A palavra Compliance originalmente tinha como definição a tradução do inglês do verbo “to comply” e isso significa “estar em conformidade”, ou seja, agir de acordo com algo, fazer o que é certo. Com a evolução do Compliance, o mesmo passou a ter como definição a gestão dos riscos incorridos pelos negócios baseados na implementação dos controles preventivos e detectivos razoáveis ao nível de risco detectado pelas empresas por meio de um risk assessment.
Dessa maneira, a privacidade de dados, que ainda é um risco de Compliance, com a evolução da tecnologia e das novas plataformas internacionais de interações, bem como aplicativos cada vez mais utilizados, tomou uma importância imensa para a sociedade.
Os dados pessoais dos participantes ou dos cidadãos em geral são a base da cadeia produtiva das mencionadas plataformas e aplicativos e existiram e ainda existem exceções. O que levou a Europa a tomar a frente na proteção de dados. O Brasil publicou em 2018 a LGPD (Lei Geral de Proteção de Dados) e somente em outubro de 2021, a mencionada legislação se tornou efetiva.
Tanto Compliance e LGPD (Lei Geral de Proteção de Dados) têm relação direta, já que as empresas precisam estar em conformidade para garantir a proteção de dados dos cidadãos titulares de suas informações, bem como implementar os controles preventivos e detectivos razoáveis aos níveis de riscos de seus negócios.
Você, como um profissional da área, precisa não apenas compreender a parte teórica, mas precisa saber:
- como a LGPD funciona na prática — as obrigações das empresas, estrutura tecnológica e outros detalhes;
- como a LGPD e Compliance se relacionam de fato;
- como as empresas que se adaptam à LGPD têm vantagem no mercado;
- como está o cenário atual do mercado em relação à LGPD;
- como podemos olhar para o futuro em relação a Compliance e proteção de dados.
Este artigo vai abordar os tópicos acima e você poderá ter mais conhecimento sobre Compliance, LGPD e proteção de dados.
Compliance e LGPD: Como a LGPD funciona na prática?
O objetivo da LGPD é proteger os dados pessoais e/ou dados sensíveis de todos os cidadãos brasileiros, que são os “proprietários” ou “titulares” dos mesmos. Sendo assim, a transparência é um dos princípios fundamentais que deve reger todos os programas de proteção de dados.
Sendo assim, os colaboradores, clientes e fornecedores das empresas devem estar cientes sobre como seus dados estão sendo coletados, tratados e armazenados, para quais finalidades, bem como avisados em caso de “incidentes” em prazo estabelecido pela LGPD.
Quais as obrigações das empresas em relação à LGPD?
Quando o assunto é o que as empresas devem fazer, está a obrigação de implementar controles internos, visando coletar, tratar e armazenar os dados pessoais e/ou dados sensíveis em condições técnicas adequadas, com o intuito de minimizar situações de vazamento doloso ou culposo e ataques de “hackers”.
Para implementar um programa de Compliance em proteção de dados, o primeiro passo a ser dado é a realização de uma matriz de impacto de riscos.
Este processo irá mapear:
- a finalidade de uso/utilização dos dados pessoais ou dados sensíveis por determinado departamento ou departamentos;
- quais os controles existentes ou não existentes em todas as áreas internas das empresas que lidam com dados pessoais e/ou dados sensíveis;
- a existência ou não de riscos;
- categoria de risco (em conformidade com a legislação);
- probabilidade x impacto de o risco vir a existir de fato;
- definição do nível de criticidade;
- bases legais a serem aplicadas para cada processo interno;
- estabelecer recomendações práticas que devem ser implementadas pelas áreas avaliadas, por meio de planos de ações específicos, contendo um ponto focal e data para finalização dos planos de ações.
Detalhes sobre a estrutura tecnológica e políticas específicas a serem aplicadas
Durante a implementação de um programa de proteção de dados, obrigatoriamente também deve ser avaliada a estrutura tecnológica utilizada pelas empresas. Um exemplo disso, é averiguar se o servidor ou servidores estão localizados em uma sala adequada fisicamente e com segurança e controle de entrada adequados (normalmente por meio de biometria).
Por ser um departamento sensível — pois controla todos os sistemas operacionais das empresas e possui acesso aos dados pessoais ou sensíveis —, a LGPD define que também devem ser desenvolvidas políticas específicas e gerenciadas pelo departamento de tecnologia da informação.
Políticas específicas da área de tecnologia da informação
Sobre as políticas, são elas:
- política de privacidade de dados para os colaboradores e terceiros;
- política de privacidade de dados para fornecedores e clientes;
- política de segurança da informação;
- política de retenção de dados pessoais e descarte;
- política de Resposta a Incidentes, Gestão contra Ataques Cibernéticos e Plano de Continuidade de Negócios;
- política de uso do Circuito Fechado de Televisão (“CFTV”), etc.
Compliance em proteção de dados: Como se relacionam?
Agora você já entende mais sobre Compliance, sobre LGPD e até mesmo sobre alguns detalhes da adequação por parte das empresas. É imprescindível que você compreenda também, de forma resumida e clara, como esses temas se relacionam.
Quando uma empresa faz uma avaliação dos riscos de Compliance, existem riscos de níveis diversos que devem ser avaliados, mensurados e tratados. Existem vários exemplos que podem ser citados, mas não limitados — como corrupção, lavagem de dinheiro, privacidade de dados, etc.
Consequentemente, a privacidade de dados sempre esteve interligada aos programas de Compliance. Entretanto, assim como a corrupção, que tomou uma relevância enorme no Brasil nos últimos anos e que tem legislação e regulamentação próprias, o mesmo aconteceu com a privacidade de dados.
Desde 2018, temos uma legislação regulando como devem ser coletados, tratados e armazenados os dados pessoais dos cidadãos brasileiros. Lei esta que é aplicável para qualquer empresa, nacional ou internacional, grande, média ou pequena, que tenha acesso aos dados pessoais dos seus colaboradores, terceiros, clientes e fornecedores.
Portanto, além de um cenários em que, nos últimos anos, diversos acontecimentos relacionados a escândalos de privacidade de dados aconteceram — o que pressionou muitas mudanças por parte das empresas —, também temos uma legislação em vigor, a qual deve-se estar em total conformidade.
Quais as vantagens de se adaptar à LGPD?
Quando uma organização faz tudo para estar em conformidade com a LGPD, é uma forma de demonstrar respeito pelos colaboradores, clientes, fornecedores e sociedade em geral.
Uma empresa que, de fato, implementa um programa de privacidade de dados possui a preocupação em manusear os dados pessoais a que tem acesso dentro das regras da LGPD, pois dados pessoais são o novo petróleo.
Além disso, também é preciso ressaltar que existe um valor agregado para a imagem de uma empresa que implementou um programa de privacidade de dados de forma efetiva. Afinal, isso também pode ser utilizado como “marketing positivo”, pois expressa o respeito que a empresa possui pela sociedade. Tal fato pode, inclusive, ser um fator responsável por incentivar novos investimentos externos para a empresa.
LGPD e o cenário atual do mercado
Antes de entrar em vigor, houve um tempo em que muito se falava sobre a LGPD, mas não existiam muitas ações ativas, de fato. Hoje, vemos que algumas empresas realmente levaram a sério a nova legislação e se adaptaram dentro do prazo de um ano que havia sido definido pela LGPD.
Entretanto, por conta da pandemia da COVID-19, houve uma prorrogação do prazo e muitas empresas ficaram com a expectativa de que a efetividade da LGPD seria postergada novamente, talvez para algum momento de 2022. Como consequência disso, essas organizações não se adequaram efetivamente e estão aguardando a primeira penalização mais séria para, de fato, investirem em um Programa de Privacidade de Dados.
Já outras empresas, buscaram alternativas mais baratas nas contratações e fizeram apenas alterações nos contratos de trabalhos e nos contratos com seus clientes e fornecedores. Ou seja, ações que não podem ser consideradas como um Programa de Privacidade de Dados, pois elas não conhecem os riscos e os impactos das áreas que mexem com os dados pessoais dos colaboradores, fornecedores e clientes.
Segundo observação certeira de Patricia Punder, “O ditado que cita que o barato sai caro, pode ser aplicado para estes tipos de empresas que procrastinaram para implementar um programa de proteção de dados” — Patricia Punder é Expert internacional em Governança, Compliance, Risco, Privacidade de Dados e ESG. Fundadora do Punder Consulting Office associado com F&C Consulting Group e Be Compliance.
Quais as tendências para 2022 e para os próximos anos quando o assunto é proteção de dados?
Ainda teremos muitas surpresas para 2022 e para os próximos anos em relação a privacidade de dados.
As grandes plataformas não estão se adequando às legislações da Comunidade Europeia e de outros países. Inclusive, a empresa Meta ameaçou retirar o Facebook e Instagram da mesma, pois, segundo alegado pela empresa, é muito difícil se adequar a GDPR (Regulamento Geral sobre a Proteção de Dados), pois afetaria o compartilhamento dos dados dos usuários com empresas que pagam por fazer propaganda nestes ambientes virtuais, mediante utilização de algoritmos que classificam os gostos pessoais dos mesmos.
No Brasil, segundo Patricia Punder, o cenário para o futuro é que, somente após uma penalização emblemática — seja da ANPD (Autoridade Nacional de Proteção de Dados) ou do Judiciário —, é que algumas empresas e executivos compreenderão a necessidade da adequação.
Uma das penalizações definidas pela ANPD é a publicação da penalidade no website corporativo da empresa. Será fácil de imaginar a crise reputacional instalada devido ao abalo na reputação/imagem desta empresa.
Além dessa, as consequências serão de vários tipos, desde a perda dos atuais clientes, como a perda de potenciais clientes. Por isso, ao olhar para o futuro, credibilidade e respeito são palavras-chave quando falamos de proteção de dados
Caso seja o seu momento de buscar crescimento profissional, precisa se antecipar em relação a 2022 e aos próximos anos, buscando ainda mais conhecimento sobre o assunto. Conheça o curso de Compliance em Proteção de Dados da LEC e dê mais esse passo em direção ao seu sucesso.
Colaboração Patricia Punder, Sócia-fundadora Punder Advogados associado à F&C Consulting Group.
Imagem: Freepik