Para quem tem o mercado sentando junto à mesa, qualquer assimetria de informações pode impactar diretamente o valor, a reputação e a confiança dos stakeholders na companhia.
Sendo assim, a definição de estratégias e ações de cibersegurança e de proteção de dados pessoais são indispensáveis para a manutenção da boa relação entre acionistas, mercado e empresas, buscando a continuidade dos negócios e da capacidade de expansão operacional.
Por mais que o investimento em novas tecnologias seja fundamental para as organizações melhorarem a eficiência e competitividade, ainda existem brechas que são motivo de grande alerta e preocupação em termos de gestão e governança.
Uma pesquisa realizada pela Abrasca (Associação Brasileira das Companhias Abertas) no ano passado mostrou que 42% das empresas de capital aberto do país não tinham qualquer plano de ação contra ataque hacker nem mesmo destinação de investimentos para adequação ao cenário atual de conformidade e gestão de riscos
Considerando a responsabilidade envolvida, vários acionistas podem acabar vendo seu valor de mercado pulverizado pela ação de cibercriminosos, sem falar na responsabilidade de seus administradores pela inobservância do dever de diligência.
Ter um plano de gerenciamento de crises e de resposta a incidentes é fundamental para evitar danos à marca e à reputação das organizações. Isso porque é crescente o número de casos de ransomware e extorsão nos ambientes digitais, bem como as diferentes táticas utilizadas para roubo de dados pessoais ou de informações comerciais sensíveis.
Vale lembrar que em 2022, em resposta ao parecer técnico 146, a Comissão de Valores Mobiliários (CVM) deu sinal verde para empresas de capital aberto realizarem assembleias de acionistas no Metaverso.
O uso da tecnologia foi permitido, desde que respeitem as exigências legais que se aplicam às assembleias tradicionais. É uma tendência que vemos desde 2020, quando devido ao contexto da pandemia, a Instrução CVM 622 permitiu a realização de assembleias híbridas ou exclusivamente digitais.
É um movimento de maior flexibilidade e colaboração remota entre profissionais, seja para simplificar operações, fomentar a participação ativa e inclusiva de acionistas para deliberações estratégicas, visando alcançar cada vez mais os objetivos da transparência e governança, reduzir custos ou pensar novos formatos de negócios, que deve ser acompanhado de questões de segurança e de autenticação de identidade, com análise inclusive dos recursos utilizados.
Por exemplo, de acordo com os Termos de Uso da plataforma de realidade virtual Decentraland, o risco assumido é todo do usuário, como vemos nestes trechos: “Você também reconhece e concorda expressamente que os aplicativos Ethereum podem ser escritos de forma maliciosa ou negligente, que a Fundação não pode ser responsabilizada por sua interação com tais aplicativos e que tais aplicativos podem causar perda de propriedade ou mesmo identidade”.
Assim, é fundamental ter estruturada uma política de governança que estabeleça boas práticas de privacidade e da segurança da informação ao realizar reuniões virtuais de Conselhos de Administração.
São medidas para ajudar a garantir a autenticidade e a confidencialidade, que vão desde entrar com a câmera aberta (e não fechada) até a criptografia das chamadas e os registros necessários para eventuais questionamentos futuros acerca de deliberações ou mesmo vazamentos de informações.
A partir de 2026, a CVM também passará a considerar a apresentação pelas companhias de informações sobre as questões ESG, que deverão ser mais exploradas pelo mercado na medida em que o relatório de sustentabilidade será uma realidade e diferencial entre as companhias que estiverem em conformidade com questões de ética e governança, incluindo as boas práticas em segurança cibernética e privacidade.
Mais do que investir em recursos para garantir a confidencialidade dos dados corporativos e a privacidade dos próprios conselheiros, a segurança das videoconferências é uma determinação que faz parte das diretrizes da Lei Geral de Proteção de Dados Pessoais (LGPD).
É pensar na criação do link, na necessidade de senha de acesso, onde e como o conteúdo da reunião vai ser armazenado ou compartilhado, os métodos de autenticação e de proteção na transmissão de dados, entre outros.
A adoção dos novos formatos de interação demanda que haja cuidados legais e éticos, com a necessidade de transparência e recursos de prevenção a ataques e incidentes. Essas mudanças afetam a própria dinâmica corporativa, mas precisam ser analisadas e planejadas para ter como resultado relações sustentáveis e seguras. E é neste sentido que a conscientização é ponto de partida para que recursos financeiros e times capacitados multidisciplinares devam ser alocados, visando mitigar riscos que afetam a governança e, inclusive, aspectos sociais.
Patricia Peck, CEO e sócia-fundadora do Peck Advogados. Com 46 livros publicados, é professora de Direito Digital da ESPM. Foi Conselheira Titular do Conselho Nacional de Proteção de Dados (CNPD).
Este artigo foi escrito em conjunto com Letícia Tavares Málaga, sócia de Peck Advogados na prática de Corporate, M&A e ESG.