Principais pontos de atenção na conformidade dos Escritórios de Agentes Autônomos de Investimento à LGPD
Desde sua entrada em vigor, a Lei Geral de Proteção de Dados (LGPD) se mostra cada vez mais relevante [A01] tanto para os titulares de dados quanto para os empresários que realizam operações de tratamento de dados[A02] no desenvolvimento de seus negócios e atividades. Seu impacto no âmbito negocial e ampla aplicabilidade, atualmente, são indiscutíveis.
Nesse sentido, profissionais de todas as áreas passaram a ser profundamente impactados com a vigência da LGPD. Neste artigo, entretanto, passaremos a esmiuçar as principais questões relacionadas à conformidade à LGPD de uma atividade repleta de particularidades interessantes e que merece uma atenção especial quando o assunto é governança e tratamento de dados: a dos Agentes Autônomos de Investimento (AAIs).
Pontos críticos no desenvolvimento das atividades pelos AAIs
As atividades exercidas pelos AAIs são marcadas, em sua essência, pelo dinamismo e por um contato próximo com os clientes. É comum que casas de assessoria em investimentos contem com vários assessores, os quais possuem uma ampla base de clientes assessorados com quem mantém um contato frequente.
Nesse sentido, o primeiro ponto de atenção relevante é a necessidade de padronização dos atendimentos e processos internos. Em outras palavras, é importante estruturar procedimentos organizados de atendimento, coleta de dados, uso dos meios de comunicação, plataformas e sistemas no exercício das atividades de assessoria.
Essa padronização evitará que cada agente utilize um método diferente na coleta e armazenamento dos dados pessoais que vier a manusear ou que varie muito na forma de atender ou contatar cada cliente – o que faz com que os dados pessoais tramitem de forma desorganizada, dificultando sua gestão e acompanhamento.
Outro aspecto relevante da área é a existência de órgãos fiscalizadores e legislação específica com a finalidade de regulamentar o exercício de suas atividades. Realmente, para além da legislação comum, aplicável a negócios em geral, os AAIs devem atender também a diversas regras e padrões de conduta estabelecidos por normativas específicas e órgãos como a CVM, BSM e ANCORD, responsáveis por garantir que as atividades sejam desenvolvidas com lisura e confiabilidade.
Evidentemente, o projeto de conformidade em proteção de dados deve garantir que as atividades desenvolvidas estejam de acordo não apenas com a LGPD, mas também com os prazos, métodos e parâmetros estabelecidos por esses órgãos e normas específicas.
Por fim, outro aspecto relevante na realização de um projeto de conformidade direcionado à AAIs é a atenção à transparência com os clientes. Muitas vezes, o exercício de suas atividades exige uma coleta extensiva de dados dos clientes assessorados, manuseio de plataformas de investimento, registro ou compartilhamento desses dados com instituições terceirizadas e operações diversas que nem sempre são compreendidas em sua totalidade pelos clientes.
Por isso, garantir que os clientes tenham acesso a informações claras e transparentes com relação à (i) quais dados serão coletados, (ii) qual a finalidade dessa coleta e o uso desses dados, (iii) quando e por que os dados serão compartilhados com terceiros e (iv) quais os seus direitos como titulares de dados, dentre outros aspectos, certamente trará um forte impacto positivo no desenvolvimento das atividades, além de evitar eventuais desgastes ou questionamentos (inclusive judiciais) decorrentes da falta de clareza.
Vinculando as atividades exercidas por AAIs às previsões da LGPD
Ao tratar das hipóteses que autorizariam os controladores a realizar o tratamento de dados pessoais, a LGPD prevê dez situações que justificam o prosseguimento das atividades de tratamento[1] (as chamadas “bases legais”).
Encontrar um amparo legal para as atividades realizadas pelos AAIs é parte essencial do processo de adequação à LGPD. Assim sendo, dentre as hipóteses elencadas pela LGPD, as mais relevantes (e comumente aplicáveis) para os Agentes Autônomos são as seguintes:
- Cumprimento de obrigação legal ou regulatória pelo controlador
A lei permite que um determinado controlador prossiga utilizando os dados do titular, independentemente de seu consentimento, quando houver alguma lei ou ato regulatório que determine a obrigação de que a empresa mantenha as atividades de tratamento.
Como dito anteriormente, a área de investimentos possui órgãos reguladores e fiscalizadores próprios, bem como um conjunto de normas específicas que regulamentam o exercício das atividades dos AAIs. Frequentemente, pois, as atividades desenvolvidas – e o manuseio de dados pessoais a elas atrelado – se justificarão pelo cumprimento das mencionadas regulações e exigências dos órgãos especializados.
- Execução de contrato
O tratamento de dados pessoais também é permitido, também independentemente do consentimento do titular, para a execução de contratos firmados entre o controlador e o titular de dados, desde os procedimentos e obrigações pré-contratuais (isto é, atividades ou diligências que antecedam a obrigação principal prevista no contrato) até a própria obrigação principal e demais questões pós-contratuais que garantam seu cumprimento ou manutenção.
Assim, no caso dos AAIs, a coleta de dados relacionados a compreensão da demanda e pretensão do cliente, conhecer seu perfil de risco, profissão e salário, patrimônio acumulado, movimentações financeiras e diversos outros aspectos geralmente estará relacionada ao cumprimento eficaz dos serviços contratados. O mesmo ocorre com a captação de dados para a elaboração de contratos, criação ou gerenciamento de contas em plataformas financeiras específicas, acompanhamento dos ativos incluídos na carteira, atividades indiscutivelmente essenciais à prestação do serviço contratado pelo cliente.
- Consentimento
Outra hipótese que justificaria a manutenção do tratamento de dados pessoais é a própria obtenção do consentimento [A03] do titular.
Nem sempre os dados envolvidos nas atividades rotineiras desenvolvidas pelos AAIs estarão diretamente vinculados ao cumprimento de regulação específica ou contratos. Com efeito, o uso de ferramentas que busquem otimizar a realização das atividades, a realização de pesquisas de satisfação e execução de estratégias de marketing servem ao aprimoramento do serviço prestado, mas não necessariamente se vinculam às bases legais anteriormente citadas.
Desse modo, pode-se fazer necessário a obtenção do consentimento[2] do titular dos dados para que a atividade prossiga sendo realizada de forma válida, em conformidade com a LGPD.
Adequação e elaboração de contratos
Um dos aspectos universais de qualquer processo de conformidade com a LGPD é a adequação dos contratos e documentos utilizados pelo controlador. Especificamente no tocante aos AAIs, instrumentos como contratos de parceria e de prestação de serviços certamente precisarão ser revisados e adequados.
Destaca-se também, neste tema, a necessidade de formalização ou revisão das relações com plataformas terceirizadas e empresas parceiras, em especial aquelas relacionadas a ações de marketing, prospecção e captura de leads – áreas especialmente sensíveis no âmbito de proteção de dados, razão pela qual merecem atenção especial e cuidados redobrados.
Do mesmo modo, a elaboração ou atualização de documentos como Políticas de Privacidade e Termos de Uso no website institucional também são indispensáveis. Afinal, atualmente, muitas empresas de assessoria em investimentos se utilizam de um website próprio e diversas mídias sociais para se posicionar no meio digital, divulgar seus serviços, realizar prospecções e criar um canal de contato direto com clientes e potenciais clientes.
Posto que tais documentos consistem em contratos eletrônicos que regulamentam toda a interação do usuário com a plataforma institucional dos assessores (e, portanto, a própria relação jurídica formada entre os usuários daquela página e os responsáveis por seu gerenciamento), garantir que estes documentos estejam bem elaborados e atualizados é uma forma de fortalecer a reputação da empresa, bem como de protegê-la de litígios desnecessários, passivos financeiros ou desgaste com seus clientes e usuários.
Nomeação de um Encarregado (o “DPO”)
O “Encarregado” (ou Data Protection Officer, o “DPO”), pela LGPD, é o responsável por liderar os processos internos de tratamento de dados, garantir a manutenção das reformas promovidas e estabelecer um canal de comunicação entre os titulares dos dados, a empresa e as autoridades competentes.
Por todo o exposto anteriormente, é evidente que o processo de conformidade de AAIs e empresas da área de investimento possui uma série de nuances, tais como: reformas e padronização dos processos internos, necessidade de atenção às normas específicas, adequação dos métodos comerciais, de prospecção e marketing, cuidados com o contato com os clientes e garantia de adequação das relações de parceria mantidas pelos assessores.
Nesse cenário, a nomeação de um Encarregado que conheça, com familiaridade, os detalhes e processos internos da organização é fundamental para garantir a implementação prática de todas as reformas e adequações promovidas, bem como fiscalizar seu cumprimento pela equipe.
A função exercida pelo Encarregado, aliás, se torna especialmente relevante em organizações de assessoria com diversos AAIs, posto que, muitas vezes, tais empresas contam com equipes numerosas, formadas por agentes que atuam de forma relativamente independente ou descentralizada. Caberá ao Encarregado, portanto, liderar a equipe no âmbito de proteção de dados, unificar e fiscalizar procedimentos e, principalmente, auxiliar no estabelecimento, divulgação e internalização de uma cultura de proteção de dados.
Conclusão
Vê-se, portanto, que, embora se trate de um processo denso, promover a conformidade de empresas e profissionais na área de investimentos é extremamente importante: para além da mera “obrigação” de cumprimento da lei, o projeto de adequação também traz diversas vantagens operacionais e reputacionais, especialmente para o fim de coordenar a atuação da empresa e seus AAIs.
[1] Todas as hipóteses estão listadas nos arts. 7º e 11 da LGPD, onde a lei trata das hipóteses de tratamento de dados pessoais e dados pessoais sensíveis, respectivamente.
[2] Conforme a definição disposta no art. 5º, incisov XII, da LGPD, o Consentimento é a “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada”.
[A01]A importância de adequar sua empresa à LGPD: mais do que uma responsabilidade, uma oportunidade.
http://moreirasuzuki.com.br/artigos/a-importancia-de-adequar-sua-empresa-a-lgpd-mais-do-que-uma-responsabilidade-uma-oportunidade/
[A02]Tratamento de Dados Pessoais: O que é e por que sua empresa deve se preocupar com isso
http://moreirasuzuki.com.br/artigos/tratamento-de-dados-pessoais-por-que-sua-empresa-deve-se-preocupar-com-isso/
[A03]Desmistificando o Consentimento na LGPD
Compartilhe
Outros Artigos do Especial
Escritório com Prazo de Permanência Mínima de Exclusividade com a Corretora. Riscos e como Tratá-los
Continuar Leitura »