.
O JP Morgan foi multado em US$ 4 milhões pela Securities and Exchange Commission (SEC) dos EUA por excluir milhões de registros de e-mail datados de 2018 relacionados à sua subsidiária Chase Bank.
A equipe de serviços financeiros aparentemente excluiu algo em torno de 47 milhões de registros de comunicações eletrônicas de cerca de 8.700 caixas de correio eletrônicas, cobrindo o período de 1º de janeiro a 23 de abril de 2018.
Muitos deles, ao que parece, eram registros comerciais que deveriam ser retidos de acordo com o Securities Exchange Act de 1934, disse a SEC em um depósito [PDF] detalhando sua decisão.
Pior ainda, a confusão significava que não poderia produzir provas de que a SEC e outros intimaram em suas investigações. “Em pelo menos 12 investigações regulatórias relacionadas a títulos civis, oito das quais foram conduzidas pela equipe da Comissão, o JPMorgan recebeu intimações e solicitações de documentos para comunicações que não puderam ser recuperadas ou produzidas porque foram excluídas permanentemente”, diz a SEC.
O que deu errado?
O problema para o JP Morgan pode ser atribuído a um projeto em que a empresa pretendia excluir de seus sistemas quaisquer comunicações e documentos antigos que não precisavam mais ser mantidos.
De acordo com o resumo da SEC, o projeto apresentou “falhas”, com os documentos identificados para exclusão não sendo excluídos de acordo com os processos implementados pelo JPMorgan.
Solução de problemas? Tente a resolução de problemas
Ao solucionar o problema, os trabalhadores realizaram tarefas de exclusão em comunicações eletrônicas a partir do primeiro trimestre de 2018. Isso aparentemente foi feito sob a crença de que todos os documentos foram armazenados de forma que não seria possível excluir permanentemente nenhum registro dentro do Período de retenção regulamentar de 36 meses especificado pelo Exchange Act.
De sua parte, o JP Morgan coloca a culpa diretamente em um fornecedor de arquivamento não identificado que contratou para cuidar do armazenamento de suas comunicações.
O fornecedor aparentemente garantiu ao JP Morgan e à Financial Industry Regulatory Authority (FINRA) em várias ocasiões que seu armazenamento de mídia obedecia às regras relevantes do Exchange Act em relação ao período de retenção de 36 meses e, portanto, os documentos que se enquadravam nesse período estavam protegidos contra exclusão.
Além disso, o JP Morgan diz que codificação extra foi aplicada a caixas de correio sujeitas a “retenções legais” para evitar a exclusão de documentos que devem ser mantidos para outros fins, como litígios.
No entanto, a realidade acabou por ser outra. Em junho de 2019, uma equipe da área de Tecnologia de Compliance Corporativo trabalhava no projeto de exclusão de eventuais comunicações eletrônicas, que incluíam e-mails e mensagens instantâneas que não precisavam mais ser retidas.
Quando os procedimentos desenvolvidos pelo JP Morgan e o fornecedor não conseguiram excluir os documentos apropriados, a equipe tentou solucionar o processo, executando tarefas de exclusão em vários períodos de tempo, incluindo e-mails de 1º de janeiro a 23 de abril de 2018.
Aparentemente, isso foi feito sob a crença de que havia salvaguardas que impediriam a exclusão de quaisquer registros que precisassem ser mantidos.
Mas parece que o fornecedor não conseguiu aplicar corretamente a configuração de retenção ao domínio “Chase” dentro do JP Morgan, fazendo com que todos os e-mails nele fossem excluídos permanentemente, exceto aqueles que estavam protegidos pela codificação extra em “retenções legais”.
De acordo com o JP Morgan, ele só tomou conhecimento disso em outubro de 2019, quando a equipe de descoberta legal da empresa descobriu que as comunicações eletrônicas estavam faltando no período do início de 2018. Ela relatou o incidente à SEC em janeiro de 2020.
Em resposta ao incidente, o JP Morgan disse que implementou sua própria codificação de retenção de 36 meses e revisou seus procedimentos operacionais. Isso evita que tarefas de exclusão sejam executadas em comunicações eletrônicas ainda sujeitas a requisitos de retenção e também exige que qualquer funcionário que pretenda executar uma tarefa de exclusão obtenha a aprovação de um oficial de informações de nível sênior.
A SEC concluiu que o JP Morgan havia “violado deliberadamente a Seção 17(a) do Exchange Act e a Regra 17a-4(b)(4) abaixo”, que exige que os corretores preservem por pelo menos três anos todas as comunicações recebidas e cópias de todas as comunicações enviadas relativas aos seus negócios.
A empresa foi condenada a cessar e desistir de cometer ou causar quaisquer violações futuras e a pagar uma multa de $ 4 milhões à SEC.
Em um comunicado, a empresa nos disse que: “O JP Morgan leva a sério suas obrigações de manutenção de registros. Tomamos medidas para aprimorar nossos processos e procedimentos.” ®
.
