Política de Know your client e Know your partner e a proteção de dados: desafios a partir da LGPD

Quando nós, profissionais especializados em compliance, dizemos que o compliance é dinâmico, significa necessariamente a revisão periódica do nosso código de conduta e políticas internas.

Muitas vezes é uma mudança relevante na legislação que passa a ser a força motriz para a revisão. A Lei Geral de Proteção de Dados é uma delas e está na ordem do dia.

Em artigo anterior falei um pouco sobre a questão do canal de comunicação (acesse aqui).

No presente artigo quero tratar de outro tema também relacionado à adequação à LGPD, mas voltado às politicas de prevenção à lavagem de dinheiro e financiamento do terrorismo.

Na politica de prevenção à lavagem de dinheiro notabilizou-se as expressões Know your cliente (KYC), Know your partner (KYP) e know our employe  (KYE).Tais ações buscam evidenciar uma atuação preventiva da empresa possuidora de um programa de conformidade que recorre especialmente à cadastro e consultas prévias, objetivando detectar possíveis situações de exposição a risco de não conformidade quando se relaciona com seus clientes, parceiros e colaboradores.

Eu, particularmente, tenho me preocupado e buscado direcionar políticas de prevenção à lavagem de uma forma menos imperativa e mais colaborativa. Explico: o comando em inglês é “conheça seu cliente”, “conheça seu parceiro” e “conheça seu empregado”. Usa-se o imperativo para evidenciar que essa é uma obrigação de empresas, especialmente, aquelas que atuam em setores considerados expostos a riscos de lavagem de dinheiro. O GAFI - Grupo de Ação Financeira contra a Lavagem de Dinheiro e o Financiamento do Terrorismo define tais setores internacionalmente, e no Brasil isso se dá pela Lei 9.613/98.

A partir desse caminho e direcionamento, os programas de prevenção à lavagem tendem a ser mais invasivos, criando uma hipervigilância (surveillance), que atuam em tempo real e em ambiente digital, de todos os passos da sua vida. No caso das instituições bancárias, elas possuem o histórico de sua vida financeira e também das suas relações pessoais.

No âmbito da atividade bancária, as regras de KYC são definidas pelo Bacen e tem caráter cogente. Como é dever das instituições bancárias terem política de prevenção à lavagem de dinheiro e ao financiamento do terrorismo elas cumprem a determinação do órgão regulatório. Não faz parte da política das instituições informar ao seu cliente, parceiro ou empregado sobre a existência da referida política e como ela afeta os seus direitos.

Vou ilustrar com duas situações pessoais, na primeira precisei obter dados específicos sobre a minha conta e permitir que ela recebesse valor vindo do exterior; na segunda fui abrir uma conta pessoal em outra instituição bancária. Em ambas os termos que assinei continham uma pergunta no formulário eletrônico do banco: “É pessoa exposta politicamente?” e em ambas vinha a resposta automática NAO, mas nenhum dos dois representantes dos diferentes bancos tinha me feito essa pergunta.

Na primeira vez, eu perguntei porque a resposta NÃO já estar posta, se não me tinham feito a pergunta sobre PEP? Como sabem que não sou PEP? Ao desconversar, me disseram que já me conheciam e que não seria necessário revisar minhas informações. Eu questionei, problematizando a questão: mas  se o meu pai tivesse tomado posse como vereador ou se tivesse casado com uma pessoa politicamente exposta?

Depois eu expliquei que sabia o conceito jurídico de PEP, e sugeri que indicassem aos seus superiores a necessidade de orientar melhor o pessoal que atende ao público para que todos agissem em conformidade e com mais transparência.

No segundo caso, me dei uma resposta mental: “será que ela não sabe que tem um robô lá para fazer a pesquisa do meu CPF e do meu nome e cruzar com os dos meus parentes!? Nem vou discutir ou tentar ensinar, não sou a responsável pelo treinamento dela”. Como não estamos preparados para a LGPD!

Minha experiência pessoal pode nos ajudar a analisar algumas inferências sobre o cenário apresentado, tomando como base situações de compliance e as questões das empresas que precisam ter uma PLDFT e a sua relação com seus clientes, parceiros e empregados que são submetidos a pesquisa de dados:

Da análise apresentadas acima é preciso discutir a questão no nível regulatório, ou seja, como toda a base jurídico-legal que trata a questão do KYC não está adaptada e coerente com a nossa Lei Geral de Proteção de Dados.

Certo é que o tema da adequação das Políticas de Lavagem de Dinheiro e Financiamento do Terrorismo às normas de proteção de dados não é um desafio apenas brasileiro, ele faz parte da pauta atual da União Europeia (U.E).

No cenário europeu, a Comissão Europeia divulgou em maio de 2020 um plano de ação para formular até 2021 uma política global para a U.E para prevenção a Lavagem de Dinheiro e financiamento do terrorismo (AML/CFT) que tem como objetivo central definir um regime legal único para todos os países membros. O documento ressalta em alguns pontos a necessidade que a nova política esteja em consonância com o Regulamento Geral de Proteção de Dados Europeu ( RGPD). Vale a pena indicar aqui dois deles pois eles tem relação com o tema proposto para esse artigo. São eles: a) direcionar o uso de soluções tecnológicas em acordo como o RGPD; b) organizar as regras para compartilhamento de dados de instituições financeiras e autoridades públicas europeias ou não, sem deixar de lado a proteção de dados. Veja a íntegra em : https://ec.europa.eu/info/publications/200507-anti-money-laundering-terrorism-financing-action-plan_en

A publicização do plano de ação da Comissão Europeia já gerou repercussão junto à autoridade europeia de Proteção de dados, que em julho ressaltou que o plano deveria buscar um Golden standard para definir processos de AML/CFT em conformidade com a proteção de dados. Veja a íntegra em https://edps.europa.eu/press-publications/press-news/press-releases/2020/data-protection-requirements-must-go-hand-hand_en

O desafio europeu de conseguir que as AML/CFT sejam eficientes e viabilizem a melhoria da persecução penal dos referidos crimes sem vulnerar direitos fundamentais relacionados à proteção de dados de toda uma sociedade é grande e igual ao nosso.

Então vamos voltar ao nosso desafio!

As políticas de prevenção à lavagem de dinheiro e financiamento do terrorismo no Brasil possuem dois marcos legais relevantes no Brasil: a Lei 9.613/98 ( Lei de lavagem de dinheiro) e a Lei 13.260/16 ( lei do terrorismo).

No âmbito regulatório, diversos entes públicos que tem função reguladora definem práticas específicas, especialmente para o tema. No caso das instituições financeiras, como já ressaltei, é o BACEN que atua regulando por meio de atos normativos a questão.

Estamos em um momento interessante quanto às politicas de prevenção à lavagem de dinheiro e financiamento do terrorismo pois a Circular 3.978 de 23 de janeiro de 2020 que trata justamente do tema em discussão teve sua vigência adiada para 01 de outubro de 2020. A nova circular é um avanço em determinados pontos, como por exemplo permitir que a instituições financeiras simplifiquem controles para clientes de baixo risco e foque suas ações no reforço à clientes de alto risco, dentre eles as denominadas PEP’s. A mudança vai contribuir para diminuir o custo desse tipo de politica para todos os setores da economia que precisam realizar PLDFT, mas exigirá o aprimoramento de análise de riscos.

Contudo, a Circular do BACEN em nenhum ponto se refere ao tema da proteção de dados, quando trata das ações de KYC e KYP. A ausência de interação com a Lei Geral de Proteção de Dados pode ter algumas razões que eu vou explicitar daqui a pouco.

Mas não se pode deixar de ressaltar que a circular trata  de pontos com grande relação com a LGPD. Para citar alguns: 

É importante ressaltar que a LGPD ampara as atividades de coleta e tratamento de dados vinculadas ao cumprimento de obrigação legal ou regulatória pelo controlador (Lei 13.709/18 , art. 7o, II) e que a circular do Bacen é justamente a base legal para que as instituições financeiras possam realizar a atividade de KYC e KYP.

Algumas instituições do setor inclusive já enviaram aos seus clientes os novos termos da política. Na análise que fiz, o que fica evidente é justamente que o esclarecimento é genérico e sustenta-se no referido ponto da LGPD. Certamente, não se pode exigir das instituições algo que sequer o agente público regulador se propôs a discutir.

Também está claro que o Congresso Nacional precisa editar lei especifica sobre a questão da proteção de dados no âmbito da segurança pública (art. 4o, §1o) e que essa normatização irá direcionar as regras de lavagem de dinheiro e financiamento do terrorismo, já que tem forte implicação com a investigação criminal. A Câmara dos Deputados já iniciou o trabalho formando uma comissão de juristas para discutir o tema.

Talvez a ausência da indicação da autoridade nacional de proteção de dados para eleger setores prioritários para adequação crie sinergia com os diversos órgãos reguladores e pudesse ajudar a deixar mais claro e seguro o caminho a ser seguido.

Por outro lado, verifica-se que parte do setor publico já mudou o seu modo de atuar. No caso por exemplo da lista de pessoas politicamente expostas, o dado pessoal relacionado ao CPF da pessoa está parcialmente oculto, veja: http://www.portaldatransparencia.gov.br/download-de-dados/pep

Enquanto as regras não se consolidam, como ficam as empresas e as pessoas que tem seus dados monitorados, minerados e classificados? O desafio das instituições bancárias em estar em conformidade é muito grande, talvez algumas soluções paliativas, para além de dizer que está amparada por determinação legal, para tratar os dados possam ser tomadas.

Creio que o princípio da transparência é a base para a construção de medidas que compatibilizam os interesse e obrigações das empresas obrigadas e as pessoas implicadas nas ações de KYC, KYP e KYE.

Cito alguns pontos que poderiam ser melhorados e que as empresas podem fazer sem depender dos órgãos reguladores:

Buscar aproximação com a LGPD é um grande desafio, mas considero que vá trazer mais segurança jurídica para todos, incluindo as empresas obrigadas. Será a pauta para os próximos meses das empresas, especialmente, porque as sanções da LGPD ainda não se iniciaram.

Em um próximo artigo vou focalizar a questão nos demais setores de pessoas jurídicas obrigadas pela Lei de Lavagem de Dinheiro.

#LGPD #LeiGeraldeProteçãodeDados #CriminalCompliance