Impactos legais dos IPOs dentro das companhias
Tem se tornado cada vez mais freqüente a abertura de capital de empresas brasileiras. Com isso, ouvimos nos corredores termos novos como IPO, fato relevante, código de ética, segregação de funções, RI, “insider”, “china wall”, autenticação forte, entre outros. Mas o que a empresa precisa implementar dentro de seu ambiente para construir uma cultura interna de empresa aberta, que presta contas a acionistas, investidores, ao mercado?
Com a acessibilidade e a mobilidade de dados, com a internet, com as informações em tempo real, como de fato garantir o cumprimento de regras legais que exigem a proteção do sigilo do fato relevante até que ele seja informado à Comissão de Valores Mobiliários (CVM) e aos acionistas? Há um dever de casa a ser feito que deve começar bem antes da oferta pública de ações. A governança corporativa passa pela implementação de controles, pela documentação de relações e pela garantia à transparência. Tudo, no entanto, começa na gestão de risco, que deve observar, dentro dos riscos corporativos, os riscos operacionais e os riscos eletrônicos, que geram impactos jurídicos, financeiros e institucionais.
Toda empresa que vai passar ou que já passou por um IPO precisa garantir níveis adequados de segurança da informação em toda a sua base – de colaboradores a terceirizados – e de forma permanente, com base na classificação da mesma de pública a secreta, estando sujeita, dependendo de seu segmento, à ISO 17.799, à ISO 18.044, à ISO 27.001, à Resolução nº 3.380 do Banco Central (Bacen), ao Decreto nº 4.553, de 2002, entre outros. É preciso monitorar para dentro e para fora. A empresa que vira companhia precisa saber quais informações estão sendo ditas sobre ela na internet, analisar os casos e estudar cenários e impactos para tomar decisões imediatas – precisa ser rápida na resposta a incidentes, pois a demora pode ser fatal. Precisa ainda ter conhecimento do que seus funcionários estão publicando em blogs, comunidades e fóruns. Não pode haver dissonância na comunicação da empresa para com o mercado. Um e-mail cujo endereço traga o nome da empresa é informação oficial.
Os dois riscos jurídicos maiores para a companhia são o vazamento de informações confidenciais – especialmente se entendido como fato relevante – e o uso de informações privilegiadas para operações de compra e venda de ações. Para tanto, é essencial ter uma política de segurança da informação, normas de classificação da informação e de uso de dispositivos móveis e acesso remoto, de descarte seguro de informações, de processos de segurança para terceirizados e fornecedores, entre outras. De nada adianta fazer o trabalho jurídico para fora, na relação com os órgãos, com a assinatura de documentos e de termos de responsabilidade sem fazer o trabalho jurídico para dentro da empresa.
Ressaltamos que os diretores estatutários respondem com seu próprio patrimônio por danos causados a investidores e ao mercado. Logo, isto é muito sério. Há CIOs (“chief information officer”) e CSOs (“chief security officer”) se tornando diretores estatutários e que precisam estar atentos a isso. Não pode uma empresa aberta ter problemas para salvar arquivos na rede por falta de espaço, deixando que os usuários os deixem na máquina local, ou ter portas USB sem controle algum de que dados estão saindo por elas. Ou seja, uma máquina ligada e logada sem ninguém na estação de trabalho, um notebook pessoal que sincroniza com a rede, um notebook da empresa que é furtado, um “pen drive” que carrega dados sem criptografar, uma comunidade de funcionários comentando sobre suas atividades, um software pirata em um equipamento, o uso de webmail para comunicação confidencial da empresa por executivos remotos ou iPods soltos nas mesas portando 60 megabytes de sabe lá que dados – todas estas situações são exemplos de incidentes reais, que temos acompanhado em diversos clientes. Tudo isso poderia ser evitado, com normas claras, conscientização e monitoramento.
As medidas tecnológicas geram proteção jurídica, blindagem para a operação. Uma companhia tem que investir nestas proteções – ela precisa, sim, de softwares que analisam padrões de comportamento no acesso à rede e de autenticação com biometria para certos níveis de executivos. A cultura da secretária com a senha do presidente é inaceitável. Não ter picotador ou fragmentadora é imperdoável. Não ter as provas eletrônicas que eram e-mails corporativos de tomadas de decisão, mas que foram apagados pois não eram espelhados no servidor é inconcebível. Além disso, faz parte da política de transparência criar um ambiente no website para as “relações com investidores” – o famoso RI. A empresa precisa garantir que este ambiente irá reunir suas informações oficiais e controlar para que não haja dados equivocados replicados em outros sites, ou mesmo dados velhos. Tem que fazer uma faxina periódica na web para retirar informação velha ou errada. Isso é uma obrigação da empresa aberta em bolsa.
Ainda há tempo para planejar e implementar as boas práticas, elaborar as regras, atualizar os contratos e treinar as pessoas enquanto o volume de dados ainda é gerenciável e a empresa ainda está em fase de abertura. A gestão tem que ser séria, técnica, segura e legal. Depois, pode ser tarde demais. Com apenas um click as ações caem e a reputação e o patrimônio sofrem danos bem reais.
Patricia Peck é advogada especialista em direito digital, sócia do escritório PPP Advogados e autora do livro “Direito Digital” pela editora Saraiva
Fonte: Valor
