domingo, 28 de novembro de 2021

MIGALHAS DE PESO

fechar

Cadastre-se para receber o informativo gratuitamente

  1. Home >
  2. De Peso >
  3. O "tone at the top" como dever jurídico dos administradores

O "tone at the top" como dever jurídico dos administradores

O comprometimento da alta administração é pilar fundamental de qualquer programa de conformidade, e deve ser encarado não apenas como padrão desejável de conduta, mas como verdadeiro dever legal dos administradores.

quarta-feira, 14 de julho de 2021

(Imagem: Arte Migalhas)

(Imagem: Arte Migalhas)

Reza o ditado popular que "o exemplo vem de cima", expressão que ganha concretude no meio empresarial ao falarmos da importância do chamado tone at the top (ou tone from the top) para programas de integridade, de gerenciamento de riscos ou de segurança da informação.

O "tom da liderança"1 traz a ideia de que o sucesso de um programa de conformidade parte, necessariamente, da iniciativa e engajamento da alta administração (entendida como o Conselho de Administração, a Diretoria Executiva ou, na falta destes órgãos, como o mais alto nível hierárquico, responsável pelas decisões em nível estratégico).

O comprometimento da alta administração é fundamental para se desenvolver uma cultura organizacional em que a conformidade, a integridade, a segurança da informação etc., sejam realidades vividas e praticadas por todas as partes interessadas (tanto internas, como empregados e estagiários; quanto externas, como clientes e prestadores de serviço). Para tanto, o engajamento da administração deve ser ostensivamente publicizado, por meio de manifestações orais e escritas, formais e informais, sendo exigência de normas técnicas sobre a matéria.

A DSC 10.000 (Diretrizes para o Sistema de Compliance)2, por exemplo, dispõe que a "cultura do compliance deve permear a organização através do exemplo de seus dirigentes e atingir todos os níveis hierárquicos por meio de atitude e ações da chefia", e que a alta administração deve demonstrar que:

a) estabelece um clima de confiança, transparência e lealdade, de forma a tornar propício o ambiente para a efetiva aplicação do sistema de Compliance;

b) comunica à organização e ao público externo a importância da aderência aos requisitos do sistema de Compliance e aos princípios de ética e integridade constantes no código de conduta;

c) assegura que os objetivos do sistema de Compliance são estabelecidos, compreendidos e acompanhados, visando o seu alcance;

d) conduz análise crítica regular do sistema de Compliance;

e) provê os recursos necessários para garantir a eficácia do sistema de Compliance.3

Devemos ter sempre em mente que o engajamento da alta administração não se resume, porém, em manifestações de apoio ao programa, mas exige a adoção de medidas concretas para fornecer os meios e recursos (humanos, materiais e financeiros) necessários para que os programas de conformidade sejam implementados de maneira efetiva (em todas as suas fases, do planejamento à implementação, revisão, monitoramento e melhoria contínua). O tone at the top, portanto, se traduz em uma série de compromissos dos administradores, que são mais bem detalhados em outras normas técnicas.

A norma ABNT NBR ISO 22.301:2020 (Sistema de Gestão de Continuidade de Negócios)4 traz a seção "5. Liderança", dispondo que a alta administração deve demonstrar o comprometimento com o Sistema de Gestão de Continuidade de Negócios - SGCN, garantindo que: a) haja o estabelecimento de uma política de continuidade de negócios e que os objetivos de continuidade de negócios estejam alinhados com o planejamento estratégico da organização; b) os requisitos do SGCN estejam integrados aos processos da organização; c) os recursos necessários para o SGCN estejam disponíveis; d) a relevância da conformidade com o SGCN seja devidamente comunicada ao restante da organização; e) o SGCN alcance os objetivos estabelecidos; f) os colaboradores envolvidos no SGCN recebam o suporte adequado para garantir a efetividade do programa; g) haja o aprimoramento contínuo do programa; h) outras funções gerenciais relevantes para o sucesso do SGCN também recebam o suporte necessário. Na sequência, a norma ABNT NBR ISO 22.301:2020 determina que a alta administração estabeleça uma Política de Continuidade de Negócios compatível com os objetivos estratégicos da organização, e que a política seja disponibilizada a todos os empregados e partes interessadas. Por fim, a norma exige que as atribuições e responsabilidades relacionadas ao SGCN sejam devidamente estabelecidas e formalizadas (o que pode ser feito por meio de uma Matriz RACI, que será objeto de artigo futuro).

Estruturas semelhantes de deveres da alta administração estão presentes em outras normas técnicas aplicáveis a programas de conformidade, tais como: ABNT NBT ISO/IEC 27.001:2013 - Tecnologia da informação - Técnicas de segurança - Sistemas de Gestão da Segurança da Informação - Requisitos, que exige o comprometimento da alta administração na Seção 5. Liderança5; ABNT NBR ISO 31.000:2018 - Gestão de Risco - Diretrizes, que traz a Seção 4.2 - Mandato e Comprometimento6 dedicada ao tema; ABNT NBR ISO 37.001:2017 - Sistemas de Gestão Antissuborno - Requisitos com orientações para uso7, em sua Seção 5 - Liderança; e a norma recém-publicada ABNT NBR ISO 37.301 - Sistemas de Gestão de Compliance - Requisitos com orientações para uso8.

E, para além do âmbito das normas citadas acima, é possível extrair da própria legislação brasileira a existência de deveres jurídicos dos administradores relacionados ao "tom da liderança"9.

A Lei Geral de Proteção de Dados, por exemplo, estabelece como dever dos agentes de tratamento a adoção de "medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais" (art. 46), sendo as "medidas administrativas" justamente os "procedimentos, políticas e planos de resposta a incidentes. Uma política de segurança de informação, um código de conduta, ou um processo de homologação de fornecedores seriam medidas administrativas"10. O estabelecimento de medidas administrativas para a proteção de dados, ademais, é elemento a ser futuramente avaliado pela Autoridade Nacional de Proteção de Dados - ANPD para a dosimetria das sanções em caso de infrações à LGPD, nos termos do art. 52, § 1º, incisos VIII e IX.

Da mesma maneira, quando a Lei Anticorrupção Empresarial prevê a responsabilização objetiva da pessoa jurídica por atos de corrupção "praticados em seu interesse ou benefício, exclusivo ou não" (art. 2º), e traz em seu regulamento (decreto Federal 8.420/2015) a possibilidade de mitigação de eventuais sanções com base na avaliação do programa de integridade (art. 42), avaliação esta que levará em consideração o "comprometimento da alta direção da pessoa jurídica, incluídos os conselhos, evidenciado pelo apoio visível e inequívoco ao programa" (art. 42, inciso I, do decreto Federal 8.420/2015), temos a demonstração inequívoca de que o tone at the top é não apenas um padrão desejável de conduta, mas legítimo dever jurídico dos administradores.

---------

1 Ver, para todos: NEVES, Edmo Colnaghi. Compliance empresarial: o tom da liderança. Estrutura e benefícios do programa. São Paulo: Trevisan Editora. 2018.
2 Disponível aqui.
3 EMPRESA BRASILEIRA DE NORMAS DE COMPLIANCE. DSC 10.000 - Diretrizes para o Sistema de Compliance. 2015, p. 4.
4 ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO 22.301:2020 - Segurança e Resiliência - Sistema de Gestão de Continuidade de Negócios - Requisitos. Rio de Janeiro. 2020.
5 ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBT ISO/IEC 27.001:2013 - Tecnologia da informação - Técnicas de segurança - Sistemas de Gestão da Segurança da Informação - Requisitos. Rio de Janeiro: 2013.
6 ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO 31.000:2018 - Gestão de Risco - Diretrizes. Rio de Janeiro: 2018.
7 ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO 37.301 - Sistemas de Gestão de Compliance - Requisitos com orientações para uso. Rio de Janeiro: 2021.
8 ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO 37.001:2017 - Sistemas de gestão antissuborno - Requisitos com orientações para uso. Rio de Janeiro: 2017.
9 Muito embora o foco deste trabalho seja o tone at the top em âmbito empresarial, é relevante fazer referência à existência do mesmo dever jurídico no âmbito da administração pública, nos termos do art. 17 do Decreto Federal nº 9.203/2017, que assim dispõe: "Art. 17. A alta administração das organizações da administração pública federal direta, autárquica e fundacional deverá estabelecer, manter, monitorar e aprimorar sistema de gestão de riscos e controles internos com vistas à identificação, à avaliação, ao tratamento, ao monitoramento e à análise crítica de riscos que possam impactar a implementação da estratégia e a consecução dos objetivos da organização no cumprimento da sua missão institucional, observados os seguintes princípios".
10 REOLON, Carlos. GUTIERREZ, Andriei. Lições e boas práticas do setor de tecnologia para todas as organizações: segurança e governança de dados, in: LIMA, Ana Paula Moraes Canto de. CRESPO, Marcelo. PINHEIRO, Patrícia Peck. LGPD aplicada. São Paulo: Atlas, 2021, p. 10.

Atualizado em: 14/7/2021 14:42

Sérgio Luiz Beggiato Junior

VIP Sérgio Luiz Beggiato Junior

Advogado no Gomm Advogados Associados (Curitiba/PR). Bacharel em Direito pela UFPR, pós-graduado em Direito Empresarial pela Fundação Getúlio Vargas, em Compliance e Integridade Corporativa (PUC-MG) e em Filosofia e Teoria do Direito (PUC-MG). Graduando em Segurança da Informação na UCB.