terça-feira, 28 de junho de 2022
ANBIMA – AUDIÊNCIA PÚBLICA - CÓDIGO DE ADMINISTRAÇÃO DE RECURSOS DE TERCEIROS E DO CÓDIGO DE REGRAS E PROCEDIMENTOS PARA IDENTIFICAÇÃO DE FUNDOS DE INVESTIMENTO SUSTENTÁVEL

A ANBIMA colocou em audiência pública o Código de Administração de Recursos de Terceiros (“Código de ART”) e o Código de Regras e Procedimentos para Identificação de Fundos de Investimento Sustentável (“Regras e Procedimentos IS”) até 13/07/2022.

Dentre as mudanças do Código de ART, destacam-se as alterações no Capítulo V - Regras e Procedimentos, na Seção III: Privacidade e Proteção de Dados Pessoais; Seção IV: Plano de Continuidade de Negócios; Seção V: Segurança da Informação e Cibersegurança; Seção VI: Tratamento de Incidentes; Seção VII: Governança, e no Capítulo VI – Sistema De Registro de Negócios.

Nesse contexto, as novas regras do Código de ART, propõem:

Privacidade e Proteção de Dados Pessoais

  • A instituição participante deve implementar e manter, em documento escrito, regras, procedimentos e controles internos que tratem da privacidade e dos dados pessoais que possuam acesso, identificando, no mínimo: (i) Controlador, processador, bases legais, finalidade, duração de tratamento, compartilhamento e responsabilidades; (ii) As regras aplicáveis aos colaboradores para o gerenciamento de identidade e acesso aos ativos de informação e dados pessoais, desde o início até o término do relacionamento destes com a instituição, inclusive nos casos de mudança de atividade dentro da mesma instituição; e (iii) Prazo para atualização do documento escrito, que não deve ser superior a 24 (vinte e quatro) meses, ou sempre que necessário conforme exigência da regulação;

Plano de Continuidade de Negócios

  • A instituição participante deve incluir no Plano de Continuidade de Negócios(“PCN”): (i) Medidas alternativas para processamento em situações de contingência, assegurando a continuidade das atividades em tempo hábil; e (ii) A indicação de medidas de mitigação de riscos potenciais identificados. Ainda, propõem-se a extinção do prazo mínimo de 12 (doze) meses para validação ou testes do PCN.

Segurança da Informação e Cibersegurança

  • Adoção de documento escrito com procedimentos e controles de segurança da informação e de cibersegurança, com indicação dos procedimentos adotados para controle de informações consideradas como confidenciais, reservadas ou privilegiadas a que tenham acesso os sócios, diretores, administradores, colaboradores e terceiros contratados pelas instituições. Estas devem adotar avaliação de riscos para identificar os ativos considerados relevantes com as probabilidades e impactos de ameaças cibernéticas;

  • A instituição participante deve, ainda, exigir que seus colaboradores e/ou terceiros contratados assinem documento de confidencialidade sobre as informações confidenciais, reservadas ou privilegiadas que lhes tenham sido confiadas em virtude do exercício de suas atividades profissionais. No caso de prestação de serviço do profissional ou terceiro contratado, em que o contrato possua cláusula de confidencialidade, não seria necessária a assinatura do referido documento;

  • As regras e procedimentos de contratação de terceiros da instituição devem englobar a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem, no país ou no exterior, classificados como críticos e/ou de maior risco conforme metodologia própria da instituição. Ademais, deve observar a capacidade do potencial prestador de serviço, incluindo: (i) O acesso da instituição aos dados e às informações a serem processados ou armazenados pelo prestador de serviço; (ii) A confidencialidade, a integridade, a disponibilidade e a recuperação dos dados e das informações processados ou armazenados pelo prestador de serviço; (iii) A disponibilização de informações e de recursos de gestão adequados ao monitoramento dos serviços a serem prestados; e (iv) A qualidade dos controles de acesso voltados à proteção dos dados dos clientes;

Tratamento de Incidentes

  • A instituição participante deve estabelecer plano de ação e de resposta aos incidentes, com ações que adéquam a estrutura organizacional e operacional aos princípios e às diretrizes das regras, procedimentos e controles internos de privacidade, proteção de dados pessoais, segurança da informação, segurança cibernética e contingência. O referido plano necessariamente deve adotar procedimentos e controles na prevenção e na resposta a incidentes, observando: área responsável pelo registro e controle dos efeitos de incidentes considerados relevantes, reporte dos incidentes identificados, plano de resposta a incidentes indicado com procedimento de comunicação aos órgãos reguladores e titulares dos dados comprometidos pelo incidente, incluindo cenários, processo de decisão de comunicação e prazo para efetivação da comunicação;

Governança

  • Quanto à Governança, a instituição participante deve adotar mecanismos de acompanhamento com a definição das áreas e/ou profissionais responsáveis por assegurar o cumprimento das obrigações, com os processos e controles adotados no acompanhamento. Necessário ainda incluir, mas sem se limitar, a trilha de auditoria, a definição de metodologias, métricas, critérios e indicadores utilizados, o mapeamento dos cenários de estresse, incidentes e risco e formas de tratamento, e a realização de testes com plano de ação para tratamento e correção de eventuais deficiências encontradas, com mecanismos de validação e testes, no mínimo, anuais;

  • A instituição participante deve adotar programa de conscientização para seus colaboradores, incluindo terceiros, sobre práticas gerais de proteção de informações confidenciais, reservadas ou privilegiadas e dados pessoais, segurança da informação e cibersegurança e sobre os protocolos de continuidade de negócios e prevenção de incidentes. Deve ainda realizar, no mínimo, anualmente, a revisão desse programa;

Sistema de Registro de Negócios

  • O Capítulo de Sistema de Registro de Negócios propõe que o gestor de recursos registre as operações negociadas pelos fundos de investimento em bolsa de valores e/ou entidades administradoras de mercado organizado no sistema de registro único de negócios da Associação, na data de sua contratação, com prazo máximo de 1 hora, contado da realização da operação;

  • Operações dos fundos com Certificados de Recebível Imobiliário (“CRIs”),Certificados de Recebível do Agronegócio (“CRAs”), debêntures e cotas de fundos fechados deverão ser registradas no Sistema REUNE – plataforma de pré-registro de negociação no mercado secundário;

  • As informações dos ativos a serem registradas são: preço ou referência de preço(taxa); quantidade ou volume financeiro aproximado; horário de execução; identificação da contraparte; identificação do tipo de operação (compra ou venda); e identificação do ativo negociado;

A Associação publicou ainda as Regras e Procedimentos IS, no qual destacam-se as disposições sobre fundos de investimento em direitos creditórios (“FIDC”) sustentáveis,e fundo de investimento em cotas de fundo de investimento (“FIC”), propondo, em especial:

  • Aqueles que têm o investimento sustentável como objetivo/tese de investimento poderão utilizar o termo “investimento sustentável” (“IS”) no nome. Já os que integram os aspectos de environmental, social, and corporate governance (“ESG”) em seu processo de gestão, mas não têm o investimento sustentável como principal propósito, não poderão usar essa identificação. Ainda assim, contarão com uma diferenciação nos materiais de divulgação destinado aos investidores;

  • Os gestores de FIDC IS e dos fundos que integram questões de sustentabilidade deverão seguir alguns requisitos voltados ao compromisso ESG, à diligência e à transparência dos ativos, como por exemplo: a divulgação de políticas e ações realizadas para inclusão dos fatores ESG na atividade de gestão do fundo;

  • Para usar o termo IS no nome, o fundo precisa ter uma carteira alinhada com a sustentabilidade. Deverá ainda ser explicitado no regulamento que o objetivo ESG considera o cedente e/ou sacado e garantir que a contraparte da operação (cedente e/ou sacado, conforme o caso) não gerará danos à carteira. As metodologias e processos também deverão atestar o compromisso sustentável e o monitoramento constante dos ativos;

  • As estratégias de desinvestimento ou recomposição da carteira deverão ser formalizadas e incluídas nos materiais de divulgação do fundo com o objetivo de comprovar que o FIDC conduz ações continuadas com foco na sustentabilidade;

  • Os fundos que consideram questões ESG nas carteiras, mas não têm o compromisso integral com a sustentabilidade, poderão usar a frase “esse fundo integra questões ESG em sua gestão” nos materiais de venda destinados aos investidores. Assim como os FIDCs IS, eles também deverão explicitar se a integração dos critérios ESG acontece a partir do cedente e/ou sacado, conforme cada caso;

  • Os FICs que invistam exclusivamente em fundos IS e/ou em fundos que integram questões ESG também poderão ser reconhecidos como sustentáveis;

  • O gestor de recursos do FIC que investir, exclusivamente, em fundos IS e/ou em fundos que integram questões ESG geridos por terceiros, deve manter documentoescrito regras, procedimentos e controles internos com: (i) Os procedimentos prévios que serão adotados para verificar se o gestor e o fundo investido cumpremcom as regras estabelecidas; (ii) A periodicidade do monitoramento, assim como o prazo para novas diligências;

Ressalta-se que os critérios para identificação dos FIDCs IS dão sequência ao trabalho iniciado com o reconhecimento dos fundos de renda fixa e de ações que consideram critérios ESG em seus processos de gestão. As mudanças têm como objetivo atender uma demanda do próprio mercado e tornar mais transparentes as políticas de sustentabilidade dos FIDC e dos Fundos de Cotas Sustentáveis (FICs).

Sugestões com justificativas podem ser enviadas até o dia 13 de julho para o e-mail:audiência.publica@anbima.com.br.

Este alerta não representa opinião legal, tendo o propósito puramente informativo.

Logotipo do Compliasset

Somos o software de gestão de Compliance regulatório, Integridade e Privacidade líder no mercado de capitais.


Canal de Denúncias

Denuncie Irregularidades

Canal de LGPD para os titulares de dados que a Compliasset controla

Faça um pedido

Fique por perto

Histórias de inovação na área de Compliance. Os casos que apresentamos aqui são contados por pessoas que estão no dia-a-dia do Compliance das mais variadas organizações.

Debates com referências do mundo jurídico e de Compliance. Um papo dinâmico conduzido por Nicole Dyskant com foco em inovações, desafios e insights.

Histórias de inovação na área de Compliance. Os casos que apresentamos aqui são contados por pessoas que estão no dia-a-dia do Compliance das mais variadas organizações.

Debates com referências do mundo jurídico e de Compliance. Um papo dinâmico conduzido por Nicole Dyskant com foco em inovações, desafios e insights.



Compliasset Software e Soluções Digitais Ltda. Todos os direitos reservados