Resolução CNSP Nº 415 DE 20/07/2021


 Publicado no DOU em 21 jul 2021


Dispõe sobre a implementação do Sistema de Seguros Aberto (Open Insurance).


Monitor de Publicações

A Superintendência de Seguros Privados - SUSEP, no uso da atribuição que lhe confere o artigo 34, inciso XI, do Decreto nº 60.459, de 13 de março de 1967, torna público que o CONSELHO NACIONAL DE SEGUROS PRIVADOS - CNSP, em sessão extraordinária realizada em 20 de julho de 2021, tendo em vista o disposto no art. 5º, incisos I e IV, e art. 32, incisos I e XVI, do Decreto-Lei nº 73, de 21 de novembro de 1966, no art. 3º, incisos II e IV da Lei Complementar nº 109, de 29 de maio de 2001, e no art. 2º, incisos I e II, do Decreto-Lei nº 261, de 28 de fevereiro de 1967 e

Considerando o que consta do Processo Susep nº 15414.603855/2021-35,

Resolve:

CAPÍTULO I OBJETO E ÂMBITO DE APLICAÇÃO

Art. 1º Dispor sobre a implementação do Sistema de Seguros Aberto (Open Insurance) pelas sociedades seguradoras, entidades abertas de previdência complementar e sociedades de capitalização.

CAPÍTULO II DISPOSIÇÕES PRELIMINARES

Seção I Definições

Art. 2º Para os fins do disposto nesta Resolução, considera-se:

I - Open Insurance: compartilhamento padronizado de dados e serviços por meio de abertura e integração de sistemas no âmbito dos mercados de seguros, previdência complementar aberta e capitalização;

II - cliente: pessoa natural ou jurídica interessada em adquirir produtos de seguro, de capitalização ou de previdência complementar aberta, bem como o proponente, o segurado, o garantido, o tomador, o beneficiário, o assistido, o titular ou subscritor de título de capitalização ou o participante de plano de previdência;

III - sociedade supervisionada: a sociedade seguradora, incluindo aquela participante exclusivamente de ambiente regulatório experimental (Sandbox Regulatório), a entidade aberta de previdência complementar ou a sociedade de capitalização;

IV - sociedade transmissora de dados: sociedade supervisionada, participante do Open Insurance, ou sociedade iniciadora de serviço de seguro que compartilha com a sociedade receptora os dados de que trata esta Resolução;

V - sociedade receptora de dados: sociedade supervisionada, participante do Open Insurance, ou sociedade iniciadora de serviço de seguro que apresenta solicitação de compartilhamento à sociedade transmissora para recepção dos dados de que trata esta Resolução;

VI - compartilhamento de serviço: compartilhamento de dados com objetivo de prestar serviço de iniciação de movimentação;

VII - consentimento: manifestação livre, informada, prévia e inequívoca de vontade, feita por meio eletrônico, pela qual o cliente
concorda com o compartilhamento de dados ou de serviços, a ele relacionados, para finalidades determinadas;

VIII - serviço de iniciação de movimentação: serviço destinado à experiência do cliente, por ele ordenado, incluindo iniciação de procedimentos relacionados à contratação de seguro, de plano de previdência complementar aberta ou de título de capitalização, endosso, resgate ou portabilidade de plano de previdência ou de capitalização, pagamento de sorteio, aviso de sinistro, entre outros;

IX - sociedade iniciadora de serviço de seguro: sociedade anônima, credenciada pela Susep como participante do Open Insurance, que provê serviço de agregação de dados, painéis de informação e controle (dashboards) ou, como representante do cliente, com consentimento dado por ele, presta serviços de iniciação de movimentação, sem deter em momento algum os recursos pagos pelo cliente, à exceção de eventual remuneração pelo serviço, ou por ele recebidos;

X - chamada de interface: requisição de dados e de serviços apresentada pela sociedade receptora de dados à sociedade transmissora de dados;

XI - assinatura de método: identificação única de cada método, que consiste na definição do nome do método, bem como dos parâmetros de entrada e saída em uma função de programação;

XII - dados abertos de seguros: informações sobre canais de atendimento e produtos de seguro, previdência complementar aberta e capitalização, disponíveis para comercialização;

XIII - movimentação: qualquer movimento relacionado ao produto contratado junto à uma sociedade supervisionada;

XIV - dados pessoais de seguros: informações sobre cadastro de clientes, pessoas naturais ou jurídicas, e de seus representantes, movimentações relacionadas com planos de seguros, de previdência complementar aberta, assistência financeira e capitalização, incluindo as características da apólice, bilhete, certificado, contrato ou título de capitalização, e os dados de registros feitos por dispositivos eletrônicos embarcados, conectados ou usados pelo cliente; e

XV - Open Banking: sistema financeiro aberto instituído por meio de regulamentação editada pelo Banco Central do Brasil (BCB) ou pelo Conselho Monetário Nacional (CMN).

Seção II Objetivos e Princípios

Art. 3º Constituem objetivos do Open Insurance:

I - ter o cliente como seu principal beneficiado;

II - tornar seguro, ágil, preciso e conveniente para os clientes o compartilhamento padronizado de dados, previsto na Lei Geral de Proteção de Dados e demais legislações que tratam do sigilo de operações financeiras, e serviços;

III - incentivar a inovação;

IV - promover a cidadania financeira;

V - aumentar a eficiência dos mercados de seguros privados, de previdência complementar aberta e de capitalização;

VI - promover a concorrência; e

VII - ser interoperável com o Open Banking.

Art. 4º As sociedades participantes do Open Insurance devem conduzir suas atividades com ética e responsabilidade, promovendo o tratamento adequado do cliente, com observância da legislação e regulamentação em vigor, bem como dos seguintes princípios:

I - transparência;

II - segurança e privacidade de dados e de informações compartilhados no âmbito do Open Insurance;

III - livres iniciativa e concorrência;

IV - qualidade dos dados;

V - tratamento não discriminatório;

VI - reciprocidade;

VII - interoperabilidade; e

VIII - integração com o Open Banking.

CAPÍTULO III ESCOPO DO OPEN INSURANCE

Seção I Escopo de Dados e Serviços

Art. 5º O Open Insurance abrange o compartilhamento de, no mínimo, dados abertos de seguros, dados pessoais de seguros e serviços de iniciação de movimentação.

§ 1º O escopo do Open Insurance poderá contemplar outros dados e serviços, inclusive propostos pelas sociedades participantes, observados os princípios, os requisitos para compartilhamento e as demais disposições desta Resolução.

§ 2º É necessário obter consentimento do cliente para fins do compartilhamento de dados pessoais de seguros e de serviços de iniciação de movimentação, bem como dos que tratam o § 1º, no caso de dados e serviços a ele relacionados.

§ 3º O compartilhamento de dados de cadastro de clientes deve abranger, pelo menos:

I - os dados fornecidos diretamente pelo cliente ou obtidos por meio de consulta a bancos de dados de caráter público ou privado, exceto:

a) os dados classificados como dado pessoal sensível pela legislação;

b) notas, pontuações ou escores, a respeito do cliente, sobre seu: crédito, comportamento ou perfil;

c) as credenciais e outras informações utilizadas com o objetivo de efetuar a autenticação do cliente; e

II - o último dado disponível.

§ 4º O compartilhamento de dados pessoais de seguro diz respeito a dados relacionados com o cliente sobre produtos ou serviços contratados junto à sociedade transmissora de dados.

Seção II Participação no Open Insurance

Art. 6º São participantes do Open Insurance:

I - no caso de compartilhamento de dados abertos de seguros e dados pessoais de seguros:

a) de forma obrigatória, as sociedades supervisionadas enquadradas nos Segmentos 1 e 2 (S1 e S2), na forma da regulamentação específica;

b) de forma voluntária, as demais sociedades supervisionadas; e

II - no caso do compartilhamento de serviços de iniciação de movimentação:

a) de forma obrigatória, as sociedades iniciadoras de serviço de seguro; e

b) de forma voluntária, as sociedades supervisionadas, observando regulamentação da Susep.

§ 1º O compartilhamento de serviços de iniciação de movimentação pelas sociedades supervisionadas, a que se refere a alínea "b" do inciso II do caput, deve observar a natureza da respectiva sociedade supervisionada, ou seja:

I - sociedades seguradoras para serviços de iniciação de movimentação relacionados a produtos de seguros ou de previdência complementar aberta, caso possuam a devida autorização para comercializar estes últimos;

II - entidades abertas de previdência complementar para serviços de iniciação de movimentação relacionados a produtos de previdência complementar aberta; e

III - sociedades de capitalização para serviços de iniciação de movimentação relacionados a produtos de capitalização.

§ 2º É obrigatório o compartilhamento dos dados no escopo do Open Insurance, observados os prazos de implementação mencionados nesta Resolução:

I - em formato para o acesso pelo público, conforme disposto no art. 23, § 2º, para os dados abertos de seguros; e

II - entre as sociedades participantes para dados pessoais de seguros e serviços de iniciação de movimentação.

§ 3º A participação voluntária no Open Insurance, de acordo com as previsões dos incisos I ou II do caput, pressupõe o cumprimento do disposto nesta Resolução como se obrigatória fosse, incluindo a disponibilidade de interface dedicada ao compartilhamento no sistema na condição de sociedade transmissora de dados.

§ 4º Não são participantes do Open Insurance as sociedades supervisionadas que não possuem provisões técnicas.

Art. 7º As sociedades participantes devem registrar sua participação no diretório de participantes mantido por meio de sistema eletrônico, conforme dispõe o art. 39, inciso VI.

Art. 8º A Susep disciplinará os requisitos para o credenciamento e o funcionamento das sociedades iniciadoras de serviço de seguro, que são participantes, de forma obrigatória, do Open Insurance, devendo ser observada, entre outras, segurança cibernética, governança, inclusive sobre dados, práticas de conduta no que se refere ao relacionamento com o cliente e capacidade financeira.

§ 1º As sociedades iniciadoras de serviço de seguro devem:

I - ter, como objeto social exclusivo, a prestação de serviço de iniciação de movimentação no Open Insurance; ou

II - ser uma instituição iniciadora de transação de pagamento, conforme estabelecido na regulamentação do Open Banking.

§ 2º As sociedades iniciadoras de serviço de seguro poderão prestar também outros serviços ao cliente baseados nos dados compartilhados no Open Insurance desde que essas atividades guardem relação com o seu objeto social e sejam inerentes à consecução de seus objetivos.

CAPÍTULO IV REQUISITOS PARA COMPARTILHAMENTO

Seção I Solicitação de Compartilhamento

Art. 9º A solicitação de compartilhamento de dados pessoais de seguros e de serviços de iniciação de movimentação compreende as etapas do consentimento, autenticação e confirmação.

Parágrafo único. As etapas de que trata o caput devem:

I - ser efetuadas com segurança, agilidade, precisão e conveniência, por meio da interface dedicada de compartilhamento no Open Insurance;

II - ser realizadas exclusivamente por canais eletrônicos;

III - ocorrer de forma sucessiva e ininterrupta; e

IV - ter duração compatível com os seus objetivos e nível de complexidade.

Art. 10. As sociedades participantes devem assegurar a prestação de informações aos clientes de forma clara, objetiva e adequada sobre:

I - as etapas de que trata o art. 9º, bem como os procedimentos associados; e

II - o redirecionamento para outros ambientes ou sistemas eletrônicos, inclusive de outras sociedades, quando aplicável.

Seção II Consentimento

Art. 11. A sociedade receptora de dados, previamente ao compartilhamento de que trata esta Resolução, deve identificar o cliente e obter o seu consentimento.

§ 1º O consentimento mencionado no caput deve:

I - ser solicitado por meio de linguagem clara, objetiva e adequada;

II - referir-se a finalidades determinadas;

III - ter prazo de validade compatível com as finalidades de que trata o inciso II, limitado a doze meses;

IV - discriminar a sociedade transmissora de dados;

V - discriminar os dados ou serviços que serão objeto de compartilhamento, observada a faculdade de agrupamento de que trata o art. 12;

VI - incluir a identificação do cliente; e

VII - ser obtido após a data de entrada em vigor desta Resolução, com observância dos prazos de implementação estabelecidos em regulamentação.

§ 2º A alteração das condições de que tratam os incisos II a V do § 1º requer a obtenção de novo consentimento do cliente.

§ 3º É vedado obter o consentimento do cliente:

I - por meio de contrato de adesão;

II - por meio de formulário com opção de aceite previamente preenchida; ou

III - de forma presumida, sem manifestação ativa do cliente.

§ 4º É vedada a prestação de informação para a sociedade transmissora de dados sobre as finalidades referidas para o consentimento.

§ 5º A vedação de que trata o § 4º não se aplica aos casos previstos na legislação ou regulamentação em vigor.

Art. 12. Os dados objeto de compartilhamento podem ser apresentados ao cliente de forma agrupada, com base em critérios a serem elaborados nas propostas técnicas relacionadas ao Open Insurance de que trata o art. 39.

Parágrafo único. Para fins do disposto no caput, o agrupamento de dados deve:

I - ser identificado de forma clara, objetiva e adequada;

II - possibilitar a discriminação dos dados pelo cliente em nível granular; e

III - guardar relação com os dados representados em nível granular.

Art. 13. A sociedade receptora de dados deve assegurar que os dados objeto do compartilhamento sejam pertinentes às finalidades determinadas no consentimento.

Art. 14. Para o compartilhamento de serviços de iniciação de movimentação, além dos requisitos previstos no § 1º do art. 11, o consentimento denotará a representação do cliente e obedecerá a procedimentos estabelecidos em regulamentação da Susep.

Parágrafo único. A sociedade iniciadora de serviço de seguro deve solicitar o consentimento do cliente a cada novo serviço conforme definido em regulamentação da Susep.

Art. 15. As sociedades participantes devem prestar ao cliente, no mínimo, as seguintes informações sobre os consentimentos, com prazos válidos, relativos aos compartilhamentos nos quais estejam envolvidas:

I - a identificação das sociedades participantes;

II - os dados e serviços objeto de compartilhamento;

III - o período de validade do consentimento;

IV - a data de requisição do consentimento; e

V - a finalidade do consentimento, no caso de sociedade receptora de dados.

Art. 16. As sociedades participantes envolvidas no compartilhamento de dados ou serviços devem assegurar a possibilidade da revogação do respectivo consentimento, a qualquer tempo, mediante solicitação do cliente, por meio de procedimento seguro, ágil, preciso e conveniente, observado o disposto na legislação e regulamentação em vigor.

§ 1º Para os fins do disposto no caput, as sociedades devem disponibilizar ao cliente a opção da revogação de consentimento ao menos pelo mesmo canal de atendimento no qual foi concedido, caso ainda existente.

§ 2º É vedado à sociedade transmissora de dados propor ao cliente a revogação de consentimento, exceto em caso de suspeita justificada de fraude.

§ 3º A revogação de que trata o caput deve ser efetuada de forma imediata.

§ 4º A efetuação da revogação deve ser informada imediatamente para as demais sociedades participantes envolvidas no compartilhamento.

Seção III Autenticação

Art. 17. A sociedade transmissora de dados deve adotar procedimentos e controles para autenticação:

I - do cliente; e

II - da sociedade receptora de dados.

Parágrafo único. Os procedimentos e controles de que trata o caput devem:

I - no caso da autenticação de cliente, ser realizados uma única vez a cada consentimento;

II - no caso da autenticação de sociedade receptora de dados, ser realizados uma única vez a cada chamada de interface.

Art. 18. Os procedimentos e controles para autenticação de cliente devem ser compatíveis com os aplicáveis ao acesso, pelos clientes, a canais de atendimento eletrônicos disponibilizados pela sociedade, levando-se em consideração:

I - o nível de risco;

II - o tipo de dado ou serviço objeto de compartilhamento; e

III - o canal de atendimento.

§ 1º A compatibilidade de que trata o caput abrange, inclusive:

I - os fatores de autenticação;

II - a quantidade de etapas; e

III - a duração do procedimento.

§ 2º As propostas técnicas relacionadas ao Open Insurance, de que trata o art. 39, podem conter recomendações quanto a padrões relacionados aos procedimentos e controles de que trata o caput, com vistas à observância por parte das sociedades participantes do disposto no art. 9º, parágrafo único.

Art. 19. Os procedimentos e controles para autenticação de que trata esta seção devem ser compatíveis com a política de segurança cibernética da sociedade ou de gestão de riscos e controles, previstas na regulamentação em vigor.

Art. 20. É admitida a contratação de serviços para execução dos procedimentos e controles para autenticação de que trata esta seção, com observância do disposto na regulamentação vigente, no que se refere aos requisitos de segurança cibernética.

§ 1º No caso da contratação de que trata o caput, a responsabilidade para os fins desta Resolução permanece com a sociedade transmissora de dados.

§ 2º É vedada a contratação para fins da autenticação de sociedade receptora de dados da própria sociedade a ser autenticada.

Seção IV Confirmação de Compartilhamento

Art. 21. A sociedade transmissora de dados deve solicitar confirmação de compartilhamento ao cliente.

Parágrafo único. O procedimento de confirmação deve:

I - ocorrer simultaneamente aos procedimentos para autenticação de que trata o art. 17; e

II - assegurar ao cliente a possibilidade de discriminar o teor do compartilhamento, observado o escopo de dados e serviços e a faculdade de agrupamento de que tratam os arts. 5º e 12, bem como os dados ou serviços discriminados na etapa de consentimento.

Art. 22. No caso do compartilhamento de dados pessoais de seguros e de serviços de iniciação de movimentação, devem ser discriminadas na confirmação, no mínimo, as seguintes informações:

I - identificação da sociedade receptora de dados;

II - período de validade do consentimento; e

III - os dados que serão objeto de compartilhamento, com observância do escopo de dados e da faculdade de agrupamento de que tratam os arts. 5º e 12, bem como os dados ou serviços discriminados na etapa de consentimento.

Seção V Interfaces Dedicadas ao Compartilhamento

Art. 23. As sociedades participantes devem disponibilizar interfaces dedicadas ao compartilhamento de dados e serviços de que trata esta Resolução, padronizadas na forma regulamentada pela Susep.

§ 1º Os dados e serviços mencionados no caput devem ser representados em meio digital e processáveis por máquina, em formato livre de restrição quanto à sua utilização.

§ 2º No caso das interfaces para o compartilhamento dos dados abertos de seguros, as sociedades participantes devem assegurar o seu acesso gratuito ao público, com possibilidade de proposição, com base em parâmetros justificados e equitativos, por meio das propostas técnicas relacionadas ao Open Insurance de que trata o art. 39, de limites de chamadas de interface, que poderá ser regulamentado pela Susep.

Art. 24. As sociedades devem fornecer às demais participantes informações a respeito das interfaces dedicadas de forma clara, adequada à natureza do compartilhamento e acessível, inclusive com relação ao controle de versões e ao suporte à conexão.

Seção VI Disposições Gerais

Art. 25. A sociedade transmissora de dados deve prestar informações tempestivas à sociedade receptora de dados acerca da efetivação da solicitação de compartilhamento ou, se for o caso, dos motivos que impossibilitarem o compartilhamento.

§ 1º Dentre as propostas técnicas relacionadas ao Open Insurance, de que trata o art. 39, deverão ser elaborados os padrões para os motivos de impossibilidade de compartilhamento de que trata o caput.

§ 2º A impossibilidade de compartilhamento de que trata o caput deve ser devidamente documentada, acompanhada dos motivos e evidências que a fundamentaram.

Art. 26. A sociedade receptora de dados deve comunicar ao cliente a efetivação da solicitação de compartilhamento.

Parágrafo único. A comunicação de que trata o caput deve, no mínimo:

I - discriminar as finalidades determinadas do consentimento, bem como os dados e serviços objeto de compartilhamento; e

II - ser realizada por canais de atendimento eletrônicos.

Art. 27. É vedado às sociedades participantes a criação de obstáculos ao compartilhamento, tais como requisição de autorizações adicionais do cliente, validação adicional do consentimento dado pelo cliente à sociedade receptora de dados, ou instruções de acesso complexas.

Art. 28. É vedado às sociedades supervisionadas restringir, limitar ou impedir o serviço de iniciação de movimentação, bem como discriminá-lo em relação aos serviços solicitados diretamente pelo cliente, por meio dos seus canais de atendimento, ou por meio de quaisquer terceiros.

Art. 29. As sociedades participantes devem disponibilizar canal de atendimento para a prestação de suporte técnico relacionado à solicitação de compartilhamento às demais sociedades participantes, inclusive no que diz respeito:

I - às etapas de compartilhamento de dados ou serviços;

II - à conectividade com as interfaces dedicadas ao compartilhamento;

III - à indisponibilidade das interfaces dedicadas; e

IV - à confiabilidade, à integridade e à disponibilidade dos dados compartilhados.

§ 1º As sociedades participantes devem registrar no diretório de participantes a que se refere o art. 39, inciso VI, informações sobre a forma de acesso ao canal de atendimento de que trata o caput.

§ 2º O disposto neste artigo poderá ser atendido por meio da estrutura de governança responsável pelo Open Insurance.

CAPÍTULO V RESPONSABILIDADES

Seção I Responsabilidade pelo Compartilhamento

Art. 30. A sociedade participante é responsável pela confiabilidade, pela integridade, pela disponibilidade, pela segurança e pelo sigilo em relação ao compartilhamento de dados e serviços em que esteja envolvida, bem como pelo cumprimento da legislação e da regulamentação em vigor.

Seção II Diretor Responsável pelo Compartilhamento

Art. 31. As sociedades participantes devem designar diretor responsável pelo compartilhamento de que trata esta Resolução.

Parágrafo único. O diretor mencionado no caput pode desempenhar outras funções na sociedade, desde que não haja conflito de interesses.

Art. 32. O diretor responsável pelo compartilhamento deve elaborar relatório anual referente ao compartilhamento de dados e serviços em que a sociedade esteve envolvida, na data-base de 31 de dezembro.

§ 1º O relatório de que trata o caput deve abordar, no mínimo:

I - as demandas de clientes a respeito do compartilhamento registradas no período, segregando as decorrentes de fraudes das demais, com as providências adotadas para o seu tratamento;

II - as demandas do canal de atendimento para a prestação de suporte técnico, segregando as relativas a indisponibilidade das interfaces dedicadas;

III - os incidentes relacionados com a violação da segurança dos dados e informações sobre serviços relacionados ao compartilhamento, bem como as medidas adotadas para a sua prevenção e solução de que trata os art. 45, inciso III, se for o caso;

IV - os resultados dos testes de continuidade de negócios de que trata o art. 45, inciso IV, considerando os cenários de indisponibilidade das interfaces utilizadas para o compartilhamento de que trata esta Resolução; e

V - a quantidade de chamadas de interface no período, segregadas por cliente e por tipo de dado ou serviço compartilhado, bem como os indicadores referentes ao desempenho das interfaces usadas para o compartilhamento de que trata o art. 36.

§ 2º O relatório mencionado no caput deve ser apresentado ao conselho de administração ou, na sua inexistência, à diretoria da sociedade até 90 (noventa) dias corridos após a data-base.

Seção III Responsabilidade pelo Encaminhamento de Demandas

Art. 33. As sociedades supervisionadas e as sociedades iniciadoras de serviço de seguro são responsáveis por tratar as demandas encaminhadas por seus clientes a respeito do compartilhamento de dados e serviços em que estiveram envolvidas.

Parágrafo único. A exigência de que trata o caput também se aplica ao tratamento de demandas do público quanto à interface de que trata o art. 23, § 2º.

Art. 34. As sociedades supervisionadas e as sociedades iniciadoras de serviço de seguro devem informar aos seus clientes que as demandas a respeito do compartilhamento de dados e serviços podem ser apresentadas por meio:

I - dos canais de atendimento da sociedade; e

II - dos canais para encaminhamento de demandas de que trata o art. 39, inciso III, no caso de sociedades participantes do Open Insurance.

Parágrafo único. As sociedades supervisionadas e as sociedades iniciadoras de serviço de seguro devem prestar informações aos seus clientes a respeito das formas de acesso aos canais de que trata do caput.

Seção IV Mecanismos de Acompanhamento e Controle

Art. 35. As sociedades supervisionadas e as sociedades iniciadoras de serviço de seguro devem instituir mecanismos de acompanhamento e de controle com vistas a assegurar a confiabilidade, a disponibilidade, a integridade, a segurança e o sigilo do compartilhamento de dados e serviços, bem como a
implementação e a efetividade dos requisitos de que trata esta Resolução, incluindo:

I - a definição de processos, testes e trilhas de auditoria;

II - a definição de métricas e indicadores compatíveis; e

III - a identificação e a correção de eventuais deficiências.

§ 1º A definição dos mecanismos de que trata o caput deve contemplar, pelo menos:

I - os registros de consentimento, de autenticação, de confirmação e de revogação do consentimento para o compartilhamento de que trata esta Resolução, no caso de sociedades participantes do Open Insurance; e

II - as informações a respeito dos dados e serviços compartilhados, inclusive das credenciais de identificação dos clientes.

§ 2º Os mecanismos de que trata o caput devem:

I - ser submetidos a testes periódicos pela auditoria interna, quando aplicável, compatíveis com os controles internos da sociedade;

II - ser compatíveis com a política de segurança cibernética da sociedade, prevista na regulamentação em vigor; e

III - assegurar que as demais sociedades envolvidas no compartilhamento não tenham acesso às credenciais utilizadas pelo cliente para sua identificação e autenticação.

Art. 36. Os mecanismos de acompanhamento e controle da sociedade devem abranger indicadores relativos ao desempenho das interfaces usadas para o compartilhamento.

Parágrafo único. As propostas técnicas relacionadas ao Open Insurance, de que trata o art. 39, poderão conter sugestões de indicadores complementares relativos ao desempenho das interfaces de que trata o caput, bem como mecanismos de transparência e divulgação de tais indicadores ao público.

Seção V Ressarcimento de Despesas entre Sociedades Participantes

Art. 37. Admite-se o ressarcimento de despesas entre sociedades participantes decorrentes do compartilhamento de dados e serviços de que trata esta Resolução, observadas as vedações à cobrança de que trata o art. 38.

Parágrafo único. Para efeitos do disposto no caput, com relação aos dados pessoais de seguros e de serviços de iniciação de movimentação, as sociedades participantes devem assegurar:

I - o tratamento equitativo e o acesso não discriminatório de sociedades participantes, o que pressupõe, entre outros, o acesso aos dados atualizados, sem imposição de janelas de acesso e sem prioridade entre participantes; e

II - a proposição, por meio das propostas técnicas relacionadas ao Open Insurance de que trata o art. 39, com base em parâmetros justificados, aplicáveis igualmente a todas as sociedades participantes, de:

a) limites de chamadas de interface por cliente, por sociedade, por dia e por assinatura de método no caso do compartilhamento de dados pessoais de seguros; e

b) valores e forma de cobrança entre sociedades participantes.

Art. 38. É vedado o ressarcimento de despesas entre as sociedades participantes por quaisquer chamadas de interface com relação:

I - aos serviços de iniciação de movimentação; e

II - aos dados pessoais de seguros, quando não excederem os seguintes limites:

a) dez chamadas de interface ao mês, por sociedade participante, por cliente e por assinatura de método, acerca dos dados de cadastro do cliente e de seus representantes;

b) noventa chamadas de interface ao mês, por sociedade participante e por cliente, no que se refere aos dados de movimentações relacionadas com planos de seguros, de previdência complementar aberta, assistência financeira e de capitalização; e

c) trinta chamadas de interface ao mês, por sociedade participante, por cliente e por assinatura de método, acerca dos dados registrados por dispositivos eletrônicos embarcados, conectados ou usados pelo cliente.

CAPÍTULO VI PROPOSTAS TÉCNICAS RELACIONADAS AO OPEN INSURANCE

Art. 39. As sociedades participantes, por meio da estrutura inicial de governança de que trata o art. 42, devem encaminhar à Susep propostas técnicas, com observância das disposições desta Resolução, sobre aspectos relativos:

I - aos padrões tecnológicos e aos procedimentos operacionais, que abrangem, no mínimo:

a) a implementação de interfaces dedicadas de compartilhamento no Open Insurance, inclusive:

1. o desenho da interface; e

2. o protocolo para transmissão de dados;

3. o formato para troca de dados.

4. os controles de acesso às interfaces e aos dados;

b) os padrões e certificados de segurança; e

c) a solicitação de compartilhamento de dados e serviços, de forma a harmonizar:

1. as informações apresentadas aos clientes;

2. a forma de interação com os clientes; e

3. a duração das etapas;

II - à padronização do leiaute dos dados e serviços, abrangendo, inclusive:

a) o dicionário de dados; e

b) o agrupamento de dados de que trata o art. 12;

III - aos canais para encaminhamento de demandas de clientes;

IV - aos procedimentos e aos mecanismos para o tratamento e a resolução de disputas entre as sociedades participantes, inclusive as decorrentes de demandas encaminhadas por meio dos canais de que trata o inciso III;

V - ao ressarcimento entre os participantes;

VI - ao diretório de participantes;

VII - aos direitos e às obrigações dos participantes;

VIII - à integração, compatibilidade e interoperabilidade com o Open Banking; e

IX - aos demais aspectos considerados necessários para o cumprimento do disposto nesta Resolução.

§ 1º Para fins de cumprimento do disposto no caput, deve ser estabelecida estrutura responsável pela governança do processo, constituída de forma a garantir:

I - a representatividade e a pluralidade das sociedades em seus segmentos participantes;

II - o acesso não discriminatório das sociedades participantes;

III - a mitigação de conflitos de interesse; e

IV - a sustentabilidade do Open Insurance.

§ 2º As informações sobre o padrão para implementação das interfaces dedicadas de que trata o inciso I, alínea "a", do caput, inclusive os controles de versionamentos, devem ser mantidas atualizadas e acessíveis, inclusive em portal do Open Insurance.

§ 3º O inciso VIII do caput deve incluir, entre outros:

I - a capacidade do Open Insurance de se comunicar com o Open Banking provendo uma jornada de consentimento, para o cliente, integrada, em uma experiência com segurança, agilidade, precisão e conveniência;

II - a viabilidade do compartilhamento de dados com as instituições participantes do Open Banking, na condição de sociedade transmissora ou receptora de dados;

III - o estabelecimento de procedimentos e mecanismos para o tratamento e a resolução de disputas entre sociedade(s) participante(s) do Open Insurance e instituição(ões) participante(s) do Open Banking; e

IV - o ressarcimento de despesas entre sociedades participantes do Open Insurance e instituições participantes do Open Banking decorrentes do compartilhamento de dados e serviços, observadas as vedações à cobrança previstas nas respectivas regulamentações.

§ 4º As propostas técnicas de que trata o caput serão submetidas à Susep que poderá incorporar o conteúdo, no todo ou em parte, à regulamentação específica de sua responsabilidade, no que couber, ou proporá sua incorporação à regulamentação de competência do CNSP.

Art. 40. É admitido no Open Insurance o uso compartilhado da infraestrutura de suporte do Open Banking.

Art. 41. O registro no diretório de participantes caracteriza a adesão, por parte das sociedades participantes, às regras, aos procedimentos e aos padrões definidos para o Open Insurance, que devem ser observados de maneira uniforme pelas sociedades participantes.

Art. 42. A Susep estabelecerá as diretrizes para a estrutura inicial responsável pela governança do processo de implementação do Open Insurance, com base no disposto no art. 39, § 1º.

Art. 43. As propostas técnicas relacionadas ao Open Insurance devem ser submetidas para análise da Susep, respeitados os prazos regulamentados por aquela Autarquia.

CAPÍTULO VII DISPOSIÇÕES GERAIS

Art. 44. A Susep poderá disponibilizar, no Open Insurance, dados agregados ou públicos sobre as sociedades supervisionadas ou sociedades iniciadoras de serviço de seguro.

Art. 45. As sociedades participantes devem assegurar que suas políticas para gerenciamento de riscos, previstas na regulamentação em vigor, disponham, com relação à continuidade de negócios, sobre:

I - os procedimentos a serem seguidos no caso da indisponibilidade das interfaces utilizadas para o compartilhamento;

II - o prazo estipulado para reinício ou normalização da disponibilidade da interface de que trata o inciso I;

III - o tratamento de incidentes relacionados com a violação da segurança dos dados relacionados ao compartilhamento e as medidas tomadas para a sua prevenção e solução; e

IV - a execução de testes de continuidade de negócios, considerando os cenários de indisponibilidade das interfaces de que trata o inciso I e a avaliação dos seus resultados.

Art. 46. As sociedades supervisionadas e as sociedades iniciadoras de serviço de seguro devem manter à disposição da Susep pelo prazo de cinco anos:

I - as informações, de que trata o art. 15, referentes aos consentimentos em vigor;

II - as informações relativas à revogação dos consentimentos;

III - a documentação de que trata o art. 25, § 2º;

IV - o relatório de que trata o art. 32;

V - os dados, os registros e as demais informações relativas aos mecanismos de acompanhamento e de controle de que trata o art. 35.

Parágrafo único. Para fins do disposto no inciso V do caput, o prazo deve ser contado a partir da implementação dos citados mecanismos.

CAPÍTULO VIII DISPOSIÇÕES FINAIS

Art. 47. As sociedades participantes podem realizar a agregação de dados de seus clientes compartilhados no âmbito desta Resolução, desde que essa atividade guarde relação com o seu objeto social e seja inerente à consecução de seus objetivos.

Art. 48. Os seguintes prazos deverão ser observados para a implementação, em fases, do Open Insurance:

I - até 15 de dezembro de 2021, para o início do compartilhamento de dados sobre canais de atendimento e produtos de seguro, previdência complementar aberta e capitalização disponíveis para comercialização, podendo ser executada em fases, conforme cronograma estabelecido pela Susep, observada a data limite de 30 de junho de 2022 para finalização desta fase;

II - até 1º de setembro de 2022, para o início do compartilhamento de dados pessoais de seguros, podendo ser executado em fases, conforme cronograma estabelecidos pela Susep, observada a data máxima descrita no parágrafo único deste artigo; e

III - até 1º de dezembro de 2022, para início do compartilhamento de serviços de iniciação de movimentação, podendo ser executada em
fases, conforme cronograma estabelecidos pela Susep, observada a data máxima descrita no parágrafo único deste artigo.

Parágrafo único. A data final para implementação do compartilhamento de dados pessoais e de serviços previsto nos incisos II e III do caput não poderá ultrapassar 15 de junho de 2023.

Art. 49. A Susep poderá adotar as medidas necessárias para o cumprimento do disposto nesta Resolução, bem como estabelecer, entre outros:

I - o detalhamento dos dados e serviços objeto de compartilhamento; e

II - os parâmetros e demais requisitos e procedimentos operacionais, necessários para o cumprimento desta Resolução.

Art. 50. O descumprimento das medidas previstas nesta Resolução sujeitará aos responsáveis a aplicação de medidas ou penalidades administrativas previstas na regulamentação vigente ou na suspensão ou cancelamento do credenciamento, conforme o caso.

Art. 51. Esta Resolução entra em vigor em 2 de agosto de 2021.

SOLANGE PAIVA VIEIRA

Superintendente