ALERTA – ENTRADA EM VIGOR DA INSTRUÇÃO CVM Nº 617 E DA LEI GERAL DE PROTEÇÃO DE DADOS

O presente informativo foi preparado com o objetivo de lembrar aos nossos clientes que dois relevantes marcos regulatórios para os mercados financeiro e de capitais brasileiro se encontram na iminência de entrada em vigor. A Instrução da Comissão de Valores Mobiliários (“CVM”) nº 617, de 5 de dezembro de 2019, conforme alterada (“ICVM 617”), e a Lei nº 13.709, de 14 de agosto de 2018 (“LGPD”), trazem ao mercado, respectivamente, inovações importantes em relação à prevenção à lavagem de dinheiro e ao financiamento do terrorismo (“PLDFT”) e à proteção de dados pessoais, aplicáveis a administradores fiduciários, gestores de recursos, consultores de valores mobiliários e outras instituições reguladas.

 

No que tange à vigência plena da ICVM 617, tendo em vista a postergação da entrada em vigor de suas disposições por força da Deliberação CVM nº 848, de 25 de março de 2020, esclarecemos que, até o presente momento, está mantida a data de 1º de outubro de 2020, data na qual os participantes do mercado deverão estar devidamente adaptados às suas disposições.

 

Neste sentido, a partir da data acima mencionada, a ICVM 617 revogará completamente a Instrução CVM nº 301, de 16 de abril de 1999, alterando de forma significativa a regulamentação da CVM em relação ao cadastro de investidores e à prevenção à lavagem de dinheiro e ao financiamento do terrorismo no âmbito do mercado de capitais.

 

Criada com o objetivo de modernizar a regulação até então existente, a ICVM 617 alinha o mercado brasileiro às práticas e diretrizes dos principais organismos internacionais acerca do tema, como o Grupo de Ação Financeira contra a Lavagem de Dinheiro e o Financiamento do Terrorismo – GAFI.

 

Dentre as inúmeras inovações trazidas pela ICVM 617, e conforme manifestações da CVM nas Notas Explicativas da ICVM 617[1], destacam-se, em linhas gerais:

 

  • Adoção da Abordagem Baseada em Risco como principal ferramenta de governança de PLDFT para classificação dos serviços prestados, produtos oferecidos, canais de distribuição, clientes, prestadores de serviços relevantes, contraparte e agentes envolvidos nas operações realizadas e ambientes de negociação e registro das mesmas, com a consequente necessidade de: (a) reestruturação de política interna de PLDFT; (b) elaboração periódica de avaliação interna de riscos; e (c) e reformulação de regras, procedimentos e controles internos;
  • Aprimoramento das funções do diretor que deverá ser designado como responsável pelo cumprimento das normas de PLDFT;
  • Definição e responsabilidades da Alta Administração;
  • Definição das etapas vinculadas à condução da Política “KYC”, incluindo o detalhamento das rotinas relacionadas ao pleno conhecimento do beneficiário final;
  • Dinâmica de atuação entre prestadores de serviços, notadamente em relação aos que possuem e aqueles que não possuem relacionamento comercial direto com os clientes; e
  • Maior detalhamento dos sinais de alerta a serem monitorados e dos pontos que devem integrar a análise da operação ou situação atípica que foi detectada, assim como a apresentação dos elementos mínimos que devem integrar um reporte para o COAF.

 

Em relação à LGPD, em 26 de agosto de 2020, o Senado Federal aprovou a Medida Provisória nº 959/2020, mas considerou prejudicada a disposição constante do seu art. 4º da, que tinha como objetivo postergar o início da vigência da LGPD para maio de 2021. Dessa forma, salvo se houver veto presidencial, a entrada em vigor da LGDP ocorrerá em poucos dias[2].

 

Adicionalmente, cumpre destacar que as sanções previstas na LGPD estão com a aplicação suspensa até o mês de agosto de 2021, nos moldes do inciso I-A, do art. 65 da LGPD. Não obstante, tal desoneração é restrita às sanções administrativas previstas na norma, sendo que danos relativos à proteção de dados poderão ainda ser objeto de responsabilização por outras normas do ordenamento jurídico brasileiro, como o Código Civil e o Código de Defesa do Consumidor, conforme aplicável.

 

A LGPD alinha a legislação brasileira às melhores práticas de proteção de dados já implementadas por grandes economias no mundo e, sujeita à regulamentação a ser implementada por parte da Agência Nacional de Proteção de Dados (“ANPD”), trará exigências e reponsabilidades relevantes para qualquer empresa que colete, processe, arquive ou tenha acesso a dados pessoais de pessoas físicas, sendo exigida, dentre outras obrigações:

 

  • Mapeamento dos fluxos de informação, interno e com terceiros, no âmbito das atividades desempenhadas pela empresa, incluindo a definição dos agentes de tratamento;
  • Definição e implementação de tratamento adequado aos dados pessoais que a empresa venha a ter acesso, incluindo a identificação de teses de tratamento previstas na LGPD, que possam dispensar o consentimento dos titulares dos dados;
  • Indicação do “Encarregado” (Data Protection Officer – DPO), pessoa indicada pelo controlador dos dados pessoais (i.e. os gestores de recursos que tenham acesso a tais dados), para atuar como canal de comunicação entre o controlador, os titulares dos dados e a ANPD;
  • Identificação das situações que requeiram a elaboração de Relatório de Impacto à Proteção de Dados Pessoais; e
  • Estruturação de regras e diretrizes internas quanto às obrigações, responsabilidades e dinâmica de atuação da empresa em relação à LGPD, com base, dentre outros, na avaliação dos itens mencionados acima.

 

Em conclusão, tendo em vista os impactos trazidos tanto pela ICVM 617 quanto pela LGPD, será essencial para a correta adaptação das instituições a realização da devida avaliação interna e o reflexo da nova realidade regulatória em suas estruturas e em seus fluxos operacionais, assim como a revisão de suas políticas internas.

 

Nossa equipe se encontra à disposição para quaisquer esclarecimentos, informações adicionais ou suporte relativamente aos assuntos tratados neste documento.

 

Este informativo foi elaborado exclusivamente para nossos clientes e apresenta informações resumidas, não representando uma opinião legal. Dúvidas e esclarecimentos específicos sobre tais informações deverão ser dirigidos diretamente ao nosso escritório.

 

Asset Management & Private Equity

Contate-nos: assetmanagement@cepeda.law

 

 

[1] http://www.cvm.gov.br/legislacao/notas-explicativas/nota617.html

[2] Considerando que o texto da conversão da MP em Projeto de Lei foi votado em 26 de agosto de 2020, temos que o prazo final para sanção ou veto pelo Presidente da República se encerra em 17 de setembro de 2020.

Print Friendly, PDF & Email