Com sanções a 16 das maiores instituições financeiras do planeta, a SEC deixa claro que não vai abrir mão de que todas as comunicações e informações relacionadas com transações realizadas por entidades debaixo do seu guarda-chuva, sejam realizadas por canais oficiais e devidamente guardadas para que ela possa acessá-los a qualquer momento nos seus processos de investigação. Será o fim do uso de dispositivos pessoais no ambiente de trabalho?
No final de setembro do ano passado, a Securities and Exchange Commission (SEC), reguladora do mercado de valores mobiliários dos Estados Unidos aplicou multas em 15 das maiores instituições financeiras em operação no país, nomes como Citigroup, Goldman Sachs, Bank of America, Deutsche Bank entre outros “nomões” de Wall Street. O motivo? Essas empresas violaram as disposições de manutenção e guarda de registros e documentos dispostas nas leis federais que regem o mercado de valores mobiliários. Ao punir as 15 instituições – as maiores com multas de US$ 125 milhões cada (além das já mencionadas acima, completam o rol o UBS, Credit Suisse, Morgan Stanley e Barclays); duas sancionadas em US$ 50 milhões cada (Jefferies e Nomura Securities International); além da Cantor Fitzgerald, que concordou com uma multa de US$ 10 milhões -, a SEC encerra um caso que teve como primeiro implicado o banco JP Morgan, que ainda no final de 2021, concordou em pagar uma multa também de US$ 125 milhões pelas violações na guarda dos arquivos e documentos. Além da multa, as instituições se comprometeram a implementar aperfeiçoamentos nas suas políticas e procedimentos de Compliance para atender às disposições da lei.
De acordo com a SEC, de janeiro de 2018 até setembro de 2021, os funcionários dessas instituições tratavam de questões de negócios, incluindo aí a comunicação com clientes, rotineiramente usando aplicativos de mensagens de texto como o Telegram e o Whatsapp diretamente dos seus aparelhos pessoais. Poderia ser algo extremamente normal, já que a comunicação por meio desses aplicativos é hoje, cada vez mais comum, não fosse o fato de que para as instituições que negociam valores mobiliários, como títulos e ações, a guarda de toda a comunicação relacionada com transações é obrigatória do ponto de vista regulatório, incluindo aí as eventuais comunicações e indicações de vendas feitas pelos operadores dos bancos e corretoras aos seus clientes. Como diz a SEC em comunicado, o ponto aqui é que ao não preservarem os registros necessários relacionadas a comunicações de negócios realizadas fora dos canais oficiais da companhia (estes sim, já costumeiramente alvos de políticas de guarda e manutenção), as empresas acabaram por privar o acesso da Comissão a essas comunicações. As falhas ocorreram em todas as 16 empresas e envolveram funcionários em vários níveis de autoridade. “Desde o alto escalão até profissionais juniores estavam fazendo comunicação relacionados ao negócio da companhia fora dos canais oficiais, sem que essas comunicações fossem guardadas e mantidas íntegras nos arquivos da empresa, o que não permite que a SEC tenha acesso a essas informações durante um processo de investigação, por exemplo”, explica a advogada especializada em Compliance, Claudia Massaia.
Para o vice-diretor de Enforcement do regulador norte-americano, Sanjay Wadhwa, as ações transmitem uma mensagem direta às empresas e pessoas supervisionadas pela SEC. “Agora é a hora de reforçar seus processos de retenção de registros e corrigir problemas que possam resultar em má conduta futura semelhante por parte do pessoal da empresa. (…), a equipe continuará seus esforços para fazer cumprir os requisitos essenciais de manutenção de registros para a Comissão”, emendou. A SEC reiterou que as empresas falharam razoavelmente na supervisão das suas operações para prevenir e detectar essas infrações, ainda que em muitos desses casos, o órgão tenha reconhecido a presença de mecanismos de treinamento e comunicação referentes ao assunto da empresa para os seus funcionários.
Para atender a SEC (e outros reguladores pelo mundo), as empresas precisam registrar todas as comunicações e informações relacionadas com uma transação, inclusive reembolsos e valores recebidos, em softwares ou em alguma solução tecnológica que permita aos órgãos visualizar essa trilha de auditoria. “O fato de colaboradores terem usado dispositivos pessoais e aplicativos de mensagens não oficiais, ou e-mails pessoais e não serem essas mensagens acessadas e retidas pelas instituições, limita o regulador na sua diligência. Aí vem a questão da governança dessas instituições em relação ao tema”, pontua Patrícia Latorre, sócia do escritório especializado Stone Turn.
Falha, ingenuidade ou cultura?
A legislação que serviu de base para a punição das instituições, a Securities Exchange Act, de 1934, é não só uma das mais antigas, mas provavelmente a legislação mais conhecida pelos profissionais do mercado financeiro em todo o mundo, dado o poderio econômico e a centralidade do sistema financeiro norte-americano. A disposição relacionada a guarda de arquivos também não é nenhuma novidade, tanto que é costumeiramente feita para todos os canais de comunicação oficial da empresa, como e-mails e telefones corporativos, por exemplo.
Por isso é de se perguntar: como essas instituições e os seus departamentos de Compliance, habituados com o ambiente regulatório, deixaram correr solto, por tanto tempo, as conversas de negócios com os clientes por meio de app’s de mensagens pessoais, e ainda mais grave, realizada no próprio dispositivo pessoal do funcionário? Não é a primeira vez que um caso de comunicação feita fora dos canais oficiais vem à tona. Mas ao multar 16 bancos pelo mesmo motivo, a SEC deixa claro que isso era uma prática generalizada com a qual ela não vai compactuar. “A impressão que dá é que isso foi enraizado na prática de negócios, o que não deveria ter sido, e agravado pelo afrouxamento da governança, da supervisão. Do contrário, continuaríamos tendo casos pontuais”, acredita Latorre.
As multas em si estão relacionadas exclusivamente com a falha na guarda dos arquivos e documentos e não com qualquer outro tipo de infração de fraude ou de recomendações indevidas de investimento (que é um dos principais objetivos para a guarda dos documentos). Elas podem ser enxergadas como consequência de uma mudança na forma como nos comunicamos uns com os outros. A velocidade e a praticidade gerada pelo uso dos aplicativos de mensagens fez com que elas se popularizassem em todo o mundo e assumissem papel central também na comunicação corporativa, o que do ponto de vista regulatório é um grande problema. Mas as empresas demoraram (ou ignoraram) que esse novo jeito de se comunicar não se alinhava ao que a regulação exige e, portanto, ao que estava disposto nos próprios regulamentos internos.
Entender o ocorrido como uma típica situação na qual funcionários buscam fazer uso de canais de comunicação “fora do radar” seria lançar um olhar no mínimo enviesado para a questão. Não que isso não aconteça, como bem sabem os investigadores de Compliance. Tão pouco isso pode ser lido como uma vitória das áreas de negócios em uma eventual resistência em abrir mão da possibilidade de comunicação mais rápida e direta com os clientes, para voltar a usar os canais tradicionais oferecidos pelas companhias. E é preciso ter em conta que, muito provavelmente, os próprios clientes tendem a preferir a praticidade e a velocidade oferecida pelo Whatsapp, Telegram e afins. Não que tudo isso não seja verdade. Mas é preciso reconhecer que a governança das empresas, Compliance incluso, ao que tudo indica, não conseguiu avaliar o real tamanho do risco que isso estava gerando. Para Patrícia Latorre, da Stone Turn, pode-se dizer que a situação bifurcou: a governança das companhias, na sua avaliação de risco, talvez não tenha mensurado que esses negócios estivessem acontecendo em grandes quantidades fora dos canais oficiais, junto com a resistência da área de negócios de voltar para os canais tradicionais.
Boa parte das instituições tinha além das políticas e programas bem desenhados, treinamentos e comunicações claras para os profissionais do banco sobre quais dispositivos e canais poderiam ser utilizados na comunicação. Os supervisores tinham treinamento, as equipes tinham treinamento e, no caso do JP Morgan, por exemplo, existia uma confirmação anual da parte dos funcionários de que as pessoas estavam cumprindo com a norma, o que é estranho, para dizer o mínimo, mas que também reforça a forma como o uso de plataformas de mensagens e de aparelhos pessoais para comunicações corporativas parece estar impregnado, ainda mais depois da pandemia. “É fato que isso acontece. A empresa dá o telefone corporativo e o funcionário pega o chip da empresa e coloca no IPhone dele”, conta Bruno Massard, gerente-geral da Epiq para América Latina. Além de ter que andar sempre com dois celulares ser algo incômodo, muitas empresas oferecem aparelhos corporativos que não são do agrado dos seus profissionais. “Elas dão aparelhos Android e não o telefone da Apple para seus funcionários, mesmo no caso dos líderes, justamente porque é mais difícil você acessar o código do IPhone caso seja necessário em alguma investigação no aparelho”, emenda Massard. O contrário – usar o aparelho corporativo como pessoal – também acontece, mas nesse caso, a situação para a empresa e os investigadores é menos complicada, já que sendo o aparelho da empresa, o funcionário não deve ter a expectativa de privacidade e a empresa pode requerer que ele entregue o aparelho a qualquer momento, não importa o que esteja armazenado nele. Mas, mesmo aí existem algumas complicações do mundo moderno que precisam ser levadas em conta e podem tornar o acesso às informações de negócios e transações um desafio adicional. Se os dados estão armazenados na nuvem e se a conta do Icloud (no caso de quem usa aparelhos IPhone, por exemplo), for da pessoa e não da empresa, como fazer para acessar os dados se a própria pessoa não concordar em ceder o acesso à empresa da sua conta pessoal na nuvem? O mesmo vale para aplicativos de mensagens como o Telegram e o Skype, que arquivam as mensagens na nuvem e não no aparelho, como é o caso do whatsapp, o que faz deste último, ao menos em tese, um problema menos complexo para as empresas da perspectiva da governança da tecnologia.
A primeira reação das empresas, especialmente as do setor financeiro, tem sido a de restringir os seus funcionários e monitorar todos os movimentos que possam “permitir” que comunicações sejam feitas fora dos canais e dos aparelhos oficiais da empresa. “Tem empresas que já monitoram se um funcionário tirou o chip do celular corporativo para colocar no seu aparelho pessoal”, reforça o gerente-geral da Epiq. Outras empresas têm colocado restrições físicas para o uso de celulares pessoais no ambiente de trabalho. “Tenho clientes que já estabeleceram que as pessoas só podem entrar na mesa de operações com o celular corporativo, o pessoal é proibido de entrar; ou situações nos quais os funcionários são proibidos de tirar fotos e print screens das telas com o celular pessoal”, reforça Latorre.
As restrições de uso que estão sendo impostas pelas instituições financeiras podem surtir efeito de imediato, mas por si só, muito provavelmente não vão resolver o problema no médio e no longo prazo. Afinal, com o mundo falando cada vez mais por aplicativos de mensagem, retornar a era “pré-whatsapp” pode acabar sendo um tiro no pé para os negócios. O uso desses aplicativos é um hábito arraigado na população e ir contra ele pode se provar contraproducente.
Hoje as empresas, via de regra, oferecem aos seus funcionários um email corporativo, um computador (cada vez mais um notebook), um número de telefone. Os aparelhos celulares corporativos são comuns a partir de um determinado nível, mas não algo já disseminado por toda a empresa, como era o caso dos ramais fixos. Contas corporativas para acessar aplicativos de conferência e mecanismos de comunicação interna, como o Teams e o Workspace também foram incorporados ao set de ferramentas. Já contas individuais de whatsapp e outros app’s de mensagens para os funcionários usarem nas suas comunicações externas com clientes e parceiros de negócios, que sejam controladas pela empresa, essas ainda não são tão comuns. É preciso que a governança no uso desses aparelhos e das tecnologias de comunicação tenham a capacidade de se moldar à forma como os negócios estão sendo feitos, sem que isso se torne uma violação regulatória. E a tecnologia para isso existe, o que não quer dizer que a sua implementação seja simples e, muito menos, barata.
Os desafios tecnológicos
Atualmente, uma série de tecnologias como as baseadas em processamento de linguagem natural (NLP, na sigla em inglês) permitem reportar, reconstituir, analisar e até mesmo capturar automaticamente conversas de ligações feitas pelo whatsapp. “Com o uso dessas ferramentas, não é preciso limitar o uso dos canais de comunicação”, pontua Latorre. “Mas desde que eles sejam corporativos”, emenda. E aí, voltamos à questão das ferramentas disponibilizadas pelas empresas aos seus funcionários. Porque não é legalmente possível garantir a guarda de uma comunicação feita por uma conta ou um equipamento que não está sob alçada da empresa. Um agravante nessa situação é que muitas empresas, e diferentes setores da economia global, passaram os últimos anos incentivando o “bring your device”, ou seja, tornando o uso de equipamentos pessoais algo permitido pela política da empresa. Isso é algo que dado o novo contexto, certamente precisará passar por boas discussões, em especial com a disseminação do home office.
De qualquer forma, ao menos para atender as questões regulatórias mais prementes, as empresa – particularmente as reguladas pelo SEC (um grupo que vai muito além dos bancos, embora esse seja naturalmente o setor mais regulado), as empresas vão precisar olhar para as soluções tecnológicas de guarda de arquivos e comunicações e reavaliar se a luz desse novo cenário de riscos, elas realmente são boas ou não. “Muitas empresas contratam licenças de serviços que não contemplam a integridade e a guarda das informações de e-mails, por exemplo, da forma como o regulador exige”, aponta Massard. Só que contratar uma licença que garanta isso custa mais e, claro, isso se torna um problema. “Mas as empresas poderiam investir nisso ao menos para os funcionários chave da organização”, recomenda o gerente-geral da Epiq, que reconhece que todo esse processo vai tornando a gestão de tecnologia da empresa, algo muito mais complexo e custoso.
Consequências para o Brasil
Embora o Brasil também disponha de regulamentações que disponham sobre a guarda das comunicações e documentações nas operações realizadas, a fiscalização da CVM sobre o assunto ainda é menos severa. Até porque não se pode comparar a capacidade de investimentos e os recursos disponíveis para investigação das duas entidades. Mas, aqui no Brasil, Latorre acredita que é o Banco Central, e não a CVM, quem tem olhado para o assunto com mais atenção, acendendo a luz vermelha nas instituições. Nos Estados Unidos, as instituições têm feito investimentos pesados nessas novas tecnologias. Por aqui, Latorre ainda não viu nenhuma dessas soluções mais caras e sofisticadas ser adotada. Mas é algo que deve chegar. Até porque, como lembra Massard, a CVM pode estar sempre atrasada em relação a sua congênere norte-americana, mas ela acaba chegando. Além disso, ele acredita que a SEC vai penalizar as empresas nos Estados Unidos por violações dessa regulação em outros países, o que vai acabar por levar essas empresas a colocar pressão sobre suas operações em outras jurisdições.
A facilidade de comunicação virou um problema? Qual o papel do compliance?
Independentemente da obrigatoriedade regulatória, a governança desse processo relacionado ao uso de dispositivos já era importantíssima para as investigações internas das empresas. Se o aparelho utilizado for pessoal, tudo o que estiver armazenado ali, mesmo informações críticas de negócios, está sob a guarda da pessoa. “Ainda que o chip seja da empresa, ou que as contas sejam pagas pela companhia, a situação é clara: se o dispositivo é da pessoa a empresa não pode obrigá-la a entregá-lo, o que em muitos inviabiliza que a companhia consiga entender a extensão de um malfeito, por exemplo. Por isso que no mundo ideal, do ponto de vista do Compliance, todos os equipamentos utilizados devem ser da própria empresa”, diz Massaia, Só a Justiça pode exigir que ela entregue um aparelho pessoal, mas nesse caso, no contexto de uma investigação do próprio Estado, o que vai tirar da empresa qualquer possibilidade de acessar essas informações e, em última instância, complicar a sua própria situação.
Se a facilidade de comunicação virou um problema, é hora de revisitar as práticas. “É preciso encontrar um meio termo entre a comunicação pessoal e a comunicação corporativa. Até porque não eram comunicações de ilícitos, ao menos no caso da SEC, ninguém foi multado por isso e até onde se sabe, os funcionários, quando demandados, entregaram seus aparelhos para as investigações sem maiores problemas”, lembra a advogada. Além do mais, é preciso ter em mente que muito da expansão da política do “bring your device” pelas empresas se deu para atender a uma demanda dos próprios funcionários, o que segundo o argentino Guillermo Jorge, sócio de Compliance do escritório Bruchou & Funes de Rioja, em Buenos Aires, algo longe do trivial. Na terra dos vinhos Malbec, muitas instituições também começam a rever suas políticas em função da punição aos bancos pela SEC.
Também será preciso que as áreas de negócios e outras que mantenham relacionamento com os clientes, trabalhem para educá-los a se comunicar pelos canais oficiais. “Eles vão ter que passar os novos contatos para as carteiras de clientes e, caso os clientes chamem por algum canal particular, redirecionar a conversa para algum e-mail ou número corporativo.Algumas empresas vão optar por bloquear o uso de aplicativos, outras vão expandir as possibilidades de canais de comunicação oficiais e investir em tecnologia e segurança para manter essas comunicações dentro do que a regulação pede. Cada empresa vai ter que olhar para os diversos cenários e avaliar seus riscos perante a situação”, pontua Claudia Massaia.
Não cabe ao Compliance hoje a gestão da política de uso de equipamentos. Nem é algo que deveria caber à área. Mas, para Massard, o Compliance precisará participar de forma mais ativa e ser um interlocutor mais presente nessas discussões, inclusive influenciando certas decisões a partir de como elas refletem na sua prática profissional . “A pessoa de TI não tem a cabeça do Compliance, por isso é importante essa interação mais fotrte”, diz Massard. O gerente-geral da Epiq conta que em um dos seus clientes, o vice-presidente de Auditoria Interna sentou com o diretor de TI e disse que não seria possível mais que os funcionários usassem IPhone, porque ele não conseguia executar o trabalho dele nesse tipo de aparelho”, explica.
Além de estar mais perto de quem decide e monitora a gestão dos equipamentos e das tecnologias, os profissionais de Compliance terão papel fundamental para quebrar uma eventual resistência que possa vir a surgir com essas mudanças. No caso das empresas financeiras, a própria pressão do regulador tende a cumprir grande parte desse papel. Já nas empresas de outros setores, o trabalho de educação e conscientização terá que ser mais intenso sobre os riscos e sanções aos quais as empresas e eles mesmos, podem estar expostos ao descumprir essas regras.
Mesmo quem não tem obrigação, deve se preocupar
As consequências relacionadas ao novo cenário para o uso de dispositivos pessoais e de comunicações fora dos canais oficiais da empresa também devem atingir as empresas não financeiras, que não têm a obrigação regulatória de reter essas informações. “É um assunto pouco discutido até aqui e que agora começa a entrar na pauta dos profissionais de Compliance”, confirma Patrícia Latorre. “Mesmo empresas não reguladas precisam rever as suas políticas de “bring your own device” para assegurar que utilizem softwares de gerenciamento de dispositivos pessoais, como o MDM, que possam garantir a segurança das informações da empresa e de seus clientes, mesmo em dispositivos pessoais”, complementa Alessandra Gonsales, sócia do escritório GCAA e da LEC .Em muitas empresas de setores que operam com mesas de negociações, como compra e venda de grãos, combustíveis e commodities em geral já tem, usualmente, esse tipo de comunicação arquivada. Mas, como garantir que nada está sendo tratado fora dos canais oficiais?
É pouco provável que as empresas que não estejam regulatoriamente obrigadas à guarda de todos os materiais e documentos relacionados às suas transações, venham a fazer investimentos para adquirir tecnologias tão caras e sofisticadas como aquelas às quais os bancos estão recorrendo. O que não quer dizer que elas também não precisam pensar nisso. Inclusive por precaução, não apenas para essa situação específica, mas para outros casos de investigação corporativa, seria o caso de começar a se preocupar com questões que hoje não parecem estar no radar dos profissionais. Isso tende a ser verdade especialmente naquelas empresas que tiverem algum vínculo acionário com instituições financeiras ou reguladas pela SEC nas suas operações nos Estados Unidos, como as que receberam investimentos dessas instituições. “Muitas empresas financeiras grandes investem em empresas não financeiras”, lembra Bruno Massard. Ele cita o caso de uma instituição financeira norte-americana, que enviou um email para uma de suas controladas no Brasil, uma empresa não-financeira, dizendo de forma bastante enfática de que a empresa oferecia aos seus profissionais bons canais de comunicação oficiais, especialmente o e-mail corporativo e o Teams, e que todos os funcionários da empresa deveriam usar essas duas ferramentas como seus canais de comunicação. O tom do e-mail ao qual a reportagem teve acesso (com os dados da empresa e das pessoas apagadas), tinha um tom entre um apelo desesperado para que a comunicação se restrinja a esses canais e uma ameaça, de quem não seguir essa orientação, estará sujeito a sanções previstas pela empresa. ”Esse é um e-mail de junho do ano passado, anterior a divulgação do caso, mas um bom exemplo de como as empresas norte-americanas, para se proteger, vão impor às suas investidas em todo o mundo que elas estejam em compliance com essa regras”, reforça Massard.
