Todas as pessoas jurídicas devem observar a LGPD. Todas as empresas estão em uma fase de adaptação ao que a lei exige para a proteção dos dados dos titulares. Minimamente, passou a ser um pilar de governança e compliance que deve ser observado. Existem etapas para você fazer uma boa adequação à legislação.
Não é uma coisa rápida. É uma mudança cultural.
Antes, as empresas tinham em mente que quantos mais dados, mais informações possuídas, mais rica ela seria, com mais chances para alcançar seu público-alvo e vender seu produto. O problema é que, com essa mudança de mindset, as empresas devem entender que precisam ter qualidade de informação, base legal para ter tais informações de pessoas físicas, e além disso, a observância da proporcionalidade das informações na base.
Passa desde a revisão de ficha cadastral, contrato de trabalho, com prestadores de serviços, clientes, fornecedores, até a documentação básica. Toda documentação precisa ser reservada. Especialmente com relação aos parceiros, aos quais você compartilha dados.
Toda operação tem a necessidade de ser revista. É um pilar muito importante na questão de risco. O receio maior são as penalidades que podem surgir por demandas judiciais, e também de observância às regras da ANPD, que é uma autarquia que tem funcionado de forma bem exemplar, oferecendo guias práticos de como as empresas podem se comportar.
Ela tem sido uma autoridade bem educativa, é um pilar de risco bem relevante, para todas as empresas. Obviamente, bancos e empresas que têm clientes (Pessoa física) na ponta, têm um risco muito mais elevado de que quem só trabalha com pessoa jurídica.
Na medida que eu pego uma ficha cadastral e uma documentação de cotista, tenho uma incidência da LGPD nessa base.
Devo ter uma cautela de uma base de segurança sobre quem acessa isso na rede, criptografar essas informações, os formulários, pedir informações que tenham a proporcionalidade. Deve ter a qualidade e a quantidade de informações necessárias que a Anbima e a CVM exigem, mas não pode ser exacerbada, que não tenha a proporcionalidade defendida pela LGPD.
A única forma de você ter a prevenção, com relação à aplicação de multas da ANPD, do Judiciário, é você ter um programa de Compliance e privacidade de dados bem estruturado.
Você tem que fazer todo o mapeamento de dados. Por exemplo, na hora que chega uma operação na mesa de operações, um arquivo XML, ele tem dados de pessoas físicas, guardado no meu sistema, a hora que eu gero a documentação e contrato mãe, tenho ele espelhado novamente.
Onde fica armazenado? Por quanto tempo vou armazenar? Qual é a justificativa e a base legal para mantê-los? Qual canal terei com meus titulares de dados, caso eles solicitem exclusão ou anonimização? Você tem que ter as respostas, o canal com os titulares, bem previsto no site, divulgado na política de privacidade de dados, um encarregado de dados nomeado.
Você precisa criar todo um programa de segurança e privacidade para atender o que a lei exige. Para tentar coibir essas penalidades.
A ANPD, diferente de outros órgãos fiscalizadores, vem fazendo um trabalho do biênio de quando iniciou as penalidades, agosto de 2021, com foco na parte de prevenção, explicação, faz audiências públicas. O que é bem legal porque ela escuta as agruras de quem está do outro lado. Ela é diferente das outras. Tem exercido um papel bem legal.
Em sintonia com a LGPD, todas as instruções e normativos da Comissão de Valores Mobiliários (CVM) prezam pela privacidade de dados. Seja sob o ponto de vista da PLD/FTP, seja por definições mais amplas, fato é que os criptoativos ainda se encontram como objeto de regulamentação.
Neste sentido, recentemente, o Parecer de Orientação nº 40, publicado pela CVM, trouxe mais clareza e previsibilidade para o mercado de criptoativos. De acordo com o parecer, estima-se a replicação dos critérios adotados, tradicionalmente, para as normas aplicadas ao mercado de capitais, sob o risco de medidas legais cabíveis em casos do não cumprimento dos regulamentos do mercado de capitais brasileiro.
Aqui, o tom é de prevenção e punição para eventuais violações. Quesitos como oferta pública, esforço de empreendedor ou terceiro, bem como a expectativa de benefício econômico, foram utilizados como parâmetro para a decisão. Também é certo que, até o momento, não há uma legislação específica sobre o assunto, o que justifica essa transmissão de regras aplicáveis ao mercado de capitais para o ambiente de criptoativos.
Sendo mais específica, a CVM tem reafirmado um posicionamento adotado por vezes anteriores, com uma abordagem prioritária à sustentação de um regime informacional orientado à transparência.
*Flávia Alozem é Diretora de Compliance do Intrabank e especialista em Direito Empresarial.
