FLAIR COMPLIANCE E EDUCAÇÃO CORPORATIVA

Nova consciência de negócios lastreados pela ética e integridade.

O artigo 10 da GDPR e a Due Diligence de Terceiros

Nós da TRACE escrevemos extensivamente sobre nossa preocupação de que o Artigo 10 do novo Regulamento Geral de Proteção de Dados da UE (GDPR) apresente um obstáculo à devida diligência antissuborno de terceiros, que é um componente necessário de qualquer programa de conformidade corporativa sob a FCPA e outras leis anticorrupção transnacionais .

Temos defendido vigorosamente uma solução à escala da UE, ou pelo menos a nível nacional, para esse obstáculo, propondo uma linguagem legislativa às autoridades de protecção de dados da UE e informando os funcionários do ministério da justiça e legisladores. Também contatamos os departamentos relevantes do governo dos EUA para assessorá-los sobre os efeitos adversos do Artigo 10 do GDPR sobre os esforços de conformidade da FCPA e seus possíveis obstáculos ao comércio EUA-UE.

Esta é a primeira vez que podemos relatar boas notícias sobre nossos esforços.

Como pano de fundo, o Artigo 10 do GDPR proíbe o processamento de informações pessoais de antecedentes criminais, entre outras coisas, a menos que tal processamento seja:

i) realizado sob o controlo de uma autoridade oficial europeia; ou

(ii) especificamente autorizado por lei a nível da UE ou a nível dos estados membros da UE.

Em outras palavras, a menos que uma das duas condições listadas acima seja cumprida, executando verificações de antecedentes criminais, fazendo perguntas ou até mesmo pesquisando informações disponíveis publicamente sobre um histórico de condenações ou ofensas criminais para indivíduos associados a uma entidade de terceiros (como proprietários , oficiais ou funcionários-chave) como parte da due diligence antissuborno ou de esforços de habilitação semelhantes poderia ser uma violação do GDPR punível com uma multa de até € 20 milhões ou 4% do total do volume de negócios mundial, o que for maior.

Ao contrário de algumas outras disposições do GDPR, nem mesmo um consentimento expresso de cada indivíduo investigado seria suficiente para superar a proibição do Artigo 10 se uma das duas condições daquele artigo não for cumprida.

Quando identificamos pela primeira vez a situação do Artigo 10 para a devida diligência antissuborno, não sabíamos de nenhuma lei da UE autorizando o processamento de dados do Artigo 10 para fins de due diligence antissuborno, ou outros mecanismos que permitissem tal processamento sob o controle de um Autoridade oficial europeia.

E, no entanto, a identificação e tratamento de condutas criminosas passadas por indivíduos associados a entidades de terceiros, que podem sujeitar as empresas norte-americanas a violações da FCPA, estão no cerne de processos robustos de due diligence para empresas que fazem negócios no exterior. As empresas que não fizerem tais consultas podem se arriscar a entrar em conflito com as disposições anti-suborno da FCPA se terceiros se envolverem em atos corruptos em seu nome ou, para empresas públicas, as disposições contábeis da FCPA que exigem que as empresas públicas implementem um sistema robusto. controles contábeis internos.

Nosso entendimento de como o Artigo 10 pode impactar a devida diligência antissuborno foi confirmado repetidamente. Além disso, vários funcionários da área de proteção de dados e justiça na Europa, a quem nossos assessores jurídicos contataram, concordaram não oficialmente com nossas preocupações e indicaram que essa era uma das “conseqüências não intencionais” do GDPR.

Embora uma solução em toda a UE para essa “consequência não intencional” não esteja atualmente sendo considerada, agora vemos sinais significativos de progresso. Como resultado direto de nossos esforços e aprovando a linguagem proposta pela TRACE, o recentemente aprovado Projeto de Proteção de Dados irlandês de 2018 contém uma autorização específica do processamento “necessário e proporcional” dos dados do Artigo 10 “para avaliar o risco de suborno ou corrupção, ou ambos, ou para evitar suborno ou corrupção, ou ambos ”, de acordo com os regulamentos a serem promulgados pelo Ministro irlandês da Justiça e da Igualdade.

Esperamos que tais regulamentos sejam emitidos pelo Ministro sem demora. Isso não só permitiria o processamento de informações sobre antecedentes criminais de titulares de dados irlandeses como parte da devida diligência antissuborno, mas também permitiria o processamento de tais informações para indivíduos residentes em outros estados membros da UE por controladores cujos “principais estabelecimentos” são localizado na Irlanda. Além disso, conhecemos pelo menos dois outros países da UE (o Reino Unido e os Países Baixos) cujas leis nacionais de proteção de dados recentemente adotadas fornecerão uma solução completa ou parcial para a questão do Artigo 10 para a devida diligência antissuborno.

Embora sejam boas notícias para celebrar, os objectivos do RPDP “remover os obstáculos ao fluxo de dados pessoais na União” e impedir a “fragmentação na implementação da protecção de dados em toda a União” até agora não foram atingidos. com relação a um objetivo tão importante de política pública quanto a facilitação de esforços corporativos para combater a corrupção em conformidade com as leis internacionais anticorrupção.

Os países da UE que não adotaram novas leis nacionais de proteção de dados em resposta ao GDPR ou cujas leis recém-adotadas não abordam o obstáculo do Artigo 10 à devida diligência antissuborno, deixam a proibição em vigor. As empresas que fazem negócios na UE terão dificuldade em navegar na manta de retalhos das leis nacionais na tentativa de cumprir suas obrigações de devida diligência antissuborno sem violar o GDPR.

Continuamos empenhados em procurar uma solução à escala da UE para conciliar os objetivos importantes mas concorrentes da privacidade pessoal e da transparência empresarial.

Fonte: http://www.fcpablog.com/blog/2018/5/24/illya-antonenko-some-good-news-today-about-the-gdpr-and-anti.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+fcpablog%2FsLbh+%28The+FCPA+Blog%29