Newsletter de Compliance – Julho de 2020
Compliance: Atenção aos riscos e foco na transformação tecnológica
Fonte: Jornal Contábil
Sabemos que nas crises surgem inúmeras oportunidades, tanto para o bem quanto para o mal. Isso pode ser visto claramente neste cenário provocado pela pandemia do novo Corona vírus.
Logo, este é o momento que os profissionais devem estar atentos, principalmente os ligados à área de Compliance, pois os riscos aumentam.
Em um momento no qual o mundo dos negócios se vê obrigado a mudanças drásticas e repentinas, a tendência é que o escrutínio regulatório aumente devido a possibilidade de maior exploração pelos infratores.
Com tantas incertezas no cenário global e não sabendo ao certo quais reais impactos sociais e econômicos, ambientais e até mesmo culturais, a pandemia causará, os riscos inadvertidamente aparecerão podendo impactar o atingimento dos objetivos das empresas e de seus Programas de Compliance.
Neste cenário estão ocorrendo alterações em vários processos operacionais e estratégicos das empresas, e isso demanda aplicações de novos controles de monitoramento.
Cabendo às empresas não negligenciarem e estarem aptas a identificar as potenciais oportunidades de melhoria para mitigação dos riscos. Além de aderirem e cumprirem leis e regramentos que surgem devido ao vírus.
Assim, devem se proteger de modo ainda mais eficaz para cumprimento das suas obrigações legais, inclusive respeitando cuidadosamente as ordens de emergência do governo levando em consideração as legislações de saúde e segurança ocupacional e as de caráter ambiental.
Além de monitorar todas as suas obrigações normais de curso, durante e após a pandemia, uma vez que podem ser responsabilizadas criminalmente por ações indevidas de funcionários, contratados ou contrapartes.
Ponto fundamental, é entender que o profissional de Compliance é responsável pela implementação e monitoramento de processos de Gestão de Riscos que facilitem identificar, mensurar, priorizar e mitigar os riscos, mas é imperativo que todos os colaboradores da empresa entendam sua responsabilidade pela execução destes, e não se abstenham ou se omitam como se fosse a área de Compliance a única responsável.
O comprometimento com a implementação e cumprimento dos Programas, para que estes estejam plenamente integrados às operações é inegociável, gerando vantagem competitiva no mercado, além de todos os benefícios usuais quando cumpridos adequadamente.
Um fator de primordial importância para perfeitos monitoramentos é a correta implementação de todos os pilares necessários para um Programa de Compliance: comprometimento e apoio da alta direção (instância responsável pelo Programa), análise de perfil e riscos, regras e instrumentos, monitoramento contínuo, treinamentos, auditorias dentre outros.
Que visarão a mitigação de todos os riscos sejam eles: financeiro, trabalhista, regulatório, responsabilidade social, imagem da empresa, tributário, anticorrupção, privacidade de dados e segurança da informação.
E esse momento impacta também na transformação tecnológica e capacidade digital, demandando adaptações e evoluções na dinamização dos processos e controles, tornando-os ainda mais automatizados para sustentarem seus negócios, com sistemas mais práticos e interfaces intuitivas para interação entre funcionários e também colaboradores, buscando a otimização de toda a cadeia onde as informações poderão ser identificadas sempre em tempo real e o monitoramento ser realizado de modo eficaz e seguro.
Por isso a importância do alinhamento com a área de tecnologia e segurança da informação, vez que podem ocorrer fraudes e atos ilícitos sem uma segurança cibernética adequada visto que muitos colaboradores têm trabalhado em home office e alguns sem as proteções necessárias nos equipamentos de trabalho.
Por isso a importância da elaboração, implementação, treinamento e comunicação fácil e abrangente para os funcionários e grupos aplicáveis, para que todos tenham o conhecimento da necessidade de estar em conformidade com as leis e regulamentos internos e externos.
Nesse período alguns riscos já podem ser identificados como por exemplo: devido aos impactos econômicos negativos que muitas empresas sofrerão, seus representantes podem sentir-se tentados a manipulações para atingimento de metas da própria empresa, benchmarks ou até mesmo desempenhos individuais visando recebimento de incentivos.
Outro exemplo são as dificuldades que muitas empresas já vêm enfrentando no gerenciamento das suas cadeias de suprimentos de materiais.
Com a demanda por bens essenciais aumentando suas cadeias precisam manter-se ou até expandir, e aí entra a importância de conhecer profundamente seu cliente, aplicando due diligence em relação aos contratados e fornecedores.
Ocorrerão adaptações nos códigos de ética e de conduta, com novos regramentos comportamentais de acordo com o atual momento e prevenindo possíveis eventos futuros de mesma natureza.
Além também de estarem ocorrendo alterações legislativas e flexibilizações, que devem impactar no monitoramento das relações com agentes públicos.
A pergunta que fica é: depois que passarem todas as incertezas desse surto pandêmico, os processos de Compliance serão realmente transformados ou continuarão a ser aplicados em suas formas pré-pandêmicas?
Uma coisa é certa, o status-quo mudou e as empresas deverão se readequar de acordo com os as suas necessidades e novas possibilidades encontradas, sempre com planejamento, estratégia e governança adequados, visando estabilizar relações de confiança entre stakeholders nacionais e estrangeiros.
Observação CM Advogados: Como se sabe, a pandemia do novo coronavírus alterou substancialmente a dinâmica empresarial de diversas instituições do cenário econômico brasileiro. Diante das alterações promovidas pela nova forma de operação imposta pela crise, muitas empresas tiveram que alterar completamente sua organização. Nesse sentido, é importante que o organismo de conformidade empresarial esteja atento às operações da empresa no contexto atual, promovendo e consolidando a cultura de integridade, para que seja possível evitar que com as novas alterações empresariais também possam surgir irregularidades que certamente serão prejudiciais no day after.
Startups, vantagens de investir em programas de compliance
Fonte: Jornal Contábil
Startups que já podem ser consideradas de médio e grande porte, com um número maior de funcionários, processos mais complexos e alto investimento, precisam incluir um programa de compliance na sua lista de prioridades.
A iniciativa é especialmente importante para as empresas que atuam em segmentos fortemente regulados, como o mercado financeiro. Porém, deve ser considerada em todos os casos, principalmente pela necessidade de se adequar à LGPD, a Lei Geral de Proteção de Dados.
Diferencial para obter financiamento e evitar prejuízos
Startups maiores enfrentam processos altamente rigorosos para obter aportes financeiros, pois os valores envolvidos podem chegar à casa dos bilhões.
Ter um programa de compliance já implementado durante a captação de recursos é um diferencial fundamental, que agrega credibilidade.
Do ponto de vista do investidor, significa que a startup age de maneira proativa para evitar corrupção e afastar o risco de sanções pelo descumprimento de normas legais. Resumindo, é mais seguro colocar seu capital ali.
Supondo que uma startup não implemente um programa de compliance e acabe violando alguma norma jurídica em suas operações, ela estará sujeita às sanções cabíveis.
Essas sanções frequentemente ocorrem na forma de multas. Sem mencionar, ainda, os gastos com ações judiciais.
Isso se torna ponto crítico se for considerado que, mesmo as startups mais robustas, podem ainda não gerar lucro suficiente para ter as reservas necessárias para arcar com despesas como essas sem prejudicar suas operações.
Desta maneira, um programa de compliance também ajuda a evitar prejuízos associados à desconformidade.
Reputação preservada
O processo de consolidação da marca de uma startup é longo, e precisa estar em constante manutenção junto ao público geral. A última coisa que qualquer empresa precisa é de um escândalo que prejudique sua reputação no mercado.
As questões que envolvem atendimento à LGPD são exemplos de potenciais problemas nesse sentido. Até mesmo gigantes como o Facebook tornaram-se alvo de discussões e críticas severas pela tratamento inadequado dos dados de seus clientes. As startups não estão livres desse tipo de cobrança.
O Facebook já era uma empresa consolidada quando o escândalo de dados envolvendo a Cambridge Analytica começou. Mesmo assim, muitos usuários perderam a confiança na empresa, que precisou rapidamente tomar medidas para evitar a perda de clientes.
Para uma startup, os efeitos de estar associada a práticas inadequadas no tratamento de dados pessoais podem ser muito mais graves e mais difíceis de contornar.
Da mesma forma que o programa de compliance tende a evitar prejuízos financeiros decorrentes de desconformidade legal, também atuará contra danos à reputação.
Em outras palavras, contribui para proteger a marca, fazendo com mantenha uma imagem positiva frente a clientes, investidores, parceiros e fornecedores. É investimento que garante retornos imediatos e futuros.
Observação CM Advogados: Com o crescente desenvolvimento de empresas na forma de startups no cenário econômico global, naturalmente houve aumento na fiscalização desse modelo pelos órgãos regulatórios. Conforme abordado na notícia, muitas dessas empresas atuam com ramos da tecnologia e utilizam dados pessoais em seus projetos. Diante disso, com o advento da LGPD e das legislações existentes, imprescindível se faz que essas empresas detenham minucioso controle de suas atividades para que não incorram em qualquer irregularidade no desenvolvimento de suas atividades. Além disso, uma startup com programa de compliance ativo, além de evitar multas e sanções, promove confiança no mercado o que gera maior número de investidores.
Adequação à LGPD é obrigação legal de empresas
Fonte: Jornal do Comércio
O impasse quanto ao início da vigência da Lei Geral de Proteção de Dados (LGPD) não impediu que muitas empresas já se adequassem às exigências. Embora o Brasil tenha sofrido 24 bilhões de tentativas de ataques cibernéticos em 2019, segundo a Fortinet, empresa multinacional de segurança de informações na internet, algumas companhias não estão preparadas.
Uma pesquisa pensada pela Biolchi Empresarial e coordenada pelo Instituto Index com mil empresas gaúchas mostra que 636 não estão adequadas e nem planejam implementar qualquer tipo de programa de adequação à LGPD. O cenário e as incertezas referentes à implementação da lei preocupam especialistas.
São muitos os decretos e decisões acerca a vigência da LGPD, sancionada em 2018. Se o Congresso Nacional validar a Medida Provisória nº 959 até o final de agosto de 2020, a LGPD entrará em vigor em maio de 2021 e as penalidades passarão a ser aplicadas em agosto de 2021. “Caso a MP nº 959 não seja recepcionada pelo Congresso é caduca, volta a valer a data de vigência original da LGPD, que seria em agosto desse ano, tornando a lei imediatamente vigente”, explica a advogada especialista em LGPD da Biolchi Empresarial, Gabriela Totti Biolchi.
Além das 636 organizações que não pretendem implementar um programa de adequação à LGPD, a pesquisa também indicou que, das mil empresas gaúchas de diferentes tamanhos e segmentos entrevistadas, 105 já têm algum programa instalado e outras 259 ainda vão implementar. Para Gabriela, o número de empresas que não estão preparadas para a LGPD é o mais assustador. “Tenho a sensação de que essas empresas não têm dimensão do que é a lei e dos impactos que ela pode trazer.”
Por ser uma obrigação legal, se adequar às exigências não é uma opção. Gabriela argumenta que alguns fatores, como a falta de uma autoridade nacional constituída, podem passar certa falta de credibilidade. A advogada especialista em Direito Digital e LGPD Martha Leal concorda que esses fatores possam ser empecilhos. “Infelizmente, a maior parte das empresas que ainda não se preparou é porque desconhece a lei e seus efeitos ou porque aposta que ela não vai pegar, mas ela já pegou.”
Em abril, a plataforma de videoconferências Zoom registrou o vazamento de dados de mais de 500 mil usuários. No início do mês, 150 usuários do Twitter tiveram suas contas hackeadas e oito tiveram dados roubados. Ainda, os Estados Unidos pensam em banir o aplicativo TikTok do país por causa de escândalos envolvendo roubo de dados. Martha atenta para o fato de que isso é, sim, uma realidade. "Embora essas e outras grandes empresas sejam mais visadas, a LGPD não faz distinção por porte ou faturamento. Todas devem se adequar", acrescenta.
Para compreender melhor essa situação, o advogado especialista em Direito Administrativo e Compliance Luiz Paulo Germano explica que há duas circunstâncias diferentes de roubo e vazamento de dados. Segundo ele, a primeira é a falta de segurança em relação a determinados mecanismos, páginas e aplicativos que não são claros quanto a maneira que utilizarão e guardarão os nossos dados, situação que poderia ser solucionada com a LGPD. "A segunda circunstância é o furto de dados para crimes. Ninguém imagina que o Twitter e o Facebook são ferramentas feitas para dar golpes, mas eventualmente hackers se aproveitam da insegurança dos sistemas para roubar dados e cometer outros crimes."
A partir de dados dispostos em plataformas como essas, é possível cometer crimes de falsidade ideológica, clonagem de cartão de crédito e outros golpes. A lei, inclusive, serve também à telemedicina. Segundo a Secretaria Estadual da Segurança Pública (SSP-RS), o Estado teve 10,5 mil registros de golpes só em abril de 2020, 35,8% a mais do que no mesmo período do ano passado. "É importante lembrar que a LGPD não trata apenas de roubo e vazamentos de dados e que também não fala exclusivamente de ambientes digitais. A proteção de dados pessoais, de clientes e funcionários, é de interesse de empresas físicas também", complementa Germano.
Por conta da variedade de exigências e abrangências da lei, os processos de adequação podem ser diferentes para cada empresa. "Existem complexidades maiores em determinados modelos de negócios, volumes e tipos de dados pessoais tratados. Acredito que àquelas empresas que nunca trabalharam com processos de compliance e sistemas de gestão, não têm uma cultura de cuidado com as informações que coletam e armazenam e, por isso, terão mais dificuldades", contextualiza Martha.
Gabriela alerta ainda que, as organizações que ainda não começaram, devem dar início ao processo. "É melhor uma empresa estar em processo de adequação do que não estar. Se acontecer algum incidente e a empresa conseguir demonstrar que estava em processo de adequação e preocupada em proteger esses dados, pode conseguir que uma responsabilização seja minimizada."
Observação CM Advogados: A Lei Geral de Proteção de Dados Pessoais- LGPD, como se sabe, constituiu importante marco legislativo para a segurança de dados pessoais, principalmente no tocante ao tratamento desses por diversas instituições. Devida a pandemia do novo coronavírus, muitas empresas prorrogaram a implementação desses programas com a esperança de que a lei não tenha vigência, o que de fato pode ou não ocorrer. Fato é que, conforme explicado no artigo, a implementação de mecanismos de conformidade com a lei constitui obrigação legal passível de multa e outras sanções em caso de infração, que não deve em hipótese alguma ser desconsiderada pelas empresas. Finalmente, cabe mencionar que o programa de compliance empresarial é organismo completamente hábil a encabeçar a implementação de mecanismos de cumprimento da LGPD, promovendo a interação entre todos os setores de uma instituição e com isso garantindo a máxima segurança no tratamento de dados.
Colaboradores responsáveis
Marco Aurélio de Carvalho – OAB/SP 197.538
Celso Cordeiro de Almeida e Silva – OAB/SP 161.995
Pedro Gomes Miranda e Moreira – OAB/SP 275.216
Aline Cristina Braghini – OAB/SP 310.649
Leonardo Angelo Vaz – OAB/SP 367.718
João Paulo Dias Morandini – OAB/SP 229.397-E
