digitais
“O rápido crescimento dos serviços financeiros digitais, dos ecossistemas tecnológicos interligados, dos acordos de terceiros, da análise avançada e dos processos automatizados de tomada de decisão expandiram significativamente o volume, a velocidade e a complexidade dos dados gerados, processados, partilhados e armazenados pelas entidades reguladas”, afirma o projecto de normas.
As normas sugerem que as entidades regulamentadas introduzam um quadro de governação de dados (DGF) que se aplique a todos os dados e o adapte ao seu quadro de gestão de riscos, assegurando ao mesmo tempo que seja proporcional à sua dimensão, complexidade, modelo de negócio e configuração da tecnologia da informação e da segurança da informação.
Além disso, o quadro deve ser abrangente e abranger todos os aspetos da governação dos dados, incluindo a estrutura organizacional, as políticas e os processos, a gestão dos riscos, incluindo a privacidade e a segurança dos dados, a infraestrutura tecnológica e os mecanismos de auditoria ao longo de todo o ciclo de vida dos dados.
Conformidade e Acordos de Terceiros
A estrutura deve estar em conformidade com a Lei de Proteção de Dados Pessoais Digitais (DPDP) de 2023, as Regras DPDP de 2025 e todas as outras leis e regulamentos aplicáveis.
“O DGF deve ser revisto anualmente ou com maior frequência, se necessário”, afirmou.
No que diz respeito aos acordos com terceiros, o RBI disse que a entidade regulada deve ser responsável pela governação dos dados partilhados com terceiros, incluindo entidades do grupo, garantindo ao mesmo tempo que os dados são partilhados apenas para fins definidos e aprovados e por pessoal designado.
Foi solicitado às entidades regulamentadas que implementassem sistemas e controlos que regem o acesso, a utilização e a eliminação de dados partilhados com terceiros, tendo em conta a classificação dos dados, a sensibilidade e, principalmente, o consentimento do cliente no caso de dados de clientes.
“As entidades regulamentadas devem garantir que os dados partilhados com terceiros permaneçam rastreáveis até à fonte única de verdade designada, e que os metadados e a linhagem captem a extensão de tal partilha”, afirma o projecto de normas.
Os padrões estabelecem que o compartilhamento de dados não deve resultar em reutilização, compartilhamento ou duplicação não autorizada.
Monitoramento da placa e função de dados
As normas diziam que o conselho de um banco ou NBFC deveria monitorar a estrutura e revisar os relatórios e cálculos que lhe são submetidos.
As entidades regulamentadas devem estabelecer um comité de governação de dados a nível do conselho ou atribuir responsabilidades a um comité do conselho existente.
O comité supervisionará a implementação do DGF.
O comité diretor deve formular orientações sobre a governação dos dados que abranjam o âmbito da governação dos dados, da arquitetura dos dados, da gestão dos riscos dos dados, da propriedade, da responsabilização e da responsabilidade pelos dados ao longo de todo o ciclo de vida dos dados, da gestão da qualidade dos dados, do quadro de classificação dos dados e dos acordos com terceiros.
Além disso, a entidade regulada deve estabelecer processos para gerir o risco de dados como parte do seu quadro global de gestão de risco, afirma o projeto de normas.
Ao definir funções e responsabilidades na organização, o projecto de normas diz que as entidades regulamentadas devem estabelecer uma função de dados chefiada por um gestor com classificação não inferior a CEO, ou um responsável equivalente, com autoridade suficiente e competência e competências necessárias para implementar o DGF.
A função de dados deve desenvolver métricas para monitorizar a eficácia do DGF.
“A função de dados deve atuar como o ponto central de coordenação para garantir uma interpretação e implementação consistentes do DGF e das diretrizes relacionadas em todos os negócios, riscos, tecnologia e outras funções relevantes”, afirmou.
Além disso, deve haver um proprietário de dados designado para cada domínio de dados, responsável por garantir que os dados dentro do domínio sejam definidos, classificados e usados de maneira consistente com o DGF.
Deverá também haver um gestor de dados designado, responsável por aplicar os controlos de acesso e os direitos dos utilizadores, de acordo com a classificação dos dados e a utilização aprovada.
As normas também sugeriram que as entidades regulamentadas estabeleçam processos de gestão da qualidade dos dados relacionados com a criticidade, sensibilidade e classificação dos dados, e garantam que os dados sejam adequados para a utilização pretendida e que problemas significativos sejam identificados e corrigidos a tempo.