Artigo escrito por David Rabinowitz, Gestor de Produto, Compliance Solutions na Bloomberg.
Cada vez mais frequentemente, novas leis sobre privacidade de dados, expectativas de segurança cibernética e riscos imprevistos se cruzam (e, potencialmente, entram em conflito) com regulamentações de serviços financeiros em vigor há muito tempo. Esse cenário faz com que os profissionais de compliance tenham que navegar um verdadeiro mar de obrigações no que tange à vigilância e retenção de comunicações – e pode causar os piores pesadelos.
À medida que os reguladores passam a prestar mais atenção aos riscos de segurança cibernética e à privacidade de dados, as empresas financeiras precisam compreender e aplicar um pacote crescente de leis e diretrizes, com maior alcance e profundidade, nas jurisdições em que operam.
Qualquer programa de compliance de serviços financeiros projetado para capturar e armazenar comunicações comerciais, com políticas e procedimentos razoavelmente projetados para supervisionar o conteúdo desses registros, deve abordar o acúmulo de obrigações em relação à privacidade de dados e segurança cibernética. O desafio é significativo, mas não intransponível; os líderes de compliance podem buscar a ajuda de provedores de soluções com experiência comprovada na entrega de produtos personalizados que atendam especificamente às necessidades de compliance de empresas financeiras.
Reter, revisar e supervisionar
Obrigações regulatórias de longa data exigem que as empresas financeiras retenham e revisem volumes cada vez maiores de registros — incluindo registros não estruturados — que, frequentemente, contêm informações pessoais sobre funcionários e clientes.
As diretrizes do Exchange Act dos EUA, Seção 17(a), as normas 17a-3 e 17a-4 da SEC (Stock Exchange Commission) e as normas da FINRA (Financial Industry Regulatory Authority), inclusive a norma 4511, descrevem a obrigação das corretoras de reter, indexar e fornecer acesso aos registros relacionados aos seus negócios, incluindo certas comunicações. A Regra 204-2 do Investment Advisers Act dos EUA descreve requisitos semelhantes para empresas do buy-side registradas na SEC como consultoras de investimentos. Essas disposições têm requisitos de retenção específicos ao longo de períodos determinados e estão condicionadas a diretrizes da SEC e da FINRA sobre privacidade e segurança cibernética. Recentes incidentes de alta visibilidade e alterações nas expectativas e na legislação sobre privacidade de dados e cibersegurança estão atraindo cada vez mais a atenção para essa área, inclusive por parte dos reguladores financeiros.
Os reguladores também têm elevado as expectativas para que as empresas identifiquem e mitiguem, por meio de supervisão, quaisquer condutas impróprias, tais como comunicações enganosas com clientes e manipulação de mercado. Por exemplo, a Regra 3110.06 da FINRA exige uma “Revisão da Correspondência e Comunicação Internas com base no Risco” e uma diretriz recente enfatiza a importância do monitoramento de novos canais de comunicação (que cresceram em razão do trabalho remoto devido à COVID-19). Tanto a FINRA quanto a SEC levaram a termo uma série de ações contra entidades regulamentadas pelo não cumprimento dos requisitos de manutenção de registros, ou de privacidade e segurança cibernética.
Em sintonia com a evolução do ambiente operacional de privacidade de dados e cibersegurança, reguladores financeiros, como a SEC e a FINRA, também estão cada vez mais focados em como as empresas supervisionam seus fornecedores de soluções de tecnologia de retenção e monitoramento. Com o objetivo de facilitar o compliance com todas as exigências, satisfazer auditores em face de avaliações mais rigorosas e mitigar o risco de ações aplicáveis e penalidades associadas a tais ações, as empresas devem considerar seriamente a contratação de um fornecedor parceiro, que entenda o impacto específico das regulamentações do setor e tenha expertise, ferramentas e tecnologia aprimoradas para ajudar as empresas a enfrentar esse desafio.
As obrigações globais de proteção de dados evoluem rapidamente
Uma série de obrigações, atuais e futuras, envolvendo a privacidade de dados globais cria um desafio de compliance para empresas globais com clientes, funcionários, escritórios e dados em várias jurisdições. A necessidade de acomodar novos direitos concedidos a diferentes indivíduos traz à tona novos e onerosos desafios operacionais; paralelamente, potenciais penalidades significativas reforçam a necessidade de encontrar soluções de tecnologia para garantir o compliance.
Em vigor desde 2018, o Regulamento Geral de Proteção de Dados da União Europeia (GDPR, na sigla em inglês) liderou a mudança em direção a padrões mais elevados quanto a proteção e processamento de dados pessoais, expectativas de notificação de incidentes e, talvez mais importante, multas que podem chegar a 20 milhões de euros, ou a 4% do valor do volume total de negócios no ano anterior, o que for maior, para as infrações. O GDPR concede direitos específicos aos indivíduos, incluindo o direito de saber quais dados pessoais estão sendo mantidos por um controlador de dados e o de ter acesso a tais dados e eliminá-los.
Nos Estados Unidos, o California Consumer Privacy Act (CCPA) entrou em vigor em 1º de janeiro de 2020 e elevou os padrões de proteção de dados na Califórnia, expandindo a definição de informações pessoais e dando aos consumidores direitos semelhantes aos do GDPR. A Virgínia é o segundo estado dos EUA a garantir direitos semelhantes aos consumidores com a aprovação do Virginia Consumer Data Protection Act (VCDPA), que entra em vigor em 1º de janeiro de 2023 – e vários estados planejam seguir o exemplo. Além disso, Nova York aprovou o SHIELD Act, que fortalece as proteções de segurança de dados, e o Departamento de Serviços Financeiros do estado d e Nova York elevou o padrão para empresas de serviços financeiros regulamentadas pelo estado, impondo requisitos específicos em relação à conformidade com segurança cibernética.
A nova lei de privacidade de dados do Brasil entrou em vigor no outono de 2020, incluindo novas expectativas para controladores e processadores de dados, além de garantir às pessoas proteções semelhantes àquelas do GDPR e CCPA, instituindo multas potenciais de até R$ 50 milhões (aproximadamente US$ 9,4 milhões). De modo similar, Hong Kong está considerando mudanças no seu regime de proteção de dados em áreas como notificação obrigatória de violação de dados, regulamentação de processadores de dados e requisitos para políticas de retenção de dados.
O que ameaça seus dados?
Administrar uma empresa de serviços financeiros envolve dados confidenciais, os quais são regularmente compartilhados entre funcionários e clientes no curso normal de negócios. As características que determinam se um dado é confidencial variam de acordo com a jurisdição global e regulador, mas geralmente incluem documentos de identidade emitidos pelo governo, nomes de usuário e senhas, números de contas financeiras, outras informações referentes ao relacionamento com o serviço financeiro e podem até incluir informações de avaliação de desempenho de funcionário.
As empresas geralmente implementam políticas, procedimentos e treinamento para ajudar a gerenciar como os dados confidenciais são utilizados e transmitidos, mas os dados de comunicações eletrônicas não estruturadas ainda representam um risco elevado, pois podem conter dados confidenciais não catalogados.
Integrar funcionários exige informações confidenciais. A integração de novos clientes e o cumprimento das obrigações “know-your-customer” (Regra 2090 da FINRA, segundo a qual todos os brokers devem coletar e manter informações essenciais sobre cada cliente e sobre quem está autorizado a operar em nome deste) exigem a transferência de informações confidenciais, tais como cópias de passaportes e demais documentos de identificação. Esses registros, muitas vezes, acabam em comunicações eletrônicas de funcionários que são armazenadas por anos devido a obrigações regulatórias financeiras sobre retenção [de dados] muitas vezes contraditórias. Não há nada de nefasto nessas necessidades comerciais, mas o rastro de auditoria de registros eletrônicos provavelmente revelará riscos inerentes.
Nos últimos anos, entidades com alta visibilidade que sucumbiram a violações de segurança cibernética combinadas com elevadas expectativas regulatórias colocaram o desafio imposto por dados não estruturados em foco. As empresas estão mais atentas à segurança cibernética e à privacidade de dados ao buscar soluções de compliance para atender às obrigações internas e regulatórias de seus negócios e ao definir políticas de retenção de documentos.
Seu fornecedor deve ser um parceiro confiável que possa ajudar a alcançar o equilíbrio ideal
- Entenda as obrigações presentes nas jurisdições em que opera. Qualquer avaliação de fornecedor deve começar pela compreensão do escopo das operações de negócios e das obrigações aplicáveis. Esta avaliação formará a base para qualquer seleção de fornecedor, ou processo contínuo de análise de diligência de fornecedor.
- Adapte sua estratégia de retenção para atender aos requisitos regulatórios financeiros sem retenção excessiva. As empresas devem instruir seus fornecedores a reter as informações necessárias para atender aos requisitos regulatórios das jurisdições nas quais operam, identificar riscos e cumprir suas obrigações de supervisão, e a não reter dados além do necessário.
- Compreenda a força de seus parceiros fornecedores. Entenda o nível de maturidade de seus fornecedores, como armazenam dados (por exemplo, armazenamento em nuvem) e conheça suas infraestruturas de gerenciamento de risco e segurança cibernética.
- Busque fornecedores que sejam parceiros. As empresas devem trabalhar com fornecedores que entendam seus negócios e ofereçam suporte de ponta alinhado com o alto grau de exigência do setor de serviços financeiros. As soluções de aplicabilidade geral de autoatendimento podem não oferecer o nível de suporte necessário para atender às demandas regulatórias e responder a auditorias regulatórias e solicitações de consulta no futuro.
- Busque fornecedores que conheçam o setor. As empresas devem trabalhar com fornecedores que investiram tempo para aprender sobre seus negócios, e que desenvolvam soluções para atender aos requisitos específicos do setor.
- Busque fornecedores que entendam a cultura de compliance. A RegTech (Regulatory Technology) continua a atrair investimento e inovação entre muitos novos participantes do mercado. As empresas devem compreender a cultura de seus fornecedores parceiros e se certificar de que está alinhada com sua própria cultura e tom de compliance.
Como podemos ajudar
A solução Bloomberg Vault é desenvolvida por profissionais de serviços financeiros para clientes de serviços financeiros, considerando seus negócios específicos e necessidades regulatórias em todo o pacote de produtos. Como parte da oferta premium do Bloomberg Vault, os clientes de serviços financeiros têm acesso a uma solução de arquivamento permanente e extensiva a todos os tipos de dados críticos para o negócio (comunicações, comércio, voz).
Solicite uma demonstração para discutir os problemas descritos acima em detalhes e conferir como o Bloomberg Vault pode ajudar.