Raphael Soré (*) e Danilo Carra (*)
A epidemia da covid-19 acelerou algumas tomadas de decisão, impulsionando mudanças até então postergadas. Além disso, colocou à prova a habilidade das empresas para se adaptar às novas tecnologias e aos níveis de segurança e confiabilidade que essas ferramentas oferecem.
Isso não foi diferente para os itens de governança corporativa das empresas, sendo que a legislação específica que regulava as assembleias de acionistas, cotistas, cooperados das organizações passou a prever sua realização em formato virtual.
Por força legal, até o início do ano passado, tais tipos de assembleias ocorriam de forma presencial. Porém, com o avanço da pandemia, foi colocado em prática no Brasil um processo que já estava sendo realizado em outros países de permissão legal para execução de assembleias de acionistas de forma totalmente digital.
Ao passo que tal formato traz excelentes oportunidades e estimula a maior participação dos acionistas na governança da companhia, alguns desafios também são relevantes. Entre eles, estão a necessidade de assegurar aos acionistas condições de participação análogas as que teriam caso a assembleia fosse presencialmente, além da garantia de que os requisitos mínimos para a validade da reunião sejam cumpridos como a certificação da identidade do acionista e a autenticidade e segurança das comunicações e votos.
Sendo assim, surge a preocupação com o uso de ferramentas eficientes que permitam aos participantes das assembleias o exercício pleno dos seus direitos, assim como de processos de registros de eventos relevantes no sistema computacional. Tudo isso deve acontecer de modo que auditores ou até mesmo equipes internas de governança possam acompanhar a rastreabilidade dos participantes, votos realizados e documentos compartilhados durante o processo de votação.
É por isso que, para adequada organização das assembleias virtuais, questões relacionadas à infraestrutura precisam ter uma atenção especial. Dentre as lições aprendidas nas primeiras assembleias virtuais, realizadas no último ano, estão alguns pontos que parecem triviais como o uso de uma de conexão de internet eficiente e a qualidade do microfone utilizado pelo mediador, além de outros com maior grau de importância.
Durante a realização de uma assembleia no modelo virtual ou híbrido, é importante que, além de garantir o uso de ferramentas utilizadas para votação e durante a assembleia, as empresas entendam e gerenciem os riscos de segurança e tecnologia de todo o processo de modo a diminuir os riscos de questionamento da legitimidade e validade da reunião. As ferramentas, muitas vezes desenvolvidas especificamente para esse propósito, tendem a focar muito nas questões operacionais e processos realizados durante a assembleia.
Por outro lado, pode haver a ausência de requisitos de segurança e rastreabilidade.
Para a realização de uma assembleia geral, é muito importante que os recursos utilizados disponibilizem logs detalhados, de modo que auditores ou as equipes internas de governança possam ter a rastreabilidade dos participantes, votos realizados, documentos compartilhados, ou quaisquer outros eventos relevantes durante o processo.
Este log deve conter informações que identifiquem o usuário, o IP da máquina, a data e hora de realização da atividade, bem como detalhes que permitam a identificação do fato ocorrido. Além dos requisitos tecnológicos e de segurança da empresa que realiza o processo, é fundamental que sejam informadas aos participantes da assembleia instruções claras sobre a realização do processo.
Por isso, elas devem considerar preparar um guia orientando os usuários sobre os principais aspectos de segurança da informação, uso e configuração adequados do equipamento utilizado para participação da assembleia, bem como disponibilizar um canal de suporte e assistência aos participantes, antes e durante o processo.
Caso as empresas optem por utilizar parceiros ou terceiros durante o processo, é recomendado que sejam realizadas avaliações de segurança e compliance dessas companhias. Questionar se eles possuem algum tipo de certificação (como, por exemplo, ISO 27001) ou relatório de asseguração em relação ao serviço ou plataforma fornecida, ou até realizar uma avaliação independente destes requerimentos antes da contratação.
No que tange aos controles de acesso, é imprescindível que as companhias determinem controles para os acessos administrativos e contas genéricas que, eventualmente, serão necessárias para funcionamento do sistema ou da plataforma escolhida. Esses procedimentos devem se estender às camadas de banco de dados e sistema operacional, de modo que a permissão para obter as informações das assembleias seja restrita apenas às pessoas que credenciadas para isso.
Convém lembrar que os parâmetros de composição da senha dos participantes e gestores devem estar configurados para considerar critérios complexos, bem como mecanismos de bloqueio que previnam ataques de força bruta. As informações pessoais e confidenciais devem ser criptografadas, minimizando assim o risco de acesso a esses dados por quem não possui esse direito.
Tais pontos, eminentemente técnicos, visam garantir a segurança da reunião e, sobretudo, a segurança jurídica dos resultados, sendo imprescindível para tanto a atenta documentação de que todos esses atributos foram adequadamente endereçados e bem-sucedidos.
(*) – É sócio da área forense da KPMG; (**) – É sócio-diretor da área de consultoria de riscos de tecnologia da informação da KPMG.
