Logo após tomar posse, o novo Governo Federal não tardou em anunciar que o Conselho de Controle de Atividades Financeiras ("COAF"), unidade de inteligência financeira do Brasil, retornaria ao Ministério da Fazenda, após um período de deslocamento em que ficou alocado junto ao Banco Central. No dia 12 de janeiro de 2023, a medida ganhou concretude com a publicação da Medida Provisória n.º 1.158/2023 ("MP"), a qual, porém, fez mais que devolver o órgão ao seu lugar de origem, porque também trouxe diversas novidades relevantes sobre sua atuação ao apresentar acréscimos à Lei Federal n.º 9.613/98 - Lei de Lavagem.
O ex-presidente Jair Bolsonaro deslocou o COAF para o Banco Central sob a justificativa de dar mais autonomia ao órgão que havia contribuído com inteligência financeira em investigações que tocaram sua família. A medida, inédita ao vincular um órgão da administração direta a uma autarquia, não foi bem recebida por juristas e pelo mercado, e, efetivamente, a atuação do COAF enquanto esteve no Banco Central colocou em xeque a autonomia do Conselho. Assim, uma importante alteração trazida pela MP foi o restabelecimento do panorama anterior: o COAF passou a integrar novamente o Ministério da Fazenda, readquirindo sua autonomia técnica e operacional.
No entanto, a "joia da coroa" da nova MP são as mudanças previstas em relação ao tratamento de dados pessoais, em especial no tocante ao processamento de dados no contexto de atividades de Prevenção à Lavagem de Dinheiro e ao Financiamento do Terrorismo ("PLD/FTP").
A medida vem como um pequeno jabuti, após uma tentativa frustrada de atualização da Lei de Lavagem nos últimos anos, mas é bem-vinda. O COAF tem como atribuição principal o recolhimento, organização e repasse de dados - e não quaisquer dados, o órgão lida com um volume enorme de informações críticas acerca de transações financeiras e comerciais, de modo a detectar, essencialmente, eventuais operações de lavagem de dinheiro.
A sensibilidade e o volume de informações processadas pelo COAF revelam a importância da MP ao vincular a atividade do órgão a princípios basilares de proteção de dados pessoais, em grande medida alinhados aos princípios da Lei Geral de Proteção de Dados, a LGPD. A novidade oportuna aproxima o Brasil da longa e complexa discussão travada sobre o tema a nível internacional. No cenário internacional, inclusive, o tema ganhou tração, tendo em vista recente decisão da Corte de Justiça da União Europeia que revogou diretiva do Parlamento Europeu recomendando a manutenção de listas públicas de identificação dos beneficiários finais das empresas para fins de PLD/FTP, considerando que a publicidade seria excessivamente onerosa aos direitos dos titulares de dados pessoais.
A MP, apregoa que o tratamento de dados realizado pelo COAF deverá respeitas os princípios: (i) da estrita necessidade para o atendimento de suas finalidades legais; (ii) da não manutenção dos dados por tempo além do necessário para atender às finalidades legais; (iii) da garantia do sigilo nos casos de compartilhamento; (iv) da garantia da segurança de informação, (v) da não discriminação.
Contudo, duas provisões trazidas podem gerar dúvidas.
O artigo 17-F, que passa a integrar a Lei de Lavagem de Dinheiro, dispõe que o tratamento de dados pessoais pelo COAF deverá garantir "a exatidão e a atualização dos dados" e que deve dispensar medidas especiais de segurança quando tratar dados "protegidos por sigilo". Em uma primeira leitura, ambas as medidas parecem razoáveis, já que estendem ao COAF garantias basilares da LGPD.
Ocorre que, em uma análise mais aprofundada, percebe-se que o texto dá margem para uma interpretação que vai de encontro a entendimento fixado em recente julgamento do STF. O Recurso Extraordinário n.º 1.055.941 confirmou a legalidade do compartilhamento de Relatórios de Inteligência Financeira ("RIF") com órgãos de persecução sem prévia autorização judicial. Ao longo do julgamento, no entanto, reafirmou-se o entendimento de que o COAF deve se limitar a receber dados e informações, sendo vedada qualquer iniciativa para requerer dados adicionais.
Quando uma empresa, sujeita à LGPD, age para cumprir com os deveres de garantia da atualidade e da exatidão dos dados de pessoas físicas, ela tende a buscar ativamente esses dados em bancos próprios ou externos, incluindo medidas de comunicação direta com os titulares. Ao estender esse dever de "garantir a exatidão" dos dados ao COAF, pode-se entender que se esperaria do órgão uma postura ativa, quase investigativa, para cumprir com este dever. Esta leitura, em hipótese alguma, pode prevalecer - o COAF é um receptor passivo de dados que são enviados a ele por outras autoridades e por empresas e pessoas sujeitas a deveres impostos pela Lei de Lavagem.
Um dos importantes critérios que foram estabelecidos durante o julgamento no Supremo foi o que o COAF somente é autorizado a compartilhar informações que detém naquele momento. Ou seja, uma vez requisitado, o órgão pode apresentar tão somente a lista de operações que já conste do seu banco de dados, mas não poderá voltar às instituições comunicantes (públicas e privadas) para atualizar as informações que possui.
É, portanto, problemático que se exija a garantia da exatidão e atualização de dados, já que para garantir a própria autonomia e isenção da unidade de inteligência, é essencial que não seja permitido protagonismo na busca por informação - trata-se de órgão que tem por atribuição principal o gerenciamento de dados e não a sua persecução.
Já com relação ao sigilo, a norma editada parece endereçar, involuntariamente, tema polêmico que diz respeito à própria natureza dos dados tratados pelo COAF. Durante todo o período em que o COAF esteve vinculado à Fazenda, questionou-se se ele estaria também sujeito ao sigilo fiscal.
A dúvida é relevante porque, também recentemente, o Superior Tribunal de Justiça e o Supremo Tribunal Federal flexibilizaram as regras de acesso a dados fiscais por parte dos órgãos de persecução penal, que agora prescindem de autorização judicial quando, por exemplo, a Receita finaliza um procedimento e entende haver indícios de crime.
A redação da MP diz que devem ser tratados de forma especial os "dados sujeitos a sigilo", inferindo-se, pois, que o COAF trata dados sigilos e não-sigilosos.
Essa leitura, porém, viola uma regra da própria Lei de Lavagem que proíbe o chamado tipping off. Quando uma empresa realiza comunicação ao COAF, ela deve fazê-lo "abstendo-se de dar ciência de tal ato a qualquer pessoa, inclusive àquela à qual se refira a informação" (art. 11, II da Lei de Lavagem). Isso significa dizer que a Lei de Lavagem cria uma esfera própria de sigilo sobre os dados que alimentam o banco do COAF. Ou seja, ainda que, na base, uma transação não seja sigilosa, ao se tornar objeto de uma comunicação ao COAF, ela deve se tornar sigilosa e não faz sentido esse dever se aplicar apenas a um particular e não ao próprio órgão que realizará o tratamento de dados, porque haveria uma quebra de isonomia e uma disfuncionalidade na regra.
Tanto deve o COAF resguardar sigilo dessa informação que ela jamais pode ser repassada de forma crua para os órgãos de investigação - o COAF elabora Relatórios de Inteligência Financeira os quais devem (como dispõe acertadamente a MP) serem compartilhados "por intermédio de comunicação formal, com garantia de sigilo, certificação do destinatário e estabelecimento de instrumentos efetivos de apuração e correção de eventuais desvios cometidos em seus procedimentos internos".
De toda forma, portanto, deve-se considerar que houve uma série de avanços em termos de proteção de dados pessoais com a edição da MP, mas é preciso ajustar o texto ou calibrar sua leitura para que o custo de observância não implique ao COAF uma função "ativa" que não convém a uma unidade de inteligência financeira, nem crie dúvidas sobre a natureza criticamente sigilosa de todos os dados que trata a partir das comunicações que recebe.
*Pedro Simões é coordenador da Equipe de Penal Empresarial e Compliance do escritório Duarte Garcia, Serra Netto e Terra. Possui experiência na atuação de casos de crimes financeiros e contra o mercado de capitais, crimes contra a administração pública, crimes tributários e contra o meio ambiente. Possui também larga experiência em compliance, atuando nos interesses de companhias nacionais e estrangeiras, na estruturação de programas de compliance de prevenção à lavagem de capitais, de prevenção à corrupção e a fraudes privadas e de gestão de dados pessoais. Especialista em regulação financeira e criptoativos
*Natalia Ikeda é formada em Direito pela USP e especialista pós-graduada pela FGV. Advogada da área de Penal Empresarial e Compliance do escritório Duarte Garcia, Serra Netto e Terra
*João Vitor Lavagnini Menezes é graduando em Direito pela USP. Estagiário da área de Penal Empresarial e Compliance do escritório Duarte Garcia, Serra Netto e Terra
Os comentários são exclusivos para assinantes do Estadão.
