Compliance, responsabilidade empresarial e segurança da informação

0

Por Renato Opice Blum e Emelyn Zamperlin para o Portal GRC-TI.

Introdução

Diante da facilidade e imediatismo do compartilhamento de informações, pela exposição de conteúdos, privacidade e imagens, inegavelmente, há constante preocupação com a gestão dos riscos e danos decorrentes dessas atividades.

É difícil identificar locais que não tenham suas informações e cotidiano indissociável ao uso de hardwares e softwares, aos quais confiam, inclusive, seus segredos de negócios e informações de terceiros, em diversos níveis de confidencialidade.

O Compliance conduzirá a pessoa jurídica a manter esses dados e toda sua atividade dentro dos ditames legais, utilizando a segurança da informação em prol da minimização de incidentes que impliquem na responsabilidade empresarial.

Compliance

O Compliance vai ao encontro da proteção empresarial, na medida em que possibilita a análise dos riscos, a orientação legal e moral, a prevenção e contenção de danos, e a gerência das atividades, notadamente combinada à segurança da informação.

O termo “Compliance” é utilizado para designar o conjunto de atividades empresariais, permanentes e independentes, voltadas a: i) propagar a lei, seus princípios e regulamentos internos; ii) orientar como essas normas devem ser cumpridas; iii) fiscalizar a execução dessas normas; e iv) promover, internamente, os meios necessários à aplicação de sanções a eventuais infratores; tendo por finalidade precípua salvaguardar os ativos materiais e imateriais da empresa.

Destaca-se que o Compliance não é estático, tal como um Regulamento Interno ou Termo de Confidencialidade; e, tampouco, se resume a uma mera fiscalização. O Compliance deve ser ativo, explicativo e acessível a todos, permitindo que as regras a serem seguidas sejam de conhecimento geral, que a respectiva execução seja acompanhada e que eventuais atos infratores possam ser identificados e/ou denunciados.

O Compliance não se confunde com a Auditoria Interna, sendo que, segundo a Associação Brasileira de Bancos Internacionais (ABBI) [1], a Auditoria Interna “efetua seus trabalhos de forma aleatória e temporal, por meio de amostragens, a fim de certificar o cumprimento das normas e processos instituídos pela Alta Administração”, ao passo que:

“(…) o Compliance executa suas atividades de forma rotineira e permanente, sendo responsável por monitorar e assegurar de maneira corporativa e tempestiva que as diversas unidades da Instituição estejam respeitando as regras aplicáveis a cada negócio, por meio do cumprimento das normas, dos processos internos, da prevenção e do controle de riscos envolvidos em cada atividade”.

Considerando essas definições se usa a expressão “estar Compliance”, que pode ser interpretado como “estar em conformidade”.

Preocupação iminente: responsabilidade objetiva da pessoa jurídica em atos de corrupção.

Em razão do advento da Lei 12.846/2014, conhecida como Lei Anticorrupção, o Compliance tornou-se uma das prioridades empresariais.

Referida lei dispõe sobre a responsabilidade administrativa e civil das pessoas jurídicas pela prática de atos de corrupção contra a Administração Pública, seja ela nacional ou estrangeira, ainda que os atos sejam praticados sem sua culpa.

Nestes casos, a responsabilidade empresarial é objetiva e não exclui a responsabilidade individual de dirigentes e administradores empresariais, tampouco a responsabilidade de eventuais partícipes ou coautores do ato ilícito, os quais responderão de forma subjetiva, na medida de sua culpabilidade.

Os atos que abrangem esta responsabilidade objetiva são todos aqueles que atentem contra o patrimônio público, nacional ou estrangeiro, contra princípios da Administração Pública ou contra compromissos internacionais assumidos pelo Brasil, dentre os quais se destaca a promessa, oferecimento ou doação de vantagem indevida a agente público; frustrar ou fraudar procedimento licitatório público ou o contrato dela decorrente.

Em casos de infrações, a lei prevê rígidas sanções, destacando-se a publicação da decisão condenatória; multas que variam de 0,1% a 20% do faturamento bruto do último exercício anterior ao da instauração do processo administrativo, excluídos os tributos; proibição de recebimento de incentivos, subsídios e doações de órgãos e entidades públicas; suspensão parcial ou total das atividades; e, até mesmo, a dissolução compulsória da pessoa jurídica.

À aplicação das sanções, entre outros critérios, consideram-se a gravidade da infração; o grau de lesão; a cooperação da pessoa jurídica para a apuração das infrações; a existência de mecanismos e procedimentos internos de integridade; auditoria e incentivo à denúncia de irregularidades; e aplicação efetiva de códigos de ética e de conduta no âmbito da pessoa jurídica.

Claramente, o Compliance adotado pela pessoa jurídica influenciará diretamente não só na condução e celeridade das investigações, mas também na sanção que eventualmente lhe será aplicada, pois, um bom Compliance lhe dará condições de impedir a fraude ou ao menos detectar seus vestígios.

Além disso, um Compliance efetivo lhe conduzirá à possibilidade de celebrar acordo de leniência, o qual deverá identificar envolvidos na infração, quando houver, e auxiliar a célere obtenção de informações de documentos que comprovem o ato ilícito, o que reduzirá em até 2/3 o valor da multa aplicável e lhe isentará da publicação da sentença e da proibição de receber incentivos, subsídios, subvenções, doações ou empréstimos de órgãos e entidades públicas e de instituições financeiras públicas, ou controladas pelo Poder Público.

Para a celebração desse acordo, porém, a equipe de Compliance deverá atuar de forma ativa e constante, a fim de detectar o ilícito com brevidade, a ponto de permitir que a empresa, admitindo sua participação – ainda que indiretamente – no ilícito, seja a primeira a se manifestar sobre seu interesse em cooperar para a apuração do caso.

A tecnologia da informação à serviço do compliance

A Lei Anticorrupção deixou em evidência a importância do Compliance, e, notadamente, de sua eficácia no que diz respeito à rápida detecção de ilícitos, sendo um meio importante para proteger seu ativo financeiro, sua marca, nome e reputação. Todavia, é preciso cuidar que o Compliance não está restrito a atender às expectativas desta Lei. Ao contrário, esta é apenas uma das vantagens de um bom Compliance.

Afinal, a responsabilidade da pessoa jurídica, de forma geral, vai além dos atos praticados contra a Administração Pública, estando presente em toda a atividade empresarial, destacando-se a necessidade de segurança das informações a ela confiadas e da preservação de dados, vez que necessários ao deslinde de casos apurados no Compliance.

Conforme advertem Marlon Jabbur e Cesar Atilio [2], sócio e gerente sênior, respectivamente, da área de Forensics Technlogy and Discovery Services da Ernst & Young no Brasil:

“Atualmente a maioria dos dados gerados por uma empresa durante as suas atividades são dados digitais. (…) No futuro, esta tendência deve eliminar completamente a presença de documentos físicos nas empresas. A informatização das empresas traz um impacto direto na forma como os trabalhos de Compliance são realizados, pois, o relatório contendo os resultados do trabalho será suportado, em grande parte, por dados digitais que eventualmente poderão se tornar evidências digitais em processos legais”.

Assim, o Compliance precisa utilizar a tecnologia da informação a seu favor, notadamente no que diz respeito à detecção de fraudes, vazamento de informações e preservação de dados.

Frente à Lei Anticorrupção, cumpre anotar que os órgãos públicos de fiscalização já adotam softwares que cruzam informações, visando à captação de fraudes. É o caso, por exemplo, dos programas utilizados pela Receita Federal.

Este cruzamento de informações pode ser utilizado internamente pelo Compliance, permitindo a rápida identificação de eventuais divergências, a tomada de atitudes voltadas à regularização dos atos, assim como eventuais medidas junto à Administração Pública ou terceiros, eventualmente atingidos pelo ato discrepante.

Merece atenção o fato de que o vazamento de informações pode, por um lado, atingir segredos da própria organização, e, por outro, expor dados sensíveis de terceiros, que estavam sob a custódia empresarial.

Por isso, a ética na condução dos negócios e a segurança da informação devem estar entre as prioridades do Compliance, a quem cumpre investir na conscientização e treinamento do pessoal, observando se as regras atinentes ao nível de confidencialidade das informações estão sendo seguidas, vez que há informações que não só podem, como devem ser compartilhadas para a própria realização da atividade empresarial, ao passo que outras devem ser mantidas junto à diretoria ou departamento específico.

Sobre o tema, pontua Giuliano Giova, Diretor do IBP – Instituto Brasileiro de Peritos, “Tendo a constatação de que a empresa é permeável ao vazamento, porque integrada com seus fornecedores, clientes e parceiros, ela precisa definir os pontos que considera mais críticos” [3].

Conhecendo os pontos mais críticos, a pessoa jurídica deve garantir que os atos ocorridos, especialmente nesses motes, sejam registrados e mantidos de forma a permitir o rastreamento de informações em eventual incidente de compliance, isto é, em eventual transgressão às normas.

Mais que isso, precisa ter o cuidado de utilizar técnicas forenses, que preservem as evidências digitais [4] tal como geradas originalmente, sob pena de perder informações sensíveis ao deslinde do incidente ou ver suas provas contestadas e até inutilizadas em processos administrativos e judiciais.

Considerações finais

Pesquisa [5] realizada com jovens do Brasil, Chile, Colômbia e México aponta que cerca de 45% dos entrevistados violariam as Políticas Internas sobre segurança digital corporativa.

Estudos [6] revelam que 35% das organizações conseguem rastrear falhas em alguns minutos; 22% precisam de um dia para identificar uma ameaça; 5% precisam de uma semana; e o tempo médio para detecção de riscos é de 10 horas.

Diante desses dados e das demais considerações deste artigo, pondera-se que as pessoas jurídicas precisam estar atentas ao desenvolvimento de um Compliance eficaz, norteado por Regulamento Interno que contemple temas sensíveis, como legalidade, moralidade, ética, corrupção, acesso à internet, utilização de redes sociais, envio, recebimento e cópia de arquivos, utilização e acesso de VPN (Rede Privada Virtual), classificação da confidencialidade dos documentos; utilização de hardware e software e incidentes de Compliance.

Além desses pontos, não se pode esquecer a previsão e propagação dos valores e princípios da organização, assim como das sanções, inclusive internas, aplicáveis em caso de violação da conduta esperada.

Diante das inúmeras vertentes, estar Compliance e transmitir aos colaboradores a importância deste estado é um dos principais desafios das pessoas jurídicas. Porém, se devidamente assessoradas por equipe especializada, certamente, ser e estar Compliance será um dos seus maiores ativos.

[1] Associação Brasileira de Bancos Internacionais (IBBI). Documento Consultivo. Função de Compliance. 2004. Disponível em: http://www.abbi.com.br/funcaodeCompliance.html.

[2] JABBUR, Marlon; ATILLIO, Cesar. Introdução à Computação Forense. In: DEBBIO, Alessandra Del; MAEDA, Bruno Carneiro; AYRES, Carlos Henrique da Silva. Temas de Anticorrupção & Compliance. Rio de Janeiro. Editora Elsevier. 2013, p. 286.

[3] Disponível em: http://www.amcham.com.br/impactos-legislativos-e-juridicos/noticias/empresas-tem-de-proteger-areas-estrategicas-de-ataques-ciberneticos.

[4] “Evidências digitais podem ser definidas como o conjunto de dados e as informações associadas (metadados) a estes que foram coletadas através de técnicas de computação forense (…) ao coletarmos a imagem de um disco rígido (…) teremos ao final do processo um conjunto de dados que estavam armazenados no disco rígido de origem e, além disso, coletaremos diversas informações relacionadas ao próprio disco rígido e fabricante. (…) Ao coletarmos dados digitais para análise, temos que nos precaver contra dois grandes perigos: perda e alteração. Se as ferramentas adequadas (software e hardware) não forem utilizadas e os cuidados necessários não forem tomados, dados importantes podem ser sobrescritos e perdidos totalmente ou então pode ocorrer apenas uma perda parcial dos dados ou metadados – o que pode alterar o significado ou apagar irreversivelmente informações críticas”. JABBUR, Marlon; ATILLIO, Cesar. Introdução à Computação Forense. In: DEBBIO, Alessandra Del; MAEDA, Bruno Carneiro; AYRES, Carlos Henrique da Silva. Temas de Anticorrupção & Compliance. Rio de Janeiro. Editora Elsevier. 2013, p. 286 – 291.

[5] Disponível em: http://www.administradores.com.br/noticias/tecnologia/jovens-nao-se-importam-com-politicas-de-seguranca-digital-das-empresas-aponta-pesquisa/82248/.

[6] Disponível em: http://www.mcafee.com/hk/resources/reports/rp-needle-in-a-datastack.pdf. 


renatoRenato Opice Blum, Mestre pela Florida Christian University, advogado e economista; Professor coordenador do curso de Direito Digital do INSPER, presidente do Conselho IT, Compliance e Educação Digital da Fecomercio.

 

Emelyn Zamperlin. Advogada no Opice Blum, Bruno, Abrusio e Vainzof. Bacharel pela Faculdade de Direito São Bernardo do Campo. Pós graduanda em Direito e Tecnologia pelo PECE POLI USP.

Compartilhe:

Comentários encerrados.