No mundo muitas empresas já adequavam seus sistemas e processos às normas de peso internacional, como Foreign Corrupt Practices Act of 1977 (FCPA), Bribery Act of 2010, dentre outras regulamentações. No Brasil, a recém editada Lei 12.846 de 2013 traz a responsabilização das pessoas jurídicas por prática de atos contra a administração pública. Estas empresas podem ser responsabilizadas mesmo que optantes pelo simples por exemplo, pouco importando o tipo societário ou porte.
A responsabilização da pessoa jurídica se dará sem prejuízo da responsabilização individual dos dirigentes. Importante destacar que a lei prevê também como será a responsabilização em caso de sucessão, cisões ou fusões corporativas.
A promessa ou doação de valores ou vantagens a agente publico ou a terceira pessoa a ele relacionada (a propina), como a um filho, por exemplo, caracteriza ato lesivo contra a administração pública. Igualmente, a fraude a licitações, em diversas modalidades, também passa a ser prevista como ato contra a administração. Logicamente que estrutura investigativa deverá ser aprimorada nos órgãos públicos, sobretudo na auditoria de dados de empresas que com eles se relacionam. É indispensável a auditoria informática em qualquer órgão e entidade da Administração, pois grande parte das transações estão em meio informático.
Um ponto que merece atenção é que constitui ato lesivo, pela lei, dificultar a investigação de órgãos, entidades ou agentes públicos. Considera-se administração pública não só os órgãos e entidades estatais de qualquer nível ou esfera de governo, mas também as pessoas jurídicas controladas pelo poder público de país estrangeiro. Perceba-se que uma estrutura de auditoria, segurança e recuperação de informações e registros deverá ser adotada por empresas, de modo a não caracterizar, diante de uma investigação, eventual entrave, o que agrava a situação.
A pena, prevista para as empresas que pratiquem atos lesivos, pode chegar a 20% do faturamento bruto do exercício anterior ao da instauração do processo administrativo, lembrando que nunca a multa será inferior a vantagem auferida pela fraude, quando, logicamente, for possível estimá-la.
Ponto que merece observação é que ao aplicar as sanções às empresas, deverá ser levado em consideração, dentre vários fatores, um em especial, qual seja, a existência de mecanismos e procedimentos internos de integridade, auditoria e incentivo à denúncia de irregularidades e a aplicação efetiva de códigos de ética e de conduta no âmbito da pessoa jurídica. A Lei é clara: Será atenuada a situação da empresa investigada, se esta demonstrar conformidade e uma estrutura organizacional de segurança da informação para rastreabilidade, denúncia e desencorajamento da fraude.
A legislação também prevê o chamado “acordo de leniência”, diga-se, a possibilidade da autoridade máxima do órgão ou entidade pública celebrar acordo com empresas que colaborem efetivamente com as investigações ou processo administrativo. Desta cooperação deve resultar a identificação de outros envolvidos e a obtenção célere de informações e documentos. Diga-se, segurança das comunicações e custodia de registros de atividades devem merecer toda a atenção de empresas que lidem com o Poder Público, pouco importando seu tamanho, mas especialmente, para as grandes empresas, com filiais e agentes espalhados pelo país. A ISO/IEC 27037:2012(draft) define melhores práticas para identificação, coleta, aquisição e preservação das evidências informáticas. Ainda a ISO/IEC 27042:2012 oferece técnicas para análise e interpretação de evidências digitais, o que pode ser útil ao e-discovery em uma investigação desta natureza, no sentido de cooperar com o Poder Público.
Havendo o descumprimento do acordo de leniência, a empresa ficará inabilitada de celebrar novo acordo por três anos. Lembrando que a responsabilidade administrativa não afasta a possibilidade de um processo judicial que poderá até resultar da dissolução da companhia.
Ainda, a Lei cria o Cadastro Nacional de Empresas Punidas (CNEP) que tornará público todas as penas aplicadas a pessoas jurídicas. Diga-se, uma mancha irreparável na reputação de qualquer empresa, que certamente não sobreviverá por muito tempo. São fatores mais do que motivadores para que a segurança da informação e a computação forense passem a ser consideradas nas empresas.
Percebe-se que, por atos de funcionários, as empresas poderão ser responsabilizadas, mesmo que a diretoria desconheça a atividade maliciosa. Governos deverão adotar regras rígidas de segurança para as terceirizações. Estados podem regulamentar o tema. E neste cenário, para as empresas, somente um rígido programa de redução de riscos e fraudes internas, um forte esquema de compliance, manuais anticorrupção e um adequado sistema de gerenciamento de segurança da informação e resposta a incidentes, com o estabelecimento de processos de perícia digital e auditoria, é que poderão oferecer a segurança necessária diante de uma fraude ou processo administrativo ou judicial.