17 Julho 2026

Rascunho da Estrutura de Governança de Dados do RBI: Principais Mudanças para Bancos, NBFCs


O Reserve Bank of India introduziu projetos de normas abrangentes para um quadro de governação de dados, que obriga os bancos comerciais e as entidades não bancárias a melhorar a precisão, a segurança e a rastreabilidade dos dados, antecipando o quadro de perdas de crédito esperado até 2027.

Foto: Francisco Mascarenhas/Reuters

Pontos-chave

  • O RBI divulgou projetos de normas para uma estrutura de governança de dados (DGF) para entidades regulamentadas, incluindo bancos comerciais e NBFCs, para garantir a precisão, consistência, confidencialidade, integridade e rastreabilidade dos dados.
  • O DGF é essencial para a próxima implementação do quadro de perdas de crédito esperadas (ECL) para provisões para perdas com empréstimos, planeado a partir de 1 de abril de 2027.
  • As entidades reguladas devem estabelecer um DGF abrangente, proporcional à sua dimensão e complexidade, abrangendo a estrutura organizacional, as políticas, a gestão de riscos (incluindo a proteção e segurança de dados), a tecnologia e os mecanismos de auditoria.
  • A estrutura exige conformidade com a Lei de Proteção de Dados Pessoais Digitais (DPDP) de 2023 e outras leis aplicáveis, que exigem revisões anuais.
  • Um comité de governação de dados a nível do conselho ou um comité existente supervisionará o DGF, com uma função de dados dedicada chefiada por um executivo sénior para garantir uma implementação consistente e monitorizar a eficácia.

O Reserve Bank of India (RBI) divulgou na quarta-feira um projeto de normas para uma estrutura de governança de dados para entidades regulamentadas, como bancos comerciais e empresas financeiras não bancárias (NBFCs), enfatizando a necessidade de precisão, consistência, confidencialidade, integridade e rastreabilidade de dados em sistemas e funções de negócios.

O projeto de normas de governação de dados antecede a implementação do quadro de perdas de crédito esperadas (ECL) para perdas com empréstimos, prevista para 1 de abril de 2027.

Espera-se que os bancos priorizem o fortalecimento da sua infraestrutura de dados para implementar com sucesso o quadro ECL.

Abordar o crescimento dos serviços financeiros digitais

“O rápido crescimento dos serviços financeiros digitais, dos ecossistemas tecnológicos interligados, dos acordos de terceiros, da análise avançada e dos processos automatizados de tomada de decisão expandiram significativamente o volume, a velocidade e a complexidade dos dados gerados, processados, partilhados e armazenados pelas entidades reguladas”, afirma o projecto de normas.

As normas sugerem que as entidades regulamentadas introduzam um quadro de governação de dados (DGF) que se aplique a todos os dados e o adapte ao seu quadro de gestão de riscos, assegurando ao mesmo tempo que seja proporcional à sua dimensão, complexidade, modelo de negócio e configuração da tecnologia da informação e da segurança da informação.

Além disso, o quadro deve ser abrangente e abranger todos os aspetos da governação dos dados, incluindo a estrutura organizacional, as políticas e os processos, a gestão dos riscos, incluindo a privacidade e a segurança dos dados, a infraestrutura tecnológica e os mecanismos de auditoria ao longo de todo o ciclo de vida dos dados.

Conformidade e Acordos de Terceiros

A estrutura deve estar em conformidade com a Lei de Proteção de Dados Pessoais Digitais (DPDP) de 2023, as Regras DPDP de 2025 e todas as outras leis e regulamentos aplicáveis.

“O DGF deve ser revisto anualmente ou com maior frequência, se necessário”, afirmou.

No que diz respeito aos acordos com terceiros, o RBI disse que a entidade regulada deve ser responsável pela governação dos dados partilhados com terceiros, incluindo entidades do grupo, garantindo ao mesmo tempo que os dados são partilhados apenas para fins definidos e aprovados e por pessoal designado.

Foi solicitado às entidades regulamentadas que implementassem sistemas e controlos que regem o acesso, a utilização e a eliminação de dados partilhados com terceiros, tendo em conta a classificação dos dados, a sensibilidade e, principalmente, o consentimento do cliente no caso de dados de clientes.

“As entidades regulamentadas devem garantir que os dados partilhados com terceiros permaneçam rastreáveis ​​até à fonte única de verdade designada, e que os metadados e a linhagem captem a extensão de tal partilha”, afirma o projecto de normas.

Os padrões estabelecem que o compartilhamento de dados não deve resultar em reutilização, compartilhamento ou duplicação não autorizada.

Monitoramento da placa e função de dados

As normas diziam que o conselho de um banco ou NBFC deveria monitorar a estrutura e revisar os relatórios e cálculos que lhe são submetidos.

As entidades regulamentadas devem estabelecer um comité de governação de dados a nível do conselho ou atribuir responsabilidades a um comité do conselho existente.

O comité supervisionará a implementação do DGF.

O comité diretor deve formular orientações sobre a governação dos dados que abranjam o âmbito da governação dos dados, da arquitetura dos dados, da gestão dos riscos dos dados, da propriedade, da responsabilização e da responsabilidade pelos dados ao longo de todo o ciclo de vida dos dados, da gestão da qualidade dos dados, do quadro de classificação dos dados e dos acordos com terceiros.

Além disso, a entidade regulada deve estabelecer processos para gerir o risco de dados como parte do seu quadro global de gestão de risco, afirma o projeto de normas.

Ao definir funções e responsabilidades na organização, o projecto de normas diz que as entidades regulamentadas devem estabelecer uma função de dados chefiada por um gestor com classificação não inferior a CEO, ou um responsável equivalente, com autoridade suficiente e competência e competências necessárias para implementar o DGF.

A função de dados deve desenvolver métricas para monitorizar a eficácia do DGF.

“A função de dados deve atuar como o ponto central de coordenação para garantir uma interpretação e implementação consistentes do DGF e das diretrizes relacionadas em todos os negócios, riscos, tecnologia e outras funções relevantes”, afirmou.

Além disso, deve haver um proprietário de dados designado para cada domínio de dados, responsável por garantir que os dados dentro do domínio sejam definidos, classificados e usados ​​de maneira consistente com o DGF.

Deverá também haver um gestor de dados designado, responsável por aplicar os controlos de acesso e os direitos dos utilizadores, de acordo com a classificação dos dados e a utilização aprovada.

As normas também sugeriram que as entidades regulamentadas estabeleçam processos de gestão da qualidade dos dados relacionados com a criticidade, sensibilidade e classificação dos dados, e garantam que os dados sejam adequados para a utilização pretendida e que problemas significativos sejam identificados e corrigidos a tempo.



Link da fonte

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *