Background Check e KYC: O que muda depois da LGPD?
O Background Check, que faz parte dos procedimentos de KYC (Know Your Customer, que em português significa “conheça seu cliente”), é o processo de checagem de antecedentes. Algo essencial para mitigar riscos envolvendo terceiros, não importando se pessoas físicas ou jurídicas, além de ser uma obrigação para empresas de diferentes setores indicados na Lei de Lavagem de Dinheiro (Lei nº 9.613/1998).
Muitas empresas fazem, há tempos, o Background Check e o KYC, mas eram práticas menos regulamentadas em relação à proteção de dados pessoais. Com a entrada em vigor da Lei Geral de Proteção de Dados (LGPD - Lei nº 13.709/2018) vieram novas regras, com a definição clara de diretrizes de como os dados pessoais devem ser tratados.
Confira as principais mudanças de impacto no Background Check e no KYC:
Consentimento informado
Não havia uma regra, e muitos dados pessoais eram coletados sem consentimento. A LGPD tornou obrigatório às empresas ter o consentimento explícito e informado das pessoas antes da coleta, processamento e armazenamento de dados pessoais para fins de Background Check e KYC.
Finalidade e proporcionalidade
A LGPD estabelece princípios claros de finalidade e proporcionalidade no tratamento de dados pessoais. Então, só é permitido coletar e processar dados pessoais que sejam necessários para realizar Background Check ou KYC. Além disso, a empresa deve garantir que o uso desses dados será para os fins específicos para os quais foram coletados, assim como o processamento de dados tem de ser proporcional a esses fins. Sendo assim, não é permitido coletar mais dados do que o necessário, e eles (os dados) não podem ser usados para outros fins, a não ser que se obtenha um novo consentimento.
Segurança e proteção
A LGPD impõe requisitos rigorosos de segurança e proteção de dados pessoais. Nos processos de Background Check e KYC, as empresas têm que implementar medidas para proteger os dados contra acesso não autorizado, uso indevido, alteração, destruição ou divulgação dos mesmos.
Acesso e retificação de dados
A LGPD deu às pessoas o direito de terem acesso a seus dados pessoais mantidos pelas empresas. O indivíduo também pode pedir correções, atualizações e até mesmo a exclusão de seus dados. Então, as empresas precisam ter procedimentos eficientes e ágeis para responder a essas solicitações.
Responsabilidade e responsabilização
A LGPD introduziu o conceito de responsabilidade e responsabilização. Significa que as empresas são responsáveis não apenas por cumprir a lei, mas também por demonstrar conformidade e prestar contas pelo processamento de dados pessoais. Isso inclui implementar políticas e procedimentos adequados, além de manter registros sobre as atividades de tratamento de dados.
Transferência internacional de dados
A LGPD estabelece padrões de proteção de dados para a transferência internacional de dados pessoais. Tais requisitos devem ser respeitados pelas empresas.
Os procedimentos que a LGPD define são muito importantes para as empresas públicas e privadas, assim como para toda a sociedade. Conforme um artigo publicado no site Consultor Jurídico (Conjur): “A disponibilização indevida de CPF, por exemplo, permite uma série de fraudes, tais como obtenção de crédito, contratação de serviços e aquisição de produtos. Tais incidentes ainda podem incluir destruição ou uso indevido de dados, interrupção do serviço ofertado durante e após o ataque, além da perda de produtividade. Somados a esses prejuízos, ainda devem ser consideradas as despesas associadas à restauração dos dados e sistemas, à investigação da causa e das falhas de mecanismos e, sobretudo, aos danos reputacionais”.
A LGPD tem foco em pessoa física, portanto vale para clientes e funcionários. Por isso, as áreas de gestão de pessoas, que também costumam realizar o Background Check e KYC antes da contratação de colaboradores, não podem descuidar do conteúdo da LGPD.
E quanto a pessoa jurídica?
Já quando uma empresa vai se relacionar com pessoa jurídica, seja cliente PJ, fornecedor ou parceiro, ela também tem obrigação de verificar a integridade dessa terceira. Afinal fazer negócios com uma empresa que, no passado, esteve envolvida num caso de corrupção ou que é adepta de trabalho infantil, por exemplo, aumentam os riscos financeiros e reputacionais.
Nesse âmbito, ela deve concentrar esforços na Prevenção à Lavagem de Dinheiro e ao Financiamento do Terrorismo (PLD-FT), mas há outras legislações importantes para entender os cuidados que precisam ser tomados. Para citar um exemplo: na Lei Anticorrupção (Lei nº 12.846/2013), há a indicação de responsabilidade objetiva das empresas em atos lesivos à administração pública, e isso se estende para atos de terceiros.
Seja para o Background Check e KYC de pessoa física ou jurídica, a plataforma da Regcheq faz uma varredura em mais de 1.500 listas de sanções e de restrições internacionais, além de diversas fontes nacionais, inclusive em notícias publicadas na imprensa, especialmente voltada à PLD-FT, num modelo amparado pelos requisitos da LGPD.
A Regcheq é uma aliada das empresas e instituições, na realização dos tão necessários Background Checks e KYCs. Em seus processos internos, porém, as organizações também devem cumprir a LGPD para garantir a proteção adequada dos dados pessoais dos indivíduos. Desse modo, promove-se maior transparência, segurança e controle sobre o uso dos dados pessoais, assim como as empresas devem estar em conformidade também com as demais legislações mais focadas em pessoas jurídicas.
