A LGPD e o mercado de capitais

Em 18 de agosto do ano passado foi publicada a Lei nº 13.709, a Lei Geral de Proteção de Dados Pessoais (LGPD), cuja maioria das disposições entra em vigor em agosto de 2020.

Agora, já tendo digerido um pouco melhor as suas diretrizes, considera-se importante ressaltar alguns pontos fundamentais que podem vir a impactar os players do mercado de valores mobiliários.

A LGPD definiu três categorias de dados (pessoais, sensíveis e anonimizados), e essas classificações servem de baliza para o nível de cuidado que os agentes de tratamento de dados devem ter em relação a cada classificação. Para fins da LGPD, o agente de tratamento de dados é toda pessoa natural ou jurídica que tenha acesso a dados de terceiros, salvo o acesso para fins particulares e não econômicos e, ainda, aqueles obtidos exclusivamente para fins jornalísticos, artísticos, acadêmicos, segurança pública, defesa nacional, segurança do Estado ou atividade de investigação e repressão de infrações penais. Estão excluídos igualmente da proteção da Lei os dados provenientes do exterior.

De acordo com a categorização dos dados, são “Anonimizados” aqueles que cujo titular não pode ser identificado, mesmo que se use meios técnicos razoáveis para tal; “Pessoais” são todos aqueles relacionados a pessoa natural identificada ou identificável; e “Pessoais Sensíveis” são os dados Pessoais que versam sobre “origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico”.

Interessante notar aqui que, para cumprimento dos procedimentos de prevenção à lavagem de dinheiro (“PLD”) e Know Your Client exigidos pela Comissão de Valores Mobiliários (“CVM”) e Associação Brasileira das Entidades dos Mercados Financeiro e de Capitais (“ANBIMA”), é esperado que o player colete informação de seus clientes relativa a eventual filiação a organizações de caráter filosófico ou político, o que, nesse caso, ensejará a classificação do dado como Pessoal Sensível, atraindo os controles decorrentes dessa classificação, nos termos da LGPD.

Assim, considerando a natureza dos serviços prestados pelos participantes do mercado regulados pela CVM, o tratamento de dados pessoais, nos termos da LGPD, pode ser realizado tanto para cumprimento de obrigação legal ou regulatória, quanto para o exercício de direitos ou interesses legítimos do agente de tratamento de dados.

Além disso, há a hipótese de consentimento do titular para uso da informação, provavelmente o caso com o qual as instituições se depararão mais frequentemente. Esse consentimento deverá ser passível de demonstração, mediante aderência do cliente a algum tipo de termo de autorização que contenha cláusula destacada informando sobre o consentimento de forma específica às finalidades determinadas. Neste caso, ainda, o titular deve ter garantido seu direito à revogação do consentimento.  Além disso, o controlador (pessoa a quem compete as decisões de tratamento de dados) será responsável por tomar todas as providências necessárias à facilitação do acesso do titular aos seus dados.

Diante do explicitado, o primeiro passo para atendimento à LPGP pelos participantes do mercado consiste justamente na identificação das informações coletadas dos investidores e classificação desta informação de acordo com os critérios outorgados pela LGPD. Na sequência, é importante que os players tracem seus objetivos com relação ao tratamento de dados pessoais e adotem, na documentação coletada junto aos investidores, bem como em todos os meios pelos quais dados Pessoais sejam coletados, a cláusula específica de que trata a LGPD sobre o consentimento do cliente e finalidade da coleta.

A LGPD também cria a obrigação de comunicar à autoridade nacional de Proteção de Dados Pessoais “sempre que ocorrer incidente de segurança (segundo o Art. 46 da citada Lei, “acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito”) que possa acarretar risco ou dano relevante aos titulares”. Rotina que, por sua vez, recomendamos que seja incluída nas políticas internas que versam sobre controles internos, cibersegurança e/ou plano de continuidade de negócios, conforme o caso, inclusive com indicação da pessoa responsável por fazer essa comunicação. Ainda, interessante notar que a própria LGPD sugere a formulação de uma política de segurança, o que pode estar contido em um dos documentos já existentes.

Mais um ponto interessante, é que, pela definição da Lei de “transferência internacional de dados”, mesmo a contratação de serviços de armazenamento de dados em um servidor na nuvem pode ensejar uma transferência internacional de dados. Nesse sentido, recomenda-se que sejam reavaliados todos os prestadores de serviços relacionados à tecnologia da informação utilizados, para que esses estejam em acordo com os requisitos estabelecidos pelo Art. 33 da LGPD, ou que se colete o consentimento do titular também com destaque para a transferência, indicando o caráter e finalidade dessa.

Outra sugestão que se considera elementar é que os treinamentos internos das instituições contem com uma seção especial para orientação da equipe com relação ao tratamento de dados pessoais, incluindo também uma revisão dos contratos e políticas da casa. Caso a instituição tenha contrato com empresa que forneça serviços de tratamento de dados, é imprescindível um alinhamento dos objetivos desses serviços, de modo que isso conste nas cláusulas específicas.

Aproveita-se para lembrar que a CVM está conduzindo a Audiência Pública SDM 05/2018, atualmente em fase de análise, que deve implementar novos artigos relacionados a segurança das informações, a qual se espera que dê maior grau de concretude aos princípios trazidos pela LGPD. Dentro de suas esferas de competência, o Banco Central e o Conselho Monetário Nacional também podem vir a publicar atos normativos em linha com a LGPD ou para melhor definição dos procedimentos a serem seguidos pelas instituições, até a efetiva vigência da lei.

Instruções CVM 608 e 609 e a Deliberação CVM 819: multas cominatórias

A Comissão de Valores Mobiliários publicou, no último dia 25, as Instruções CVM 608 e 609 e a Deliberação CVM 819, como resultado da Audiência Pública SDM 01/2018, que teve por objetivo reformar as normas que tratam de aplicação de multas cominatórias e dos recursos impetrados pelos administrados referentes a essas multas. A Audiência Pública foi comentada por nove participantes, no período de 3 de abril a 18 de maio de 2018, dentre os quais nosso Escritório: Benzecry e Pitta.

A Instrução CVM nº 608, mais extensa das três normas, traz, como grande novidade, um artigo que prevê que as Superintendências da CVM responsáveis pelo acompanhamento da entrega de informações periódicas deverão disponibilizar, até 15 de dezembro de cada ano, na página da CVM, calendário com a relação das informações periódicas a serem divulgadas pelos participantes no ano seguinte, com prazos e base normativa aplicável. Por outro lado, foi extinta a prévia notificação do não cumprimento de obrigação periódica para início do decurso das multas cominatórias aplicáveis em base diária. Tal fato merece especial atenção dos regulados.

Esse calendário terá caráter informativo, será discriminado por tipo de participante e também será enviado aos participantes por e-mail até o último dia do mês. Caso sejam criadas novas obrigações, o calendário deverá ser atualizado na página da CVM e será enviado novo e-mail alertando os participantes sobre a atualização. Interessante notar que a inclusão, no calendário, de base normativa que impõe a obrigatoriedade da rotina e a divulgação de calendário específico para cada participante do mercado foram pontos incorporados à norma em atendimento às sugestões da Benzecry e Pitta na Audiência.

Segundo a CVM, o calendário foi incluído como contrapartida em relação à retirada da previsão de comunicação específica a cada participante sobre o prazo de início de incidência de multa. Nesse sentido, a multa por não entrega de informação periódica passa a começar a incidir diretamente no vencimento do prazo para cumprimento da obrigação. Caso sua instituição tenha o hábito de cumprir determinadas obrigações como envio de formulário de referência e declaração de conformidade (DEC) a partir dos referidos alertas, tal fato merece especial atenção.

No que se refere à multa ordinária por não entrega da informação eventual, deve haver comunicação específica indicando prazo para cumprimento da obrigação. Para a multa extraordinária, decorrente de ordem da autoridade reguladora para abstenção ou prática de ato, a notificação indicará o prazo para cumprimento da obrigação, ao fim do qual passará a incidir a referida multa.

Ainda no tema sobre multas extraordinárias, o limite máximo para multa diária dobrou de valor, passando a ter o valor máximo geral de R$ 10.000,00, além de valores específicos por participante. Os valores serão fixados levando em conta, se possível: (i) capacidade econômica do multado; (i) grau de lesão ou o potencial de lesão da conduta, valores envolvidos na conduta, bem como sua duração e vantagem pretendida; (iii) colaboração, da pessoa, na prestação de informações requeridas pela CVM; e (iv) existência de prévio aviso da CVM para que o multado parasse de atuar de forma irregular no mercado.

A norma também passou a prever um limite máximo específico para multa decorrente de não comparecimento para prestação de informações – R$ 25.000,00 – sendo que esse limite pode ser dobrado caso o intimado deixe de comparecer de forma reiterada ou não compareça em data acordada a seu pedido. Nesse caso, a Benzecry & Pitta sugeriu a previsão da possibilidade de reconsideração da multa caso a ausência seja justificada. Embora a modificação na norma não tenha sido acatada, ao menos a CVM indicou, no relatório da Audiência, que pretende fazer reagendamentos quando da arguição de impossibilidade de comparecimento, bem como ressaltou que a aplicação da multa está também sujeita a recurso.

A autoridade responsável na CVM passa a ter 10 dias para responder o recurso referente a aplicação de multa. Aqui encontra-se talvez a maior contribuição da Benzecry & Pitta para as normas em comento, na medida em que, atendendo às considerações colocadas pelo escritório,  A CVM manteve a forma de comunicação postal com aviso de recebimento para a ciência, pelos regulados, de notificação de aplicação de multa cominatória e de decisão de recurso. Após a ciência desse último, o regulado passa a ter cinco dias para interpor pedido de reconsideração, esse com funções similares àquelas dos embargos de declaração usados nos tribunais. Nenhum recurso terá efeito suspensivo.

Já na Instrução CVM nº 609, chama-se atenção, tão somente para o novo artigo da Instrução CVM n 555/14, que prevê a não concessão de registro para funcionamento de novos fundos ao administrador em atraso por maior que sessenta dias na entrega de informações periódicas. Tal fato pode trazer sérias implicações, em especial para os administradores com grande volume de fundos e os atuantes no setor de fundos de participações. A minuta inicial da norma previa que “situações excepcionais”, sem definir quais eram, poderiam justificar que a SIN deixasse, caso a caso, de impor essa vedação. Seguindo sugestão da Benzecry & Pitta, a CVM alterou a minuta, incluindo na norma lista exemplificativa de fatores a serem considerados para aferição de “situações excepcionais”, como (i) alteração do administrador do fundo; (ii) casos em que outros prestadores de serviço, e não o administrador, tenham dado causa à indisponibilidade de informações; e (iii) a quantidade de fundos administrados que estejam com informações periódicas em atraso.

A Deliberação CVM nº 819, que altera a Deliberação nº 463 e é resultado da minuta C da Audiência, também entra em vigor em 2020. A principal alteração foi a extensão do prazo, de 10 para 15 dias úteis, para o Superintendente responsável reformar ou manter decisão após recursos do administrado. Além disso, o administrado passa a ter 15 dias para apresentar pedido de reconsideração, com função análoga àquela que têm os embargos de declaração nos tribunais.

A Benzecry & Pitta também pleiteou, através da Audiência, que fossem criadas senhas individualizadas no CVMWEB para que cada diretor responsável tenha acesso ao cadastro da pessoa jurídica, não só o responsável pela atividade objeto (gestão, consultoria e outras), por entender que algumas atividades ligadas ao sistema são típicas do diretor de controles internos e que isso permitiria uma melhor atribuição das respectivas responsabilidades. A CVM, infelizmente, optou por registrar no relatório que acredita que o compartilhamento de senhas é algo natural e corriqueiro nas instituições, que vem funcionando e que fugiria do escopo da Audiência. Espera-se que tal posição seja revista no futuro, pois a pessoalidade das senhas é um importante fator para a adequada atribuição das responsabilidades.

As três novas normas mencionadas entram em vigor no primeiro dia do ano que vem.

O Relatório da Audiência Pública citada pode ser acessado aqui.

Selos ANBIMA: Prazo para Adaptação

Acabará em 1º de julho o prazo para as instituições vinculadas à ANBIMA, sejam como associadas ou aderentes aos seus Códigos, adaptarem-se às novas Regras e Procedimentos para uso dos Selos ANBIMA (“Regras”).

De acordo com o normativo, os novos selos poderão ser utilizados, conforme desejo da instituição, em todos os seus materiais e documentos, desde que o selo seja selecionado de acordo com a atividade desempenhada pela instituição. No entanto, a sua utilização torna-se obrigatória nos seguintes materiais, exceto para ofertas públicas, conforme disposto no art. 6º das Regras:

(I)   materiais e propostas comerciais que serão enviadas aos clientes ou potenciais clientes, por qualquer meio que permita a utilização do Selo, com o objetivo de estratégia comercial e mercadológica; e

(II)    site da instituição.

Os novos selos podem ser obtidos diretamente no SSM.

Por fim, esclarecemos que o Selo vinculado ao Código ABVCAP/ANBIMA de Regulação e Melhores Práticas para o Mercado de FIP e FIEE não está sujeito a essa nova norma e permanece com o formato já adotado pelas instituições vinculadas a ele.