A “Avaliação de Programas de Compliance Corporativos” (Guia de Orientação do Programa de Compliance) atualiza a orientação divulgada anteriormente em 8 de fevereiro de 2017 e fornece às empresas maior clareza na avaliação do governo americano sobre programas de Compliance.

O Guia de Orientação do Programa de Compliance expande as “questões fundamentais” previamente fornecidas para os procuradores para avaliar se um programa de Compliance está adequadamente identificando e prevenindo a conduta indevida.

Perguntas fundamentais sobre os programas de Compliance

1. O programa de Compliance da corporação é bem projetado?
2. O programa está sendo aplicado com honestidade e de boa fé? Em outras palavras, o programa está sendo implementado de forma efetiva?
3. O programa de Compliance funciona na prática?

Notavelmente, embora os principais fatores relevantes para a análise por um procurador permaneçam os mesmos, este Guia enfatiza que não existe uma abordagem única para avaliar o programa de Compliance de uma empresa. Em vez disso, “o perfil de risco de cada empresa e as soluções para reduzir seus respectivos riscos determinam a realização de uma avaliação particularizada/individualizada”. Com o objetivo de realizar a mencionada avaliação individualizada, o Guia de Orientação do Programa de Compliance fornece um conjunto organizado de tópicos com os quais a performance e o programa de Compliance de uma empresa serão avaliados.

O DOJ sinaliza que não está atrás de um “checklist” de esforços de Compliance, mas que espera que as empresas construam um programa de Compliance individualizado, que aborde os riscos reais e específicos enfrentados por este negócio e que seja adequadamente implementado para garantir que o mesmo seja verdadeiramente efetivo.

O Guia de Orientação do Programa de Compliance enfatiza que as empresas têm flexibilidade para construir/desenvolver e melhorar o programa de Compliance, com o objetivo de assegurar que o mesmo seja adaptado e direcionado para os riscos que as empresas enfrentam devido o atual ambiente normativo e legal. A alta direção da empresa deve ser envolvida e também ser responsável pelo processo de avaliação das áreas de alto risco.

Além disso, a empresa também deve contar com o apoio dos times de negócios para identificar as maiores áreas de risco, auxiliar no desenvolvimento de canais apropriados e eficazes de comunicação e garantir que as políticas, procedimentos, treinamentos e controles internos adicionais irão funcionar efetivamente no âmbito da estrutura da empresa e sua respectiva cultura. Cada empresa deve considerar os tipos de mas condutas que tenham maior probabilidade de ocorrer em seus negócios e mensurar se o programa de Compliance de sua empresa está projetado/desenvolvido para identificar, detectar e prevenir condutas impróprias, a priorização de áreas de alto risco, as atividades adicionais de Compliance serão voltadas para as atividades particularmente sensíveis.

Além disso, quando os procuradores estão avaliando como um programa de Compliance é estruturado e se existem suficiente quantidade e qualidade de funcionários e recursos dedicados ao programa de Compliance para promover os desenvolvimento e objetivos, os procuradores irão levar em conta características específicas de cada empresa, como “tamanho, estrutura e perfil de risco”. O Guia de Orientação do Programa de Compliance enfatiza que os procuradores devem garantir que o programa de Compliance de uma empresa não seja bom apenas no papel, mas que seja “projetado/desenvolvido para detectar os tipos específicos de condutas improprias mais prováveis de ocorrer na linha de negócios de uma empresa em particular”.

Alta direção das empresas

A alta direção de cada uma das empresas também deve demonstrar de maneira visível a liderança e o compromisso com uma cultura de Compliance por meio de ações concretas. O Guia de Orientação do Programa de Compliance instrui os procuradores a buscarem provas concretas de exemplos de como a alta gestão está definindo tom de Compliance para o restante dos funcionários da empresa e como esta sendo comunicado aos funcionários que a alta administração realmente tem seriedade em relação ao programa de Compliance.

A alta direção deve ir além de apenas enviar mensagens e, de fato, fazer ações concretas para modelar e incentivar o comportamento adequado. Isso deve incluir o ato de “ não incentivar os funcionários a agir de forma antiética para atingir um objetivo comercial”.

O Guia de Orientação do Programa de Compliance enfatiza que os procuradores devem questionar se a expertise de Compliance tem estado disponível para o conselho da empresa. Isso inclui se o conselho se reuniu individualmente com o Compliance Officer e seu time (se aplicável) e outras funções de controles, quais foram os os tipos de documentos e informações que foram disponibilizados para o conselho, incluindo no que diz respeito a áreas onde violações de políticas da empresa ocorreram. As empresas devem considerar como será endereçada a questão da supervisão do conselho em relação ao Compliance Officer e sua equipe e como essa supervisão foi documentada ao longo do tempo.

O Guia de Orientação do Programa de Compliance novamente reforça os princípios que o DOJ, por longa data, tem requerido em relação a um programa de Compliance efetivo, especificamente, o departamento de Compliance da empresa deve ter orçamento adequado e possuir os recursos, autoridade e apoio da alta administração para efetivamente avaliar, investigar e sugerir medidas disciplinares para violações.

As empresas devem garantir que as investigações internas sejam conduzidas no tempo e de forma adequada. Por exemplo, o Guia coloca em prática procedimentos para assegurar que as “investigações sejam independentes, objetivas, apropriadamente conduzidas e adequadamente documentadas”. Caso uma conduta indevida seja identificada, o Guia de Orientação do Programa de Compliance estabelece a obrigatoriedade que a empresa realize uma análise adequada e honesta de causa raiz da conduta indevida, com o objetivo de entender: (i) o que contribuiu para tenha ocorrido a má conduta; e (ii) o grau de remediação necessária para prevenir que eventos semelhantes ocorram novamente no futuro. Ao fazer isso, as empresas não apenas estão reagindo a conduta indevida, mas, de fato, lidando com a conduta inadequada em questão ao utilizar a investigação como uma oportunidade para identificar a causa raiz da má conduta e quaisquer pontos fracos no programa de Compliance e/ou nos controles internos da empresa. A empresa terá a oportunidade realizar melhorias onde for necessário baseado no conceito de “lições aprendidas”.

O Guia de Orientação do Programa de Compliance também aconselha aos procuradores a questionar se a empresa realizou testes nos controles e fez análises de dados em áreas de riscos de Compliance e, quando os sinais de riscos são identificados se seguiu adiante com entrevistas com funcionários visando detectar a causa raiz em sua essência.

O DOJ também sugere aos procuradores para que eles devam examinar com que frequência e de que forma a empresa está mensurando sua própria cultura de Compliance, através de imputs de funcionários de toda a organização sobre suas respectivas percepções sobre o compromisso da alta administração com o programa de Compliance. Em outras palavras, em vez de simplesmente confiar nas informações fornecidas por meio dos canais de denúncias da empresa sobre potenciais violações de conduta, as empresas devem buscar informações dos funcionários sobre a cultura de Compliance da empresa antes que as violações sejam relatadas.

Principal lição

A principal lição deste Guia seja que, mais do que nunca, que as empresas devem realizar um cálculo do risco que querem e/ou devam enfrentar ao decidir quanto irão investir em um programa de Compliance que seja realmente efetivo. Com maior ênfase, o DOJ expressou a opinião de que “programas de Compliance de papel” não são suficientes, e que o DOJ está se tornando muito mais sofisticado em sua abordagem para determinar a efetividade ou não de um programa de Compliance.

Embora o tamanho e a forma variem, toda empresa deve se perguntar se está lidando com cada um dos elementos de um programa de Compliance de forma efetiva e foram dedicados recursos suficientes para endereçar/ lidar com as atividades de negócios de maior risco, não somente em bases reativas, mas antecipando que a violação ao programa de Compliance pode ocorrer.

A aversão a vamos prevenir/evitar “problemas no futuro”, embora muitas vezes difícil de ser financeiramente avaliada sob o ponto de vista do retorno sobre o investimento, é provavelmente o maior incentivo para as empresas que investem e implementam programas de Compliance efetivos.

A Lei de Proteção de Dados Europeia (GDPR), atuante desde 25 de maio, e a Lei de Proteção de Dados (LGPD ou PLC 53/2018), que entrará em vigor em fevereiro de 2020, atualmente criam um movimento intense em plataformas e aplicativos da internet no que tange à atualização dos termos e condições de uso, onde também estão presentes as políticas de privacidade de dados.

Em linhas gerais, ambas as leis regulamentam como as empresas devem tratar os dados pessoais de seus usuários e estabelece punições para condutas abusivas. Mas qual a relação da aprovação destas leis com este movimento de atualização das políticas de privacidade? O que, afinal de contas, é alterado nestes termos e por quê?

Para responder tais perguntas, segue uma análise dos principais aplicativos e redes sociais, para que você conheça as mudanças. O resultado desta comparação surpreendeu justamente pela ausência de mudanças substanciais.

As mudanças

Embora não haja uma pesquisa específica a esse respeito, há uma percepção geral de que a maioria dos usuários nunca lê os “Termos de Uso” destas plataformas e, como consequência, não leem também a “Política de Privacidade”. Tanto é verdade que alguns dos serviços analisados sequer disponibilizam uma versão em português – como é o caso do LinkedIn, Waze e WhatsApp.

Existem, até mesmo, sites especializados em resumir e apresentar os principais tópicos destes termos para facilitar a vida dos usuários – como no caso do site https://tosdr.org (tosdr = Terms Of Service Didn’t Read), cujo próprio nome brinca com o fato de que as pessoas não lêem estes termos.

De fato, a vida dos usuários não é fácil quando se trata de garantir sua privacidade. Além de muito extensas e cansativas, as políticas de privacidade não dão a opção de continuar utilizando o serviço plenamente sem que o usuário autorize o uso das informações coletadas. A única alternativa para não concordar com o uso é cancelar sua conta e deixar de utilizar o serviço – como mostra o aviso abaixo:

“A continuação do uso de nossos serviços ratifica sua aceitação de nossa Política de Privacidade e alterações posteriores. Caso você não concorde com a Política de Privacidade revisada, pare de utilizar os Serviços. Consulte nossa Política de Privacidade periodicamente”. (WhatsApp)

Então, alguém poderia dizer: “Eu não quero me expor. Portanto, não vou usar estes aplicativos”. Mas você sabia que mesmo assim seus dados podem estar sendo coletados?

O Facebook e todas as empresas do grupo, por exemplo, coletam dados sobre você mesmo sem ter uma conta com eles. Sim, é isso! O Facebook estabelece inúmeras parcerias com outros serviços on-line, tais como jogos, portais de compras e vários outros produtos virtuais os quais estabelecem uma relação de compartilhamento dos dados dos usuários. O aviso a seguir aponta isso:

“Esses parceiros fornecem informações sobre suas atividades fora do Facebook, inclusive informações sobre seu dispositivo, os sites que você acessa, as compras que faz, os anúncios que visualiza e sobre o uso que faz dos serviços deles – independentemente de ter ou não uma conta ou de estar conectado ao Facebook.” (Texto extraído da última versão da política de dados do Facebook divulgada em 19 de abril de 2018.)

Como se não bastasse esse tipo de parceria, temos também um outro elemento importante que pode permitir que os aplicativos acessem dados sobre você. Por mais que você não esteja conectado a nenhuma dessas redes, caso alguma pessoa que você conheça e que o tenha em sua lista de contatos tenha compartilhado esta informação com os aplicativos, minimamente estes aplicativos terão acesso ao seu nome, número de telefone e qualquer outro dado que esta pessoa tenha registrado sobre você – como e-mail, endereço, empresa em que trabalha, etc.

Portanto, concluímos que o único jeito de não ter seus dados compartilhados na internet seria estar completamente desconectado da civilização moderna, sequer fazendo uso de boa parte dos serviços públicos ou cumprindo com suas obrigações de cidadão.

Mas se você não tiver vocação para se tornar um ermitão, você pode, opcionalmente, entender o que, afinal de contas, essas empresas fazem com seus dados pessoais. E é neste sentido que as novas Políticas de Privacidade se aprimoraram. Estão, de maneira geral, deixando mais clara a forma como os dados são coletados e utilizados.

As semelhanças sobre as empresas analisadas

Um consenso evidente entre as empresas analisadas – dentre as quais Facebook, iFoof, Waze, Uber, Twitter e Instagram – é o fato de todas elas compartilharem suas informações, seja com parceiros, afiliados ou com prestadores de serviço. Ainda na onda do compartilhamento, estas empresas também recebem outros dados, não informados por você, mas compartilhados por outros aplicativos ou provedores de serviço.

Outro ponto percebido foi a modificação nas novas políticas quanto à forma de divulgação de futuras alterações. Em alguns casos, os aplicativos comunicavam as alterações apenas por um aviso em suas páginas. Já nas novas políticas, as empresas se comprometem a comunicar novas versões de maneira mais enfática, seja enviando e-mail ou utilizando outras formas de mensagens para os usuários – como no exemplo abaixo, do iFood:

“Se fizermos alguma alteração na política em termos materiais, colocaremos um aviso no nosso site, juntamente com a Política de Privacidade atualizada.” (iFood versão anterior) versus “Se fizermos alguma alteração na política em termos materiais, podemos colocar um aviso no nosso website, aplicativo ou te enviar um e-mail, juntamente com a Política de Privacidade atualizada. Por isso, é sempre importante manter seus dados de contato atualizados.” (iFood versão atualizada)

Mas se no final das contas poucos leem estes termos, de que vai adiantar avisar sobre as novas versões, com a entrada da LGPD? Na prática, não vai mudar muita coisa, assim como a essência das políticas também não mudou muita coisa ainda. Os aplicativos continuarão coletando seus dados, compartilhando e fazendo uso deles para as inúmeras análises sobre o comportamento dos usuários.

O que a nova lei de proteção de dados nos oferece, portanto, é a punição para eventuais casos de abuso no uso dos dados. Empresas que não estiverem em conformidade com a nova lei poderão arcar com multas e punições severas, o que pode criar uma barreira de entrada para “aventureiros” nesta área.