Compliance & Elegibilidade.
Noviuz Compliance and Eligibility Framework — Versão 2.0
Resumo em linguagem clara
A Noviuz Platform foi concebida para permitir que estruturas, relações, autoridades, documentos, decisões e processos sejam organizados com maior clareza, rastreabilidade e responsabilidade.
Esses princípios também orientam a abordagem de compliance no Ecossistema Noviuz.
A Plataforma pode ser utilizada em relações que envolvem diferentes:
- Usuários;
- Organizações;
- Operadores;
- Provedores Relevantes;
- Parceiros;
- Provedores de Serviços.
Cada participante é responsável pelas obrigações relacionadas às atividades que efetivamente controla, decide ou executa.
Por isso, não existe necessariamente um processo único e universal de compliance aplicável a toda relação ou a todo participante do Ecossistema Noviuz.
Dependendo do serviço, da relação, do risco, da jurisdição e das obrigações aplicáveis, o participante responsável poderá realizar verificações, solicitar informações, estabelecer critérios de elegibilidade, aplicar controles adicionais ou restringir atividades dentro do escopo sob seu controle.
Este Framework descreve os princípios públicos que orientam essa arquitetura.
1. OBJETO E ESCOPO
1.1. Finalidade
Este Compliance and Eligibility Framework, denominado “Framework”, descreve os princípios gerais relacionados a:
- utilização lícita da Plataforma;
- elegibilidade;
- integridade das relações;
- abordagem baseada em risco;
- identificação e representação;
- compreensão de estruturas e participantes relevantes;
- prevenção de fraude e abuso;
- sanções e restrições aplicáveis;
- cooperação entre participantes;
- revisão de relações quando necessário.
1.2. Aplicação contextual
As medidas de compliance aplicáveis dependem da atividade concreta.
Diferentes participantes podem possuir diferentes:
- responsabilidades;
- obrigações legais;
- políticas de risco;
- critérios de elegibilidade;
- procedimentos;
- deveres de monitoramento;
- requisitos documentais.
A responsabilidade por determinado controle deve ser atribuída ao participante que efetivamente:
- controla a relação;
- presta o serviço;
- toma a decisão relevante;
- executa a atividade;
- possui a obrigação jurídica correspondente.
1.3. Provedor Relevante
Quando determinada Interface, funcionalidade ou serviço estiver sob responsabilidade de um Provedor Relevante, ele poderá aplicar controles e critérios dentro do escopo que efetivamente controla.
A utilização da Plataforma ou a participação no Ecossistema Noviuz não transfere automaticamente obrigações regulatórias de um participante para outro.
1.4. Natureza pública
Este Framework apresenta princípios gerais.
Ele não divulga controles internos confidenciais, incluindo:
- regras de detecção;
- parâmetros de risco;
- thresholds;
- modelos de scoring;
- cenários de monitoramento;
- listas internas;
- procedimentos de investigação;
- controles de segurança.
A preservação da confidencialidade desses elementos ajuda a proteger a efetividade dos controles aplicáveis.
2. MODELO DE RESPONSABILIDADE
2.1. Responsabilidade por função
Cada participante é responsável pelas atividades que efetivamente controla, decide ou executa, considerando:
- a natureza da relação;
- o serviço prestado;
- os contratos aplicáveis;
- a legislação incidente;
- suas próprias obrigações.
2.2. Ausência de compliance universal
A aprovação, verificação ou aceitação realizada por um participante não significa aprovação automática por outro.
Cada Provedor Relevante, Operador, Parceiro ou Provedor de Serviços poderá aplicar:
- obrigações legais próprias;
- critérios próprios de risco;
- requisitos próprios de elegibilidade;
- exigências documentais próprias;
- limitações próprias de serviço.
2.3. Infraestrutura e atividade regulada
A existência de integração técnica, registro, autenticação, organização de dados ou suporte operacional por meio da Plataforma não significa, por si só, que o participante responsável pela tecnologia também seja responsável pela atividade regulada subjacente.
A responsabilidade deve refletir a atividade real.
2.4. Cooperação
Participantes envolvidos em uma mesma relação poderão cooperar, quando necessário e juridicamente permitido, para:
- verificar informações;
- investigar inconsistências;
- responder a incidentes;
- prevenir fraude;
- cumprir obrigações aplicáveis;
- proteger a integridade da relação.
3. PRINCÍPIOS FUNDAMENTAIS
3.1. Legalidade
A Plataforma e os serviços relacionados não devem ser utilizados para atividade ilícita ou para facilitar a violação deliberada de obrigações obrigatoriamente aplicáveis.
3.2. Proporcionalidade
Controles devem ser proporcionais:
- à atividade;
- ao serviço;
- ao perfil da relação;
- aos riscos identificados;
- às obrigações aplicáveis.
Nem toda relação exige o mesmo nível de diligência.
3.3. Transparência funcional
Quando necessário à relação ou ao serviço, deve ser possível compreender adequadamente:
- quem participa;
- quem representa quem;
- quem controla;
- quem decide;
- quem pode instruir;
- quem pode executar;
- quem possui benefício econômico relevante.
Complexidade legítima não deve ser confundida automaticamente com opacidade ou irregularidade.
3.4. Origem legítima
A Plataforma e os serviços relacionados não devem ser conscientemente utilizados para organizar, facilitar ou apoiar ativos, recursos ou atividades de origem ilícita.
Quando necessário ao serviço, ao risco ou às obrigações aplicáveis, o participante responsável poderá solicitar informações ou evidências adicionais.
3.5. Finalidade compreensível
Quando relevante ao contexto, a finalidade de uma Estrutura, relação ou operação deve ser suficientemente compreensível para o participante responsável pela respectiva análise.
3.6. Responsabilidade distribuída
Compliance é uma responsabilidade funcionalmente distribuída.
Usuários, Organizações, Operadores, Provedores Relevantes, Parceiros e Provedores de Serviços devem cumprir as obrigações correspondentes às atividades que efetivamente desempenham.
3.7. Privacidade responsável
Diligência não significa exposição indiscriminada de informações.
Dados devem ser tratados e compartilhados:
- para finalidade legítima;
- na medida necessária;
- com participantes adequados;
- sob controles apropriados;
- conforme a Privacy Policy e as obrigações aplicáveis.
4. ABORDAGEM BASEADA EM RISCO
4.1. Princípio geral
Quando aplicável, avaliações de elegibilidade e risco poderão considerar as características concretas da relação.
O objetivo é permitir que a intensidade dos controles seja proporcional aos riscos e às obrigações do participante responsável.
4.2. Fatores relevantes
Dependendo do contexto, podem ser considerados fatores relacionados a:
Pessoas
- atividade;
- ocupação;
- função;
- representação;
- histórico relevante;
- exposição política;
- informações públicas materialmente relevantes.
Organizações e Estruturas
- atividade;
- propriedade;
- controle;
- beneficiários relevantes;
- jurisdições envolvidas;
- complexidade;
- finalidade;
- coerência econômica e operacional.
Serviço ou relação
- natureza;
- volume;
- ativos envolvidos;
- complexidade;
- velocidade;
- possibilidade de movimentação ou transferência;
- dependência de terceiros.
Geografia
- residência;
- incorporação;
- operação;
- origem ou destino de recursos;
- existência de restrições relevantes;
- disponibilidade e confiabilidade de informações.
Canal
- relação direta;
- relação intermediada;
- onboarding remoto;
- parceiro envolvido;
- disponibilidade documental.
4.3. Medidas proporcionais
A análise poderá resultar, dentro do escopo de responsabilidade do participante relevante, em:
- processo simplificado, quando permitido;
- diligência ordinária;
- diligência adicional;
- revisão reforçada;
- solicitação de informações complementares;
- limitação de funcionalidades;
- acompanhamento adicional;
- recusa;
- suspensão;
- encerramento da relação.
5. IDENTIFICAÇÃO, AUTORIDADE E TRANSPARÊNCIA
5.1. Identidade
Quando necessário, poderão ser solicitadas informações suficientes para identificar uma pessoa ou organização e compreender sua relação com a atividade relevante.
5.2. Organizações
Dependendo do contexto, poderão ser solicitadas informações relacionadas a:
- constituição;
- registro;
- atividade;
- administradores;
- representantes;
- signatários;
- propriedade;
- controle;
- beneficiários relevantes.
5.3. Representação
Poderá ser solicitada comprovação de que determinada pessoa está autorizada a:
- representar;
- instruir;
- acessar;
- aprovar;
- assinar;
- executar;
- atuar em nome de outra pessoa ou Organização.
A existência de uma permissão técnica na Plataforma não substitui a autoridade jurídica necessária para o ato subjacente.
5.4. Propriedade, controle e benefício
Quando relevante à relação ou exigido pelo participante responsável, poderão ser solicitadas informações necessárias à compreensão de:
- propriedade;
- controle;
- autoridade;
- benefício econômico;
- relação entre participantes.
Os critérios e a extensão da análise dependem:
- da Estrutura;
- do serviço;
- da jurisdição;
- do risco;
- das obrigações aplicáveis.
5.5. Complexidade
Estruturas complexas não são automaticamente inadequadas.
Quando necessário, poderá ser solicitado esclarecimento sobre elementos como:
- múltiplas camadas;
- diferentes jurisdições;
- intermediação;
- poderes específicos;
- separação entre titularidade formal, controle e benefício econômico.
6. DILIGÊNCIA ADICIONAL
6.1. Informações complementares
Dependendo da relação, do serviço, do risco e das obrigações aplicáveis, o participante responsável poderá solicitar informações adicionais relacionadas a:
- atividade econômica;
- finalidade da relação;
- contexto patrimonial;
- origem de recursos;
- origem patrimonial;
- natureza da operação;
- coerência entre atividade declarada e atividade observada;
- outros elementos materialmente relevantes.
6.2. Proporcionalidade
A natureza e a extensão da documentação solicitada devem considerar:
- materialidade;
- risco;
- disponibilidade razoável;
- natureza da informação;
- jurisdição;
- tempo decorrido;
- finalidade da verificação.
Não se pressupõe que todos os participantes ou relações devam apresentar documentação idêntica.
6.3. Atualização
Informações poderão ser solicitadas novamente quando houver, por exemplo:
- vencimento de documentos;
- mudança material;
- alteração de controle;
- mudança de atividade;
- inconsistência relevante;
- mudança de risco;
- exigência do serviço;
- obrigação legal aplicável.
7. SANÇÕES, RESTRIÇÕES E FATORES DE RISCO
7.1. Sanções e restrições
Quando relevante ao contexto, pessoas, organizações, beneficiários ou outras partes relacionadas poderão ser verificadas contra listas de sanções, restrições ou outras fontes aplicáveis à relação.
Os critérios dependem:
- da jurisdição;
- da obrigação jurídica;
- do serviço;
- do Provedor de Serviços;
- da política de risco do participante responsável.
7.2. Potenciais correspondências
A identificação inicial de uma possível correspondência não significa, por si só, que a pessoa ou organização esteja efetivamente sujeita à restrição identificada.
Poderão ser necessárias:
- revisão;
- validação;
- informações adicionais;
- investigação.
7.3. Pessoas politicamente expostas
A identificação de pessoa politicamente exposta ou de relação relevante com uma PEP não implica automaticamente recusa.
Quando aplicável, poderá resultar em:
- diligência adicional;
- aprovação adicional;
- compreensão adicional da origem de recursos ou patrimônio;
- acompanhamento proporcional.
7.4. Informações públicas relevantes
Informações públicas legítimas e materialmente relevantes poderão ser consideradas em avaliações relacionadas a:
- fraude;
- corrupção;
- sanções;
- crimes financeiros;
- outros riscos ilícitos relevantes.
Menções isoladas, não verificadas ou irrelevantes não devem, por si só, determinar automaticamente uma conclusão.
8. REVISÃO, ELEGIBILIDADE E MEDIDAS
8.1. Natureza dinâmica
Elegibilidade e risco podem ser revistos quando houver alteração material nas circunstâncias.
8.2. Eventos relevantes
Uma revisão poderá ocorrer em razão de:
- mudança de propriedade ou controle;
- novo beneficiário relevante;
- alteração material de atividade;
- mudança de jurisdição;
- nova informação de risco material;
- inconsistência significativa;
- exigência jurídica;
- requisito do serviço ou do Provedor de Serviços.
8.3. Decisões dentro do escopo de controle
O participante responsável por determinada relação, Interface, funcionalidade ou serviço poderá, dentro do escopo que controla:
- solicitar informações;
- condicionar o acesso;
- limitar funcionalidades;
- suspender temporariamente;
- recusar;
- encerrar a relação.
Essas medidas poderão ser adotadas quando houver, por exemplo:
- informações insuficientes;
- inconsistências não resolvidas;
- risco não mitigável;
- suspeita razoável de fraude;
- sanção ou restrição aplicável;
- obrigação legal;
- requisito contratual;
- impossibilidade de compreender adequadamente a relação.
Quando permitido e apropriado, poderão ser solicitados esclarecimentos antes de decisão definitiva.
9. ATIVIDADES PROIBIDAS, COOPERAÇÃO E AUTORIDADES
9.1. Uso ilícito
A Plataforma não deve ser utilizada para atividade ilícita, incluindo fraude, lavagem de dinheiro, financiamento do terrorismo, corrupção, evasão ilícita de sanções ou outras formas graves de conduta ilícita.
As regras de Acceptable Use dos Terms of Use também se aplicam.
9.2. Compartilhamento necessário
Informações poderão ser compartilhadas, quando necessário e juridicamente permitido, com participantes legitimamente envolvidos em:
- verificação;
- prestação de serviço;
- investigação;
- prevenção de fraude;
- segurança;
- gestão de risco;
- cumprimento de obrigação.
O compartilhamento deve observar a Privacy Policy e os instrumentos aplicáveis.
9.3. Independência de decisões
A aprovação, verificação ou determinação de elegibilidade realizada por um participante não vincula automaticamente outro participante.
Cada parte responsável poderá aplicar suas próprias:
- obrigações jurídicas;
- políticas de risco;
- verificações;
- critérios de elegibilidade;
- requisitos de serviço.
9.4. Comunicações e medidas obrigatórias
Quando um participante estiver legalmente obrigado ou autorizado a:
- reportar;
- comunicar;
- preservar informações;
- restringir atividade;
- bloquear ativos;
- fornecer dados a autoridade competente;
esse participante deverá agir conforme a legislação aplicável à sua atividade e à relação relevante.
Nada neste Framework exige comunicação a uma pessoa quando tal comunicação for proibida pela legislação aplicável.
10. RESPONSABILIDADES DOS USUÁRIOS E ORGANIZAÇÕES
Usuários e Organizações devem:
- fornecer informações verdadeiras e materialmente completas;
- não fornecer documentos falsos ou adulterados;
- não ocultar deliberadamente informação material legitimamente solicitada;
- informar mudanças relevantes quando aplicável à relação;
- respeitar restrições legitimamente impostas;
- cooperar com verificações razoáveis;
- utilizar a Plataforma e os serviços relacionados apenas para finalidades lícias;
- respeitar os limites de sua autoridade.
A obrigação de cooperação não exige o fornecimento de informações que não possam ser legitimamente solicitadas ou tratadas.
11. ALTERAÇÕES E CONTATO
11.1. Atualizações
Este Framework poderá ser atualizado para refletir:
- evolução da Plataforma;
- novos serviços;
- mudanças operacionais;
- novos riscos;
- evolução dos padrões de compliance;
- mudanças jurídicas relevantes.
Cada versão será identificada por número ou identificador e data de vigência.
11.3. Questões jurídicas
11.4. Privacidade
11.5. Comunicações sensíveis
Quando houver canal específico para denúncias, incidentes ou comunicações sensíveis, ele será indicado na Plataforma, no website ou na relação aplicável.
Quando determinada questão estiver relacionada a um Provedor Relevante, Operador ou Provedor de Serviços específico, a pessoa poderá ser direcionada ao participante responsável.
Dúvidas sobre conformidade?
Nossa equipe de compliance está à disposição para esclarecimentos institucionais.