SUMÁRIO: 1 Introdução – 2 As alterações mais significativas promovidas na Lei 13.974/2020 – 3 As novas regras sobre tratamento de dados pelo COAF – 4 A proteção internacional aos dados pessoais na cooperação internacional pelo COAF – 5 Conclusão
PALAVRAS-CHAVE: Lavagem de dinheiro – Unidade de Inteligência Financeira – Autonomia do COAF – Proteção de dados pessoais
KEY WORDS: Money laundering – Financial Intelligence Unity – COAF’s autonomy – Data protection
1 Introdução
Entra governo e sai governo, e a estrutura orgânica da Administração Pública Federal é alterada. Com a transição de poder em 1º de janeiro de 2023, houve a subdivisão do Ministério da Economia em três pastas, uma delas, o Ministério da Fazenda. A recriação desse ministério trouxe impactos ao Conselho de Controle de Atividades Financeiras (COAF), regulado pela Lei 13.974/2020 (Lei do COAF) e pela Lei 9.613/1998 (Lei de Lavagem de Dinheiro), diplomas que fazem parte de um mesmo sistema normativo.
Criado em 1998 pelo art. 14 da Lei 9.613/1998, o COAF integrava a estrutura do antigo Ministério da Fazenda. Mais de vinte anos depois, o órgão foi transferido para o Ministério da Justiça, pela MPv 870, de 1º de janeiro de 2019, ficando ali por um curto período, já que a MPv 886, de 18 de junho de 2019, o inseriu no então criado Ministério da Economia.
Pouco depois, a MPv 893, de 19 de agosto de 2019, deu ao COAF a denominação de Unidade de Inteligência Financeira (UIF), com vinculação administrativa ao Banco Central do Brasil (BCB). Foi essa medida provisória que acabou se convertendo na Lei 13.974/2020, em vigor. Felizmente, no texto então sancionado, a UIF brasileira recuperou o seu nome original e, diferentemente do que se lê alhures, continua a se chamar COAF.
Analisemos a seguir as novidades da MPv 1.158, de 12 de janeiro de 2023, e alguns de seus problemas.
2 As alterações mais significativas promovidas na Lei 13.974/2020
A Medida Provisória 1158/ 2023, alterou a Lei 13.974/2020 e devolveu o COAF ao Ministério da Fazenda, pasta na qual o órgão originalmente se situava. Agora o art. 2º da Lei diz que o COAF se vincula administrativamente ao Ministério da Fazenda, cabendo ao chefe dessa pasta nomear o presidente do Conselho e seus 12 membros e aprovar o seu regimento interno. Este foi o modelo vigente entre 1998 e 2019.
Foi mantida a autonomia técnica e operacional do COAF, que já era assegurada pelo art. 2º da Lei 13.974/2020, o que é essencial segundo os padrões do Grupo de Ação Financeira Internacional (GAFI) e do Grupo de Egmont. O GAFI e o Grupo de Egmont são os dois mais importantes organismos internacionais contra a lavagem de ativos. Reúnem unidades de inteligência financeira (UIF) de vários paises e estabelecem os seus standards de atuação por meio de normas de soft law.
A MPv 893/2019, aquela que passou a chamar o COAF de UIF, determinava corretamente, no §1º do seu art. 2º, que a nossa financial intelligence unity seria responsável por “produzir e gerir informações de inteligência financeira para a prevenção e o combate à lavagem de dinheiro, ao financiamento do terrorismo e ao financiamento da proliferação de armas de destruição em massa”. Estas são as três funções clássicas das UIFs em todo o mundo, conforme as 40 Recomendações do GAFI.
Contudo, quando a MPv 893/2019 foi convertida na Lei 13.974/2020, uma emenda alterou esse dispositivo, que passou a corresponder ao inciso I do art. 3º, no qual se atribuía ao COAF – já com seu nome recuperado – “produzir e gerir informações de inteligência financeira para a prevenção e o combate à lavagem de dinheiro”. Ficaram de fora do texto legal as atividades de prevenção e repressão ao financiamento do terrorismo (CFT) e à proliferação de armas de destruição em massa (PF/WMD), na sigla em inglês).
Agora, a MPv 1.158/2023 busca corrigir essa inconsistência do art. 3º, inciso I, da Lei 13.974/2020, isto é, a falta de menção expressa ao financiamento do terrorismo e à proliferação de armas de destruição em massa. A pretensão é tornar o texto mais abrangente, ao se dizer que cabe ao COAF “produzir e gerir informações de inteligência financeira”. De que tipo? Daquele mencionado nos arts. 14 e 15 da Lei 9.613/1998, que atribuem ao COAF receber, examinar e identificar as ocorrências suspeitas de atividades ilícitas previstas na Lei de Lavagem de Dinheiro, e comunicar às autoridades competentes, por meio de relatórios de inteligência financeira (RIFs), suas conclusões quanto à existência de crimes nela previstos, de fundados indícios de sua prática, “ou de qualquer outro ilícito.”
Ou seja, pretende-se tornar mais claro agora que o COAF produz inteligência financeira, não apenas sobre atividades de lavagem de dinheiro, mas também sobre o financiamento do terrorismo e da proliferação de armas de destruição em massa e sobre as infrações penais antecedentes à lavagem de capitais. A inteligência produzida pelo COAF continuará a ser difundida ao Ministério Público e à Polícia Judiciária, com base no art. 15 da Lei 9.613/1998.
Vejamos agora a mudança do art. 6º da Lei 13.974/2020, que é de mera técnica legislativa. O dispositivo foi desdobrado em dois incisos, que preveem, como antes, que o ato que regula o processo administrativo sancionador (PAS) de competência do COAF deve dispor sobre o rito, os prazos e os critérios para gradação das penalidades previstas na Lei 9.613/1998, assegurando-se o contraditório e a ampla defesa. Manteve-se a menção expressa à Lei do Processo Administrativo Federal (Lei. 9.784/1999), que se aplica subsidiariamente ao PAS, cujo ato regulamentar será baixado pelo Ministro da Fazenda, com base em proposta do plenário do COAF.
Conforme o §1º do art. 6º da Lei 13.974/2020, das decisões do plenário do COAF relacionadas aos seus processos administrativos sancionadores, o recurso administrativo continua sendo endereçado ao Conselho de Recursos do Sistema Financeiro Nacional (CRSFN). Compete ao CRSFN o julgamento em última instância administrativa dos recursos contra as sanções aplicadas pelo Banco Central, pela Comissão de Valores Mobiliários (CVM), pela Superintendência de Seguros Privados (SUSEP), pelo COAF e outras autoridades federais indicadas em lei.
Segundo o art. 9º, §2º da Lei 13.974/2020, com nova redação dada pela MPv 1.158/2023, a representação judicial e extrajudicial do COAF deixa de ser exercida pelos procuradores do Banco Central e passa aos membros da Advocacia-Geral da União (AGU). Para a fase de transição, o art. 7º, inciso II, da MPv 1.158/2023 prevê que a União sucederá ao BACEN nas “ações judiciais referentes a interesses próprios do Coaf ou de seus dirigentes e servidores, na condição de autor, réu, assistente, opoente ou terceiro interessado”.
Tal dispositivo permitirá à AGU, por exemplo, atuar no HC 648.198/DF, impetrado em favor de servidores do COAF, perante o STJ, no chamado caso Wasseff, e também prosseguir com os recursos interpostos pelo COAF, que ora tramitam naquele mesmo tribunal superior, contra a decisão proferida pelo TRF da 1ª Região no HC 1032133-15.2020.4.01.0000.
3 As novas regras sobre tratamento de dados pelo COAF
Num dos seus dispositivos mais importantes, a MPv 1.158/2023 promoveu alterações na Lei de Lavagem de Dinheiro para regrar o tratamento de dados pessoais pelo COAF. Introduziu-se um novo artigo 17-F na Lei 9.613/1998, para suprir a lacuna da proteção de dados pessoais (PDP) no trabalho do COAF, decorrente da exclusão expressa feita pelo art. 4º, inciso III, alínea d, da Lei 13.709/2018 (LGPD), que retira de seu âmbito as atividades de investigação e repressão a infrações penais. Os dados tratados pela UIF brasileira têm essa finalidade precípua, vinculada à prevenção e à repressão ao crime de lavagem de dinheiro e ao financiamento do terrorismo.
Apesar da exclusão expressa, o § 1º do art. 4º da LGPD determina, porém, que o tratamento de dados pessoais nas circunstâncias da alínea d deve reger-se por legislação específica, “que deverá prever medidas proporcionais e estritamente necessárias ao atendimento do interesse público, observados o devido processo legal, os princípios gerais de proteção e os direitos do titular”.
Ainda que assim não fosse, o inciso LXXIX do art. 5º da Constituição, resultante da Emenda Constitucional 115/2022, assegura o direito à proteção de dados pessoais (PDP), na forma da lei. Aí está a lei para reger a inteligência financeira, que exigirá a aprovação pelo COAF de uma resolução especifica para tratamento de dados pessoais, de modo a regulamentar o art. 17-F da Lei 9.613/1998.
Guardando adequação à topografia da Lei de Lavagem de Ativos, a MPv 1.158/2023 insere a PDP junto a dispositivos que já tratam do acesso a dados pessoais de investigados por lavagem de dinheiro. É o caso do art. 17-B da Lei 9.613/1998, que regula a requisição direta de dados cadastrais pela Polícia e pelo Ministério Publico; e do art. 17-E, que estipula o prazo mínimo de 5 anos para a guarda de dados fiscais pela Receita Federal. Ambos os artigos foram introduzidos pela Lei 12.683/2012.
Assim, conforme o novo art. 17-F da Lei 9.613/1998, o tratamento de dados pessoais pelo COAF “será realizado de forma estritamente necessária para o atendimento às suas finalidades legais”. São reconhecidos o princípio da necessidade e a vinculação do tratamento dos dados a uma finalidade legal.
Segundo o art. 6º, inciso I, da LGPD, o princípio da finalidade reclama que o tratamento de dados pessoais seja realizado “para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades”.
Já o princípio da necessidade, contido no inciso III, do art. 6º, da LGPD, limita o tratamento dos dados pessoais “ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados”. Este aspecto deve ser objeto de atenção do COAF, em seu ato regulamentar, para que os dados que a unidade coleta, armazena e, sobretudo, os que difunde não sejam excessivos, tendo como parâmetro a finalidade legal de sua difusão aos órgãos de persecução criminal.
Quanto ao COAF, as finalidades do tratamento dizem respeito à prevenção e à repressão da lavagem de dinheiro, do financiamento do terrorismo e da proliferação de armas de destruição em massa, assim como das infrações penais antecedentes. O dispositivo refere-se apenas aos dados de pessoas naturais, que se inserem no âmbito de proteção da LGPD e do direito fundamental previsto no inciso LXXIX do art. 5º da Constituição Federal. As finalidades legais do COAF estão previstas na própria Lei 9.613/1998, na Lei 13.810/2019 (que trata do cumprimento de resoluções dos comitês de sanções do Conselho de Segurança das Nações Unidas sobre financiamento do terrorismo), na Lei 13.974/2020 (Lei do COAF) e na Lei Complementar 105/2001 (Lei do Sigilo Bancário).
No tratamento de dados pessoais, o COAF deverá garantir a exatidão e a atualização dos dados, respeitadas as medidas adequadas para a eliminação ou a retificação de dados inexatos. É o que determina o inciso II do art. 17-F da Lei 9.613/1998. Tais direitos inserem-se entre os core rights de proteção de dados, estando previstos na LGPD. Tal dispositivo refere-se também ao principio da qualidade do tratamento, consoante o inciso V do art. 6º da Lei 13.709/2018, pelo qual se deve garantir, aos titulares dos dados a exatidão, clareza, relevância e atualização desses dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento.
O inciso III desse novo art. 17-F cuida do prazo de retenção de dados pelo COAF, uma lacuna da Lei de Lavagem de Dinheiro, que agora poderá ser suprida. Em lugar de especificar um dado numero de anos, como faz o art. 17-E (mínimo de 5 anos para dados fiscais), o novo dispositivo resultante da MPv 1.158/2023 diz que esse prazo não deverá superar “o período necessário para o atendimento às suas finalidades legais”.
Naturalmente o prazo máximo de armazenamento dos dados pelo COAF deve ter em conta, pelo menos, a prescrição da ação penal relativa aos crimes em questão, não podendo ser inferior a 16 anos, no caso da lavagem de dinheiro (art. 109, inciso II, do CP, c/c o art. 1º da Lei 9.613/1998) ou a 20 anos, no caso do financiamento do terrorismo (art. 109, inciso I, do CP, c/c o art. 6º da Lei 13.260/2016). A fixação desses prazos mínimos – o que deve ocorrer em ato próprio do COAF – tem em mira a necessidade de garantir sua disponibilidade, para analise e eventual difusão, enquanto a persecução criminal for temporalmente viável.
Devemos lembrar que, na forma do art. 9º, inciso II, da LGPD, o titular dos dados tem direito a informação sobre a forma e duração do tratamento de seus dados. Pondero, porém, que tais prazos podem ser menores, quando alcançados os fins do tratamento, nos termos do art. 15, inciso I, da LGPD, e do próprio inciso III do novo art. 17-F da Lei 9.613/1998.
O inciso IV do novo art. 17-F da Lei de Lavagem de Dinheiro adequa a legislação brasileira ao decidido pelo STF em 2019 no Tema 990 da Repercussão Geral no âmbito do RE 1.055.941/SP, quanto à difusão dos relatórios de inteligência financeira (RIF) ao Ministério Público e à Polícia Judiciária. Assim, na hipótese de compartilhamento dos dados tratados pelo COAF, a remessa do RIF deve ocorrer por meio de “comunicação formal, com garantia de sigilo, certificação do destinatário e estabelecimento de instrumentos efetivos de apuração e correção de eventuais desvios cometidos em seus procedimentos internos”. Confira a tese fixada em 2019:
1. É constitucional o compartilhamento dos relatórios de inteligência financeira da UIF e da íntegra do procedimento fiscalizatório da Receita Federal do Brasil – em que se define o lançamento do tributo – com os órgãos de persecução penal para fins criminais sem prévia autorização judicial, devendo ser resguardado o sigilo das informações em procedimentos formalmente instaurados e sujeitos a posterior controle jurisdicional;
2. O compartilhamento pela UIF e pela RFB referido no item anterior deve ser feito unicamente por meio de comunicações formais, com garantia de sigilo, certificação do destinatário e estabelecimento de instrumentos efetivos de apuração e correção de eventuais desvios.[1]
Reconhecendo o principio da segurança, que está previsto no inciso VII do art. 6º da LGPD, o inciso V do art. 17-F da Lei 9.613/1998 ordena ao COAF garantir níveis adequados de segurança dos dados pessoais por ele tratados, “respeitadas as medidas técnicas e administrativas para impedir acessos, destruição, perda, alteração, comunicação, compartilhamento, transferência ou difusão não autorizadas ou ilícitas”. A norma busca evitar acessos não autorizados, por insiders ou por hackers, vazamentos por falhas técnicas ou operacionais e perda ou difusão indevida ou ilegal de dados relativos a pessoas suspeitas de lavagem de dinheiro ou do financiamento do terrorismo.
Os dados alcançados por sigilo legal (como os dados bancários e os dados fiscais) e os dados sensíveis merecem atenção do inciso VI do novo art. 17-F, cabendo ao COAF adotar medidas especiais, físicas e lógicas, de segurança cibernética para sua proteção. Os dados sensíveis são definidos no inciso II do art. 5º da LGPD, compreendendo os dados sobre a origem racial ou étnica, a convicção religiosa, a opinião política, a filiação a sindicato ou a organização de caráter religioso, filosófico ou político de uma pessoa natural, os dados referentes à saúde ou à vida sexual do titular e os seus dados genéticos ou biométricos. Não há, portanto, vedação ao seu tratamento pelo COAF, em havendo necessidade para a análise e difusão.
Um exemplo pode ajudar à compreensão da regra. Numa investigação por caixa 2 eleitoral, envolvendo um partido politico X, pode ser necessário indicar a filiação partidária do suspeito de lavagem de ativos. Por outro lado, numa apuração sobre financiamento do terrorismo de feição jihadista, a filiação do suspeito a uma organização religiosa terá relevância.
Apesar disso, conforme o inciso VII do art. 17-F da Lei 9.613/1998, nas atividades do COAF, nenhuma forma de tratamento poderá ser utilizada para fins discriminatórios (seja por que critério for), ou para finalidades ilícitas ou abusivas. É o que também estabelece o inciso IX do art. 6º da LGPD, quanto ao princípio da não discriminação, que proíbe a realização do tratamento para fins discriminatórios ilícitos ou abusivos.
No entanto, isso não impede o escrutínio mais aprofundado de pessoas politicamente expostas (PEPs), porque aqui o discriminen se justifica pela necessidade de realizar um exame mais rigoroso sobre operações conduzidas por certas autoridades e dirigentes, listados em regulamentos setoriais dos supervisores dos mercados. É que, no caso das PEPs, há um risco ampliado de seu envolvimento em atividades de lavagem de dinheiro, existindo, por isso, uma diretriz específica do GAFI, a Recomendação 12. Esse tratamento e aquele que recaia sobre pessoas ou entidades listadas oficialmente como envolvidas em terrorismo ou em seu financiamento (sobretudo no âmbito da Lei 13.810/2019) não serão consideradas discriminatórias.
Como visto, o novo art. 17-F da Lei 9.613/1998 é compatível com o inciso LXXIX do art. 5º da Constituição e, em parte com a LGPD, instituindo, no âmbito das atividades de inteligência financeira do COAF, alguns direitos para os titulares dos dados pessoais, entre eles os de retificação, supressão, segurança e sigilo. No entanto, nem todos os direitos do art. 18 da LGPD poderão ser exercidos pelo titular dos dados contra o COAF, uma vez que, em certas etapas, o tratamento para fins de inteligência financeira é sigiloso, mesmo para o titular, em função da lei. Disso resulta que o titular dos dados não terá direito a informação prévia especifica sobre o compartilhamento de seus dados por um sujeito obrigado ao COAF nem sobre a difusão de um RIF pelo COAF aos órgãos de persecução criminal, salvo depois de se tornar publica a investigação ou o processo.
Por que é assim? Na prevenção à lavagem de dinheiro ao financiamento do terrorismo, os standards internacionais proíbem o tipping off, na forma do inciso V do art. 10 da Lei 9.613/1998 e da Recomendação 21 do GAFI. De fato, os sujeitos obrigados, listados no art. 9º daquela lei, devem preservar o sigilo das informações prestadas ao COAF. Esse dever de confidencialidade, consistente na proibição de revelação ao cliente (tipping off), impede que os sujeitos obrigados alertem a seus clientes quando reportam operações suspeitas ao COAF. ARAS e LUZ explicam:
[…] as comunicações realizadas ao COAF e ao órgão regulador setorial devem ser sigilosas. Trata-se de um dever óbvio, pois, caso o cliente realize, tente realizar ou tenha realizado uma operação de lavagem, a informação de que o Coaf fora cientificado pode fazer com que se frustrem as tentativas posteriores de investigação e descobrimento dos fatos, inclusive o bloqueio de ativos. Nada obstante, em que pese não ser possível avisar ao cliente, mantendo-se um dever de sigilo, é recomendável que o sujeito obrigado torne público que se adequa às políticas PLD/CFT, de modo que todos os que com ela se relacionam saberão, de antemão, da possibilidade de comunicação das operações suspeitas, quando realizadas.[2]
Deste modo, os titulares de dados pessoais (sempre pessoas naturais) não terão os direitos previstos no art. 18, incisos I e II, de obter do controlador, “a qualquer momento”, a confirmação pelos sujeitos obrigados ou pelo COAF da confirmação da existência do tratamento específico (em situação particularizada de comunicação de operação suspeita ou de comunicação de operação obrigatória), no âmbito da Lei 9.613/1998, ou de acesso a tais dados. Ocorre aqui uma limitação temporal, semelhante à que se perfaz nas ações cautelares inaudita altera pars, com contraditório diferido.
Desta maneira, ainda que o indivíduo objeto da comunicação peça formalmente a um dos sujeitos obrigados (bancos, corretoras, seguradoras etc) informações sobre a existência ou não de comunicações sobre sua pessoa ao COAF, a entidade listada no art. 9º da Lei 9.613/1998 não poderá prestar tal informação ao seu cliente.
De igual modo, em respeito ao sigilo legal ou judicial, o COAF não poderá, salvo expressa determinação judicial, dar concretude ao direito previsto no art. 18, inciso VII, da LGPD, que ordena ao controlador informar ao titular dos dados as entidades públicas ou privadas com as quais compartilhou os dados. Não pode o COAF prestar tais informações sem pôr em risco a concretização de atividades de investigação ou persecução criminal em curso, de competência de outros órgãos. Tal restrição à transparência está inclusive prevista no art. 23, inciso VIII, da Lei 12.527/2011 (Lei de Acesso à Informação).
Realmente, são passíveis de classificação as informações cuja divulgação ou acesso irrestrito possam comprometer atividades de inteligência, bem como de investigação ou fiscalização em andamento, relacionadas à prevenção ou repressão de infrações.
4 A proteção internacional aos dados pessoais na cooperação internacional pelo COAF
Embora a MPv 1.158/2023 nada diga a respeito expressamente, as regras de PDP também devem estar presentes na transferência internacional de dados entre as UIFs. No Brasil, o tema é objeto do art. 33 da LGPD, sendo em regra permitida a remessa de dados pessoais ao exterior, quando o destinatário for um país ou um organismo internacional que proporcione um grau de proteção de dados pessoais adequado, isto é, similar ao previsto na LGPD.
O compartilhamento transfronteiriço de dados também é permitido pelo inciso III do art. 33 da Lei 13.709/2018 quando a transferência for necessária para a cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução, de acordo com os instrumentos de direito internacional. Este é exatamente o caso do COAF, no tocante às atividades de inteligência financeira. Vale lembrar que a cooperação internacional direta, de natureza administrativa, do COAF tem base legal no art. 14, §2º da Lei 9.613/1998, que lhe permite propor mecanismos para a cooperação e a troca de informações, e no art. 3º, inciso II, que lhe atribui a promoção da interlocução institucional com órgãos e entidades nacionais, estrangeiros e internacionais que tenham conexão com suas atividades. Neste rol entram as UIFs de outros países, o GAFI, o Grupo de Ação Financeira da América Latina (GAFILAT) e o Grupo de Egmont.
No âmbito da soft law em PLD, as diretrizes 28 a 33 dos Princípios de Egmont para o Intercâmbio de Informações entre Unidades de Inteligência Financeira, de 2013, estipulam obrigações quanto à proteção de dados e à confidencialidade nas atividades das UIFs integrantes do Grupo de Egmont. No mínimo, as informações transferidas internacionalmente entre as UIFs de diferentes países devem ser tratadas e protegidas com o mesmo nível de confidencialidade aplicável às informações obtidas de fontes nacionais.[3]
Todas as operações de tratamento, na cooperação entre UIFs, devem observar critérios de segurança e confidencialidade, e os dados recebidos somente podem ser utilizados para as finalidades acordadas ou previstas em leis e regulamentos.[4] Trata-se da aplicação do principio da especialidade. Para esse fim, as UIFs devem dispor de regras que garantam a segurança e a confidencialidade das informações recebidas, inclusive procedimentos adequados para as operações de coleta, processamento, armazenamento, disseminação e proteção dos dados e o acesso a tais informações.[5]
O Princípio 30 exige que os funcionários das UIFs devem ser adequadamente capacitados para lidar com dados, especialmente para as operações de tratamento e de divulgação de informações sensíveis ou confidenciais. Todas as unidades de inteligência devem instituir mecanismos de segurança digital, o que abrange a limitação de acesso físico a suas instalações, assim como a restrição e o controle de acesso a seus sistemas informáticos e suas bases de dados.[6]
Para reforçar o requisito da finalidade do tratamento dos dados, o Princípio 32 exige das UIFs que fazem parte do Grupo de Egmont que as informações por elas recebidas sejam usadas apenas para o fim solicitado ou para o fim autorizado. Se houver necessidade de emprego dos dados para outros fins, inclusive na persecução criminal no exterior, deve haver autorização prévia da UIF remetente.[7]
No particular, as orientações de Egmont quanto à segurança e à confidencialidade das informações tratadas pelas UIFs em cooperação internacional, são também objeto da seção D da Nota Interpretativa à Recomendação (NIR) 29 e da seção A.4 da NIR 40 do GAFI, que as incorporam.[8]
O ato normativo infralegal que vier a regular a proteção de dados pessoais no âmbito do COAF deve levar em consideração as regras sobre tratamento de dados na cooperação administrativa internacional entre UIFs, a fim de que não haja tredestinação dos dados nem violação de sua confidencialidade, assegurando-se transnacionalmente o direito à PDP.
5 Conclusão
A Medida Provisória 1.158/2023 ainda passará por apreciação do Congresso Nacional e é possível que seja alterada ou rechaçada. Tudo dependerá do balanço das forças políticas no Congresso Nacional, dada a sensibilidade do tema de que nos ocupamos. No entanto, como é próprio das medidas provisórias, suas alterações têm eficácia imediata no ordenamento jurídico.
Se há algo que deveria ser alterado no texto é o inciso I do art. 3º da Lei 13.974/2020, para que ali, em lugar de uma supressão, tenha-se um acréscimo textual, de modo que caiba ao COAF produzir, gerir e “difundir” informações de inteligência financeira para a prevenção e a repressão à lavagem de dinheiro, ao financiamento do terrorismo e à proliferação de armas de destruição em massa, expressamente, nos termos das Recomendações 7 e 29 do GAFI e de suas Notas Interpretativas.
Regras sobre proteção de dados na cooperação internacional entre o COAF e outras unidades de inteligência financeira devem constar expressamente do novo art. 17-F da Lei 9.613/1998, por referência aos Princípios 28 a 33 de Egmont e às Recomendações 29 e 40 do GAFI e, é claro, ao art. 33, inciso III, da LGPD.
Também seria de bom alvitre – se isso for compatível com as limitações constitucionais das medidas provisórias – [9], incluir na Lei de Lavagem de Dinheiro ou na própria Lei 13.974/2020, ainda que por projeto de lei autônomo, uma regra explícita para prever as medidas de proteção pessoal aplicáveis aos funcionários dos sujeitos obrigados (dos setores de compliance PLD/CFT/PF) que reportam operações suspeitas e aos funcionários do COAF que realizam o tratamento de tais informações e produzem os RIFs. Tais profissionais do setor público e do setor privado ficam expostos a todo tipo de riscos e represálias em razão do cumprimento de seus deveres legais, notadamente quando lidam com dados de criminosos violentos ligados a organizações criminosas ou a entes terroristas. Por isso mesmo, tais pessoas merecem salvaguardas individuais semelhantes àquelas que a Lei 9.807/1999 e a Lei 13.608/2018 reservam aos reportantes e aos informantes da Justiça em geral.
O ponto mais polêmico da MP 1.158/2023 é, sem dúvida, a mudança de endereço da UIF brasileira. A volta do COAF ao Ministério da Fazenda impacta negativamente a luta contra a lavagem de dinheiro? Na minha opinião, por si só, não. Pouco importa onde o COAF está. Ao longo dos anos, o órgão já esteve no Ministério da Fazenda, no Ministério da Justiça, no Ministério da Economia e, até os primeiros dias de 2023, era submetido ao Banco Central. O pingue-pongue ao longo do ano de 2019 não abalou a eficiência do COAF. Sua volta ao âmbito da pasta da Fazenda tampouco teria esse efeito, por si só.
Note-se que a Recomendação 29 do GAFI, que trata das UIFs, não determina o locus onde elas devem estar. Espera apenas que as UIFs sejam centros nacionais de recebimento e análise de comunicações de operações suspeitas e de outras informações relevantes sobre lavagem de dinheiro, infrações penais antecedentes e financiamento do terrorismo, e de disseminação dos resultados de tais análises.[10]
Na Nota Interpretativa à Recomendação 29 (NIR), o GAFI expressa que “não julga a escolha dos países por modelos específicos”, o que equivale a dizer que há uma margem de apreciação nacional sobre o local onde será inserida cada UIF. No item 8 da seção E da NIR 29 esclarece-se que a UIF deve ser operacionalmente independente e autônoma, isto é, deve ter competência para cumprir suas funções livremente, “inclusive tomar por conta própria a decisão de analisar, solicitar e/ou disseminar informações específicas. Em todos os casos, isso significa que a UIF tem o direito independente de encaminhar ou disseminar informações para autoridades competentes”.[11]
Essa ideia é complementada pelo item E.9 da NIR 29, segundo o qual, sempre que a UIF for instituída como parte de uma autoridade competente já existente, qualquer que seja esta, as funções principais da UIF devem ser distintas e separadas da instituição que a abriga.
Assim, bem compreendida a questão, o que importa não é o endereço da UIF, mas a sua efetiva autonomia técnica e operacional para analisar e difundir informações, a qualificação de seu corpo funcional, a reputação de seu presidente e de seus conselheiros, o cumprimento das Recomendações do GAFI, sua aderência concreta aos Princípios de Egmont e a difusão de inteligência financeira de qualidade e de forma célere, para a prevenção e a repressão a crimes graves, sem ingerências. Isso é também o que diz a NIR 29, seção F: toda UIF deve operar “livre de qualquer influência ou interferência política, governamental ou industrial indevida, que possa comprometer sua independência operacional”.
Dito isso, é importante recordar que o Banco Central do Brasil adquiriu autonomia por força da Lei Complementar 179/2021, quando o COAF já estava vinculado a essa autarquia bancária. Tal autonomia nos termos do art. 6º da LC 179/2021 caracteriza-se pela ausência de vinculação a ministério, de tutela ou de subordinação hierárquica, e pela autonomia técnica, operacional, administrativa e financeira do BACEN.
Pode-se cogitar, primeiramente, que a desvinculação do COAF ao BACEN representa uma ingerência na autonomia e nas competências do próprio BACEN, uma vez que o presidente do COAF, conforme o art. 4º, §5º, da Lei 13.974/2020, era indicado pelo presidente do Banco Central do Brasil. Com a MPv 1.158/2023, a nomeação será feita pelo Ministro da Fazenda, a quem competirá também aprovar o regimento interno da UIF brasileira, regular seu processo administrativo sancionador e indicar os membros de seu Conselho.
A alocação do COAF no novo BACEN, virtualmente independente do Poder Executivo, sem dúvida, fortalecia, por tabela, a independência do COAF, na medida em que, desde a vigência da LC 179/2021, a diretoria do BACEN passou a ter, conforme o art. 4º, mandato fixo de 4 anos, descasado do mandato do presidente da República. Ademais, o presidente e os diretores do Banco Central devem ser indicados pelo presidente da República e aprovados pelo Senado Federal, o que lhes garante elevado grau de autonomia.
Portanto, é fácil concluir que a blindagem dos diretores do BACEN, autarquia à qual o COAF se subordinava, lhe transferia mais autonomia e instituía um escudo de proteção da UIF contra ingerências indevidas, ao sabor da politica partidária ou de outros interesses. Vale dizer, a alocação antes vigente, dentro de uma autarquia especial, contribuía para a estabilização do órgão responsável pela difusão da inteligência financeira que alimentará investigações e processos do Poder Judiciário, da Polícia e do Ministério Público no cumprimento de suas funções constitucionais. A alteração promovida em janeiro de 2023 pode ser vista assim, à luz da Recomendação 29 do GAFI e de sua Nota Interpretativa, como um enfraquecimento da autonomia operacional do COAF.
Ao apreciar a MP 1.158/2023, o Congresso Nacional poderá determinar com precisão se essa nova mudança de endereço do COAF atende ao interesse público e que interesse público seria esse e se, de algum modo, a sujeição do Conselho ao Ministério da Fazenda pode realmente enfraquecer ou pôr em risco a autonomia técnica e operacional da UIF brasileira. Ao longo de suas mais de duas décadas de existência, já pudemos perceber que o COAF deve estar firmemente ancorado na estrutura do Estado e distanciado de questões que possam desestabilizar sua capacidade operacional segundo critérios técnicos.
[1] STF, RE 1.055.941 RG / SP, Pleno, rel. min. Dias Toffoli, j. em 04/12/2019.
[2] ARAS, Vladimir; LUZ, Ilana Martins. Comentários à Lei de lavagem de dinheiro. In: PINHEIRO, Igor Pereira. Leis penais especiais comentadas na visão do STF, STJ e TSE. Leme, SP: Mizuno, 2021, p. 1307.
[3] EGMONT GROUP OF FINANCIAL INTELLIGENCE UNITIES. Principles for Information Exchange between Financial Intelligence Units, approved by the Egmont Group Heads of Financial Intelligence Units, July 2013. Disponível em: https://egmontgroup.org/wp-content/uploads/2021/09/Egmont-Group-of-Financial-Intelligence-Units-Principles-for-Information-Exchange-Between-Financial-Intelligence-Units.pdf. Acesso em: 17 jan. 2023. Vide o Princípio 33 de Egmont.
[4] Vide o Princípio 28 de Egmont.
[5] Vide o Princípio 29 de Egmont.
[6] Vide os Princípios 30 e 31 de Egmont.
[7] Vide o Princípio 32 de Egmont.
[8] GRUPO DE AÇÃO FINANCEIRA INTERNACIONAL. Padrões Internacionais de Combate à Lavagem de Dinheiro e ao Financiamento do Terrorismo e da Proliferação: as Recomendações do Gafi. Disponível em: https://www.fatf-gafi.org/media/fatf/documents/recommendations/pdfs/FATF-40-Rec-2012-Portuguese-GAFISUD.pdf. Acesso em: 17 jan. 2022. Vide as Notas Interpretativas às Recomendações 29 e 40.
[9] O art. 62, §1º, inciso I, alínea b, da Constituição, proíbe a edição de medidas provisórias sobre direito penal, processual penal e processual civil. Vide, porém, o art. 4º, §§1º e 2º, e o art. 5º, §4º, inciso I, da Resolução n. 1, de 2002, do Congresso Nacional, que regula as emendas de inciativa de parlamentares a medidas provisórias e a apresentação de projeto de lei de conversão.
[10] GRUPO DE AÇÃO FINANCEIRA INTERNACIONAL. Padrões Internacionais de Combate à Lavagem de Dinheiro e ao Financiamento do Terrorismo e da Proliferação: as Recomendações do Gafi. Disponível em: https://www.fatf-gafi.org/media/fatf/documents/recommendations/pdfs/FATF-40-Rec-2012-Portuguese-GAFISUD.pdf. Acesso em: 17 jan. 2022.
[11] As Recomendações do Gafi, op. cit. Vide o item E.8 da Nota Interpretativa à Recomendação 29.
