Excelente texto do advogado e perito digital José Antônio Milage, o qual compartilho com vocês.
"No mundo muitas empresas já adequavam seus sistemas e processos às normas de peso internacional, como Foreign Corrupt Practices Act of 1977 (FCPA), Bribery Act of 2010, dentre outras regulamentações. No Brasil, a recém editada Lei 12.846
de 2013 traz a responsabilização das pessoas jurídicas por prática de
atos contra a administração pública. Estas empresas podem ser
responsabilizadas mesmo que optantes pelo simples por exemplo, pouco
importando o tipo societário ou porte.
A responsabilização da pessoa jurídica se dará sem prejuízo da
responsabilização individual dos dirigentes. Importante destacar que a
lei prevê também como será a responsabilização em caso de sucessão,
cisões ou fusões corporativas.
A promessa ou doação de valores ou vantagens a agente público ou a
terceira pessoa a ele relacionada (a propina), como a um filho, por
exemplo, caracteriza ato lesivo contra a administração pública.
Igualmente, a fraude a licitações, em diversas modalidades, também passa
a ser prevista como ato contra a administração. Logicamente que
estrutura investigativa deverá ser aprimorada nos órgãos públicos,
sobretudo na auditoria de dados de empresas que com eles se relacionam. É
indispensável a auditoria informática em qualquer órgão e entidade da
Administração, pois grande parte das transações estão em meio
informático.
Um ponto que merece atenção é que constitui ato lesivo, pela lei,
dificultar a investigação de órgãos, entidades ou agentes públicos.
Considera-se administração pública não só os órgãos e entidades estatais
de qualquer nível ou esfera de governo, mas também as pessoas jurídicas
controladas pelo poder público de país estrangeiro. Perceba-se que uma
estrutura de auditoria, segurança e recuperação de informações e
registros deverá ser adotada por empresas, de modo a não caracterizar,
diante de uma investigação, eventual entrave, o que agrava a situação.
A pena, prevista para as empresas que pratiquem atos lesivos, pode
chegar a 20% do faturamento bruto do exercício anterior ao da
instauração do processo administrativo, lembrando que nunca a multa será
inferior a vantagem auferida pela fraude, quando, logicamente, for
possível estimá-la.
Ponto que merece observação é que ao aplicar as sanções às
empresas, deverá ser levado em consideração, dentre vários fatores, um
em especial, qual seja, a existência de mecanismos e procedimentos
internos de integridade, auditoria e incentivo à denúncia de
irregularidades e a aplicação efetiva de códigos de ética e de conduta
no âmbito da pessoa jurídica. A Lei é clara: Será atenuada a situação da
empresa investigada, se esta demonstrar conformidade e uma estrutura
organizacional de segurança da informação para rastreabilidade, denúncia
e desencorajamento da fraude.
A legislação também prevê o chamado "acordo de leniência", diga-se,
a possibilidade da autoridade máxima do órgão ou entidade pública
celebrar acordo com empresas que colaborem efetivamente com as
investigações ou processo administrativo. Desta cooperação deve resultar
a identificação de outros envolvidos e a obtenção célere de informações
e documentos. Diga-se, segurança das comunicações e custodia de
registros de atividades devem merecer toda a atenção de empresas que
lidem com o Poder Público, pouco importando seu tamanho, mas
especialmente, para as grandes empresas, com filiais e agentes
espalhados pelo país. A ISO/IEC 27037:2012 (draft) define melhores
práticas para identificação, coleta, aquisição e preservação das
evidências informáticas. Ainda a ISO/IEC 27042:2012 oferece técnicas
para análise e interpretação de evidências digitais, o que pode ser útil
ao e-discovery em uma investigação desta natureza, no sentido de cooperar com o Poder Público.
Havendo o descumprimento do acordo de leniência, a empresa ficará
inabilitada de celebrar novo acordo por três anos. Lembrando que a
responsabilidade administrativa não afasta a possibilidade de um
processo judicial que poderá até resultar da dissolução da companhia.
Ainda, a Lei cria o Cadastro Nacional de Empresas Punidas (CNEP)
que tornará público todas as penas aplicadas a pessoas jurídicas.
Diga-se, uma mancha irreparável na reputação de qualquer empresa, que
certamente não sobreviverá por muito tempo. São fatores mais do que
motivadores para que a segurança da informação e a computação forense
passem a ser consideradas nas empresas.
Percebe-se que, por atos de funcionários, as empresas poderão ser
responsabilizadas, mesmo que a diretoria desconheça a atividade
maliciosa. Governos deverão adotar regras rígidas de segurança para as
terceirizações. Estados podem regulamentar o tema. E neste cenário, para
as empresas, somente um rígido programa de redução de riscos e fraudes
internas, um forte esquema de compliance, manuais anticorrupção e um
adequado sistema de gerenciamento de segurança da informação e resposta a
incidentes, com o estabelecimento de processos de perícia digital e
auditoria, é que poderão oferecer a segurança necessária diante de uma
fraude ou processo administrativo ou judicial."
Fonte : http://josemilagre.jusbrasil.com.br/artigos/121943083/lei-anticorrupcao-auditoria-informatica-e-computacao-forense
Nenhum comentário:
Postar um comentário