Arquivo da categoria: Controles Internos

Conformidade, Controles Internos, Fraude, GDPR, Gestão empresarial, Risco Empresarial

Autoridade Nacional de Proteção de Dados e a proteção de dados pessoais – Parte 3

Este é o terceiro e último artigo sobre a Lei de Proteção de Dados Pessoais. Neste último artigo abordamos a MP 869 que cria a Autoridade Nacional de Proteção de Dados (ANPD) e dispõe sobre a proteção de dados pessoais.

A Medida Provisória Nº 869 de 28/12/2018

Segundo esta MP, a ANPD terá a seguinte composição:

  1. Conselho Diretor, órgão máximo de direção;
  2. Conselho Nacional de Proteção de Dados Pessoais e da Privacidade;
  3. Corregedoria;
  4. Ouvidoria;
  5. Órgão de assessoramento jurídico próprio;
  6. Unidades administrativas e unidades especializadas necessárias à aplicação do disposto na Lei 13.709.

O Conselho Diretor da ANPD será composto por cinco diretores, incluindo o Diretor-Presidente, todos nomeados pelo Presidente da República, com mandatos de quatro anos.

lei de protecao de dados imagem

Caberá à ANPD os seguintes papéis:

  1. zelar pela proteção dos dados pessoais;
  2. editar normas e procedimentos sobre a proteção de dados pessoais;
  3. deliberar, na esfera administrativa, sobre a interpretação desta lei, suas competências e os casos omissos;
  4. requisitar informações, a qualquer momento, aos controladores e operadores de dados pessoais que realizem operações de tratamento de dados pessoais;
  5. implementar mecanismos simplificados, inclusive por meio eletrônico, para o registro de reclamações sobre o tratamento de dados pessoais em desconformidade com esta lei;
  6. fiscalizar e aplicar sanções na hipótese de tratamento de dados realizado em descumprimento à legislação;
  7. comunicar às autoridades competentes as infrações penais das quais tiver conhecimento;
  8. comunicar aos órgãos de controle interno o descumprimento do disposto nesta lei praticado por órgãos e entidades da administração pública federal;
  9. difundir na sociedade o conhecimento sobre as normas e as políticas públicas de proteção de dados pessoais e sobre as medidas de segurança;
  10. estimular a adoção de padrões para serviços e produtos que facilitem o exercício de controle e proteção dos titulares sobre seus dados pessoais;
  11. elaborar estudos sobre as práticas nacionais e internacionais de proteção de dados pessoais e privacidade;
  12. promover ações de cooperação com autoridades de proteção de dados pessoais de outros países, de natureza internacional ou transnacional;
  13. realizar consultas públicas para colher sugestões sobre temas de relevante interesse público na área de atuação da ANPD;
  14. realizar, previamente à edição de resoluções, a oitiva de entidades ou órgãos da administração pública que sejam responsáveis pela regulação de setores específicos da atividade econômica;
  15. articular-se com as autoridades reguladoras públicas para exercer suas competências em setores específicos de atividades econômicas e governamentais sujeitas à regulação;
  16. elaborar relatórios de gestão anuais acerca de suas atividades.

O Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (CNPDPP) será composto por 23 representantes, titulares suplentes, dos seguintes órgãos:

  1. seis do Poder Executivo Federal;
  2. um do Senado Federal;
  3. um da Câmara dos Deputados;
  4. um do Conselho Nacional de Justiça;
  5. um do Conselho Nacional do Ministério Público;
  6. um do Comitê Gestor da Internet no Brasil;
  7. quatro de entidades da sociedade civil com atuação comprovada em proteção de dados pessoais;
  8. quatro de instituições científicas, tecnológicas e de inovação;
  9. quatro de entidades representativas do setor empresarial relacionado à área de tratamento de dados pessoais.

O CNPDPP terá as seguintes atribuições:

  1. propor diretrizes estratégicas e fornecer subsídios para a elaboração da Política Nacional de Proteção de Dados Pessoais e da Privacidade e para a atuação da ANPD;
  2. elaborar relatórios anuais de avaliação da execução das ações da Política Nacional de Proteção de Dados Pessoais e da Privacidade;
  3. sugerir ações a serem realizadas pela ANPD;
  4. elaborar estudos e realizar debates e audiências públicas sobre a proteção de dados pessoais e da privacidade;
  5. disseminar o conhecimento sobre a proteção de dados pessoais e da privacidade à população em geral.

 

Esta MP está em vigor, porém para sua vigência permanente necessita de aprovação pelo Congresso Nacional.

 

José Ricardo Formagio Bueno – engenheiro e consultor especialista em gestão de Arquitetura Empresarial, Automação e Robotização de processos. CEO e Fundador da Automatum Soluções Empresariais – Automatum

Padrão
Conformidade, Controles Internos, Cultura e Estilo, Fraude, Risco Empresarial

A fraude (e a corrupção) numa ótica corporativa

Recentemente [já há mais de 1 ano] vimos que a Petrobras chegou a um acordo histórico e bilionário nos EUA para o principal processo coletivo contra ela (lá chamado de “class-action”) devido a fraude e a corrupção nas suas demonstrações financeiras.Petrobras-59-640x341

A linha central do processo contra a Petrobras se baseia na distorção das demonstrações financeiras, relatórios de ativos, passivos, receitas, despesas, de patrimônio, e de fluxo de caixa. De uma forma ou outra, a corrupção levou a fraude desses relatórios e, consequentemente, lesou os investidores que confiaram nas informações dos relatórios para investir ou manter seus investimentos nas ações da empresa.

A Petrobras tem suas ações negociadas na Bolsa de Nova Iorque e para isso tem seu registro com a SEC, a CVM americana. Por decorrência, ou melhor, para ter essa oportunidade de listagem de suas ações lá, se sujeita às leis, regulamentos e regras do mercado de capitais americano.

As regras para empresas estrangeiras registradas nos EUA permitem que os relatórios (as chamadas demonstrações financeiras) sejam apresentados nas regras contábeis internacionais, o IFRS integral, sem a necessidade de se adotar a regra contábil americana que é muito semelhante. Por outro lado, a regra americana exige que a empresa tenha os controles internos e procedimentos para fins de relatórios financeiros, estabelecidos, documentados, testados e mantidos de forma a assegurar sua efetividade (conhecida como SOX 404 – Seção 404 da Lei Sarbanes-Oxley).

A ocorrência de fraudes nas demonstrações financeiras derivadas de corrupção ou não, tem demonstrado que para muitas organizações, alcançar o objetivo do cumprimento da seção 404 da Lei Sarbanes-Oxley tem sido muito mais desafiador do que originalmente previsto. Muitas empresas subestimam o escopo necessário da documentação, avaliação e teste, bem como os requisitos de pessoal e agora descobrem vários problemas de controle interno não antecipados.depositphotos_118831650-stock-illustration-fraud-alert-stamp

É sempre interessante notar que há prevalentemente, além de outras, três condições presentes em circunstâncias de fraude nas corporações. São elas:

➢     Incentivo ou pressão para se cometer uma fraude – tão sucinto e completo pois de uma forma ou outra se relaciona com valores que geram incentivo ou pressão no indivíduo;

➢     Percepção da oportunidade de cometer fraudes (por exemplo, a ausência de controles ou sua inefetividade, ou ainda a capacidade do gestor de se sobrepor aos controles, oferecem uma oportunidade de fraude para ser perpetrada);

➢     Capacidade de racionalizar quando se comete um ato fraudulento. Alguns indivíduos possuem uma atitude, caráter ou conjunto de valores éticos [ou antiéticos] que lhes permite conscientemente e intencionalmente cometer um ato desonesto. No entanto, mesmo outros indivíduos honestos podem cometer fraude em um ambiente que impõe pressão suficiente sobre eles. Quanto maior o incentivo ou a pressão, mais provável que um indivíduo possa ser capaz de racionalizar a aceitabilidade de se cometer uma fraude.

Há dois grupos ou tipos de distorções intencionais e relevantes: as resultantes de relatórios financeiros fraudulentos e as de apropriação indevida de ativos, que também geram relatórios financeiros distorcidos.

➢     distorções resultantes de relatórios financeiros fraudulentos são intencionais, incluindo omissões de montantes ou divulgações em demonstrações financeiras destinadas a enganar os usuários da demonstração financeira.

➢     distorções resultantes da apropriação indevida de ativos, que também geram relatórios financeiros distorcidos (às vezes referidos como roubo ou desfalque) envolvem o roubo ou desvio de ativos de uma entidade onde o efeito causa a não apresentação das demonstrações financeiras, em todos os aspectos relevantes, em conformidade com as respectivas regras contábeis. A apropriação indevida de ativos pode ser acompanhada de registros falsos ou enganosos, possivelmente criados para contornar os controles, a fim de ocultar o fato de que os ativos não existem ou foram entregues a terceiros sem a devida autorização.

Tipicamente do ponto de vista corporativo, o termo “fraude” refere-se a um ato intencional por um ou mais indivíduos, incluindo a administração; aqueles encarregados da governança, funcionários ou terceiros; envolvendo o uso de engano para obter uma vantagem injusta ou ilegal. Uma fraude pode causar, ou não, um efeito e/ou uma distorção material significativa nas demonstrações financeiras.

A responsabilidade primária pela prevenção e detecção de fraudes reside nos organismos de governança (incluindo os comitês e conselhos) e gestão (a diretoria executiva, usualmente estatutária) da entidade. É muito importante que esses organismos coloquem forte ênfase na prevenção e detecção de fraude, o que certamente pode reduzir as oportunidades de fraudes, bem como persuadir indivíduos a não cometerem fraude pela probabilidade de detecção e punição.

Certamente essa busca envolve se criar e manter uma cultura de honestidade e comportamento ético, assim como se estabelecer controles apropriados de prevenção, dissuasão e detecção de fraudes.

 

Texto revisto e atualizado, da versão originalmente publicada em fevereiro de 2018 no blog do autor na ACIC. Jarib B D Fogaça é sócio na JFogaça Assessoria, Diretor Adjunto na ACIC, e conselheiro independente.

Padrão
Conformidade, Conhecimento, Controles Internos, Opinião, Risco Empresarial

Direitos e penalidades previstos na lei brasileira de proteção de dados – Parte 2

Em nosso último artigo começamos a falar sobre a Lei Brasileira de Proteção de Dados Pessoais (LPDP), seu alcance, tratamento e também as condições em que se aplicam seu término. Neste, vamos ampliar um pouco mais o tema e tratar sobre os direitos garantidos para dados pessoais, inclusive internacionalmente, e quais são as sanções aplicadas em caso de infrações.

Os direitos garantidos pela LPDP para o titular dos dados

A LPDP garante a titularidade dos dados pessoais bem como o direito de obter do controlador, a qualquer momento e mediante requisição:

  1. confirmação da existência de tratamento;
  2. acesso aos dados;
  3. correção de dados incompletos, inexatos ou desatualizados;
  4. anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta lei;
  5. portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa e observados os segredos comercial e industrial, de acordo com a regulamentação do órgão controlador;
  6. eliminação dos dados pessoais tratados com o consentimento do titular;
  7. informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
  8. informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
  9. revogação do consentimento.

Tratamento de dados pessoais pelo poder público

O tratamento de dados pessoais pelas pessoas jurídicas de direito público deverá ser realizado quando se tratar de uma finalidade pública, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público, desde que:

  1. sejam informadas as hipóteses para o tratamento de dados pessoais, fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades, em veículos de fácil acesso, preferencialmente em seus sítios eletrônicos;
  2. seja indicado um encarregado quando realizarem operações de tratamento de dados pessoais.

Um ponto importante a destacar é que os serviços notariais e de registro exercidos em caráter privado, por delegação do poder público, terão o mesmo tratamento dispensado às pessoas jurídicas referidas acima. Da mesma forma, as empresas públicas e as sociedades de economia mista, quando estiverem operacionalizando políticas públicas e no âmbito da execução delas, terão o mesmo tratamento dispensado aos órgãos e às entidades do poder público mencionados acima.

Os dados deverão ser mantidos em formato interoperável e estruturado para o uso compartilhado, com vistas à execução de políticas públicas, à prestação de serviços públicos, à descentralização da atividade pública e à disseminação, e ao acesso das informações pelo público em geral.

LPDP 2a parteQuando houver infração a esta lei em decorrência do tratamento de dados pessoais por órgãos públicos, a autoridade nacional poderá enviar informe com medidas cabíveis para fazer cessar a violação.

 

Transferência internacional de dados

A LPDP estabelece alguns casos possíveis para a transferência internacional de dados:

  1. para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto na lei;
  2. quando o controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos nesta lei, na forma de:
  1. cláusulas contratuais específicas para determinada transferência;
  2. cláusulas-padrão contratuais;
  3. normas corporativas globais;
  4. selos, certificados e códigos de conduta regularmente emitidos;
  1. quando a transferência for necessária para a cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução, de acordo com os instrumentos de direito internacional;
  2. quando a transferência for necessária para a proteção da vida ou da incolumidade física do titular ou de terceiro;
  3. quando a autoridade nacional autorizar a transferência;
  4. quando a transferência resultar em compromisso assumido em acordo de cooperação internacional;
  5. quando a transferência for necessária para a execução de política pública ou atribuição legal do serviço público;
  6. quando o titular tiver fornecido o seu consentimento específico e em destaque para a transferência, com informação prévia sobre o caráter internacional da operação, distinguindo claramente esta de outras finalidades;
  7. para o cumprimento de obrigação legal ou regulatória pelo controlador;
  8. quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
  9. para o exercício regular de direitos em processo judicial, administrativo ou arbitral.

 

Segurança e sigilo dos dados

Os agentes de tratamento de dados devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

No caso de ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, cabe ao controlador comunicar o fato à autoridade nacional e ao titular. A comunicação será feita em prazo razoável, conforme definido pela autoridade nacional, e deverá mencionar, no mínimo:

  1. a descrição da natureza dos dados pessoais afetados;
  2. as informações sobre os titulares envolvidos;
  3. a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;
  4. os riscos relacionados ao incidente;
  5. os motivos da demora, no caso de a comunicação não ter sido imediata;
  6. as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.

De acordo com a gravidade do incidente, a autoridade nacional poderá determinar ao controlador a adoção de providências, tais como:

  1. ampla divulgação do fato em meios de comunicação;
  2. medidas para reverter ou mitigar os efeitos do incidente.

Para preservar os dados pessoais e diminuir os riscos de incidentes, a autoridade nacional estimulará a adoção de padrões de que facilitem o controle pelos titulares dos seus dados pessoais e adicionalmente de boas práticas e governança que minimizem os incidentes de segurança e sigilo dos dados pessoais, e que as mesmas estejam adaptadas à escala e ao volume das operações dos controladores e operadores, bem como à sensibilidade dos dados tratados.

Penalidades da LPDP

Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas na lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:

  1. advertência, com indicação de prazo para adoção de medidas corretivas;
  2. multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
  3. multa diária, observado o limite total a que se refere o item ii;
  4. publicização da infração após devidamente apurada e confirmada a sua ocorrência;
  5. bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
  6. eliminação dos dados pessoais a que se refere a infração.

As sanções serão aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa, de acordo com as peculiaridades do caso concreto e considerados os seguintes parâmetros e critérios:

  1. a gravidade e a natureza das infrações e dos direitos pessoais afetados;
  2. a boa-fé do infrator;
  3. a vantagem auferida ou pretendida pelo infrator;
  4. a condição econômica do infrator;
  5. a reincidência;
  6. o grau do dano;
  7. a cooperação do infrator;
  8. a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados;
  9. a adoção de política de boas práticas e governança;
  10. a pronta adoção de medidas corretivas;
  11. a proporcionalidade entre a gravidade da falta e a intensidade da sanção.

A LPDP entra em vigor 18 meses após sua publicação que foi em 14 de agosto de 2018. Período este em que as empresas deverão criar, adaptar, transformar e melhorar seus processos, procedimentos, métodos, sistemas, bases de dados para mitigar os riscos de incidentes de segurança e sigilo de dados.

Cabe ressaltar que a Autoridade Nacional de Proteção de Dados prevista nesta lei foi vetada pelo Poder Executivo em virtude que a criação da ANPD é de alçada deste Poder. Por esta razão foi publicada a Medida Provisória Nº 869 de 28/12/2018 que cria a ANPD.

Publicaremos um terceiro artigo sobre este tema no próximo mês.

 

José Ricardo Formagio Bueno – engenheiro e consultor especialista em gestão de Arquitetura Empresarial, Automação e Robotização de processos. CEO e Fundador da Automatum Soluções Empresariais – Automatum

Padrão
Conformidade, Conhecimento, Controles Internos, GDPR, Gestão empresarial

A Lei Brasileira de Proteção de Dados Pessoais – Lei 13.709 de 14/08/2018

Em nosso último artigo, discutimos a “General Data Protection Regulation”, conhecida como GDPR, no contexto da União Europeia. Nos próximos, abordaremos a Lei 13.709 de 14 de agosto de 2018 que dispõe sobre a Lei Proteção de Dados Pessoais (LPDP), a qual tomou como base para sua criação a GDPR.

lei de protecao de dados imagem

 

O alcance da LPDP; a LPDP define como principais fundamentos da proteção de dados:

 

 

  • o respeito à privacidade;
  • a autodeterminação informativa;
  • a liberdade de expressão, de informação, de comunicação e de opinião;
  • a inviolabilidade da intimidade, da honra e da imagem;
  • o desenvolvimento econômico e tecnológico e a inovação;
  • a livre iniciativa, a livre concorrência e a defesa do consumidor;
  • os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.

A LPDP se aplica a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado quando:

  • a operação de tratamento é realizada no território nacional;
  • a atividade de tratamento tem por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional;
  • os dados pessoais objetos do tratamento sejam coletados no território nacional.

Existem algumas situações que não são impactadas pela LPDP, por exemplo, se o tratamento de dados é realizado:

  • por pessoa natural para fins exclusivamente particulares e não econômicos;
  • para fins exclusivamente jornalístico e artístico ou acadêmico;
  • para fins exclusivos de segurança pública, defesa nacional, segurança do Estado, atividades de investigação e repressão de infrações penais;
  • proveniente de fora do território nacional e que não seja objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência.

Entre os princípios considerados pela LPDP, para questões de criticidade, impacto e riscos se destacam os seguintes:

  • finalidade;
  • adequação;
  • necessidade;
  • livre acesso;
  • qualidade dos dados;
  • transparência;
  • segurança;
  • prevenção;
  • não discriminação;
  • responsabilização e prestação de contas.

Tratamento dos dados pessoais e acesso pelo titular; a LPDP estabelece algumas condições para a realização do processamento de dados de pessoais, que são as seguintes:

  1. o fornecimento de consentimento escrito ou por outro meio que demonstre a manifestação de vontade pelo titular dos dados;
  2. para o cumprimento de obrigação legal ou regulatória pelo controlador;
  3. pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres;
  4. para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
  5. quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
  6. para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
  7. para a proteção da vida ou da incolumidade física do titular ou de terceiro;
  8. para a tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias;
  9. quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais;
  10. para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

Quanto ao acesso das informações processadas pelo controlador, é importante ressaltar que estas informações deverão ser disponibilizadas ao titular sempre que este solicitar. As informações deverão ser fornecidas, de forma clara, adequada e ostensiva, para o atendimento entre outros do princípio do livre acesso.

Tratamento de dados pessoais sensíveis; a LPDP define duas condições possíveis para o tratamento de dados pessoais sensíveis:

  1. quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;
  2. sem fornecimento de consentimento do titular, nas hipóteses em que o dado for indispensável para:

a) cumprimento de obrigação legal ou regulatória pelo controlador;

b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;

c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;

d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);

e) proteção da vida ou da incolumidade física do titular ou de terceiro;

f) tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias;

g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos.

Tratamento de dados pessoais de crianças e adolescentes: o tratamento de dados pessoais de crianças e de adolescentes é possível somente em condições especiais, tais como:

  1. com o consentimento específico e em destaque dado por, pelo menos, um dos pais ou pelo responsável legal;
  2. Poderão ser coletados dados pessoais de crianças sem o consentimento a que se refere o item acima quando a coleta for necessária para contatar os pais ou o responsável legal, utilizados uma única vez e sem armazenamento, ou para sua proteção, e em nenhum caso poderão ser repassados a terceiro sem o consentimento referido acima;
  3. O controlador deve realizar todos os esforços razoáveis para verificar que o consentimento referido acima foi dado pelo responsável pela criança, consideradas as tecnologias disponíveis;
  4. As informações sobre o tratamento de dados deverão ser fornecidas de maneira simples, clara e acessível, consideradas as características físico-motoras, perceptivas, sensoriais, intelectuais e mentais do usuário, com uso de recursos audiovisuais quando adequado, de forma a proporcionar a informação necessária aos pais ou ao responsável legal e adequada ao entendimento da criança.

Término de tratamento de dados pessoais; existem quatro situações definidas na LPDP para o término de tratamento de dados:

  1. verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada;
  2. fim do período de tratamento;
  3. comunicação do titular, inclusive no exercício de seu direito de revogação do consentimento conforme descrito anteriormente, resguardado o interesse público;
  4. por determinação da autoridade nacional, quando houver violação ao disposto nesta lei.

Por outro lado, a LPDP estabelece algumas situações onde os dados poderão ser mantidos bem como suas finalidades:

  1. cumprimento de obrigação legal ou regulatória pelo controlador;
  2. estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
  3. transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos nesta lei; –
  4. uso exclusivo do controlador, vedado seu acesso por terceiros, e desde que anonimizados os dados.

Em nossos próximos artigos vamos continuar a falar sobre a Lei 13.709 que trata da proteção de dados pessoais e seus direitos garantidos.


José Ricardo Formagio Bueno – engenheiro e consultor especialista em gestão de Arquitetura Empresarial, Automação e Robotização de processos. CEO e Fundador da Automatum Soluções Empresariais – Automatum

Padrão
Controles Internos, GDPR, Gestão empresarial, Insegurança jurídica, Risco Empresarial

A insegurança jurídica e seus reflexos

Insegurança-jurídica-STF-charge-sobre-STF-bate-boca-entre-ministros-do-STFEm tempos de escassez e recessão econômica é que se vê o quanto o conceito de insegurança jurídica e a sua lentidão com a falta de solução para questões urgentes são prejudiciais à economia do país. Enquanto se vê acentuada a lentidão em muitos processos justificada pela situação econômica, alguns buscam acelerar as resoluções.

Desde o nível mais alto da constituição, até a menor regra possível em nosso meio, temos visto comentários e expressões para referendar alguma atitude, seja a favor ou contra uma eventual situação e decisão. Até mesmo o Juiz Federal, símbolo da Lava Jato, Sérgio Moro, sofreu críticas sobre atos considerados excessivos e disse que eles são necessários. “Estamos em tempos excepcionais. Mas essa excepcionalidade se dá sempre dentro da legalidade”, argumentou o juiz.

Enquanto de um lado vemos exemplos de excessos na busca de uma resolução de algo, vemos em outras instâncias o extremo oposto no excesso de lentidão, na demora e pouca firmeza na resolução de litígios, o que infelizmente leva muitos a tirar proveito circunstancial dessa situação. Para alguns o termo insegurança jurídica pode parecer algo simplesmente relacionado com o poder judiciário público, mas não é somente ali que vemos essa insegurança. Temos insegurança também nas esferas privadas, pois em muitos casos faltam princípios nos contratos, escritos ou não, estabelecidos entre as partes.

Pode-se ver nos números de processos trabalhistas que temos em aberto no sistema judiciário. Neste caso, não importa as justificativas de que a lei trabalhista [e suas atualizações] não é boa, nós simplesmente não conseguimos mudar essa estatística. E talvez não estamos conseguindo mudá-la pois ainda estamos abordando-a pelo seu destino e não por sua origem. Talvez essa atualização da lei trabalhista [já aprovada] possa ajudar e muito. Mas será que somente uma nova lei seria a solução para tudo? Certamente que não.

Temos visto cada vez mais empresas que têm tido a honra de dizer que não têm processos trabalhistas, ou se tem são poucos. E algumas que tiveram muitos processos acumulados, têm implementado procedimentos para resolvê-los prontamente e evitar que novos processos surjam. Neste caso uma boa análise nos ajuda muito mesmo, pois podemos por meio dessa análise de indicadores, identificar a origem, a natureza e a frequência dos processos existentes e promover soluções definitivas para esses processos existentes, bem como ações preventivas para evitar novos processos.mal-entendido-desentendimento-nietzsche-comunicacao

Ações como essas de detecção e correção para solução dos problemas existentes, bem como, e acima de tudo, as ações de prevenção são fundamentais. Não importam as circunstâncias da lei trabalhista, ou mesmo das outras leis em vigor, a prevenção é fundamental.

E vamos além da insegurança jurídica trabalhista. Há uma grande insegurança jurídica em várias outras esferas do direito. Talvez o direito civil até não enseje tantos processos judiciais, mas o direito tributário, esse sim, enseja e muito, processos. Basta uma rápida lida nas demonstrações financeiras, ou seja, nos relatórios anuais das empresas e vemos a imensidão de disputas tributárias.

Não podemos fugir de algo tão concreto que é a origem de tantos processos. Certamente o surgimento desses processos está na própria lei, ou até na falta dela. Discussões surgem da dupla interpretação de uma lei existente, em que a iniciativa privada tem uma interpretação e então os órgãos públicos das receitas municipais, estaduais e federais, têm outra. Havendo uma discordância, aciona-se o poder judiciário.

Há também os vários casos de falta de lei e muitos tomam isso como uma oportunidade de negócios. Também neste caso haverá no futuro alguma interpretação que nos leve a uma eventual discordância.

Como disse o jurista Walter Maierovitch: “A falta de solução para questões polêmicas e urgentes gera a tal insegurança jurídica”.

Enquanto aguardamos ações firmes e definitivas do poder público nas suas várias esferas para reduzir tamanha incerteza sobre tantos fatores, não podemos parar nossa operação, nosso negócio. Devemos, sim, buscar ações preventivas dentro dele tanto para evitar o surgimento de novas demandas trabalhistas, tributárias e cíveis, bem como para reduzir aquelas existentes.foto-conceito6

Não devemos nos iludir de que ignorando situações que podem resultar em processos judiciais de qualquer natureza teremos fôlego hoje e resolveremos isso amanhã.

Essa ilusão de que depois resolvemos algo, ou mesmo de aguardar uma solução mágica da justiça, ao invés de evitar o risco e o problema agora, é uma armadilha muito perigosa. A competição é sempre grande e um concorrente pode sair na frente, e no futuro não teremos esse fôlego para uma recuperação.

 

Texto revisto e atualizado, da versão originalmente publicada em novembro de 2017 no blog do autor na ACIC. Jarib B D Fogaça é sócio na JFogaça Assessoria, Diretor Adjunto na ACIC, e conselheiro independente.

Padrão
Conformidade, Controles Internos, GDPR, Governança, Informação, Risco Empresarial

Proteção de dados: qual sua relevância e motivação?

gdprsubscriberconsentNão é necessário ser um especialista para perceber que o volume de informações que as empresas têm sobre seus clientes (pessoas físicas e jurídicas) aumentou várias ordens de grandeza na última década e isto tem relação direta com o comércio eletrônico, e-banking, ensino a distância e outros.

Neste cenário surgiu um desafio para as empresas e os governos de como armazenar, controlar, atualizar e acessar esta informação de forma on-line, preservando a confidencialidade das informações sobre os clientes.

Tentaremos abordar este tema de forma simples e sem uso de termos técnicos específicos, mostrando os riscos que as empresas correm de não controlar adequadamente as informações de seus clientes e a legislação brasileira e europeia sobre isso.

Iniciamos introduzindo o que vem a ser a “General Data Protection Regulation”, conhecida como GDPR, que é a legislação europeia para o tema de proteção de dados.

O que é a GDPR e qual sua finalidade?

Antes de falar sobre a GDPR é necessário situar o contexto dos países da União Europeia (UE) sobre o tema de Proteção de Dados. Antes da GDPR, as empresas que atuavam nos vários países da Europa tinham que conhecer e estar em conformidade com a legislação de proteção de dados de cada país em que atuavam, gerando custos de consultoria e auditoria significativos.

Em 2016 foi publicada a primeira versão da GDPR e após alguns ajustes foi republicada uma nova versão em maio de 2018. Isto permitiu que uma única lei de proteção de dados fosse aplicada a todos os países que compõem a União Europeia, reduzindo drasticamente os custos das empresas com os procedimentos e políticas de proteção de dados que tinham no cenário pré- GDPR.

Em uma pesquisa realizada pela Comissão Europeia com vários países que compõem a UE, foi feita a pergunta “Qual o nível de controle que você tem sobre a informação que você provê on-line, como por exemplo, sua competência para corrigir, mudar ou excluir esta informação?” As respostas foram classificadas em três categorias:

  1. Controle total sobre as informações: as respostas variaram entre 4% a 31% do total de empresas respondentes em cada país pesquisado. Demonstrando maturidade de proteção de dados muito distintas entre as empresas nos diversos países pesquisados.
  2. Controle parcial sobre as informações: as respostas variaram entre 42% e 64% demonstrando aqui uma convergência maior das respostas das empresas entre os vários países pesquisados.
  3. Nenhum controle sobre as informações: as respostas variaram entre 16% e 45%, e novamente aqui se identificou situações muito peculiares entre os países pesquisados.

Finalmente fica claro que muitos países da Europa ainda terão um caminho importante para aperfeiçoar seus mecanismos de controle de informação on-line de seus clientes.

É importante definir o que se entende por Dados Pessoais dos Cidadãos: é todo o dado que se refere a um indivíduo identificado ou identificável e pode incluir:

  1. Nome;
  2. Endereço e número de telefone;
  3. Localização;
  4. Registros médicos;
  5. Informações bancária e de renda;
  6. Preferências culturais;
  7. Outras.

Portanto, é a proteção desses tipos dados que trata a GDPR. É importante ressaltar que a GDPR tem neutralidade de tecnologia usada para controlar estas informações sobre os cidadãos, isto é, as empresas podem utilizar desde registros em papel até modernas bases de dados com seus algoritmos de armazenamento e proteção de dados. Independe de qual seja a tecnologia utilizada, a empresa necessita atender aos regulamentos da GDPR.

Como saber se necessito cumprir os regulamentos da GDPR?

Toda vez que sua empresa processar informações sobre a saúde, orientação sexual, religião, opções políticas ou filiação a sindicatos, por exemplo, serão consideradas informações sensíveis e a empresa pode processar estas informações somente sob condições específicas e utilizando ferramentas adequadas, como por exemplo, criptografia.

GDPR-employee-data-Aphaia-DPO-privacy-1As empresas que têm atividades de processamento de dados sensíveis em grande escala e/ou monitoramento sistemático, regular e em grande escala de indivíduos necessitam designar um Executivo de Proteção de Dados (Data Protection Officers). Caso a empresa tenha atividades que envolvem alto risco aos direitos e liberdade dos indivíduos, está obrigada a realizar periodicamente “Avaliações de Impacto de Proteção de Dados”. Outro ponto a destacar é que as empresas com menos de 250 funcionários não são obrigadas a manter os registros de informação pessoal, exceto se houver volume de processamento de dados ou envolver informação sensível.

O processamento de dados pessoais deve ser executado, segundo a GDPR, somente quando estiver suportado por uma ou mais das condições seguintes:

  1. For consentida pelo indivíduo em questão;
  2. Existir uma obrigação contratual entre a empresa e o indivíduo;
  3. Para atender a uma obrigação legal;
  4. Para proteger interesses vitais do indivíduo;
  5. Para realizar uma tarefa que seja de interesse público;
  6. For interesse legítimo de empresa.

Quais são os direitos dos indivíduos?

Os indivíduos têm o direito de acessar seus dados pessoais, sem custos e em formato inteligível, e, ao mesmo tempo, as empresas devem avisar o indivíduo quando estiverem processando dados pessoais, informar sobre o objetivo de tal processamento e fornecer uma cópia dos dados pessoais processados.

É importante notar que o indivíduo possa solicitar a qualquer momento a retificação de um dado pessoal que julgar incorreto, impreciso ou incompleto. Da mesma forma, o indivíduo também pode solicitar a interrupção de processamento de dados pessoais neste caso, a menos que a empresa tenha um interesse legítimo que supera o interesse individual ou pode tratar de interesse público. Em todos os demais, a empresa deve interromper imediatamente o processamento dos dados pessoais etem prazo de um mês para contestação ou de até dois meses para contestações complexas ou que envolvem múltiplos pedidos.

Nos casos em que houver uma decisão tomada automaticamente via um processo e/ou algoritmo, o indivíduo pode solicitar uma revisão da dita decisão por um humano, por exemplo, a concessão de um empréstimo por um banco.

Quando os dados pessoais são transferidos para países fora da UE, as proteções estipuladas pela GDPR viajam com os dados. A GDPR oferece uma diversidade de mecanismos para transferência de dados para países fora da UE. Tais transferências são permitidas quando:

  1. As proteções do país são consideradas adequadas pela UE;
  2. A empresa toma as medidas necessárias para prover as salvaguardas apropriadas como a inclusão de cláusulas contratuais como o importador dos dados pessoais não europeu;
  3. A empresa se baseia em motivos específicos para a transferência, tais como o consentimento do indivíduo.

Como saber se a empresa está em conformidade com a GDPR?

O primeiro passo é mapear as atividades de processamento de dados atuais e reavaliar seus processos de negócio internos e deve:

  • Identificar quais dados devem ser mantidos e para qual propósito e quais bases legais devem ser usadas para manter tais dados;
  • Avaliar os contratos ativos;
  • Avaliar todos os caminhos disponíveis para transferências internacionais;
  • Revisar a governança da empresa (quais medidas de TI e organizacionais estão em uso), incluindo a necessidade ou não de designação de um Executivo de Proteção de Dados.

gdprUm fator crítico de sucesso é envolver os mais altos níveis de gerência da empresa em tais revisões, fornecendo direcionamentos e sendo regularmente atualizados e consultados sobre as mudanças nas políticas de proteção de dados.

Quais as penalidades da GDPR?

O não cumprimento da GDPR pode resultar em multas significativas podendo atingir até 20 milhões de euros ou 4% do volume de negócios global da empresa para determinadas violações. A Autoridade de Processamento de Dados (conhecida como DPA – Data Protection Authority) pode impor medidas corretivas adicionais, tais como a cessação de processamento de dados pessoais. Deve-se considerar também o dano de reputação que a não conformidade pode causar.

Claramente os custos de não conformidade com a GDPR são muito maiores do que o investimento para estar em conformidade com esta lei.

A Lei Brasileira de Proteção a Dados Pessoais … 

A Lei 13.709 de 14/08/2018 dispõe sobre as condições de proteção de dados pessoais dos indivíduos residentes no território nacional [Brasileiro] e é claramente inspirada na GDPR comentada anteriormente. Em um próximo artigo faremos uma análise desta lei e de suas particularidades em relação à GDPR.

 

José Ricardo Formagio Bueno – engenheiro e consultor especialista em gestão de Arquitetura Empresarial, Automação e Robotização de processos. CEO e Fundador da Automatum Soluções Empresariais – Automatum

 

Padrão
Conformidade, Controles Internos, Gestão empresarial, Governança, Risco Empresarial

Conformidade fiscal: Um “bônus” legal para empresas no Estado de São Paulo

bonus legalHá poucas semanas o brasileiro foi às urnas para eleger seus novos governantes na esperança de melhores rumos na economia do país. Aparentemente funcionou, já que segundo publicação do Infomoney, o Ibovespa futuro saltou até quase 1% e o dólar caiu 2,33%, acompanhados pelas taxas de juros futuros que também desabaram. O ADR – American Depositary Receipts, da Petrobras, disparou 14%. Em tempos de eleições conturbadas com disputas radicalizadas, estes resultados trazem uma tendência pouco observada, qual seja, a alteração de comportamento dos conceitos tradicionais.

Pesquisas diversas já mostravam anteriormente que 85% dos consumidores preferem adquirir seus produtos de empresas mais sustentáveis, com comprovada transparência tanto de atividades próprias quanto do ecossistema que está inserida. Portanto, hoje não basta ser honesta e estar em conformidade com as normas vigentes, mas vale também se preocupar com todo o entorno onde está inserida, verificar a regularidade e “fiscalizar” de forma saudável ambas as pontas (fornecedor e cliente). Tudo isso é ponto crucial para uma melhor aceitação mercadológica.

Essa tendência de transparência vem ganhando força em nosso país com a edição de novas normas de conformidade, as chamadas regras de “compliance”. Não é raro encontrarmos essas normas em vigência em várias agências reguladoras dos mais diversos segmentos como ANGEL, ANATEL, ANVISA, ANP, ANA, SRFB, BACEN, entre outras.

conformidade legalOs Estados, por sua vez, também já vêm adotando em suas legislações, normas de conformidade para seus contribuintes, e a exemplo do que ocorreu com o Espírito Santo, Mato Grosso, Minas Gerais e Rio de Janeiro, agora é a vez do estado de São Paulo editar sua lei de conformidade fiscal, e o fez através da Lei Complementar 1.320 de 2018. Essa lei foi editada em alinhamento com o órgão internacional TADAT – Tax Administration Diagnostic Assessment Tool, parceiro da União Européia, Japão, Suíça, Alemanha, Reino Unido, Noruega, entre outros, o que traz sinergia entre esses países e empresas, sejam elas de pequeno, médio ou grande porte, e que com eles tem algum tipo de relação comercial.

Mas a vantagem da lei complementar está muito além do alinhamento com órgãos internacionais, notadamente nos benefícios que ela pode trazer para contribuintes mais antenados, conforme veremos mais adiante.

A mídia especializada está dizendo que a lei vem separar o joio do trigo. Porem essa mudança serve para as empresas que realmente estão atentas a essa nova tendência, pois não é raro, também, encontrarmos empresas com diversas práticas de compliance, porém em total desalinhamento entre elas, o que impossibilita o uso do bônus legal.

A lei, traz em sua essência um caráter responsivo entre fisco e contribuinte buscando abrir um canal de comunicação até então inexistente e traz inovações para tanto. Viabiliza a realização de audiências públicas, uma das quais já ocorridas junto a instituição FGV, a fim de debater sobre as regras de procedimento da LC, buscando na sociedade profissionais especializados para opinarem e trazerem novas soluções.

Além disso, traz um formato de classificação de contribuintes privilegiando os mais adimplentes e em conformidade dentro da sua cadeia de fornecimento, gerando um critério que os classifica como A+, A, B, C, D, E e NC – Não Classificado. Todavia, esse novo sistema de classificação não é engessado e possibilita uma revisão periódica de acordo com a previsão do seu regulamento, da qual o contribuinte poderá se re-enquadrar dentro das categorias previstas.

O que chama a atenção na LC 1.320 é que o critério classificatório não leva mais em consideração apenas o índice de adimplência do contribuinte quanto ao pagamento de seus tributos estaduais, mas também a contumácia no cumprimento de obrigações acessórias e, principalmente, o grau de relacionamento com fornecedores regulares e em conformidade fiscal. Essa nova regra não foge à tendência atual de regular o compliance não apenas nas atividades da empresa avaliada, mas também de toda sua cadeia de fornecimento. Ou seja, a avaliação e a preocupação ocorrem em todo o ecossistema onde ela está inserida.

conformidade legal 2 .pngDentre os principais benefícios que as empresas mais bem classificadas poderão gozar estão: 1) Autorregularização em substituição à lógica do Auto de Infração; 2)  Autorização para apropriação de crédito acumulado com a observância de procedimentos mais simples; 3) Efetiva restituição do imposto pago antecipadamente por conta da substituição tributária através de procedimentos simplificados; 4) Autoriza o pagamento do ICMS relativo à substituição tributária, com origem em outra unidade federada, onde o valor do imposto não foi anteriormente retido através da compensação em conta gráfica ou recolhimento por guia especial até o dia 15 do mês subsequente; 5) Autoriza o pagamento do ICMS relativo à importação de mercadoria oriunda do exterior por meio de compensação diretamente em conta gráfica; 6) Renovação de regimes especiais concedidos, por meio de procedimentos simplificados; 7) Inscrição de novos estabelecimentos com o mesmo titular no cadastro de contribuintes levando-se em consideração procedimentos simplificados; 8) Transferência de crédito acumulado para empresa não interdependente por meio de procedimentos simplificadosdentro das condições estabelecidas em regulamento, desde que gerado em período de competência posterior à publicação dessa lei complementar, respeitando o limite anual previsto no regulamento; 9) Autoriza a apropriação de até 50% do crédito acumulado observando-se procedimentos simplificados.

Por ser inovador, o texto da lei pode parecer complexo e confuso a um primeiro momento, e até trazer desconfiança quanto a praticidade de sua implantação, porém o fisco vem trazendo mudanças consideráveis ao abrir o debate ao setor privado para esclarecer, elucidar e até buscar novas orientações para regular os procedimentos da lei, o que a nossos olhos é um ponto bastante positivo.

Vale ao empresário atento buscar se organizar e criar uma política de conformidade própria, certo que, como já mencionamos, grande parte das empresas já possuem essa prática, mas não estão alinhadas em políticas próprias.

Um diagnóstico que avalie o grau de maturidade da sua empresa pode facilmente apontar o nível que ela se encontra e quais os alinhamentos necessários para um melhor aproveitamento da Lei Paulista, assim como, outras vantagens que as normas de conformidade podem oferecer.

 

André Brunialti: Advogado especialista em Gestão de Risco Empresarial, Jurídico, Planejamento Tributário, Contencioso Fiscal e Recuperação de Tributos, além da Área Societária com Estruturação de Quadros Sociais, Sucessões e Proteção Patrimonial.

Padrão
Conformidade, Conhecimento, Controles Internos, Gestão empresarial, Gestão pessoal, Governança, Risco Empresarial

O compliance pode chegar até você facilmente!

Compliance (conformidade) é uma palavra que tem ganho notoriedade nos últimos tempos com operações como mensalão, zelotes, Lava-Jato e outras. Vocábulo até pouco tempo quase sem uso, hoje se tornou frequente em conversas de empresários antenados.

Mas o que realmente significa compliance e como ele está inserido no dia a dia da sua empresa? Já mais conhecido e habitual em empresas multinacionais, as quais já estão sujeitas a regras internacionais de seus países de origem, o compliance nada mais é do que se manter em conformidade com todo o regramento que rege as ações e atividades da sua empresa. Nesse contexto temos desde normas macro que alcançam a todos, como as internacionais FCPA – Foreign Corrupt Practices Act Americana, Bribery Act 2010, ISO 19.600 e 37.001, chegando até as nacionais Lei 12.846/13, Decreto 8.420/15; descendo para níveis mais específicos de agências reguladoras, autarquias e órgãos específicos (ANEEL, ANATEL, ANVISA, BACEN, SRFB, etc.). Essas normas ainda podem até chegar em níveis próprios, tais como visão, missão, e valores da empresa; regimento interno; normas de conduta; regras de comportamento e atividades, entre outros. Isso é o que consideramos como uma análise vertical, já que trata-se de uma avaliação das normas que se impõem a uma empresa de cima para baixo, normas gerais até chegar nas mais específicas.

stj-1Uma outra visão, ainda no corte vertical, é a questão da hierarquia da empresa. Como é composto seu organograma e quais os cuidados e ações que ela tem tomado para proteger seus colaboradores dentro dos níveis organizacionais. Sabemos que atualmente todos são responsáveis pelas ações da empresa, poréma cada ação de compliance tomada, essa responsabilidade pode se dirimir em relação a responsáveis solidários direcionando-a apenas ao responsável pelo ato/fato. Podemos notar essa confirmação pelo artigo 3o  (Lei 12.846): A responsabilização da pessoa jurídica não exclui a responsabilidade individual de seus dirigentes ou administradores ou de qualquer pessoa natural, autora, coautora ou partícipe do ato ilícito.

Por outro lado, temos o que eu particularmente chamo de uma análise mais horizontal ou periférica de compliance, análise esta capaz de verificar as conformidades e regularidades de tudo e todos que orbitam em torno da empresa. Hoje não se pode ter um sistema de compliance completo olhando apenas para “dentro de casa”, ou seja, apenas para o funcionamento interno da empresa, sem considerar as influências externas, como por exemplo, fornecedores, ambiente social e estrutural em que está inserida, clientes, sistemas, entre outros. Muitas das vezes essas influências externas acabam impactandode maneira mais contundente o compliance de uma empresa do que as próprias ações e reações internas, motivo pelo qualnão se pode avaliar seu compliance sem considerar tais influências.

Para um bom entendimento desse impacto, podemos apresentar alguns exemplos de situações práticas já avaliadas:

a) em uma operação financeira, por exemplo, as instituições financeiras, atualmente, têm ido além do cuidado de avaliação e risco de crédito para análise de liberação de algum valor, isso pelo fato de que, caso financie algum empreendimento que venha a causar qualquer tipo de dano, pode se responsabilizar solidariamente por isso. Portanto, a existência de uma norma interna adequada nesta instituição pode amenizar sua responsabilidade e se provado que esta norma é devidamente aplicada e reconhecida por seus colaboradores, consequentemente diminui-se qualquer prejuízo que possa lhe ser imputado – notamos que já existem decisões sobre a responsabilidade solidária de instituições financeiras;

b) o mesmo pode, por exemplo, ocorrer com um call center terceirizado. O atendente pode tratar de maneira inadequada, racista ou até ofensivamenteum cliente e, nesse caso, não apenas o call center será penalizado, mas também a empresa que ele está representando naquela tarefa. Essa situação pode ser minimizada se a empresa que o contratou possuir um regimento interno prevendo normas de atendimento, ou ainda, uma regra específicade como tratar pessoas que com ela interagem – notamos que já existem decisões sobre a responsabilidade solidária de call centers.

Atualmente empresas têm buscado a implantação de sistemas de conformidade (compliance) não apenas para se manterem regulares, mas principalmente para dirimir prejuízos e responsabilidades em relação a seus diretores, executivos e demais colaboradores dentro de um organograma de liderança. Muitas vezes essa busca tem acontecido de forma inconsciente e até desordenada necessitando apenas de alguns ajustes.

Para saber se sua empresa tem ou não alguma proteção quanto a fatos que possam lhe imputar responsabilidades perante terceiros, e entenda-se aqui responsabilidade no sentido lato envolvendo prejuízos financeiros e consequências criminais, existem hoje sistemas de medição do grau de maturidade de cada empresa em relação aos sistemas de compliance, tendo como um dos mais utilizados o americano Compliance Maturity Model da Society Of Corporate And Compliance Ethics [US Federal Sentencing Guidelines For Organizations Section 8b2.1, Effective Compliance And Ethics Program]. Esta forma de medição e avaliação identifica quais riscos sua empresa pode estar correndo tanto na visão vertical quanto horizontal frente às influências a que está sujeita.

Com certeza, o compliance está presente na vida da sua empresa e você pode até não saber identificá-lo, mas ele deve estar internamente em sua estrutura e regras ou chegando até você por reflexos externos da sua atividade e, com o tempo, você não poderá ignorá-lo ou deixar de implantá-lo.

 

André Brunialti – Advogado especialista em Gestão de Risco Jurídico, Planejamento Tributário, Contencioso Fiscal e Recuperação de Tributos, além da área societária com estruturação de quadros sociais, sucessões e proteção patrimonial.

 

Padrão
Conformidade, Conhecimento, Controles Internos, Cultura e Estilo, Gestão empresarial

Compliance: Mitos e Verdades

2005-gek-fortune-cvr320Se há um tema quente nos dias atuais é o chamado “compliance”. Algum dia desses um de nós vai ser perguntado por sua mãe já mais idosa ou mesmo por sua avó sobre compliance. E é muito provável que ao respondermos todos orgulhosos de sabermos bem o que isso significa, provavelmente receberemos algum comentário na seguinte linha de raciocínio.

“Mas filho [ou neto], pensei que eu já havia ensinado isso a você. Que devemos sempre fazer o bem, aquilo que é certo, e sermos justos consigo mesmo e com os outros – e ainda ela vai perguntar – precisa tanto alarde sobre isso?”

E esse tema não somente é um dos mais falados como também tem afetado profundamente o mundo dos negócios em todo o mundo. Uma investigação aqui gera outra acolá e vice-versa. E as ramificações são intermináveis. Para se ter uma ideia dentre as várias definições encontradas, transcrevo a seguir uma delas, sucinta e boa.

“Compliance, ou melhor, conformidade: a ação ou o fato de cumprir um desejo ou comando; o ato ou processo de cumprimento de um desejo, demanda, proposta ou regime, ou coerção.”

Podemos buscar várias origens para esse tema, mas certamente uma das origens mais relevantes é o chamado FCPA 1977 Foreign Corrupt Practices Act – A Lei Americana Anticorrupção Estrangeira. Esse assunto tomou ainda mais força com a promulgação da lei americana chamada “Sarbanes-Oxley de 2002” (SOX) para proteger os investidores da possibilidade de atividades contábeis fraudulentas por corporações. Esta lei foi promulgada logo após o famoso caso Enron e outros semelhantes.

Em 1997, a OECD promulgou a “OECD – Anti-Bribery Convention”, convenção antissuborno; em 2010, o Reino Unido promulgou o UK [Anti] Bribery Act 2010; e em 2013 tivemos a promulgação da Lei 12.846/2013 – Lei Anticorrupção Brasileira. A lei brasileira dispõe sobre a responsabilização administrativa e civil de pessoas jurídicas pela prática de atos contra a administração pública, nacional ou estrangeira.

Atos de corrupção puramente humanos, infelizmente, sempre existiram, existirão, e vão existir. O que esses mecanismos legais buscam de forma ampla é deter, e em existindo, identificar e responsabilizar atos de corrupção associados às corporações, pessoas jurídicas sejam elas de qualquer natureza. Também esses mecanismos estão fortemente associados aos atos de corrupção envolvendo a administração pública, em toda a sua forma.

Por fim, o que se percebe é que esse assunto tomou vulto abrangente mais recentemente. Não necessariamente por uma ou outra única razão, mas certamente pela conjunção de vários fatores eventualmente até distintos e não correlatos. Algo se percebe claramente é que o questionamento ético mesmo sobre aquilo que se considera legalmente correto teve seu início mais acentuado na crise financeira global a partir de 2007 e teve seu ápice na quebra do Lehman Brothers em setembro de 2008.

Doping_Control_FIFA_WADA_804ada70718b6a242b9a3919efc14440Mas o assunto de conformidade mesmo que nos pareça novo, não o é! Desde a primeira versão do COSO em 1992, o tema conformidade está presente. A estrutura proposta de controles internos pelo COSO previu desde sua primeira versão três objetivos amplos para o controle interno: Operacional, Divulgação e Conformidade. E neste caso, conformidade se relaciona ao cumprimento pela entidade das leis e regulamentações às quais a entidade está sujeita, e acrescento, incluindo regras internas tais como: códigos de ética e conduta e semelhantes.

Mas, afinal, compliance é assunto de polícia? Certamente que não, e não deveria ser! Entretanto, a falta de compliance tem sido de tal magnitude que tem se tornado, sim, um caso de polícia. Não precisamos mais do que abrir o jornal, ligarmos o rádio ou a televisão, ou mesmo o computador.

Aí vem uma outra pergunta: o compliance seria somente para as grandes empresas? Claro que não! Vemos as notícias sobre as grandes empresas, pois são notícias mais atrativas, mas vamos nos lembrar da infinidade de pequenas e médias empresas, que são de alguma forma associadas à essas grandes empresas. De alguma forma sempre algo “respinga”.

Mas a principal pergunta que devemos responder é se o compliance, ou melhor, a falta de compliance afeta os negócios? Certamente que sim! Vejam que a própria Fifa, assolada há alguns anos por denúncias de corrupção, perdeu vários patrocinadores.

E imaginem que essas grandes empresas patrocinadoras da Fifa devem ter em seus regulamentos internos princípios de ética e conduta empresarial com o objetivo de preservar sua imagem. Quando uma outra empresa associada pode macular a sua própria imagem, então, rapidamente se busca preservar a imagem, de forma alinhada com seus códigos internos.

E se não tivermos tais códigos? Aqui então vale sempre o jargão: prevenir é melhor que remediar! Se ainda não temos nossos códigos [de ética e conduta] internos, que tal começar já!

 

Texto revisto e atualizado, da versão originalmente publicada em julho de 2017 no blog do autor na ACIC. Jarib B D Fogaça é sócio na JFogaça Assessoria, Diretor Adjunto na ACIC, e conselheiro independente.

Padrão
Conformidade, Controles Internos, Gestão empresarial, Governança, Risco Empresarial

Os pilares do “compliance” corporativo no Brasil

Mais um ano começa cheio de expectativas. Depois de anos operando no negativo, não há muita certeza sobre o que esperar da economia, seja crescimento, ou mesmo ainda estabilidade que se traduz em estagnação. A indicação é de que o governo brasileiro está em busca de ações que promovam essa desejada retomada do crescimento econômico.

Enquanto os indicadores econômicos não reagem, nosso principal papel como executivos, dirigentes e empreendedores não muda, e não podemos conviver com incertezas sobre o modo como proceder. Nossas empresas precisam ter, manter, ou mesmo preparar seus planos estratégicos de negócio de forma a assegurar um objetivo mínimo, de se manter o ritmo de negócios atual sólido e constante, e evitar eventuais falhas na execução operacional.

A partir da perspectiva de se ter um objetivo mínimo de manter o ritmo atual de negócios, bem como evitar eventuais falhas na execução, ou seja, de “fazer acontecer”, acredito que se inclui também o objetivo de assegurar que as operações de uma empresa estejam em “compliance”.

E vale dizer, “compliance” significa [conforme definido pelo COSO: Internal Control – Integrated Framework] no mínimo em conformidade [aderência] com as leis e regulamentações às quais a entidade está sujeita. Essas exigências de leis e regulamentações são tais que seu descuido ou abandono, podem resultar em potencial dano administrativo, fiscal ou até de responsabilidade civil e criminal, tanto para o executivo como para a empresa.

A importância da governança, gestão de risco empresarial, dos controles internos e da conformidade [compliance] é fundamental. Podemos notar isso nos guias do IBGC, o “Código de Melhores Práticas de Governança Corporativa” e a orientação de “Compliance à Luz da Governança Corporativa”, e na mídia com pesquisas que mostram que a reputação de uma corporação contribui para criação de valor como a pesquisa do MZGroup: 2017 Brazil Reputation Dividend Report.

Especificamente, existem três requisitos [leis/regulamentações] de natureza abrangente e em vigor que considero os pilares do “compliance” brasileiro.  Acredito que muito mais que uma exigência, esses pilares podem ser tornar ferramentas dentro da organização para o monitoramento do compliance. Ainda, esses pilares não podem ser, de forma alguma, inadvertidamente negligenciados:

Lei Anticorrupção – Lei 12.846, de 1º de agosto de 2013. O mais popular dos assuntos no momento, e que nenhum dirigente de empresa pode negligenciar, e precisa estar ciente, monitorar e acima de tudo, se precaver da maior exposição que surge dessa nova lei. A comunidade empresarial brasileira e empresas estrangeiras fazendo negócios no Brasil devem estar cientes da maior exposição que surge desta nova lei, especialmente, a responsabilidade objetiva e disposições de responsabilidade conjunta, e devem tomar medidas para gerir a sua exposição aumentada.

Empresas que ainda não tenham tomado medidas para evitar a fraude e a corrupção, ou mesmo que já tenham mecanismos anticorrupção e antifraude estabelecidos devem se certificar de que seus códigos de ética e conduta e, principalmente, seus controles internos estão em conformidade com as disposições da lei. A Lei Anticorrupção garante expressamente que a existência de mecanismos de integridade corporativa, tais como controles internos, linhas diretas, bem como a aplicação efetiva dos códigos de conduta, será tida em conta [como atenuantes] quando as penalidades são consideradas.

“SPED” Contábil e Fiscal (Sistema Público de Escrituração Digital ou “SPED”) – Cumprimento [atendimento] na íntegra com o Sistema Público de Escrituração Digital. A Lei nº 12.973/2014, de 13 de maio de 2014, e que está em vigor desde 1° de janeiro de 2015 determinou e alinhou que os Princípios Contábeis Geralmente Aceitos no Brasil (“GAAP Brasileiro”) e as Normas Internacionais de Relatório Financeiro (“IFRS”) sejam a base para os registros contábeis correspondentes no Brasil.

Esses registros são os únicos no Brasil, tanto para fins contábeis quanto fiscais e, como tal, são os registros subjacentes [subsidiários] a partir do qual as declarações contábeis e fiscais são derivadas. Estes registros devem ser enviados eletronicamente para as agências fiscais brasileiras, ou seja, não há mais relatórios de papel. As empresas devem utilizar plenamente o SPED, para satisfazer os seus requisitos de informação às autoridades fiscais brasileiras.

Auditoria externa independente – Adotar modelos modernos de monitoramento da conformidade com as regras locais e regulamentação deveria ser rotina nas empresas. Há quase uma década, o governo brasileiro deu um passo significativo para a melhoria da imagem e do trânsito das empresas brasileiras no mundo corporativo e de capitais, globalmente. Em dezembro de 2007 foi promulgada e publicada a Lei nº 11.638/2007, que introduziu melhorias significativas na legislação societária original (Lei nº 6.404, de 15 de dezembro de 1976). Entre as grandes novidades da nova lei está a adoção como exigência para companhias ou entidades denominadas de grande porte, o requerimento de auditoria externa independente anual, de suas demonstrações financeiras.

Enquanto a sanção correspondente para o não cumprimento desse requisito de auditoria externa independente ainda está para ser determinado, acredito que nenhuma empresa está disposta a ter uma ferramenta como esta, de rotina e útil para ajudar no “compliance”, ser a razão para a determinação de que tal entidade, de fato, não está em plena conformidade de normas e regulamentos locais.

Embora a execução e o gerenciamento de ações que são em parte, dependentes de fatores externos sejam um desafio, os executivos de uma empresa podem, pelo menos, proporcionar maior segurança ao assegurar as tarefas que estão dentro de seu controle, sejam adequadamente executadas.

Neste caso, por exemplo, tomando medidas para atender e manter a conformidade regulatória com os três pilares acima discutidos (Lei Anticorrupção, SPED contábil e fiscal, e a auditoria externa independente das demonstrações financeiras). O não cumprimento traz custos administrativos, financeiros, e de reputação adicionais, não planejados e que tornam a sobrevivência em uma economia ainda incerta, muito mais difícil.

 

Texto revisto e atualizado, da versão originalmente publicada em janeiro de 2017 no blog do autor na ACIC. Jarib B D Fogaça é sócio na JFogaça Assessoria, Diretor Adjunto na ACIC, e conselheiro independente.

 

Padrão