LGPD em vigor – interfaces com PLD

Anteontem (26 de agosto de 2020), de modo bem brasileiro, a Lei Geral de Proteção de Dados “entrou em vigor”. Na verdade, o que aconteceu foi que o Senado entendeu prejudicado o trecho de uma Medida Provisória a qual adiava a entrada em vigor da Lei. Como a MP foi votada, o texto do adiamento caiu e muitos entenderam que a LGPD entraria imediatamente em vigor ou no dia subsequente.

Logo saiu uma manifestação da Mesa do Senado informando que a norma ainda precisa passar pela sanção presidencial. Ou seja, tudo indica que, sem muita margem para interpretações divergentes, a LGPD passa a vigorar nos próximos 15 dias (prazo constitucional para que a lei seja sancionada).

Participei da elaboração de uma breve nota com mais informações sobre o tópico: aqui!

O que nos interessa, por hora, é a interface entre a LGPD e Prevenção à Lavagem de Dinheiro.

1. KYC e Bases Legais

O primeiro tema diz respeito às obrigações cadastrais da Lei de Lavagem e aos processos de conhecimento de cliente e de identificação de beneficiários finais. Como as normas de PLDFT exigem a realização do cadastro e a LGPD, por sua vez, exige que operações de tratamento de dados pessoais sejam justificadas por uma base legal específica, a relação entre PLD e proteção de dados está posta.

As normas de PLD oferecem a base legal para uma série de operações de processamento de cadastro (art. 7º, II da LGPD) e isso precisa ser avaliado tanto pelo time de PLD quanto pelo time que fará o mapeamento das operações de tratamento.

Ocorre que o tratamento dos dados cadastrais gerado pelas obrigações de PLDFT vai muito além do simples registro de dados do cliente. Esse tipo de tratamento envolve processos de avaliação de risco, de classificação do cliente nos termos dessa avaliação, de atribuição de ratings específicos, de vinculação a um histórico (positivo ou negativo) de transações, entre outras, a depender da metodologia PLD adotada. Todas essas operações precisam ser listadas e avaliadas do ponto de vista da proteção a ser garantida para resguardar os direitos dos titulares desses dados.

É muito provável que as análises de LGPD tendam a recomendar o isolamento das operações de tratamento realizadas pelos times de compliance, para que não sejam amplamente acessíveis por outras áreas, a menos que seja identificada uma finalidade específica. Ou seja, principalmente para casos que podem ter repercussão negativa para o titular, relatórios de compliance não deverão circular na instituição de forma indiscriminada, restrição que serve como salvaguarda aos titulares dos dados envolvidos.

Ressalvas – técnicas e funcionais – de informações geradas pelas análises de KYC precisarão ser desenvolvidas.

Outro ponto de atenção é o da manutenção da bases de clientes, em especial dos clientes inativos. Muitas vezes, por interesse comercial, a instituição mantém os dados cadastrais por muitos anos, o que pode ser inviabilizado pela LGPD. Para fins de cumprimento de normas de PLDFT, no entanto, o prazo de 5 anos pode ser observado como cumprimento de uma obrigação legal, ficando sujeito ao teste de legítimo interesse o uso dessas informações para outros fins.

Caso, por exemplo, um banco deseje retomar o contato com um cliente inativo há 4 anos, ele não precisará justificar o fato de deter esses dados (afinal, instituições financeiras são  obrigadas a manter essas informações por 10 anos, pela Circular Bacen 3.978), mas precisará avaliar se aquele titular específico possui expectativa legítima de que seus dados sejam utilizados de outra forma, com uma abordagem comercial, por exemplo.

O tempo de guarda de dados é um dos temas mais sensíveis da interface entre LGPD e PLD. Proponho a seguinte tese, que certamente será testada nos próximos anos: a guarda de informações relativas a operações consideradas suspeitas poderá ser realizada em acordo com o prazo prescricional penal para os riscos identificados na operação.

Assim, se a operação foi considerada suspeita porque foram encontrados indícios de corrupção, é legítimo que a instituição queira manter registros para o exercício de potencial direito de defesa seu ou de seus gestores pelo prazo em que poderá ser questionada pelas autoridades (no caso, 16 anos, considerando a prescrição em abstrato do crime de corrupção passiva).

Os dois últimos pontos nesse assunto dizem respeito ao compartilhamento de dados dos titulares com consultorias que fazem análise de mídia negativa, back ground checks, etc., ou com outras empresas do grupo, e a questão da tomada de decisão (classificação de risco, por exemplo) por sistemas automatizados.

Ambos tópicos precisam ser minuciosamente endereçados nos contratos com as empresas parceiras ou, se forem internalizados, devem se tornar objeto de ressalvas específicas para evitar o abuso de direito no tratamento dos dados dos titulares. O compartilhamento entre empresas de um mesmo grupo, que é autorizado e até mesmo incentivado pelas regras de PLD, dificilmente poderá validar o uso de tais dados para uma finalidade comercial não esperada pelo titular com relação aos produtos oferecidos por outra companhia de um conglomerado.

Lembro, ainda, que decisões automatizadas devem ser revistas, sob requisição do titular, ainda que por meio de uma nova análise automatizada, mas preferencialmente sujeita ao crivo de outro sistema operacional e, se possível,

2) Dados Financeiros / Dados Pessoais

Apesar de a LGPD não ter explicitado dados financeiros como pessoais, não há dúvidas de que eles integram o rol de proteção da Lei na medida em que possibilitam a identificação de pessoas.

Por isso, o controle de transações precisa ser criterioso para avaliar o quanto pode expor dados pessoais a partir das análises que são feitas – inclusive para fins de PLD – de dados não anonimizados.

Exatamente por essa razão, é recomendável que pessoas obrigadas considerem a hipótese de serviços especializados em anonimizacao de dados para que a “inteligência” das análises anteriores, sobre perfil de risco de transações, por exemplo, não seja perdida e possa ser armazenada sem incidência específica dos controles da LGPD.

3) DPO / CCO e governança

A Agência Nacional de Proteção de Dados veio, assim com a Lei, de Supetão. Ficará alocada na Presidência da República e deve ser composta em breve, já com o imenso desafio de pegar o bonde andando.

Um dos pontos que deverá ser objeto de atenção imediata do órgão é a regulação da função do “encarregado” pelos tratamentos de dados, essa figura que a LGPD parece ter tornado indistintamente obrigatória para todos os segmentos e tamanhos de empresas.

O Data Protection Officer, como também é conhecido, poderá ser uma pessoa jurídica externa, contratada apenas para esse fim, o que também exigirá regulação específica.

No momento, para grandes instituições, recomenda-se a internalização da função, o que nos leva à seguinte pergunta: pode haver cumulação de cargos com outras funções já existentes, em especial, do jurídico ou do compliance?

Decisões recentes tomadas por reguladores europeus têm levado a crer que não, uma vez que há potencial conflito de interesses entre as funções de compliance e a de DPO. Isso é  especialmente relevante para o cargo de diretoria de PLD, responsável por tratar um volume significativo de dados pessoais categorizados, muitas vezes, como sensíveis, nos termos da Lei (ex.: dados de filiação política de PEPs, dados étnicos dedutíveis a partir de informações geográficas e cadastrais), ou que mereçam, ao menos, cuidado redobrado pelo potencial discriminatório, como histórico criminal. Isso sem contar com a interface de dados sigilosos (bancários, fiscais, etc.) que ficam sob tutela dos setores de PLD.

Por fim, para companhias abertas que sejam obrigadas, deve ser questão de tempo até que informações relativas às rotinas de proteção de dados integrem os formulários de referência, de modo que o ideal é programar a governança de dados em confluência com as boas práticas de governança corporativa, o que pesa a favor de um DPO independente.