A Diretiva de Whisthleblowing
Ainda estarão na memória de todos as causas da crise financeira do início deste século, a alteração cultural que se lhe seguiu e que culminou no Sarbanes-Oxley Act, bem como as regras estabelecidas pela Securities Exchange Commission (SEC) em matéria de whisthleblowing (mecanismos de comunicação de irregularidades). Como resultado mais evidente da crise económica, então decorrente ou acentuada pela crise de valores, acentuou-se a tónica na cultura de cumprimento, na implementação dos códigos de ética e no dever individual dos Colaboradores de promoverem ativamente o reporte de situações de desconformidade.
Desde então, a SEC obriga os emitentes em bolsas norte americanas a estabelecer processos de receção, retenção e tratamento de denúncias de irregularidades relativas a temas contabilísticos, de controlo interno em matéria de reporte financeiro ou de auditoria, bem como para a receção de denúncias anónimas de colaboradores relativamente a práticas de auditoria ou contabilidade questionáveis.
Naturalmente, esta exigência determinou que um grande número de empresas sediadas noutros países mas emitentes nos Estados Unidos adotassem este tipo de mecanismos, tendo o próprio mercado determinado a progressiva expansão dos sistemas de whistleblowing. Em Portugal, como seria de resto expectável, estes sistemas foram implementados e conheceram maior amplitude entre as empresas cotadas e, sobretudo, no setor financeiro (em particular no setor bancário, que tem regulamentação específica).
Ora, conhecendo-se o carácter mais restritivo da legislação europeia em matéria de proteção de dados pessoais, depois de vários passos intercalares promovidos designadamente pela Comissão Europeia, surgiu mais recentemente no horizonte uma diretiva cripticamente epigrafada como dirigida “à proteção de pessoas que reportam violações à legislação comunitária”.
Esta diretiva vem estabelecer um conjunto mínimo de regras destinado à gestão e investigação de irregularidades comunicadas ao abrigo deste tipo de processos, tendo por objeto violação de matérias tão amplas quanto saúde pública, segurança, proteção do consumidor e privacidade de dados.
Destaque-se que caberá aos Estados-membros alargar ou não o espectro de matérias a considerar obrigatoriamente abrangidas por este sistema, bem como determinar se se permite ou não a recurso a comunicações anónimas de dados. Esta abrangência obrigará seguramente a Comissão Nacional de Proteção de Dados a reavaliar o parecer por si emitido em 2009, na medida em que vigorará – no caso de organizações com mais de 250 colaboradores – a partir de Outubro deste ano.
Conhecendo-se a forma como a agenda regulatória nem sempre é facilmente compaginável com a alteração de sistemas (sobretudo informáticos) e processos, deverão as empresas começar desde já a reforçar o entendimento dos respetivos códigos de ética, estabelecer ou rever os métodos de reporte admitidos (aqui se incluindo transmissão e tratamento de reporte de irregularidades por verbal ou presencial), bem como a alargar os sistemas a reporte externo ou público. Os sistemas de reporte devem cumprir, naturalmente, com os requisitos de segurança da informação e com os requisitos de proteção de dados em vigor.
A relevância de antecipar o tema é clara: mais do que simplesmente cumprir com o que sabemos que será um requisito legal, o estabelecimento deste tipo de mecanismos de reporte de irregularidades melhora os níveis de controlo interno e, sobretudo, permite antecipar internamente temas que – na falta de um canal interno – possam ser diretamente reportados fora da organização. No caso, com os danos financeiros e reputacionais que isso naturalmente implica.
Isto, claro, sem prejuízo do contributo significativo destes mecanismos para a desejável cultura de ética e transparência. Afinal de contas, já Einstein dizia que a relatividade se aplica à física, não à ética.
