Compliance Digital

Prévia do material em texto

1
C
O
M
P
LI
A
N
C
E
 D
IG
IT
A
L 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
2
C
O
M
P
LI
A
N
C
E
 D
IG
IT
A
L 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
3
C
O
M
P
LI
A
N
C
E
 D
IG
IT
A
L 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
Núcleo de Educação a Distância
GRUPO PROMINAS DE EDUCAÇÃO
Diagramação: Gildenor Silva Fonseca
PRESIDENTE: Valdir Valério, Diretor Executivo: Dr. Willian Ferreira.
O Grupo Educacional Prominas é uma referência no cenário educacional e com ações voltadas para 
a formação de profissionais capazes de se destacar no mercado de trabalho.
O Grupo Prominas investe em tecnologia, inovação e conhecimento. Tudo isso é responsável por 
fomentar a expansão e consolidar a responsabilidade de promover a aprendizagem.
4
C
O
M
P
LI
A
N
C
E
 D
IG
IT
A
L 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
Prezado(a) Pós-Graduando(a),
Seja muito bem-vindo(a) ao nosso Grupo Educacional!
Inicialmente, gostaríamos de agradecê-lo(a) pela confiança 
em nós depositada. Temos a convicção absoluta que você não irá se 
decepcionar pela sua escolha, pois nos comprometemos a superar as 
suas expectativas.
A educação deve ser sempre o pilar para consolidação de uma 
nação soberana, democrática, crítica, reflexiva, acolhedora e integra-
dora. Além disso, a educação é a maneira mais nobre de promover a 
ascensão social e econômica da população de um país.
Durante o seu curso de graduação você teve a oportunida-
de de conhecer e estudar uma grande diversidade de conteúdos. 
Foi um momento de consolidação e amadurecimento de suas escolhas 
pessoais e profissionais.
Agora, na Pós-Graduação, as expectativas e objetivos são 
outros. É o momento de você complementar a sua formação acadêmi-
ca, se atualizar, incorporar novas competências e técnicas, desenvolver 
um novo perfil profissional, objetivando o aprimoramento para sua atua-
ção no concorrido mercado do trabalho. E, certamente, será um passo 
importante para quem deseja ingressar como docente no ensino supe-
rior e se qualificar ainda mais para o magistério nos demais níveis de 
ensino.
E o propósito do nosso Grupo Educacional é ajudá-lo(a) 
nessa jornada! Conte conosco, pois nós acreditamos em seu potencial. 
Vamos juntos nessa maravilhosa viagem que é a construção de novos 
conhecimentos.
Um abraço,
Grupo Prominas - Educação e Tecnologia
5
C
O
M
P
LI
A
N
C
E
 D
IG
IT
A
L 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
6
C
O
M
P
LI
A
N
C
E
 D
IG
IT
A
L 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
Olá, acadêmico(a) do ensino a distância do Grupo Prominas!
É um prazer tê-lo em nossa instituição! Saiba que sua escolha 
é sinal de prestígio e consideração. Quero lhe parabenizar pela dispo-
sição ao aprendizado e autodesenvolvimento. No ensino a distância é 
você quem administra o tempo de estudo. Por isso, ele exige perseve-
rança, disciplina e organização. 
Este material, bem como as outras ferramentas do curso (como 
as aulas em vídeo, atividades, fóruns, etc.), foi projetado visando a sua 
preparação nessa jornada rumo ao sucesso profissional. Todo conteúdo 
foi elaborado para auxiliá-lo nessa tarefa, proporcionado um estudo de 
qualidade e com foco nas exigências do mercado de trabalho.
Estude bastante e um grande abraço!
Professor: Thiago Oliveira da Silva
7
C
O
M
P
LI
A
N
C
E
 D
IG
IT
A
L 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
O texto abaixo das tags são informações de apoio para você ao 
longo dos seus estudos. Cada conteúdo é preprarado focando em téc-
nicas de aprendizagem que contribuem no seu processo de busca pela 
conhecimento.
Cada uma dessas tags, é focada especificadamente em partes 
importantes dos materiais aqui apresentados. Lembre-se que, cada in-
formação obtida atráves do seu curso, será o ponto de partida rumo ao 
seu sucesso profisisional.
8
C
O
M
P
LI
A
N
C
E
 D
IG
IT
A
L 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
Nesta unidade será analisado e conceituado o Compliance, 
as medidas de integridade e auditoria, bem como os Programas de 
Integridade e Compliance de dados para empresas. Como aprofunda-
mento destas temáticas serão trabalhados os Pilares do Programa de 
Integridade e Tecnologia da Informação, e como forma de fechamento 
da unidade todos estes conceitos de Compliance e Integridade serão 
amarrados dentro dos procedimentos para prevenir fraudes e ilícitos. O 
Compliance surge como uma forma segura da empresa lidar eficiente-
mente com sua própria legislação e a coloca em um processo de maior 
proximidade para com estas regras, as regras do mercado e a toda le-
gislação que rege sua atividade. A somatória das ações de Compliance 
e Integridade dentro da Governança Corporativa promovem uma ferra-
menta poderosa para a prevenção, o controle e o combate à corrupção.
Compliance. Integridade. Proteção de Dados, LGPD. Corrupção.
9
C
O
M
P
LI
A
N
C
E
 D
IG
IT
A
L 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
 CAPÍTULO 01
LGPD E COMPLIANCE
Apresentação do Módulo ______________________________________ 11
12Compliance, Medidas de Integridade e Auditoria _______________
 CAPÍTULO 02
POLÍTICAS CORPORATIVAS, CONTROLES INTERNOS PARA O AM-
BIENTE DIGITAL E MONITORAMENTO CONTÍNUO DO AMBIENTE 
DIGITAL
Investigação e Provas Digitais __________________________________
Princípios Constitucionais e Processuais que regem a prova _____
Requisitos da Investigação Interna ______________________________
Recapitulando _________________________________________________
Programa de Integridade e Compliance de dados para empresas
Pilares do Programa de Integridade e Tecnologia da Informação 
e Procedimentos para prevenir fraudes e ilícitos ________________
Recapitulando _________________________________________________
33
41
46
52
17
22
29
 CAPÍTULO 03
BENEFÍCIOS E OBJETIVOS
Preservação de Provas Digitais _________________________________
Ferramentas de Forense Computacional _______________________
O Compliance de TI e a Segurança de TI: Diferenças _____________
56
63
67
10
C
O
M
P
LI
A
N
C
E
 D
IG
IT
A
L 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
Fechando a Unidade ___________________________________________
Recapitulando _________________________________________________
Considerações Finais ___________________________________________
Referências ____________________________________________________
77
73
76
81
11
C
O
M
P
LI
A
N
C
E
 D
IG
IT
A
L 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
Existe um número crescente de empresas que já não conse-
guem ser somente gerenciadas com eficiência, pois devido a maior 
competitividade dos mais variados mercados consumidores e com a 
globalização generalizada, é necessário partir para a implementação de 
programas como o de Compliance, que coloca a empresa em um pro-
cesso de maior proximidade a regras do mercado e de toda legislação 
que rege sua atividade.
Com isso, nesta unidade vamos aprofundar os conceitos de 
compliance e integridade e, com isso, compreender por que é tão im-
portante que toda a empresa funcione com as regras e leis “na ponta da 
língua”! Além de seguir com seus processos, as leis e normas internas/
externas, trataremos da necessidade das empresas de serem íntegras 
e os conceitos de integridade, programas de integridade e como são 
importantes seus pilares básicos: prevenção, detecção e correção.
Existem diversos tipos de auditorias que uma empresa pode 
realizar, mas dentro do tema compliance e integridade trataremos da 
auditoria que auxilia estes processos ao ajudar a empresa a acompa-
nhar melhor a evolução e mudança das leis, cujas punições e sansões 
são cada vez mais severas.
Trabalharemos também com os conceitos e aplicabilidade dos 
Programas de Integridade em Tecnologia da Informação que atuam 
construindo processos e políticas que visam promover este importante 
mecanismo de prevenção, controle e combate à corrupção dentro das 
empresas, agregando valor e garantindo sempre o melhor investimento.
12
C
O
M
P
LI
A
N
C
E
 D
IG
IT
A
L 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
SCOMPLIANCE, MEDIDAS DE INTEGRIDADE E AUDITORIA
A cada ano que passa a competitividade entre as empresas 
e os mercados consumidores se torna mais acirrada e ganha novos 
elementos como o compliance, que passa a fazer parte das empresas 
mais competitivas e que desejam atuar na Governança Corporativa. O 
objetivo de se dispor de ações como o compliance é de se mostrar a 
investidores e outros interessados, que a empresa está comprometida 
e que vai muito além de sua busca pelo lucro. 
De acordo com Blok (2020, pg. 19) “A etimologia da palavra 
compliance deriva do latim complere e o seu significado está ligado à 
vontade de fazer o que foi pedido, ou de agir ou estar em concordân-
cia com as regras, normas, disposições legais e condições”. Embora 
seja explícito que toda empresa deve seguir as regras, obedecer às 
leis de seu país, muitas se desviam dos caminhos da honestidade e as 
que cumprem cegamente o ordenamento jurídico, desejam mostrar aos 
quatro cantos seu feito, e isso é construído pelo compliance. 
LGPD & COMPLIANCE
C
O
M
P
LI
A
N
C
E
 D
IG
IT
A
L 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
13
C
O
M
P
LI
A
N
C
E
 D
IG
IT
A
L 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
Historicamente falando, Blok (2020, pg. 19) afirma que na Es-
panha, Blanco Cordero e Bacígalupo utilizaram-se do termo “cumpli-
mento” como sinônimo de compliance. Na Itália, Atrígna emprega com 
o mesmo significado o termo conformità, enquanto no Brasil, Saavedra, 
Bottíni e Schecaia, seguindo a linha alemã, preferem manter a utilização 
do termo em inglês, utilizando a expressão “a compliance” ao invés de 
“o compliance”, provavelmente em razão de a tradução ter sido extraída 
do direito alemão e não do americano.
Estar em compliance significa que a empresa busca cumprir 
seus regulamentos internos, não somente leis e normas jurídicas, e de 
acordo com Blok (2020, pg. 20) “Compliance não significa, no entanto, 
estar “by the book”, isto é, estar estritamente em conformidade com as 
regras. Tal conceito vai além das barreiras legais e regulamentares, in-
corporando princípios de integridade e conduta ética.
O compliance não representa apenas o cumprimento de re-
gras, mas das ramificações e implicações que atos ilícitos ou corruptos 
causam interna e externamente à empresa.
A empresa precisa ter as regras na ponta da língua de forma a 
se permitir o cumprimento absoluto, mas ser compliant, nesse sentido, 
é mais do que conhecer as normas da organização, é seguir os proce-
dimentos recomendados, a agir em conformidade, ser concreto, sentir 
o quanto é fundamental a ética e a idoneidade em todas as atitudes 
humanas e empresariais (BLOK, 2020, pg. 20).
Perceba que “‘ser e estar compliant’ é, acima de tudo, uma 
obrigação individual de cada colaborador dentro da instituição e de cada 
ser humano enquanto cidadão, pai, chefe de família, contribuinte, em-
pregador e agente de mudança.” (BLOK, 2020, pg. 20). Portanto, para 
se conquistar o status de Compliance se faz necessário elevado nível 
de comprometimento de todos envolvidos e a observância de alguns 
passos importantes, como os que temos a seguir: 
• Manter um alto grau de conhecimento dos processos sob sua responsabi-
lidade, buscando os resultados esperados, atribuindo-lhes a qualidade e a 
segurança indispensáveis;
• Zelar e estar atento ao cumprimento das normas e procedimentos: fazer o 
14
C
O
M
P
LI
A
N
C
E
 D
IG
IT
A
L 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
que é correto, sem desvios de processos, respeitando as políticas internas;
• Conhecer as regras internas e colocar em prática o que é permitido fazer ou 
não em termos de comportamento institucional;
• Preservar a imagem da empresa perante o mercado: usar os canais de 
comunicação oficiais da organização para denunciar situações de risco atre-
lado à reputação da instituição, que podem levar a impactos negativos à 
imagem, perda de rendimento e declínio da base de clientes;
• Disseminar a cultura do respeito às regras e normas internas da instituição, 
padrões éticos e de conduta moral para conscientização da importância do 
“Ser e Estar em compliance”. (RAMALHO, 2016, online).
Em outra perspectiva a empresa envolta em operações maio-
res pode buscar no compliance, segurança jurídica, proteção institu-
cional e construir um manual de operações baseado nas leis e normas 
as quais está obrigada a cumprir, mas que apenas com a ciência devi-
da o faz com precisão, isso se chama “‘risco de compliance”, ou seja, 
é o risco de sansões legais ou regulamentares perdas financeiras ou 
mesmo perdas reputacionais decorrentes da falta de cumprimento de 
disposições legais, regulamentares, códigos de condita.” (BLOK, 2020, 
pg. 20).
Filme sobre o assunto: Mercado de Capitais (Broad Street, 
2016)
Acesse os links: https://www.youtube.com/watch?v=sIhzBvn-
2GZ4
Observação: O filme retrata um ambiente em que o departa-
mento Compliance, embora esteja presente e atuante, não impede que 
corrupção corporativa e inconformidades estejam presentes no ambien-
te empresarial, além de ser possível identificar situações comuns no 
mundo corporativo e financeiro. 
Todavia, compliance não é uma atitude, não representa uma 
filosofia, é institucional, descrito e explícito de forma que funciona como 
um guia de operações para que a empresa tenha a capacidade de cum-
prir com a proposta de caminhar corretamente em suas regras e diante 
a leis que lhe dizem respeito, assim como afirma Rocha Júnior e Gizzi 
(2018) que explica que o programa de compliance representa uma fer-
ramenta em que as empresas se autorregulam, criando boas práticas 
15
C
O
M
P
LI
A
N
C
E
 D
IG
IT
A
L 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
corporativas. Ainda, consiste no incentivo de condutas e atos voltados 
para ética, evitando, automaticamente, fraudes e corrupção nas orga-
nizações.
Não é somente a vontade de se cumprir regras e leis que mo-
tiva a implementação de um programa de compliance, existe também 
a necessidade de que sejam evitadas situações como casos de cor-
rupção, fraudes e atos ilegais que costumam ocorrer em empresas de 
médio e grande porte. Neste sentido, a estruturação de um programa 
de compliance deve considerar os riscos de fraude e corrupção a que a 
empresa está exposta, denominados riscos de compliance, que serão 
trabalhados na fase de análise de riscos (ROCHA JÚNIOR E GIZZI, 
2018). 
Embora muitos autores e empresários tratem como sinônimos, 
compliance e integridade são distintos, mas complementares, e no caso 
do segundo, os programas de integridade se voltam a ações específi-
cas de combate a corrupção. De acordo com Direito Profissional (2019, 
online), “Já os programas de integridade são mais recentes, sendo im-
plementados, principalmente, depois do ano de 2013, quando foi san-
cionada pela ex-presidente Dilma Rousseff, a Lei nº 12.846, que ficou 
popularmente conhecida como Lei Anticorrupção.”
Assim, podemos distinguir compliance, de integridade de acor-
do com o que apresenta Direito Profissional (2019, online), onde temos 
que os programas de compliance podem reunir uma série de políticas e 
processo fazendo com que seja criada uma espécie de obrigatoriedade 
de cumprimento da legislação vigente, e também, as diretrizes de Go-
vernança Corporativa da Empresa. 
Os programas de integridade surgem como uma ampliação da 
atuação do Compliance, que permite à empresa uma proposta de maior 
controle sobre as ações anticorrupção e de acordo com Ramos Filho 
(2018, pg. 4):
A ‘Integridade’, por sua vez, é a forma mais efetiva, no ambiente corporativo, 
para o combate à corrupção, fraudes e demais ilicitudes contra a Administra-
ção Pública. Baseia-se em três pilares de sustentação: prevenção, detecção 
e correção. E, para o seu real funcionamento prático faz-se necessário o 
envolvimento amplo dos gestores, comunicação, transparência, treinamento 
para a força de trabalho, canal de denúncia efetivo, processo de apuração e 
políticas contínuas de boas práticas.
Diferentemente dos programas decompliance, os programas 
de integridade estão “[...] relacionados com a implementação de me-
didas relacionadas à Lei Anticorrupção. A ideia da estruturação de um 
programa de integridade é combater fraudes financeiras, desvios de 
16
C
O
M
P
LI
A
N
C
E
 D
IG
IT
A
L 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
dinheiro ou recursos, entre outros atos que possam ser considerados 
corruptos e enquadrados nessa legislação específica.” (DIREITO PRO-
FISSIONAL, 2019, online).
A Lei Geral de proteção de dados (LGPD) sancionada em 2018, 
tem como principal objetivo a proteção da privacidade dos titulares dos 
dados, como forma de coibir que possam ser utilizados de forma inade-
quada sem prévio consentimento de seu titular. As áreas corporativas 
de abrangências da LGPD são inúmeras, e o compliance officer deverá 
estar atento e trabalhar de maneira integrada com o setor de Tecnologia 
da Informação de sua empresa de forma a transpor os desafios im-
postos por esta nova lei. Para saber mais sobre esse assunto, acesse: 
https://www.direitoprofissional.com/lgpd-e-complice/
Nas empresas que aplicam programas de Governança Corpo-
rativa e compliance, é comum a ocorrência de auditorias internas que 
são propostas e desenhadas para que se tenha a certeza de que além 
de seguir o proposto, os métodos e processos utilizados são os reco-
mendados, os adequados, e de acordo com FSENSE (2020) a impor-
tância da Auditoria no Compliance pode ser atribuída a “[...] notícias so-
bre corrupção e sobre o endurecimento de operações policiais voltadas 
para a punição de agentes públicos e companhias que se envolvem 
com práticas ilícitas [...]”. 
Atualmente não é possível dispensar a importância das audi-
torias dentro do compliance e de como este sistema está alcançando 
grande importância no ambiente corporativo, “[...] especialmente porque 
a legislação tem evoluído e as punições para empresas e pessoas que 
se envolvem em atos ilícitos estão cada vez mais severas.” (FSENSE, 
2020, online).
Existe muita energia negativa quando se menciona uma au-
ditoria dentro da empresa, mas para o nível corporativo, diretivo, são 
claras as vantagens de se fomentar as auditorias sendo algumas destas 
vantagens:
• Contribuem para a preservação da imagem empresarial;
• Auxiliam no controle e gestão de riscos;
• Mantêm o negócio atuando em conformidade com padrões éticos de conduta;
17
C
O
M
P
LI
A
N
C
E
 D
IG
IT
A
L 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
• Garantem que todas as operações estejam dentro da lei;
• Aumentam a eficiência dos processos empresariais;
• Representam um dos pilares para a boa governança;
• Garantem que as políticas da organização sejam seguidas corretamente;
• São garantias de segurança e tranquilidade para a empresa e para os clien-
tes. (FSENSE, 2020, online).
O compliance se faz valer da auditoria como forma de embasar 
as atitudes da empresa diante do seu gerenciamento de risco, se tais 
riscos são administrados, se o controle de risco interno é adequado e 
consegue mitigar as ameaças e os riscos de conformidade (FUCHIMI, 
2016, online).
PROGRAMA DE INTEGRIDADE E COMPLIANCE DE DADOS PARA 
EMPRESAS
O tema central dos programas de integridade é a corrupção e, 
com isso, pode-se notar que aqui o sentido da palavra integridade está 
voltado ao termo íntegro, daquele que não se corrompe, tal como afirma 
Ramos Filho (2018, pg. 6) “Integridade: de origem no latim, infere-se 
probidade e honestidade. A qualidade de ser íntegro remete a ser reto 
e incorruptível.”.
Ainda de acordo com Ramos Filho (2018, pg. 8) “Um Programa 
de Integridade e Compliance é a sistematização e aperfeiçoamento dos 
instrumentos já existentes na organização, que atuam na prevenção e 
combate a corrupção.”. Por instrumentos existentes, podemos citar a 
própria Governança Corporativa, capaz de englobar tais programas e 
fornecer o ambiente propício para seu desenvolvimento: 
É um sistema de processo e políticas desenvolvidas para garantir a confor-
midade das ações de uma organização à ética, às regras internas, às leis e 
às regulações. Como cada organização possui estruturas diferentes e pro-
cessos de tomada de decisões singulares, a busca pela estruturação e im-
plementação da função de Integridade e Compliance em cada instituição é 
autônoma e independente. (RAMOS FILHO, 2018, pg. 8)
Para que programas de integridade possam promover algo 
maior que a segurança obtida pelo compliance, é preciso que sejam 
estruturados com robusta infraestrutura capaz de fornecer ambiente 
para os seus pilares fundamentais. Ao se atuar em um programa de 
integridade a empresa está buscando formas de garantir que vai sofrer 
o menos possível com casos de corrupção, da ocorrência de atos ilícitos 
em geral. 
18
C
O
M
P
LI
A
N
C
E
 D
IG
IT
A
L 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
A organização que se pauta na adoção de instrumentos de in-
tegridade e compliance possui a tendência de se manter saudável, de-
monstrando reputação e boa índole perante a sociedade, uma vez que 
um dos pilares do programa é justamente minimizar ou eliminar atos 
que de alguma forma favoreçam a proliferação da corrupção. Assim, 
não se perde tempo e energia na aplicação de sanções, pois inexistirão 
fatos que suscitem sua aplicabilidade nem ocorrerão perdas financeiras 
muitas vezes irreversíveis à continuidade dos negócios. Consequente-
mente, cria-se a sinergia entre organização e pessoas tornando os ne-
gócios mais efetivos e beneficiando a todos os envolvidos na Instituição 
(RAMOS FILHO, 2018).
Com isso, a empresa não quer apenas andar corretamente em 
sua legislação, e sim manter tranquilos os investidores ao demonstrar 
seu cumprimento diante das normas e leis. Outro ponto a se considerar 
aqui é que a empresa que se debruça sobre tal programa de integri-
dade, tem conhecimento e se preocupa com as ramificações de atos 
negativos, ilícitos ocorrendo em suas dependências ou pelas mãos de 
seus colaboradores.
Se estivermos falando de uma empresa que está implemen-
tando um programa de compliance e de integridade, vai precisar se es-
forçar um pouco mais, pois neste primeiro momento precisará impor a 
nova cultura, pois é comum empresas que operam instintivamente a 
tanto tempo que seus atos se tornam manuais de procedimentos, em-
bora não sejam garantidos corretos. 
O Programa de integridade quando implementado em concor-
dância com o Compliance, garante à empresa um aporte operacional, 
que possibilita de maneira prática a detecção e o tratamento de quais-
quer inconformidades ou desvios que possam acontecer.
Sobre a adaptação ao Compliance de Dados, Ventura (2019, 
online) afirma que “[...] as empresas terão que ter equipes multidisci-
plinares envolvidas no assunto. O time de TI deve conversar com os 
advogados, que precisam estar em contato o pessoal da área de RIG 
(Relações Institucionais e Governamentais), enfim.”.
É um processo doloroso esse de se quebrar o paradigma da 
mudança tendo em perspectiva a criação de um guia, um manual de 
19
C
O
M
P
LI
A
N
C
E
 D
IG
IT
A
L 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
conduta que tende a deixar as atitudes dentro da empresa mais rígidas 
e não tão humanas. Ainda, referindo-se à adaptação do compliance ao 
mundo dos dados, Amcham (2019, online) ensina que a coleta de dados 
pode ser realizada também de forma online, contudo, hoje ainda não há 
uma totalidade de lugares que fazem dessa maneira, mas certamente 
há espaço para adequação de sistemas tecnológicos para atender à 
presente demanda.
Tratando de compliance sob uma perspectiva da Tecnologia da 
Informação, o componente sigilo de dados entra e, com ele, a coisa toda 
ganha um panorama diferente, mais complexo, e assim como o próprio 
compliance, altamente protetivo: a Lei Geral de Proteção dos Dados 
Pessoais, ou LGPD.
A implantação de um programa de integridade no âmbito de TI, 
proporciona à empresa, além de uma maior confiabilidade da proteção 
dos dados e na segurança da informação, um método eficaz na preven-
çãode ciberataques. 
Aqui o compliance se torna complexo, pois lida com dados dos 
clientes e a legislação ganha, em 2018 um componente, uma lei, capaz 
de modificar tudo, “Em 14 de agosto de 2018 foi criada a Lei nº 13.709 
a Lei Geral de Proteção dos Dados Pessoais (LGPD) ou Marco Civil 
da Internet (BRASIL, 2018) que visa medidas preventivas, proativas na 
manutenção e privacidade dos dados de terceiros”. (LIMA; SILVA; E 
BARROS, 2019, pg. 2). O quadro a seguir nos apresenta de forma am-
pla e compreensiva o que representa a LGPD:
Quadro 1: Um Giro SERPRO pela LGPD
Uma regra para todos Criar um cenário de segurança jurídica válido para todo o país.
Consentimento Uma das dez bases legais para tratamento de da-dos pessoais é o seu próprio consentimento.
Definição do Conceito Estabelece, de maneira clara, o que são os dados pessoais.
Consentimento de 
menor
Nos casos de uso da base legal “consentimento” 
para dados de criança, o consentimento deve ser 
dos pais ou do responsável.
20
C
O
M
P
LI
A
N
C
E
 D
IG
IT
A
L 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
Abrangência Extrater-
ritorial
Não importa se a organização ou o centro de da-
dos estão dentro ou fora do Brasil.
Transferência Interna-
cional
Permite o compartilhamento com outros países 
que também projetam dados.
Fiscal Centralizado Ficará a cargo da Autoridade Nacional de Proteção de Dados Pessoais (ANPD).
Responsabilidade Define os agentes de tratamento de dados e suas funções.
Gestão de Riscos e 
Falhas
Quem gere a base de dados pessoais terá que 
fazer essa gestão.
Transparência Se ocorrer vazamento de dados a ANPD e indiví-duos afetados devem ser avisados.
Penalidades Rígidas Falhas de segurança podem gerar multas pesadas.
Finalidade e Neces-
sidade
São quesitos do tratamento que devem ser previa-
mente informados ao cidadão.
Fonte: Adaptado de SERPRO (2020).
Quando discutimos o Compliance para Dados, temos que co-
locar na mesa o que preconiza a Lei Geral de Proteção dos Dados Pes-
soais (LGPD) e que, de acordo com Oliveira et al. (2019, pg. 6):
A preocupação com o tratamento de dados pessoais como desdobramento 
da privacidade é um efeito colateral da mudança de paradigma trazida pela 
“Quarta Revolução Industrial”, cujo tom é dado pelo fenômeno da “informa-
cionalização da sociedade”, iniciado na década de 1970. Seus reflexos im-
pactam diretamente tanto a atividade econômico-empresarial, quanto a atu-
ação do próprio Estado, que, além de criar e consumir informação, controla 
o fluxo de informações.
Portanto, o impacto da LPGD no Compliance, de acordo com 
Oliveira et al. (2019) é muito maior do que um incremento na boa fé e 
afeta todo empresário que use, colete e armazene dados de seus clien-
tes tendo que aderir ao que estabelece a Lei 13.709/2018, no art. 6º, 
para se manter em compliance.
Se pensarmos no compliance como uma estrutura de proteção 
geral, a LGPD faz o mesmo efeito com os dados e com isso deve ser 
integrada às instâncias criadas pelo compliance. Portanto, a LGPD tem 
por objetivo proteger as informações dos clientes sob custódia pelo em-
presário e assim como apresenta Oliveira et al. (2019, pg. 22):
Com base nestas considerações, conclui-se que esta nova cultura imposta 
– de maneira ainda mais ostensiva – pela LGPD visa à efetiva proteção, em 
21
C
O
M
P
LI
A
N
C
E
 D
IG
IT
A
L 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
sentido material, da privacidade dos titulares de dados pessoais e traz gran-
de impacto sobre a atividade empresarial, demandando adequações opera-
cionais no tratamento de dados, mas também providências jurídicas para que 
as ‘regras do jogo’ sejam claras e estejam compreendidas e aceitas pelos 
envolvidos, a fim de prevenir a ocorrência de danos e prejuízos aos usuários 
e à sociedade em geral, bem como às próprias empresas que realizarem o 
tratamento de dados pessoais. Para efetivamente prevenir a ocorrência de 
danos e prejuízos, importante analisar as funções do controlador e do ope-
rador de dados.
Sob efeito da LGPD e ainda sobre o compliance de dados, é 
necessário o empenho de todos os envolvidos na construção do progra-
ma de integridade e/ou compliance de dados nos seguintes aspectos:
• Revisar suas políticas: primeiro, verifique se vale a pena aplicá-las. Elas são 
fortes, justas e refletem as melhores práticas de segurança da informação? 
Se elas puderem ser melhoradas, resolva isso antes de focar na conformi-
dade;
• Educar: certifique-se de que seus funcionários entendam suas políticas de 
uso de tecnologia e porque elas estão em vigor. Em vez de enviar uma polí-
tica por e-mail e esperar que os funcionários a leiam, considere realizar uma 
breve reunião ou sessão informativa;
• Monitorar: implemente um software de monitoramento que o alerte sobre 
comportamentos suspeitos ou quando as regras são violadas. Essa é uma 
das poucas maneiras de identificar problemas de conformidade antes que 
eles causem danos. Informe aos funcionários sobre esse monitoramento de 
atividades do usuário e explique por que ele está em vigor — para proteger a 
empresa, todos que trabalham lá e todos os seus clientes;
• Designar um líder: alguém dentro da sua organização deve ser responsável 
pelo compliance de TI, incluindo tarefas como revisar regularmente políticas, 
supervisionar a fiscalização e avaliar e implementar a tecnologia que rastreia 
a conformidade. (ALLEASY, 2020, online)
O tratamento dos dados dos clientes e fornecedores se apre-
senta como um ponto do compliance onde se materializa o seu sig-
nificado de existência por ser o aspecto das relações comerciais que 
mais causam receio por parte dos interessados, e por este motivo sua 
adaptação após 2018 jamais se apresentou como algo corriqueiro, sen-
do muito mais que uma simples atualização de definições. É importante 
que toda a empresa seja Compliance, e isso significa que a corporação 
tem em mãos um programa com elevado nível de maturidade e seja 
capaz de integrar adequadamente este programa com a Governança 
Corporativa.
22
C
O
M
P
LI
A
N
C
E
 D
IG
IT
A
L 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
PILARES DO PROGRAMA DE INTEGRIDADE E TECNOLOGIA DA 
INFORMAÇÃO E PROCEDIMENTOS PARA PREVENIR FRAUDES E 
ILÍCITOS
Assim como o compliance, a integridade está imersa na Go-
vernança Corporativa, são indissociáveis e por este motivo construir 
um programa de integridade ajuda a construir uma robusta governança 
corporativa impactando positivamente na imagem da empresa em seu 
mercado, externamente e internamente, tais ações permitem melhor as-
similação da ética e da aderência às leis e normas. Assim como afirma 
Marcondes (2020, online):
O Programa permite a utilização de vários instrumentos de gestão e controle, 
que passam a ser vistos em conjunto, possibilitando abordagem e utilização 
sistêmica, com o objetivo de reforçar a prevenção, detecção e correção de 
atos de fraude e de corrupção, por meio da gestão integrada e do aperfeiço-
amento de ações e controles da estrutura de governança.
Portanto, sendo construído dentro do que se preconiza com a 
Governança Corporativa, o programa de integridade tem a capacidade 
de agir como um sistema de apoio no processo decisório ao seu gestor, 
e de acordo com Marcondes (2020, online) auxilia “[...] na tomada de 
decisões com maior segurança, visando afastar conflitos de interesses 
e ameaças à integridade da Empresa, melhorando a conformidade das 
deliberações.”
Ao bom gestor, os programas de integridade são fortes fer-
ramentas de gestão pois seus dizeres e orientações lhes oferecem 
conforto jurídico, apoio no processo de tomada de decisão, algo extre-
mamente valioso em um mundo corporativo cada vez mais incerto. Por-
tanto, Marcondes (2020, online) apresenta os 4 Pilares dos programas 
de integridade:
23
C
O
M
P
LI
A
N
C
E
 D
IG
IT
A
L 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
Quadro 2: Os Pilares do Programa de Integridade
Comprometimento 
da Alta Adminis-
tração
O comprometimento e apoio da Alta Administração para 
o fomento de uma culturaética, de respeito às leis e de 
implementação das políticas de integridade é condição 
indispensável para criação e funcionamento de um pro-
grama de integridade.
Estruturação da 
área de Confor-
midade, regras e 
instrumentos do 
programa
Para que haja um desenvolvimento adequado do Pro-
grama, há necessidade de ter uma instância responsá-
vel pelo acompanhamento, monitoramento e gestão das 
ações e medidas de integridade a serem implementadas 
e deve ser dotada de autonomia, independência, impar-
cialidade, recursos materiais, financeiros e humanos 
necessários ao desempenho de suas atribuições fun-
cionais, se reportando ao Diretor-Presidente e quando 
necessário ao Conselho de Administração.
Comunicação e 
Treinamento
Ações de comunicação e treinamento em um programa 
de integridade abarcam todas as iniciativas para levar 
a todos os envolvidos, informações sobre o correto de-
sempenho de suas atividades do ponto de vista de con-
duta e integridade.
Envolvem desde campanhas acerca de dispositivos do 
Código de Conduta e Integridade até políticas de quali-
ficação técnica.
Importante destacar que a mera publicação do Código, 
Políticas e procedimentos não se presta a mudar o com-
portamento dos agentes e estimular uma cultura de inte-
gridade de maneira efetiva.
É necessário prever ações de comunicação eficazes, 
que possam atingir todo o público-alvo por meio de 
mensagens claras e diretas.
Outro tipo de medida é dispor informações de caráter 
técnico necessárias para agirem de maneira correta.
Por exemplo, treinamentos sobre licitações e contratos 
auxiliará os agentes públicos que atuam nessas áreas a 
não cometerem equívocos nos quais possa ocorrer que-
bra de integridade.
A Empresa deve utilizar recursos e esforços para promo-
ver ações de comunicação e treinamento para mitigar 
inicialmente os seus riscos mais prioritários.
24
C
O
M
P
LI
A
N
C
E
 D
IG
IT
A
L 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
Valores, Conduta 
e Canal de Denún-
cias
Buscando disseminar uma cultura de integridade na or-
ganização, a primeira categoria de medidas que se es-
pera constar em um Programa é a formação valores e a 
expectativa a respeito do comportamento e da conduta 
esperada.
É necessário comunicar frequentemente e com clareza 
quais valores e princípios deverão orientar a atuação na 
Empresa, principalmente em relação às principais áreas 
e processos de risco da organização.
Nesse sentido, é essencial registrar tais padrões por 
meio do Código de Conduta e Integridade, esclarecendo 
de forma precisa como deve ser desenvolvida as condu-
tas de maneira a mitigar a ocorrência de possíveis que-
bras de integridade, além de, instituir Comitê de Ética e 
seu respectivo regimento.
Fonte: Adaptado de Marcondes (2020, online)
Dentro do compliance estão aplicados os procedimentos para 
prevenir fraudes e ilícitos e que possuem o mesmo aspecto da Lei Anti-
corrupção (Lei nº 13.964, de 24 de dezembro de 2019) que, de acordo 
com Carli (2016, pg. 14):
Esta lei, conhecida como Lei Anticorrupção ou Lei da Empresa Limpa, se 
aplica às sociedades empresárias e às sociedades simples, personificadas 
ou não, independentemente da forma de organização ou modelo societário 
adotado, bem como a quaisquer fundações, associações de entidades ou 
pessoas, ou sociedades estrangeiras, que tenham sede, filial ou represen-
tação no território brasileiro, constituídas de fato ou de direito, ainda que 
temporariamente. 
Portanto, seja qual for o tipo de constituição empresarial, o cor-
po de sócios deve compreender que está sob uma lei que o responsabi-
lizará objetivamente caso cometa atos de corrupção contra o mercado, 
contra o Poder Público.
Mas o que é Programa de Integridade? De acordo com Brasil 
(2015, pg. 6): O Decreto nº 8.420/2015 definiu no seu art. 41 o que é 
Programa de Integridade: “Programa de integridade consiste, no âmbito 
de uma pessoa jurídica, no conjunto de mecanismos e procedimentos 
25
C
O
M
P
LI
A
N
C
E
 D
IG
IT
A
L 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
internos de integridade, auditoria e incentivo à denúncia de irregularida-
des e na aplicação efetiva de códigos de ética e de conduta, políticas e 
diretrizes com objetivo de detectar e sanar desvios, fraudes, irregulari-
dades e atos ilícitos praticados contra a administração pública, nacional 
ou estrangeira.”
Existe grande importância na aplicação de sanções a atos de 
corrupção em empresas, pois funcionam como impedidores da perpe-
tração destas ações em outros ambientes como o público e de acordo 
com a lei:
[...] serão levados em consideração, na aplicação das sanções administrati-
vas, a existência de mecanismos e procedimentos internos de integridade, 
auditoria e incentivo à denúncia de irregularidades e a aplicação efetiva de 
códigos de ética e de conduta no âmbito da pessoa jurídica. Essas medidas 
e procedimentos de compliance são chamados de programas de integridade 
pela Controladoria-Geral da União (CGU). (CARLI, 2016, pg. 14)
Para as empresas que vivem em mercados de alta competitivi-
dade e que respiram legislação, compliance não é um tema novo, mas 
precisam ficar atentas para as mudanças em sua regulamentação, pois 
da noite para o dia, assim como surgiu a LGPD, podemos observar uma 
mudança no:
[...] ritmo das mudanças regulatórias e a convergência da regulamentação 
global, atrelados à concorrência acirrada de novas empresas, ao aumento 
da pressão dos stakeholders e shareholders e ao rápido avanço tecnológico 
criaram um ambiente complexo para os Compliance Officers em todas as 
empresas. (GALVANI, 2017, online)
Embora a empresa empregue os preceitos do Compliance 
é preciso que exista um reforço para que as normas e regras sejam 
respeitadas e levadas a sério e este é um dos objetivos da existência 
do Compliance officer, e que devido a Lei Anticorrupção vem ganhando 
destaque, pois este profissional que antes era encontrado na linha de 
frente de polícias, agora é facilmente visto em empresas não transna-
cionais, sendo que sob sua gestão está a implementação de políticas 
de integridade indispensáveis para a própria sobrevivência das corpo-
rações (RECHULSKI, 2020, online).
Portanto, a empresa que apresenta o compliance officer tem 
neste profissional um conselheiro pois estará munido de toda a informa-
ção que possa ser necessária para se tirar dúvidas de empregados da 
empresa e terá também a função de sensibilizar todas as partes da im-
26
C
O
M
P
LI
A
N
C
E
 D
IG
IT
A
L 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
portância de se conduzir as atividades, não somente de maneira ética, 
mas dentro da lei, das normas internas e externas.
Estudante, desde 2018 quem cuida do compliance na empresa 
tem que cuidar também do cumprimento de tudo que preconiza a Lei 
Geral de Proteção de Dados, a LGPD. Invariavelmente, a LGPD faz 
com que as empresas que operam em compliance venham a instituir o 
Data Protection Officer (DPO), ou Encarregado de Proteção de Dados 
com grande bagagem jurídica e conhecimento em Governança Corpo-
rativa.
A existência do compliance é evidentemente uma forma con-
creta de se produzir uma imagem que agrade melhor aos investidores 
internacionais, mas a cada dia os bancos e financeiras, mundo a fora, 
estão exigindo que as empresas tenham bem resolvido seu compliance 
como requisito na tomada de empréstimo:
Um exemplo disso, é que as instituições financeiras nacionais e internacio-
nais estão cada vez mais restringindo a concessão de empréstimos às em-
presas de grande porte que não possuam esse departamento, pois no meio 
corporativo a credibilidade da informação contábil é fundamental para que as 
partes interessadas “enxerguem” a situação atual da organização. (GALVA-
NI, 2017, online)
Analisando as possibilidades e avanços na segurança empre-
sarial que o compliance promove como mecanismo anticorrupção, dei-
xa de fazer sentido que seu emprego nas empresas seja por um ato 
de consciência, até de necessidade, e não algo imposto, embora seja 
positivo: 
Com efeito,na medida em que a prática de um ato de corrupção por algum 
funcionário da companhia é, sociologicamente, um ato provável, o risco de 
responsabilização da empresa exorbita da esfera do possível, trazendo con-
sigo consequências nefastas, como a estigmatização da imagem da empre-
sa, a implicação pessoal criminal dos gestores, sua exploração política e 
seu julgamento pelo tribunal da mídia, além de perdas econômicas que vão 
desde a redução do valor dos produtos e serviços ofertados, redução de in-
vestimentos e novos negócios, redução do valor de mercado da Companhia, 
e finalmente, o pagamento de altas indenizações e multas milionárias. Por-
27
C
O
M
P
LI
A
N
C
E
 D
IG
IT
A
L 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
tanto, a prevenção ainda é o melhor e mais eficaz meio de salvaguarda, 
cuja gestão tem que receber a mesma atenção e investimentos, como a de 
qualquer área de negócios em uma empresa. (RECHULSKI, 2020, online).
Não existem muitos casos onde a empresa que passa por uma 
situação de corrupção, consiga efetivamente demonstrar a sociedade 
estar a parte de qualquer que seja a pessoa que tenha realizado o ato 
ilícito. A empresa que perpetra algum ato corruptivo é penalizada, se 
não pela justiça, pelo mercado, pelos investidores que retiram seus re-
cursos financeiros e pelos clientes que deixam de comprar produtos e 
contratar serviços.
Vender ao Poder Público pode ser um ótimo negócio, mas leva 
a empresa a se preparar ainda mais, pois ao contrário de sua prepara-
ção para atrair investidores, nesta existe toda a sociedade como expec-
tadora, como elemento vigilante que busca garantir que o governo não 
vai comprar de empresas que não conduzem suas atividades de forma 
lícita. De acordo com Kafruni (2019, online):
No DF, a Lei 6.308/2019 começará a valer em 1; de janeiro de 2020. A partir 
dela, todas as empresas que têm contratos com o governo distrital deverão 
se enquadrar em normas de compliance se quiserem continuar fornecendo 
produtos e serviços para o poder público. Na verdade, as novas regras são 
uma atualização da Lei n; 6.112/2018, que acabou adiada para dar tempo 
para a iniciativa privada se adaptar.
Podemos dizer que as compras públicas são um excelente 
exemplo de como se utiliza o trabalho realizado pelo Compliance como 
norma efetiva, como requisito, pois ao governo as questões como o 
combate a corrupção e a transparência são temas ainda mais relevan-
tes que dentro das empresas e as recentes mudanças da legislação 
anticorrupção tem promovido ainda mais o Compliance:
As mudanças representam um avanço no combate à corrupção no país. De 
acordo com o advogado Rodrigo Badaró de Castro, sem programas de com-
pliance, as empresas não poderão participar de licitações. Significa, portanto, 
que elas deverão adotar rígidos padrões de ética, além de criar canais de de-
núncias que garantam aos denunciantes o direito ao anonimato. Castro tam-
bém destaca que as companhias deverão submeter suas ações a auditores 
externos e independentes, que possam identificar possíveis irregularidades. 
As exigências são elevadas. (KAFRUNI, 2019, online)
Por este motivo, dentro deste cenário a aplicação do complian-
ce tem, a cada dia, um aspecto maior de ser um mecanismo que pro-
tege o interesse de todos envolvidos. O Compliance está longe de ser 
28
C
O
M
P
LI
A
N
C
E
 D
IG
IT
A
L 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
uma onda, uma moda, um selo de responsabilidade para empresas que 
desejam mais investimentos, é, na verdade, um compromisso profundo 
e enraizado de seus diretores, gerentes, empregados, para com a lei, as 
normas em respeito a todos atores cujas operações afetam de alguma 
forma.
29
C
O
M
P
LI
A
N
C
E
 D
IG
IT
A
L 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
QUESTÕES DE CONCURSOS
QUESTÃO 1
Ano: 2019 Banca: IADES Órgão: CRN - 3ª Região (SP e MS) Pro-
va: Auxiliar Administrativo
A Lei n° 13.709/2018 (Lei Geral de Proteção de Dados) incide quan-
to ao cadastro de usuários e clientes, alterando a maneira como 
as organizações devem tratar dados pessoais, com vistas a pro-
teger os direitos fundamentais de liberdade e de privacidade e a 
respeitar o livre desenvolvimento da personalidade, a dignidade e 
o exercício da cidadania. Considerando o disposto na referida lei, 
assinale a alternativa correta.
a) Essa lei aplica-se exclusivamente a dados coletados por meio digital.
b) Para os fins dessa lei, considera-se dado pessoal qualquer informa-
ção relacionada a pessoa física ou jurídica identificada ou identificável.
c) O tratamento de dados pessoais, bem como o compartilhamento des-
ses dados, somente é permitido mediante consentimento do titular, sal-
vo casos de exceção previstos na lei.
d) Dados pessoais de crianças podem ser coletados sem consentimen-
to prévio e armazenados para fins de contato com os pais ou o respon-
sável legal.
e) O consentimento do tratamento dos dados deve ser fornecido pelo 
titular antecipadamente à coleta dos dados e presume concordância 
com o compartilhamento dos respectivos dados pessoais com entida-
des parceiras por tempo indeterminado.
QUESTÃO 2
Ano: 2019 Banca: IADES Órgão: BRB Prova: Escriturário
Considere que, em um órgão público, foi detectada a necessidade 
da atribuição de responsáveis para manterem registro das opera-
ções de tratamento de dados pessoais. De acordo com a Lei nº 
13.709/2018, quem devem ser esses responsáveis?
a) Os agentes de tratamento de dados e o conselho diretor.
b) O controlador e o operador.
c) O presidente da República e o controlador.
d) A autoridade nacional e o operador.
e) O governante e a autoridade nacional.
QUESTÃO 3
Ano: 2020 Banca: CESPE/CEBRASPE Órgão: TJ-PA Prova: Analis-
ta Judiciário - Análise de Sistemas (Desenvolvimento)
A Lei n.º 13.709/2018 (Lei Geral de Proteção de Dados Pessoais) 
30
C
O
M
P
LI
A
N
C
E
 D
IG
IT
A
L 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
prevê a realização do tratamento de dados pessoais, mediante o 
consentimento do titular dos dados, para o cumprimento de obri-
gação legal ou regulatória e para a realização de estudos ou execu-
ção de contratos a pedido do titular. As hipóteses em questão são 
exemplos de
a) princípios das atividades de tratamento de dados pessoais.
b) requisitos para o tratamento de dados pessoais sensíveis.
c) tratamento de dados pessoais de crianças e adolescentes.
d) direitos do titular dos dados.
e) requisitos para o tratamento de dados pessoais.
QUESTÃO 4
Ano: 2020 Banca: CESPE/CEBRASPE Órgão: TJ-PA Prova: Analis-
ta Judiciário - Análise de Sistemas (Suporte)
De acordo com a Lei n.º 13.709/2018 (Lei Geral de Proteção de Da-
dos Pessoais), as atividades de tratamento de dados pessoais de-
vem observar a boa-fé e o princípio
a) de dado pessoal, segundo o qual a informação é relacionada à pes-
soa natural identificada ou identificável.
b) de banco de dados, como um conjunto estruturado de dados pes-
soais estabelecido em um ou em vários locais, em suporte eletrônico 
ou físico.
c) da anonimização, com a utilização de meios técnicos razoáveis e 
disponíveis no momento do tratamento, por meio dos quais um dado 
perde a possibilidade de associação, direta ou indireta, a um indivíduo.
d) da prevenção, com a adoção de medidas para prevenir a ocorrência 
de danos em virtude do tratamento de dados pessoais.
e) da eliminação, que é a exclusão de dado ou de conjunto de dados ar-
mazenados em banco de dados, independentemente do procedimento 
empregado.
QUESTÃO 5
Ano: 2020 Banca: INSTITUTO AOCP Órgão: MJSP Prova: Analista 
de Governança de Dados - Big Data
Considerando o que dispõe a Lei n° 13.709/2018, de Proteção de 
Dados, o titular tem direito ao acesso facilitado às informações so-
bre o tratamento de seus dados, que deverão ser disponibilizadas 
de forma clara, adequada e ostensiva acerca, dentre outras carac-
terísticas, de
a) sigilo quanto a informações de contato do controlador.
b) informações acerca do uso compartilhado de dados pelo controlador 
e a finalidade.
31
C
O
M
P
LI
A
N
C
E
 D
IG
IT
A
L- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
c) não divulgação das responsabilidades dos agentes que realizarão o 
tratamento.
d) não identificação do controlador.
e) sigilo quanto à finalidade específica do tratamento
QUESTÃO DISSERTATIVA – DISSERTANDO A UNIDADE
A etimologia da palavra compliance advém do latim complete e o seu 
significado relaciona-se a agir de acordo com regras. Em inglês o verbo 
to comply foi utilizado com pioneirismo pelos norte-americanos na área 
financeira para expressar a necessidade de regulamentação nas rela-
ções comerciais. 
Sobre o enunciado, comente sobre a história do compliance, como, 
quando e onde se iniciou. Relate sobre o compliance no Brasil.
TREINO INÉDITO
A origem do compliance está ligada às/aos?
a) instituições de saúde.
b) instituições públicas.
c) empresas de auditorias
d) instituições financeiras.
e) centros de seguro assistencial.
NA MÍDIA
CRESCE NO PAÍS O INTERESSE POR SISTEMAS QUE EVITAM 
FRAUDE E RISCOS
O caminho parece sem volta. Tem sido cada vez maior o número de 
empresas que investem em programas de compliance. Originário do 
inglês “to comply with”, o termo compliance entrou definitivamente para 
o dicionário corporativo brasileiro há pouco mais de três anos e significa 
estar em conformidade com regras e procedimentos legais. Um bom 
programa de compliance melhora os níveis de governança, reduz riscos 
e ajuda a evitar fraudes e desvios éticos. Sua base é um código de ética 
e conduta a ser seguido por todos na empresa.
“O compliance tem sido fundamental para gerar transparência e com-
bater vários tipos de fraude, como corrupção, apropriação indevida e 
demonstrações financeiras manipuladas”, afirma Renato Santos, coor-
denador do MBA de compliance da Trevisan Escola de Negócios.
32
C
O
M
P
LI
A
N
C
E
 D
IG
IT
A
L 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
Fonte: Folha de São Paulo
Data: 12 jun. 2017.
Leia a notícia na íntegra: http://estudio.folha.uol.com.br/petro-
bras/2017/06/1892322-mais-empresas-adotam-praticas-de-complian-
ce.shtml 
NA PRÁTICA
O Sistema FIEP – Federação das Indústrias do PR disponibiliza em seu 
uma cartilha do Programa de Compliance. Segundo o diretor regional 
José Antonio Fares, o programa tem o objetivo de fortalecer a boa re-
putação do Sistema Fiep junto a clientes, fornecedores, funcionários e 
órgãos públicos, oportunizando serviços e negócios que gerem valor 
para a alta administração.
Nas suas palavras trata-se de um conjunto de medidas a favor de uma 
postura cada vez mais ética e transparente em nossas ações, adotando 
uma série de ferramentas e procedimentos que possibilitam mais efi-
ciência e controle sobre as atividades que desenvolvemos, pois, acre-
ditamos que a cultura de compliance contribui para o fortalecimento da 
indústria paranaense. Estar em “compliance” é estar em conformidade 
com leis e regulamentos externos e internos.
O Sistema FIEP é uma entre muitas que consolidaram seus programas 
de compliance. Deseja saber como o programa funciona? Basta aces-
sar o link a seguir.
Título reportagem: Programa de Integridade e Compliance Sistema 
FIEP
Acesse os links: https://www.sistemafiep.org.br/programadeintegridade/ 
33
C
O
M
P
LI
A
N
C
E
 D
IG
IT
A
L 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
SINVESTIGAÇÃO E PROVAS DIGITAIS
Cometer um crime pode ser classificado como um cidadão que 
age de forma a transgredir alguma legislação, seja contra outro cidadão, 
uma empresa, ou contra o patrimônio público. Se este cidadão comete 
crime nas atribuições de seu cargo, em razão de, ou para benefício de 
sua função ou empresa, entra na esfera do Compliance.
O Compliance é responsável por promover toda uma série de 
procedimentos que visam colocar a empresa inteira em concordância 
com sua legislação, com as regras do mercado e suas próprias, portan-
to, quando alguma transgressão ocorre, se faz necessário investigar a 
fundo. A empresa que tem compliance não está livre de revelar algum 
POLÍTICAS CORPORATIVAS,
CONTROLES INTERNOS PARA O AMBIENTE 
DIGITAL & MONITORAMENTO CONTÍNUO DO 
AMBIENTE DIGITAL
C
O
M
P
LI
A
N
C
E
 D
IG
IT
A
L 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
34
C
O
M
P
LI
A
N
C
E
 D
IG
IT
A
L 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
caso de corrupção, mas tem os mecanismos necessários para mini-
mizar tal ocorrência e na eventualidade de ter tal caso a tratar, tem os 
mecanismos para ser eficiente e eficaz na sua condução.
A ideia do compliance é blindar a empresa o melhor possível, 
mostrando ao mercado que não é imune, mas que age com autoridade 
e pune quem for preciso e como for preciso. No entanto, é necessário 
que a empresa tenha um compliance robusto o suficiente para identi-
ficar por completo o desvio de conduta, apurar os responsáveis e ter 
parametrizadas as sanções certas a cada caso.
Desta relação da empresa com os crimes que eventualmente 
ocorrem dentro dela, nasce uma vertente do compliance denominada 
criminal compliance, e que de acordo com Maciel Filho (2019, online):
É inegável que a prática de crimes no âmbito empresarial ou corporativo gera 
consequências graves tanto para a pessoa física quanto para a empresa. E 
é justamente para evitar tais consequências que surge o chamado criminal 
compliance. Por intermédio deste recurso, as empresas buscam instituir me-
canismos internos para fixar condutas e comportamentos alinhados com a 
ética empresarial e, claro, com as leis vigentes. O objetivo específico dessa 
forma de compliance é evitar a prática de condutas ilícitas por parte de seus 
funcionários e dirigentes.
Com o criminal compliance a empresa torna explícitas as suas 
normas, as leis que a regem e como está atenta a qualquer desvio e 
pronta para agir na eventualidade de uma ocorrência. No entanto, não 
representa uma forma de polícia interna, seria mais uma política do que 
uma polícia, visto que compõe uma série de normas éticas, legislativas 
e administrativas a serem seguidas por todos dentro da organização. 
Destas normas e processos do criminal compliance se origina 
todo o subsídio necessário para que o procedimento interno de inves-
tigação tenha a capacidade de apontar a origem do ato criminoso, seu 
fato gerador (fatos e condições que deflagram uma consequência pre-
vista em lei, seja uma punição ou sanção administrativa) e com isso o 
evento pode ser apurado de forma transparente, algo bastante relevan-
te aos olhares dos investidores.
Neste sentido, Franco (2020, pg. 138) nos apresenta as fontes 
de uma investigação interna, dentro do escopo do compliance:
Várias são as fontes e os fatores que podem deflagrar uma investigação in-
terna. Denúncias, relatórios de inconformidade de auditoria, monitoramentos 
automatizados de processos e até mesmo autoconfissões podem dar início 
a uma investigação interna envolvendo uma gama gigantesca de desvios de 
conduta, cada qual com sua complexidade e impactos a serem considera-
dos. Não há dúvida de que os profissionais responsáveis por esse processo 
35
C
O
M
P
LI
A
N
C
E
 D
IG
IT
A
L 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
devem estar atentos e capacitados para lidar com o problema quando ele 
ocorrer. Ou será que também devem estar atentos para identificar o proble-
ma antes de sua ocorrência?
Aquela máxima que afirma não existir crime perfeito é bastante 
precisa quando se considera os mecanismos e procedimentos de uma 
investigação de um crime pela ótica do criminal compliance e a tecnolo-
gia contribui e muito para a validação desta afirmação. Atualmente com-
ponentes como criptografia (codificação e decodificação de segurança), 
dispositivos de segurança, de monitoramento, produzem um ambiente 
bastante seguro para a condução dos negócios e com isso, embora 
seja bem pouco provável, os casos de desvios de conduta, crimes que 
ocorrem dentro das empresas, tendem a apresentar farta quantidade 
de provas, e onde entra a perícia de informática, que tal como define 
Carneiro (2017, pg. 36):
A perícia de informática é importante para praticamente todo tipo de inves-
tigação,haja vista a ubiquidade dos computadores citada anteriormente. 
Entretanto, para aqueles crimes cujos vestígios principais não são digitais, 
normalmente os vestígios deixados em computadores e mídias de armaze-
namento não se tornam evidência do crime, mas sim indícios que auxiliam na 
investigação. Por exemplo, em crimes financeiros ou de tráfico de entorpe-
centes, mensagens de correio eletrônico, documentos digitais, entre outros 
elementos, são analisados pelos policiais dedicados ao caso para trazer in-
formações e fatos circunstanciais que orientem o curso da investigação, bem 
como a obtenção de outros vestígios e, possivelmente, provas.
Ao mesmo tempo que a tecnologia torna cada vez mais difícil 
ser, no caso da questão da segurança, contornada, aqueles interessa-
dos em perpetrar um crime corporativo, online, etc., possuem também 
sua parcela de evolução aplicando cada vez mais métodos complexos 
e tecnológicos. Porém, seja qual for o método, a via por onde o cri-
me ocorreu, a perícia de informática consegue angariar evidências, tal 
como apresenta Carneiro (2017, pg. 37)
Para esses crimes, portanto, a perícia de informática realiza uma extração 
dos dados dos computadores e mídias, sempre que possível aplicando filtros 
objetivos para o contexto desejado. Pela limitação de efetivo e pelo desco-
nhecimento do perito sobre o assunto, cabe aos policiais da investigação, 
bem como às partes durante o processo criminal, analisar efetivamente o 
conteúdo do material questionado. Diferentemente, as investigações de cri-
mes cibernéticos demandam a perícia de informática com vestígios efetiva-
mente deixados pela ação criminosa. Os computadores e mídias, nesses 
casos, contêm arquivos, registros de sistema, entre outras informações, que 
são evidências do crime e podem servir de prova material.
36
C
O
M
P
LI
A
N
C
E
 D
IG
IT
A
L 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
Por fim, todo o trabalho de processamento e levantamento pe-
ricial produz um relatório a ser utilizado em juízo e apresenta desde 
a forma do crime, os meios utilizados, as intenções e os participan-
tes, assim como apresentam Castro e Lopes (2018, pg. 2) “O processo 
geralmente está orientado para iluminar as zonas de incerteza sobre 
cenários e operações empresariais, minimizando riscos e rastreando 
oportunidades. Não à toa, as práticas têm diversas aplicações.”
Outro componente que o criminal compliance contribui ao criar 
processos claros e hierarquias bem definidas está nas formas com que 
o sistema ou a empresa podem receber uma denúncia, quais são os 
canais e a importância de cada canal de forma a despertar os gatilhos 
corretos dos processos seguintes. Assim, Castro e Lopes (2018, pg. 3) 
afirmam que as empresas recebem tais denúncias de vários canais, 
seja internos ou externos:
Outras envolvem atos ilegais, com possíveis impactos econômicos e reputa-
cionais significativos para a empresa. Outras, ainda, podem alcançar a mídia 
e gerar situações de crise de variadas dimensões. Todas as reclamações 
exigem algum nível de resposta pela administração. Decidir quais requerem 
uma investigação mais ampla envolve julgamento. Trata-se de uma função 
essencial do compliance da administração – que normalmente requer a su-
pervisão do comitê de auditoria.
Por impacto ou risco reputacional temos que se trata dos da-
nos à reputação da empresa e de sua receita em decorrência de algum 
caso de corrupção, bem como da forma com que a empresa trata de 
tal ocorrência perante os stakeholders, seus interessados. Existe aqui 
a grande necessidade de a empresa estabelecer prioridades de trata-
mento para os diferentes tipos de ocorrência de corrupção, pensando 
no que causa maior ou menor Risco Reputacional e, portanto, qual o 
tempo adequado de resposta e os recursos necessários para se aten-
der a crise em mãos. 
Para Castro e Lopes (2018, pg. 3) o comitê que trata destes 
assuntos deve compreender qual o nível de acompanhamento que o 
caso necessita da administração:
A resposta geralmente depende do volume de reclamações e da avaliação 
de riscos envolvidos. Por exemplo, até mesmo uma alegação de pouca rele-
vância pode ser de interesse do comitê de auditoria, se estiver relacionada a 
uma unidade de negócios ou a uma operação altamente sensível, ou se for 
um indicador de uma tendência ou de um tema específico. Uma prática re-
comendada é a administração fornecer ao comitê de auditoria determinados 
detalhes das alegações recebidas em cada reunião, como a natureza delas, 
uma avaliação preliminar de riscos e a(s) unidade(s) de negócios e local(is) 
37
C
O
M
P
LI
A
N
C
E
 D
IG
IT
A
L 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
possivelmente afetados. Isso permite que o comitê avalie a adequação da 
resposta da administração. Se o volume de alegações for elevado devido ao 
tamanho da empresa, talvez seja mais prático para a administração fornecer 
um resumo trimestral das alegações, com um aprofundamento periódico dos 
detalhes.
Figura 1: Diagrama das alegações em uma investigação corporativa
Fonte: Castro e Lopes (2018, pg. 3)
Podemos perceber com a estrutura do compliance que não 
basta organizar o tratamento das crises e sim todo o processo, a co-
meçar pela organização da recepção das alegações em grau de impor-
tância, um protocolo deve ser criado, assim como preconizam Castro e 
Lopes (2018, pg. 3):
É importante estabelecer um protocolo de encaminhamento definido para 
alegações relevantes. Por exemplo, assuntos que possam impactar os re-
latórios financeiros da empresa, a integridade da administração, a auditoria 
externa ou ter repercussão na mídia devem ser levados imediatamente à 
atenção do presidente do comitê de auditoria. Isso permite que ele os avalie 
tempestivamente e decida investigar ou não e como fazê-lo.
38
C
O
M
P
LI
A
N
C
E
 D
IG
IT
A
L 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
De acordo com Castro e Lopes (2018, pg. 3) existe uma per-
gunta, que mesmo carregada de simplicidade, promove uma coorde-
nação de como se deve valorizar as denúncias e alegações em grau 
de importância: “A alegação exige um nível maior de supervisão pelo 
comitê de auditoria?” Para compreender melhor o nível de supervisão 
que determinada crise exige, temos os seguintes parâmetros: 
• Materialidade quantitativa – possivelmente importante para as demonstra-
ções financeiras e/ ou capaz de levar a uma fraqueza material nos controles 
internos. 
• Materialidade qualitativa – representa possíveis danos à marca ou à repu-
tação.
• Gravidade – envolve uma possível violação de leis e regulamentos.
• Pervasividade – as acusações podem envolver a alta administração ou re-
presentar um problema cultural generalizado.
• Resposta da administração a uma denúncia – resposta insuficiente ou falta 
de objetividade ou transparência.
• Dificuldade de resolução – aspectos previstos para a execução do plano 
estão sendo seguidos pela administração. (CASTRO, LOPES, 2018, pg. 3)
Sendo estes argumentos relativos a um compliance a ser de-
senvolvido em ambiente tecnológico, em empresa de Tecnologia da In-
formação, existe a necessidade de se argumentar em maior detalhe, 
das provas digitais, e que neste sentido, Domingos e Roder (2017, pg. 
58) conceitual ser:
Documentos virtuais passam a fazer parte das relações sociais, tanto com 
referência às transações reais quanto às transações plenamente virtuais. 
Acompanhando essa tendência, a investigação dos ilícitos do mundo atual 
depende de evidências digitais, independentemente de terem ocorrido, total 
ou parcialmente, no mundo real ou no mundo virtual. Atualmente, a obtenção 
de provas digitais torna-se crucial para elucidar delitos, deparando-se esta 
questão, porém, com as diferentes jurisdições nas quais as evidências digi-
tais estão armazenadas.
Dentro de seus conceitos e processos o compliance tende a 
ser importante independentemente do tamanho da empresa, mas em se 
tratando do criminal compliance, que atua forte na criação de ambientes 
de denúncia e prevenção decrimes de forma a blindar a pessoa jurídi-
ca. O artigo “A importância do compliance criminal nas grandes empre-
sas” de Emanuel Fernando de Oliveira Guimarães, trata de amplificar 
39
C
O
M
P
LI
A
N
C
E
 D
IG
IT
A
L 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
o porquê as grandes empresas precisam do criminal compliance. Para 
saber mais sobre este assunto, acesse: http://iccs.com.br/a-importan-
cia-do-compliance-criminal-nas-grandes-empresas-emanuel-fernando-
-de-oliveira-guimaraes/
Portanto, o criminal compliance compreende que deve lidar 
com crimes que não necessariamente ocorram no papel, com evidên-
cias físicas, e sim, muitas vezes, de forma puramente digital, mas que 
este fato da intangibilidade não compromete a qualidade jurídica do que 
é produzido como evidência. Sobre como a tecnologia inviabiliza ope-
rações invisíveis, que não produzam rastro digital, Domingos e Roder 
(2017, pg. 64) afirmam que:
O funcionamento correto dessa rede obedece a critérios organizacionais 
matemáticos, que permitem a fluidez dessa estrutura. Isto significa que as 
empresas provedoras de Internet detêm as informações referentes ao passo 
que os usuários percorrem na rede: acessos, postagens e comunicações. 
São essas informações que em geral permitem, de forma precisa, desvendar 
um crime cibernético ou obter uma prova digital para elucidar um crime real. 
O que tem aturdido o mundo jurídico é a obtenção dessas informações, des-
ses dados que consubstanciam a prova digital.
Neste momento, é necessário apresentar um dos grandes de-
safios do compliance em meios digitais: a ausência de território dos 
crimes e das evidências destes crimes. Atualmente existem centenas 
de milhares de provedores de armazenamento (e outros recursos tec-
nológicos via internet e em nuvem) espalhados pelo mundo e muitos 
dos criminosos virtuais, ou dos empregados que tentam furtivamente 
esconder seus crimes das mãos da justiça, tentam tal feito colocando 
seus dados em servidores de arquivos localizados em outros países e 
teoricamente longe das suas leis. De acordo com Domingos e Roder 
(2017, pg. 64)
Uma vez que tais empresas podem possuir sede física em um país, mas 
armazenar suas informações em servidores em qualquer local do planeta, 
os operadores do Direito depararam-se com a perplexidade de não saber 
qual local teria jurisdição para decidir acerca do fornecimento de tais dados. 
Além disso, cada país possui uma percepção peculiar acerca da proteção da 
privacidade, o que se reflete nas diferenças legislativas sobre requisitos para 
fornecimento de dados e conteúdo. Some-se a isso a volatilidade da prova 
digital, pois a enorme quantidade de informações em circulação no mundo 
faz com que a sua manutenção pelas empresas seja a menor possível, dita-
da pelos custos que o armazenamento de dados gera.
40
C
O
M
P
LI
A
N
C
E
 D
IG
IT
A
L 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
Atualmente esconder dados nos servidores de uma nação dis-
tante não mais oferece garantia alguma ao criminoso, e de acordo com 
La Chapelle e Fehlinger (2016, apud Domingos e Roder, 2017, pg. 64) 
“os possíveis critérios aventados para definir qual a lei aplicável na ob-
tenção de dados digitais são:”
a) a lei do local em que está o usuário, do qual se pretende obter os dados;
b) a lei do local onde estão os servidores que armazenam os dados; 
c) a lei do local de incorporação da empresa que presta o serviço; 
d) a lei do local dos registradores de onde o domínio foi registrada.
Embora uma pessoa que possa não ter atuado em empresa 
com forte presença na nuvem, que usa diversos serviços como o ar-
mazenamento de arquivos, em sua vida doméstica deve ter percebido 
que alguns serviços internacionalmente oferecidos via internet, como os 
portais de vídeos e filmes como Netflix, etc., não oferecem seus servi-
ços no mundo inteiro e, se oferecem em grande parte do globo, existem 
distinções na forma, dependendo da localidade.
A cada dia que passa existe mais sinergia jurídica entre os paí-
ses, afinal de contas, compliance não é exclusividade do Brasil. Investi-
dores e a justiça das nações, mundo a fora, desejam segurança, menos 
corrupção, um cenário de maior confiança e proteção para os negócios 
e com isso migrar dados para servidores de outros países não está mais 
favorecendo as atividades ilegais.
Este fato corrobora com a questão de que atualmente não é 
benefício ao criminoso se proteger na bandeira estrangeira do local 
onde armazena as evidências de seu crime virtual. Assim, de acordo 
com Domingos e Roder (2017, pg. 65):
Todas essas opções, ao assumirem que, para fornecimento de dados digi-
tais, as empresas provedoras de Internet devem obedecer aos parâmetros 
legais de jurisdições diversas do local onde os fatos ocorreram ou o servi-
ço foi prestado, implicam a necessidade de pedidos de cooperação inter-
nacional. Tais pedidos, conhecidos como Mutual Legal Agreement Treaties 
(MLATs) – Acordos de Assistência Mútua em Matéria Penal, tradicionalmente 
têm um processamento muito lento, pois dependem de que os pedidos sejam 
feitos de forma correta, de que sejam traduzidos e enviados pelas autorida-
41
C
O
M
P
LI
A
N
C
E
 D
IG
IT
A
L 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
des competentes, para que uma autoridade no país requerido dê início à 
execução do pedido.
Ainda existe um longo caminho para uma maior eficiência dos 
processos de repatriação de dados em casos de crimes, mas a via jurí-
dica existe, o que se obtém destes mecanismos é juridicamente válido 
como prova digital e com isso a impunidade do servidor estrangeiro 
deixa de ser apelativa ao criminoso virtual que, no momento, somen-
te consegue retardar o inevitável. De acordo com Domingos e Roder 
(2017, pg. 68):
Assim, há a possibilidade de obtenção dos dados digitais armazenados fora 
do território nacional de cada Parte, sendo válidos para o processo, quando 
esses dados são públicos, isto é, podem livremente ser acessados de qual-
quer localização (fonte aberta), ou quando há o consentimento voluntário de 
quem estaria legalmente autorizado a fornecê-los. Logo, ou o próprio crimi-
noso teria que voluntariamente concordar em fornecer esses dados, ou a 
empresa provedora de Internet, detentora desses dados, teria que possuir 
uma autorização expressa nesse sentido, o que não parece facilitar o traba-
lho dos agentes investigadores. No entanto, há casos decididos por Cortes 
europeias, americanas e também brasileiras, que têm servido de norte para 
solucionar essa necessidade de obtenção de provas digitais, que não seriam 
alcançadas pela jurisdição do país onde a investigação e/ou processo se 
desenvolvem.
É necessário a promoção de uma via jurídica internacional que 
efetivamente acelere a questão da repatriação de dados de provas digi-
tais para que a burocracia não seja o elemento que blinde o criminoso 
de sua punição justa.
PRINCÍPIOS CONSTITUCIONAIS E PROCESSUAIS QUE REGEM A 
PROVA
De uma forma simples, provar que alguém fez algo ilícito, cri-
minoso é enquadrar tal pessoa nas características de um crime como 
consta na legislação, ou de forma mais jurídica, representa comprovar 
por meio de evidências, provas, que a pessoa cometeu o fato gerador. 
Por fato gerador temos aquele fato ou conjunto de fatos que se enqua-
dram como o gatilho de alguma lei, ou seja, que colocam o autor em 
alguma obrigação jurídica.
Antes de apresentar alguns dos princípios constitucionais que 
regem a parte jurídica do compliance, é necessário compreender que 
entre todos os cargos, níveis hierárquicos, atores internos e externos, a 
42
C
O
M
P
LI
A
N
C
E
 D
IG
IT
A
L 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
quem mais importa a condução lícita e ética do negócio é sua diretoria, 
assim como defende Netto (2020, online):
O Decreto nº 8.420 de 2015 regulamenta a Lei nº 12.846 de 2013. No artigo 
42, do Decreto são indicados os elementos do compliance, entre eles cabe 
indicar o comprometimento da alta direção da pessoa jurídica; os padrões de 
conduta,o código de ética e as políticas de integridade, bem como, os canais 
de denúncia e as medidas disciplinares nos casos de violação do programa 
indicado. 
A atuação do compliance não tem em seus procedimentos ape-
nas uma forma de se promover transparência, aderência à legislação, 
a normas internas e externas, tais procedimentos formam o arcabouço 
jurídico necessário para tornar suas ações disciplinares válidas e líci-
tas. Com isso em mente, as operações do compliance devem seguir o 
ordenamento jurídico brasileiro em ordem de promover provas válidas 
juridicamente, entre outros pormenores.
Dentro deste ordenamento jurídico existem os princípios que 
norteiam a atividade legal nas empresas e, por consequência, no Di-
reito. De acordo com Dolci (2016, online) “Os princípios são a espinha 
dorsal de todo ordenamento jurídico organizado, sendo os vetores que 
guiam uma sociedade e lhe dão características próprias.”. Assim, ainda 
de acordo com Dolci (2016) tais princípios são máximas basilares dou-
trinárias e que podem ser vistas como normas de direito positivo em 
muitas instâncias. 
A empresa não conseguirá combater corrupção com mais cor-
rupção, nesta perspectiva, as ações da empresa devem ser direciona-
das pelo que sustenta cada princípio do direito, o que significa que o 
compliance não somente apresenta as formas com as quais a empresa 
lida com sua ética, mas também como conduz suas investigações e 
compõe provas dos crimes nela ocorridos.
Pelo compliance, mesmo que ocorra um crime, um ato de cor-
rupção, a única forma de se agir em relação ao ocorrido é que seja 
feito um procedimento lícito, dentro do que se tem como procedimento 
padrão. A Justiça invalida qualquer prova obtida de maneira ilícita, o 
compliance efetiva tal afirmação.
43
C
O
M
P
LI
A
N
C
E
 D
IG
IT
A
L 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
Neste sentido, Dolci (2016, online) afirma que “A inadmissibi-
lidade das provas obtidas por meios ilícitos é uma garantia fundamen-
tal do processo que está compreendida no devido processo legal. O 
devido processo legal é o princípio reitor de todo o arcabouço jurídico 
processual. Todos os outros derivam dele.” Ainda dentro do princípio 
do contraditório, Dolci (2016, online), afirma que o mesmo traz, como 
consequência lógica:
[...] a igualdade das partes, possibilitando a ambas a produção, em idênticas 
condições, das provas de suas pretensões”; pontuando que “o contraditório 
não é apenas o direito de “dizer” e de “contradizer” sobre a matéria contro-
vertida que envolve a lide, não é apenas o debate realizado entre as partes 
no processo de direito material, mas é precipuamente e exclusivamente, a 
igualdade de oportunidade no processo, é o igual tratamento às partes, que 
tem como fundamento principal a liberdade de todos perante a lei. É a simé-
trica participação no processo, entre as partes.
De acordo com Dolci (2016, online) o princípio do contraditório 
pode ser definido como um instrumento técnico, ou meio para a efeti-
vação da ampla defesa e que consiste em poder contrariar a acusação, 
demandar a produção de provas pertinentes, acompanhar tal produção 
de provas e no caso de uso de testemunhas, concretizar perguntas per-
tinentes e cabíveis e “falar sempre depois da acusação; manifestar-se 
sempre em todos os atos e termos processuais aos quais deve estar 
presente; e recorrer quando inconformado.”
Dentro do criminal compliance é muito importante que seja 
tudo conduzido de forma clara e jurídica. Uma vez que alguém recebe 
uma acusação formal, tem o direito à ampla defesa, o que significa que 
pode contradizer as evidências contra si ao mesmo tempo em que pode 
produzir provas de sua inocência. De acordo com Dolci (2016, online):
No tocante ao princípio da ampla defesa, este também é previsto Na Cons-
tituição Federal, em seu art. 5º, LV da nossa Carta Magna, sendo, portanto, 
uma garantia fundamental e estreitamente ligada ao princípio do contradi-
tório; que consubstancia-se no direito das partes oferecerem argumentos 
que lhes favoreçam utilizando todos os meios de provas permitidos em lei, 
abrangendo, portanto, a defesa técnica, a autodefesa e a defesa efetiva e a 
possibilidade de utilização de todos os meios de prova que são passíveis de 
demonstrar a inocência do acusado.
Outro princípio que se faz representativo diante das provas é 
o da proporcionalidade, que não está expresso na Constituição Federal 
de 1988 e que mesmo assim é deveras importante neste tema (das pro-
vas) pois promove um balanço entre o lícito e o ilícito, quando tratamos 
44
C
O
M
P
LI
A
N
C
E
 D
IG
IT
A
L 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
de questões corporativas e corrupção.
Se existe um elemento digital que costuma produzir muitas 
provas em casos de corrupção corporativa e criminal compliance, são 
os dados. Seja como objeto principal do crime ou a evidência de sua 
ocorrência, fato é que os dados são invariavelmente volumosos e isso 
significa que seu tratamento não é corriqueiro e descomplicado, e tem 
também a questão jurídica da proteção de dados, tal fomo afirma Netto 
(2020, online) “A Lei Geral de Proteção de Dados - LGPD - Lei nº 13.709 
de 2018 dispõe sobre o tratamento de dados pessoais, com o intuito de 
proteger os direitos fundamentais de liberdade e de privacidade, bem 
como, o livre desenvolvimento da personalidade da pessoa natural.”
Embora a tecnologia esteja bastante madura no que diz res-
peito a proteção dos computadores pessoais e de empresas, fato é que 
muitas pessoas em suas residências sofrem com sequestros de dados 
com o pagamento de resgate, o famoso Ransomware, e com isso a 
LGPD fornece um norte procedimental e jurídico para que o compliance 
da empresa saiba o peso das ações de corrupção que tem de lidar. De 
acordo com Netto (2020, online) “a lei indicada visa ainda, proteger o 
tratamento de dados pessoais sensíveis de todos os indivíduos. A lei 
permite o uso de dados, desde que forem preenchidos os requisitos do 
artigo 7º, como o consentimento do titular de dados.”
O Ransomware é uma grande ameaça aos dados das empre-
sas e até mesmo a sua continuidade, mas é muito importante que a 
empresa busque formas de se proteger e com isso não recorrer jamais 
ao pagamento do resgate, algo que estimula a prática do crime e não 
garante a liberação dos dados e muito menos mantém possível a rein-
cidência do ocorrido.
 Quando o crime ocorrido dentro da empresa tiver como obje-
to dados de clientes e outros atores (como investidores) o compliance 
deve primar pelo uso das orientações da LPGD tanto preventiva, como 
corretivamente, de acordo com Netto (2020, online):
Assim, observa-se que as investigações internas deverão ser conduzidas 
respeitando os princípios e os direitos previstos na LGPD. As empresas ao 
realizarem o tratamento de dados pessoais devem respeitar os dispositivos 
45
C
O
M
P
LI
A
N
C
E
 D
IG
IT
A
L 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
da LGPD, a boa-fé e adotar medidas de segurança capazes de proteger os 
dados pessoais contra acessos que não forem autorizados. 
De acordo com Macedo (2016, online) “Vê-se, portanto, que as 
investigações corporativas são de extrema utilidade para as pessoas 
jurídicas, notadamente daquelas que possuem uma extensa gama de 
empregados, clientes, fornecedores e uma complexa rede de relaciona-
mentos.”. O que estamos tratando aqui é conhecido também como Ris-
co Reputacional, algo altamente gerenciável pelo compliance, mas que 
se não bem feito, representa danos irreparáveis a imagem da empresa, 
bem como perda de receita, investimentos. 
Claro que o processo investigativo dentro do criminal complian-
ce é de grande importância dentro do mundo corporativo, uma vez que 
os danos dentro do Risco Reputacional podem ser vultuosos ao ponto 
de comprometer, por definitivo, as atividades e encerrar a existência 
da empresa. Ainda sobre a importância das investigações corporativas, 
Macedo (2016, online) apresenta que: 
Com o advento da Lei nº 12.846, de 02 de agostode 2013, também chama-
da de Lei Anticorrupção ou Lei da Empresa Limpa, que passou a produzir 
efeitos a partir de 29 de janeiro de 2014, foi consideravelmente ampliado o 
número de investigações privadas corporativas, sobretudo aquelas que são 
realizadas internamente, por meio da qual a pessoa jurídica passa a apurar 
condutas de seus funcionários e colaboradores.
A LGPD, junto com a Lei Anticorrupção fornecem ao complian-
ce a robustez jurídica necessária para sua relevância e efetividade dian-
te de atores como investidores, poder público e até diante do mercado, 
pois efetiva a instituição da responsabilidade jurídica civil e administra-
tiva, assim como corrobora Macedo (2016, online):
A referida Lei dispõe sobre a responsabilização civil e administrativa de pes-
soas jurídicas pela prática de atos contra a administração pública, nacional 
ou estrangeira, regulando a aplicação de sanções civis e administrativas por 
infrações que, muitas vezes, guardam identidade com tipos penais previstos 
em outras fontes normativas, sendo, em geral, atos que atentam contra o 
patrimônio público nacional ou estrangeiro, contra princípios da administra-
ção pública ou contra os compromissos internacionais assumidos pelo Brasil, 
conforme consta em seu art. 5º.
Portanto, o compliance é uma ferramenta corporativa de efeti-
vidade jurídica que permite às empresas que o praticam estarem melhor 
preparadas a lidar com a ocorrência de casos de corrupção pelo correto 
tratamento das provas digitais.
46
C
O
M
P
LI
A
N
C
E
 D
IG
IT
A
L 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
REQUISITOS DA INVESTIGAÇÃO INTERNA
Já ficou claro que o compliance tem a capacidade de blindar a 
empresa até certo ponto. Como o escudo de um soldado da Roma An-
tiga, o que o compliance faz é proteger a pessoa jurídica enquanto está 
sendo utilizado, efetivado, disseminado e cultivado. Portanto, se baixar 
o escudo ou descuidar nos procedimentos a serem seguidos, existirão 
ocorrências a ser tratadas.
Com a ocorrência de uma fraude ou outra forma de crime, o 
compliance institui o processo de investigação de forma a compilar pro-
vas e evidências e com isso fornece embasamento jurídico e de acor-
do com Netto (2020, online) esta investigação pode iniciar de algumas 
maneiras:
[...] após a auditoria da pessoa jurídica identificar algum fato suspeito ou 
com uma denúncia. A respectiva denúncia deverá ser recebida e processada 
de modo adequado. Ressalta-se a importância dos canais de denúncia bem 
estruturados. A investigação interna pode ser realizada pela própria empre-
sa- in counsel - ou por terceiros - outside counsel - que serão contratados 
para realizar a investigação. Além disso, as investigações internas podem 
envolver diversas áreas como concorrência, direito digital, criminal, trabalhis-
ta, tributária e anticorrupção. 
A cobertura procedimental de um sistema de compliance é 
bastante compreensiva e atua desde as formas de se fazer uma de-
núncia. Como são diversas as fontes de denúncia, se faz necessário 
organizar o procedimento de forma que cada denúncia seja tratada de 
acordo com sua importância e/ou capacidade de infringir dano no que 
chamamos de Risco Reputacional. De acordo com LEC (2019, online):
Uma investigação interna pode ser iniciada de diversas maneiras. A mais 
comum é por meio de uma denúncia. De acordo com um relatório da Asso-
ciação de Examinadores Certificados de Fraudes (ACFE), 40% das fraudes 
investigadas em uma empresa são identificadas depois de denunciadas por 
um funcionário ou terceiros. O processo ainda pode ser iniciado depois de 
uma auditoria interna, algo natural em uma organização. É o caso das frau-
des financeiras, que podem ser encontradas depois de uma revisão nos pa-
gamentos realizados.
Vale ressaltar que além do problema de corrupção que a em-
presa precisa tratar, existe seu receio de, ao promover o criminal com-
pliance, estar se expondo demasiadamente, algo a ser aproveitado pela 
concorrência. 
47
C
O
M
P
LI
A
N
C
E
 D
IG
IT
A
L 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
Se o compliance for concebido de forma robusta, a exposição de 
uma investigação bem sucedida é benéfica à empresa, e não negativa. 
Neste sentido, LEC (2019, online) defende que:
Muitas empresas ainda resistem em realizar investigações internas de com-
pliance, por acreditar ser melhor esconder os problemas. No entanto, em 
médio e longo prazos, essa postura pode ser perigosa, uma vez que sub-
mete a empresa a sanções legais e penais, danos financeiros e na imagem 
da organização. De fato, um processo de investigação pode não resultar em 
nada, com a conclusão de que a denúncia ou questionamento não procede. 
Isso não significa que ele não é válido, uma vez que só a desconfiança já é 
suficiente para detectar que existe um problema.
Um processo de investigação corporativo se apresenta prati-
camente como um projeto de gestão, de lançamento de produto ao co-
meçar analisando o risco a se enfrentar, a seguir temos um quadro que 
apresenta bem esta situação:
Quadro 3: Etapas De Condução De Um Processo De Investigação Interna
Análise de 
Risco
Feita a análise de risco por meio da qual se concluiu pela ne-
cessidade de condução de um processo de investigação, e 
sendo esse um processo que será conduzido internamente, 
deve o investigador responsável pelo caso iniciar definindo o 
seu plano de investigação.
Plano de In-
vestigação
O plano de investigação conterá, ao menos, a delimitação do 
escopo e do objeto da investigação, ou seja, o que se pre-
tende investigar e a lista de atividades que serão executadas 
durante o trabalho a fim de alcançar tal objetivo. Importante 
reforçar que o plano não é um documento estático e que 
deverá ser atualizado com base nos resultados que forem 
obtidos ao longo do processo de investigação interna.
Revisão de 
Documentos
Na lista de atividades deve ser incluída, entre outras, a revi-
são de documentos relacionados ao caso em tela, que deve-
rão ser identificados e preservados durante toda a investiga-
ção, podendo esses documentos ser relatórios financeiros, 
livros contábeis, e-mails, dados físicos e/ou eletrônicos.
48
C
O
M
P
LI
A
N
C
E
 D
IG
IT
A
L 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
Levantamen-
to dos Envol-
vidos
Após a verificação documental, deve o investigador listar as 
pessoas que podem estar envolvidas no caso ou que podem 
ter informações que auxiliarão no processo de investigação 
interna e que, portanto, deverão ser entrevistadas.
Entrevistas
A entrevista é uma das principais etapas de um processo 
de investigação e deve ser conduzida com muito cuidado, 
devendo-se evitar qualquer ato de constrangimento do en-
trevistado, considerando os limites estabelecidos pelas leis 
trabalhistas locais. De toda forma, a condução da entrevista 
deve seguir o que foi definido no protocolo de investigação, 
ou seja, qual a sequência e o local da realização das entre-
vistas, se ela será ou não gravada, se haverá um termo no 
final, quem deve participar da entrevista, entre outros.
Segunda 
Rodada de 
Revisão de 
Documentos
Em muitos casos, como resultado das entrevistas, pode sur-
gir a necessidade de uma nova rodada de revisão de docu-
mentos que não haviam sido verificados anteriormente, ou, 
inclusive, que foram enviados pelos entrevistados como evi-
dência do que foi relatado na entrevista.
Preparação 
do Relatório 
Final
Finalizadas essas etapas, normalmente é o momento de 
preparar o relatório final, no qual se deve incluir o foco da 
investigação, as etapas conduzidas no processo e as con-
clusões obtidas.
Definição de 
Perguntas 
para o Rela-
tório Final
Em muitas empresas, o protocolo de investigações já define 
quais perguntas deverão ser respondidas no relatório final, 
como, por exemplo, se foi confirmada total ou parcialmente 
a violação, se é necessário que o caso passe por um comitê 
de remediação, qual foi a remediação definida para o caso 
em tela, entre outras.
Registro Total 
das Ativida-
des
Finalmente, é importanteque todas as etapas definidas para 
o caso em questão, bem como as evidências que foram co-
lacionadas sejam devidamente registradas pelo investigador 
de maneira transparente e completa, de tal modo que, tan-
to a auditoria interna da empresa quanto qualquer auditoria 
externa ou monitoria que a empresa venha a sofrer, tenha 
como verificar os passos do investigador na condução da 
investigação e as conclusões obtidas no caso. Em outras 
palavras, o relatório final deve conter elementos suficientes 
a poder permitir que qualquer pessoa que não tenha partici-
pado do processo de investigação possa chegar às mesmas 
conclusões a que chegaram os investigadores diante dos 
mesmos fatos e evidências.
Fonte: Adaptado de Franco (2020, pg. 140)
49
C
O
M
P
LI
A
N
C
E
 D
IG
IT
A
L 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
Assim como manda o bom senso (e não somente porque o 
compliance determina) a empresa que toma conhecimento de um cri-
me, deve agir prontamente e promover a mais completa e pertinente 
investigação, e de acordo com Lima (2017, online):
Uma investigação interna robusta pode resultar em benefícios concretos 
para a empresa, já que a resposta adequada a eventuais alegações ou ocor-
rências de atos lesivos é considerada pelas principais leis internacionais 
anticorrupção como um elemento essencial para que um programa de com-
pliance seja efetivo. Além disso, com uma investigação interna robusta, as 
empresas poderão decidir melhor sobre a conveniência de cooperação vo-
luntária ou acordo de leniência.
Aplicar conceitos como Governança Corporativa e Complian-
ce tem por objetivo melhorar a imagem da empresa para seu público 
interno: empregados, gerentes e diretores, e para seu público externo: 
governo, clientes, outras empresas do ramo e investidores.
Assim, além de robusto, o processo investigativo, dentro do 
compliance, deverá observar critérios como o da confidencialidade de 
forma a promover uma triagem a fim de priorizar o que deve investi-
gar, tal como afirma LEC (2019, online). Ainda, conforme conceitua LEC 
(2019, online):
Isso é necessário porque, do contrário, a investigação pode pôr em risco a 
imagem dos investigados, dos denunciantes e da própria empresa. Além dis-
so, se a investigação não for sigilosa, as pessoas envolvidas podem começar 
a esconder ou destruir provas e evidências ou até ameaçar testemunhas, 
atrapalhando o processo.
Dessa forma, alguns pontos devem ser considerados durante 
as investigações internas de compliance:
• a vida pessoal e a privacidade das pessoas não devem ser investigadas;
• é preciso ter um motivo justo para dar início ao processo;
• os equipamentos, os sistemas e toda a infraestrutura da empresa podem 
ser usados, desde que não haja uma expectativa de privacidade;
• a empresa deve fornecer todos os meios para garantir o sigilo e o tempo 
necessário para a investigação. (LEC, 2019, online):
50
C
O
M
P
LI
A
N
C
E
 D
IG
IT
A
L 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
Existe um efeito colateral do compliance, e que vai além do fato 
de poder expor demasiadamente a empresa e seus problemas, é o fato 
de poder contribuir para uma constante avaliação dos procedimentos da 
empresa para com o compliance em si. Um conceito que surge dentro 
das questões de investigação e compliance é o Due Diligence, que de 
acordo com LEC (2019a, online)
O Due Diligence é o processo estruturado de estudo, auditoria, investigação 
e avaliação de riscos e oportunidades em operações empresariais. Pode ser 
traduzido como “diligência prévia” ou “diligência devida”, mas, embora trans-
mitam a ideia de zelo e cuidado, não substituem integralmente a expressão 
da língua inglesa.
Perceba que o processo está ligado a avaliar a posição jurídica 
e financeira da empresa. Além disso, em casos como o do setor fiscal, 
as duas coisas caminham lado a lado. Ou seja, é possível olhar o cum-
primento das obrigações tributárias tanto do ponto de vista de atender 
às normas legais como do seu peso nas economias da organização. 
(LEC, 2019a, online). Ainda de acordo com LEC (2019a, online) com-
pliance e Due Diligence devem ser realizados em conjunto:
Também há casos em que o foco é expandido para além dos atos contrários 
à legislação. Por exemplo, se uma empresa tem um programa de complian-
ce, certamente haverá a recomendação de adoção de um processo de Due 
Diligence para verificar se os fornecedores são compatíveis com os níveis 
éticos esperados.”. 
A seguir temos algumas das aplicações do Due Diligence:
Quadro 4: Aplicações do Due Diligence
Fusões e aquisi-
ções
A primeira ocorre quando uma organização deseja com-
prar ou unir-se a uma empresa já existente. Afinal, a 
operação pode contaminar o negócio atual e é preciso 
verificar a consistência das declarações da outra parte. 
Assim, a Due Diligence investiga o cenário financeiro, 
fiscal e jurídico do pretendente, indicando e precificando 
riscos, inclusive, problemas de compliance. 
51
C
O
M
P
LI
A
N
C
E
 D
IG
IT
A
L 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
Desenvolvimen-
to de estratégia
A Strategic Due Diligence (SDD) é uma aplicação re-
lacionada a verificar a consistência da estratégia or-
ganizacional. Isto é, se o plano estabelecido, uma vez 
confrontado com riscos e oportunidades, é concretizável. 
Um exemplo é o próprio crescimento por fusões e aquisi-
ções, mas podemos citar outros como o desenvolvimen-
to de um produto ou serviço e a mudança de segmento 
de mercado. 
Escolha de for-
necedores
Outra aplicação de Due Diligence abrange as pessoas e 
organizações que contratam com a empresa. Aqui, em-
bora seja importante antecipar o mau estado financeiro 
de um parceiro, o foco pode ser mesmo o compliance. 
Por exemplo, se um fornecedor se utiliza de corrupção 
para obter vantagens indevidas, o prejuízo pode atingir 
seus clientes, dependendo do tipo de vínculo existente 
entre as empresas. Essa é a Due Diligence frequente-
mente enfrentada nos cursos de compliance anticorrup-
ção e que faz parte do dia a dia de um profissional de 
compliance.
Análise preven-
tiva
Por fim, o processo pode ser utilizado para analisar 
riscos e oportunidades jurídicas, fiscais e contábeis in-
ternas. Em muitos casos, como abordaremos a seguir, a 
ferramenta integra as medidas para garantir que a em-
presa esteja em compliance.
Fonte: Adaptado de LEC (2019a, online)
Aplicando o compliance, bem como o Due Diligence a empresa 
tem uma melhor capacidade de atuar de forma precisa nas suas zonas 
de incerteza, e com isso fornecendo melhor transparência de suas ativi-
dades, da forma com que conduz suas crises, enfim, se tornando mais 
atrativa a todos stakeholders.
52
C
O
M
P
LI
A
N
C
E
 D
IG
IT
A
L 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
QUESTÕES DE CONCURSOS
QUESTÃO 1
Ano: 2016 Banca: FUNDEP (Gestão de Concursos) Órgão: IFN-
-MG Prova: Técnico de Tecnologia da Informação
Qual dos itens a seguir não está presente nas questões tipicamen-
te observadas nos processos Due diligence?
a) Financeiras
b) Administrativas
c) Técnicas
d) Recursos humanos
QUESTÃO 2
Ano: 2017 Banca: IADES Órgão: PC-DF Prova: Perito Criminal - Ve-
rificação de Aprendizagem
A primeira etapa de um exame pericial de informática é referente 
à aquisição de dados. Já a segunda etapa é relativa à análise do 
material extraído em busca de dados relevantes. Os dois modos de 
trabalho para a segunda etapa são a análise
a) direta e a controlada.
b) subtrativa e a apositiva.
c) física e a comportamental.
d) live e a post mortem.
e) interpolada e a hash.
QUESTÃO 3
Ano: 2019 Banca: IADES Órgão: BRB Prova: Advogado
Práticas de compliance contribuem para gerenciar riscos internos 
e externos que podem comprometer os resultados organizacio-
nais. Entre os riscos externos que podem afetar a instituição e que 
são passíveis de gerenciamento por práticas de compliance, é cor-
reto destacar
a) a perda da reputação e os prejuízos à imagem institucional.
b) os desperdícios operacionais na execução de serviços.
c) o aumento de conflitos interpessoaisna equipe.
d) a redução da produtividade.
e) o aumento dos custos de transação.
QUESTÃO 4
Ano: 2017 Banca: IESES Órgão: ALGÁS Prova: Analista de Proje-
tos Organizacionais - Jurídica
Sobre “compliance” podemos afirmar:
53
C
O
M
P
LI
A
N
C
E
 D
IG
IT
A
L 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
I. O termo compliance tem origem no verbo em inglês to comply, 
que significa agir de acordo com uma regra, uma instrução interna, 
um comando ou um pedido.
II. Estar em compliance ou manter a empresa em conformidade sig-
nifica atender aos normativos dos órgãos reguladores, de acordo 
com as atividades desenvolvidas pela sua empresa, bem como dos 
regulamentos internos, principalmente aqueles inerentes ao seu 
controle interno.
III. O termo compliance tem origem no verbo em inglês to comply, 
que significa conformar-se, ou seja, numa empresa seria a acei-
tação do status quo, sem a necessidade de promover mudanças 
mesmo sabendo que algo está errado.
IV. Além de manter as informações seguras e seu negócio sem-
pre funcionando, as organizações precisam mostrar, e comprovar, 
para o mercado que estão adotando as boas práticas. Para isso as 
organizações precisam estar em conformidade, ou em compliance.
A sequência correta é:
a) Apenas as assertivas I, II e IV estão corretas.
b) Apenas as assertivas I e III estão corretas.
c) Apenas a assertiva III está correta.
d) Apenas as assertivas I e IV estão corretas.
QUESTÃO 5
Ano: 2018 Banca: IADES Órgão: APEX Brasil Provas: Analista - Ju-
rídico 
Assinale a alternativa que apresenta um objetivo do compliance.
a) Transformar as empresas e os respectivos colaboradores em profun-
dos conhecedores das regras penais e administrativas associadas ao 
segmento em que atuam.
b) Converter os colaboradores da organização em especialistas no 
combate à corrupção.
c) Dar orientação consistente aos colaboradores de como se conduzi-
rem no exercício de sua atividade, evitando que incorram em ilicitudes.
d) Converter os colaboradores da organização em defensores da livre 
concorrência.
e) Tornar os colaboradores especialistas em ética
QUESTÃO DISSERTATIVA – DISSERTANDO A UNIDADE
A tecnologia e as mudanças sociais apontam para um novo horizonte, 
no qual a informação pessoal, privacidade, tem de ser preservadas, evi-
tando danos e prevenindo riscos, chamando a atenção dos operadores 
54
C
O
M
P
LI
A
N
C
E
 D
IG
IT
A
L 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
jurídicos a uma atuação baseada dentro de uma ética de responsabili-
dade, que evidencie o monitoramento das inovações tecnológicas, com 
segurança jurídica, utilizando o compliance digital como ferramenta de 
gestão para auxiliar nesse processo. 
Sobre o enunciado, comente acerca da evolução brasileira em com-
pliance a partir da Lei Anticorrupção Brasileira.
TREINO INÉDITO
Tendo em vista o Estado não conseguir acompanhar novas condutas 
fraudulentas e
criminosas que surgem rotineiramente, há a necessidade de utilização 
e aproximação de mecanismos de:
a) direito privado.
b) direito público.
c) direito constitucional.
d) direito de investigação de provas digitais.
e) direito supremo.
NA MÍDIA
MANUAL DE COMPLIANCE
Este artigo tem como finalidade instruir tanto os profissionais que estão 
começando a ter contato com o tema, quanto trazer novas perspectivas 
e padrões para as pessoas que já trabalham na área e já tiveram algu-
mas experiências práticas, e querem maior embasamento para fazer as 
melhorias contínuas nas suas áreas de atuação. Iniciamos com os con-
ceitos acerca de Ética e Compliance, passando por várias definições 
comuns. Incluímos as leis e regulamentações que regem este assunto 
em artigos especiais. Abrimos em outras vertentes, tais como, corrup-
ção, fraude, suborno entre outras. Trazemos também o conceito da go-
vernança corporativa que é chave nas interações com as organizações 
e seu tom em relação ao tema. Este compromisso da liderança com 
relação a Ética e Conformidade é o ponto principal para uma evolução 
da empresa em sua cultura de ética e conformidade, onde todos estão 
preparados a responder a situações que se apresentem e que poderiam 
ter um impacto negativo caso não encaminhadas corretamente ou a um 
dilema ético, que, se tratado de forma equivocada, pode destruir a repu-
tação de uma empresa. Destacamos que este trabalho é um compilado 
de vários conceitos e melhores práticas e como resultado da experiên-
cia e padrões utilizados pelos seus autores.
55
C
O
M
P
LI
A
N
C
E
 D
IG
IT
A
L 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
Fonte: Via Ética
Data: 2018.
Leia a notícia na íntegra: https://viaetica.com/images/Manual-de-Com-
pliance-Amostra.pdf 
NA PRÁTICA
Uma pessoa só entra no jogo da corrupção porque ele dá resultado. 
Empresários com convicções éticas acabam tomando decisões ilícitas 
sob três justificativas: 1) eu não estou fazendo nada tão errado assim; 2) 
se eu não fizer, outros vão fazer e 3) estou fazendo isso pela empresa; 
se me pegarem ela vai me proteger”.
Com essas palavras o professor de governança corporativa da Funda-
ção Dom Cabral Dalton Sardenberg resumiu o mecanismo por trás de 
muitos dos escândalos de corrupção e fraude envolvendo empresas do 
setor público e privado que têm varrido o país nos últimos anos. Para 
ele, o momento de fazer justiça que o Brasil atravessa é necessário 
para “nos tornamos uma nação que faz negócios de forma correta”.
PARA SABER MAIS
Filme sobre o assunto: Escândalos tornam compliance imperativo — 
para empresas e governos
Jornal eletrônico: Exame
Acesse os links: https://exame.com/negocios/escandalos-tornam-
-compliance-imperativo-para-empresas-e-governos/ 
56
C
O
M
P
LI
A
N
C
E
 D
IG
IT
A
L 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
PRESERVAÇÃO DE PROVAS DIGITAIS 
Com a popularização da internet pelo mundo nasceram muitos 
negócios, empresas e clientes passaram a se fazer valer mais efetiva-
mente da globalização e com isso os negócios passaram a transpor as 
barreiras do idioma e das fronteiras entre os países. No entanto, junto 
com todo este novo comércio, nasceram os crimes virtuais. Os crimes 
virtuais nasceram como uma versão digital de crimes no mundo real 
como o roubo de documentos, de dinheiro, por exemplo. Contudo, nas-
ceram também crimes que se faziam valer de especificidades de seu 
ambiente digital como a invasão de computadores, etc.
Conforme os anos foram passando se viu a necessidade de se 
encontrar mecanismos e sistemas que impedissem os crimes virtuais 
e dentro destes podemos citar os softwares de antivírus, softwares e 
BENEFÍCIOS &
OBJETIVOS
C
O
M
P
LI
A
N
C
E
 D
IG
IT
A
L 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
57
C
O
M
P
LI
A
N
C
E
 D
IG
IT
A
L 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
equipamentos de firewall (sistemas que permitem completo controle do 
tráfego de arquivos e conexões que entra e sai de um computador ou 
rede de computadores). Outro ponto de elevada demanda no Brasil foi a 
criação de legislação que punisse os crimes virtuais. Embora outros paí-
ses, como os Estados Unidos da América, tratem crimes virtuais como 
qualquer outro dentro de suas leis, no Brasil, novas leis foram criadas e 
este processo foi bastante tardio.
No ano de 2012 foi promulgada a Lei dos Crimes Cibernéticos 
(Lei 12.737/2012), conhecida como Lei Carolina Dieckmann, apelidada 
em nome da atriz que foi chantageada por hackers (invasores de siste-
mas) ao ter seu computador invadido e fotos roubadas. Esta lei pode ser 
considerada a primeira legislação específica sobre crimes cibernéticos 
no Brasil e mesmo mais de 8 anos depois de sua promulgação não ti-
vemos muito progresso e o país ainda é deficiente em legislações que 
protejam pessoas e empresas destes ataques virtuais.
A medida que a informática evolui, evolui também as técnicas 
dos criminosos virtuais, o que torna a tarefa dos desenvolvedores de 
segurança cada vez mais penosa e complexa. Neste meio, existem os 
profissionais que possuem técnicas forenses de investigação e que 
conseguem descobrir e registrar atividadescriminosas em meio digital 
ao ponto de seu trabalho ser altamente eficiente juridicamente, ou seja: 
suas descobertas se tornam provas em tribunais.
Antes de adentrar na preservação de provas digitais é neces-
sário conceituar rapidamente o que é algo tangível e algo intangível, 
onde simplesmente tangível é tudo que podemos tocar, algo físico como 
os produtos de uma empresa, e intangível é algo que existe mas que 
não se pode tocar, como a marca da empresa, o que esta marca repre-
senta.
Portanto o mundo dos crimes virtuais complicou a questão ju-
rídica das provas materiais ao impor mudança em seus conceitos para 
que sejam admitidas, nos tribunais, provas digitais, intangíveis. Embora 
tudo o que é digital seja armazenado em algo físico, sistemas são com-
postos de arquivos e tanto os sistemas quanto os arquivos não podem 
ser tocados, são intangíveis.
Portanto, a atuação do especialista forense computacional será 
a de registrar e preservar as evidências digitais dos crimes cibernéticos, 
e neste sentido, Pereira e Oliveira (2019) afirma que as técnicas a se-
rem utilizadas, dependerão da forma e do tipo do crime em questão. Se 
o crime for, por exemplo, uma invasão, um acesso não autorizado, as 
evidências a serem coletadas e preservadas pelo perito estão relacio-
nadas aos registros de acesso que podem ser encontrados nas evidên-
cias de conexão e em alterações em arquivos confidenciais, bem como 
58
C
O
M
P
LI
A
N
C
E
 D
IG
IT
A
L 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
logs (registros de históricos de acesso, por exemplo) e até arquivos que 
foram roubados. 
Assim, o perito deve tratar as evidências da forma com que são 
construídas: por serem evidências digitais, a sua investigação, a coleta 
e a preservação serão feitas em meio digital. Em outro exemplo, se o 
crime for relativo a pornografia, neste caso o perito deverá partir para a 
identificação de arquivos e sistemas comumente utilizados neste crime 
como imagens, vídeos, mensagens. (PEREIRA; OLIVEIRA; 2019)
Em crimes virtuais, se o criminoso tem consciência que está 
prestes a ser descoberto ou que teme por tal evento e decide evadir, 
provavelmente tentará de várias formas eliminar os rastros de suas ati-
vidades criminosas, que em meio digital podem ser moderadas como a 
formatação e consequente eliminação de arquivos e sistemas em meio 
eletrônico, ou medidas mais drásticas como a destruição magnética de 
dispositivos de armazenamento como discos rígidos e mídias móveis 
como CD´s e DVD´s.
Se o criminoso abandona o equipamento de onde perpetra 
seus crimes em funcionamento, ou que tal equipamento seja apreen-
dido inalterado, o perito tem a oportunidade de promover o que se de-
nomina análise ao vivo e com isso tem a capacidade de se identificar 
processos em execução, bem como portas de conexão ainda abertas 
com a rede. (PEREIRA; OLIVEIRA; 2019)
Desta forma a análise ao vivo tem por foco a máxima preserva-
ção da evidência de forma a não se alterar logicamente dos dados que 
estão sendo coletados e de preferência que não se perda nenhum dado 
no processo. Para que dados de uma investigação de forense compu-
tacional não sejam perdidos entra em cena o que se nomeia cadeia de 
custódia, uma das principais atribuições do perito em forense computa-
cional. (PEREIRA; OLIVEIRA, 2019)
De acordo com Pereira e Oliveira (2019, pg. 214) a Cadeia de 
Custódia representa “um registro detalhado das evidências que foram 
coletadas. Este processo de registro deve conter:”
• A identificação de todas as evidências coletadas;
• As informações de quais pessoas tiveram acesso às elas (no momento do 
flagrante);
• Onde elas estavam (fisicamente) no momento da coleta; 
• Registro de trânsito das evidências entre os peritos e mídias.
Com os cuidados descritos as provas custodiadas se tornam 
juridicamente eficazes e facilitam nos processos de investigação de cri-
mes cibernéticos, o que evita questionamentos durante procedimentos 
jurídicos. Com isso o procedimento a ser realizado pelo perito não se 
59
C
O
M
P
LI
A
N
C
E
 D
IG
IT
A
L 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
distancia de outros procedimentos em crimes não cibernéticos, como 
nos apresenta Souza (2017 apud PEREIRA; OLIVEIRA, 2019, pg. 213):
O perito deve fazer a coleta de acordo com a ordem de volatilidade, consi-
derando primeiramente dados mais efêmeros e depois os equipamentos que 
devem ser embalados, etiquetados e suas identificações registradas para a 
realização do exame. Qualquer erro nessa fase prejudicara todo o andamen-
to da investigação, pois qualquer falha na coleta dos dados irá comprometer 
na decisão da justiça; 
Embora a intangibilidade das provas digitais incomode o cida-
dão menos conectado e menos letrado das técnicas de perícia e foren-
se computacional, Ribeiro (2020) é enfático ao argumentar que as pro-
vas digitais são plenamente admitidas em investigações de crimes, mas 
que devido a peculiaridade do meio com que são obtidas, deve-se ter 
grande cuidado em sua preservação que não ocorre como em evidên-
cias físicas comuns, e portanto não segue os mesmos procedimentos, 
bem como os protocolos periciais na Cadeia de Custódia destas provas.
Outro ponto intrigante sobre o distinto processo de investiga-
ção pericial de crimes cibernéticos e com isso da preservação de suas 
evidências está no fato de que os meios para esta preservação neces-
sitam de um nível maior de segurança pois correm o risco de sofrer os 
mesmos crimes que as evidências apresentam como sequestro de da-
dos ou invasões que visam danificar equipamentos. Além da segurança, 
as provas digitais devem ser armazenadas de maneira adequada para 
que possam ser material em ação judicial como prova do crime. 
De acordo com Amaral (2019) para uma boa preservação de 
evidências, provas digitais, é necessário que medidas de segurança se-
jam adotadas, como medidas que visam evitar a perda de dados que 
podem ser feitas de diversas formas. Assim, o armazenamento de ar-
quivos em nuvem é comumente reconhecido como uma maneira segura 
de se armazenar provas digitais, pois devido a elevada segurança e as 
redundâncias dos servidores de serviços em nuvem, em caso de danos 
catastróficos ao hardware (componentes físicos do computador) o ar-
mazenamento se mantém seguro.
Um dos grandes desafios das provas digitais é o mesmo pro-
blema das provas físicas: a preservação do local onde estão tais pro-
vas. No mundo físico isolar um local é, na maioria das vezes o suficiente 
para que provas sejam coletadas com segurança, mas no mundo digital 
60
C
O
M
P
LI
A
N
C
E
 D
IG
IT
A
L 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
isso requer algo mais robusto do que somente isolar o local, ou sistema 
afetado. No caso digital a preservação de provas dependerá da pre-
servação do sistema onde estão, uma vez que nem sempre é possível 
remover a prova do sistema, apenas fazer uma cópia.
De forma a tornar juridicamente válidas as provas obtidas em 
meio digital, é necessária a normatização, que no Brasil é obtida pelo 
uso da norma ISO/IEC 27037:2013, que de acordo com Oliveira (2019, 
online) tem por objetivo “padronizar o tratamento de evidências digitais, 
processos esses fundamentais em uma investigação afim de preservar 
a integridade da evidência digital.”. Esta norma é o resultado de uma 
cooperação entre a ISO (Organization for Standardization, ou Organi-
zação Internacional de Normalização), junto com a ABNT (Associação 
Brasileira de Normas Técnicas):
Esta norma [ISO/IEC 27037:2013] assegura que os indivíduos gerenciem a 
evidência digital por meio de métodos práticos aceitáveis mundialmente, com 
o objetivo de padronizar a investigação envolvendo dispositivos digitais e/
ou evidências digitais de maneira sistemática e imparcial, com o objetivo de 
preservar a sua integridade e autenticidade. (OLIVEIRA, 2019, online)
De acordo com o item 1.2.4 da norma, a respeito da Preserva-
ção, temos que Oliveira (2019, online) apresenta como: 
Convém que a evidência digital seja semprepreservada para garantir sua 
integridade como “objeto” questionado. O processo de preservação envolve 
a guarda da potencial evidência digital assim como o dispositivo digital que 
pode conter a evidência digital contra espoliação ou adulteração. Recomen-
da-se que não haja espoliação aos dados em si ou a quaisquer metadados 
associados a ele (data e horário por exemplo). Convém o agente seja capaz 
de demonstrar que a evidência não foi modificada, desde que ela foi coletada 
ou adquirida, ou de fornecer os fundamentos e ações documentadas se alte-
rações inevitáveis forem realizadas.
Assim, é necessário que o perito compreenda, entre diversos 
outros aspectos da norma, aqueles que são fundamentais ao correto 
tratamento das provas digitais, como concentrado no quadro a seguir:
61
C
O
M
P
LI
A
N
C
E
 D
IG
IT
A
L 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
Quadro 5: quatro aspectos fundamentais no tratamento da evidência digital
Item Aspecto Descrição
1.1.1 Auditabilidade
Possui o intuito de determinar se o método cien-
tífico, técnica ou o procedimento foi adequada-
mente seguido. É altamente recomendado que os 
processos realizados sejam documentados para 
uma avaliação nas atividades realizadas.
1.1.2 Repetibilidade
Este conceito é considerado quando os mesmos 
resultados de testes são produzidos utilizando os 
mesmos procedimentos e métodos de medição, 
utilizando os mesmos instrumentos e sob as mes-
mas condições; e pode ser repetido a qualquer 
tempo depois do teste original.
1.1.3 Reprodutibilidade
Este conceito é válido quando os mesmos resul-
tados são produzidos utilizando diferentes instru-
mentos, diferentes condições; e a qualquer tem-
po. Exemplo: Comparando as strings de Hash.
1.1.4 Justificabilidade
Este conceito tem como objetivo justificar todas 
as ações e métodos utilizados para o tratamento 
da evidência digital. A justificativa pode será con-
siderada demonstrando que a decisão foi a me-
lhor escolha para obter toda a potencial evidência 
digital.
Fonte: Oliveira (2019, online)
De acordo com Oliveira (2019, online) “Na etapa de preserva-
ção da potencial evidência digital e de dispositivo digital, é importante 
manusear e acondicionar estes artefatos de um modo que seja mini-
mizada a possibilidade em espoliação ou adulteração.”. Atualmente as 
tecnologias informáticas estão em um elevado estado de amadureci-
mento, mas ainda se pode observar a fragilidade, principalmente em 
dispositivos de armazenamento como discos rígidos, pen drives, etc. 
que são muito sensíveis a magnetismo, e com isso a de ser maior cui-
dado em acondicionar tais dispositivos.
Em filmes de ficção científica ou que envolva situações onde 
são vistos cibercrimes ocorrendo é comum observar a utilização de 
magnetismo como forma de se destruir por completo os dados de um 
disco rígido, bem como danificar outros componentes, pois o magnetis-
mo é reconhecido como um inimigo de equipamentos eletrônicos, prin-
cipalmente aqueles que possuem processador e armazenamento.
62
C
O
M
P
LI
A
N
C
E
 D
IG
IT
A
L 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
Com isso, de acordo com Oliveira (2019) é de grande impor-
tância que o manuseio das cópias das evidências, bem como os dados 
originais sejam feitos apenas quando estritamente necessários, pois se 
detectada alguma alteração ou mudança tal prova se inviabiliza:
A atividade mais importante no processo de preservação é manter a integri-
dade e autenticidade da evidência digital e sua cadeia de custódia. Convém 
que o dispositivo digital coletado e a evidência digital adquirida sejam arma-
zenados em uma instalação adequada, com controle de segurança física, 
controle de acessos, sistemas de vigilância ou sistemas de detecção de in-
trusão ou outro controle de ambiente para preservação da evidência digital. 
Tendo como objetivo a segurança física para proteger e prevenir perdas, da-
nificações e adulterações, assim como, caso necessário garantir a auditabili-
dade. (OLIVEIRA, 2019, online)
Devido às diferenças entre provas físicas e digitais, a preser-
vação também é diferente pois a manutenção de suas condições e pro-
priedades tende a sofrer com diferentes condições e elementos. Porém, 
uma startup está inovando neste aspecto ao desenvolver um sistema 
que ajuda as vítimas de crimes virtuais a registrar provas digitais de 
forma que tenham valor jurídico.
Embora soe diferente, a preservação de provas digitais é ape-
nas uma forma virtual, digital de preservação de provas, mas é neces-
sário seu correto processamento. Assim como um juiz não vai aceitar 
um documento que não foi periciado, não aceitará um pen drive sem ori-
gem confirmada mesmo que contenha informações válidas. Preservar 
tem o mesmo significado que legitimar algo, neste caso juridicamente.
A empresa Verifact, de acordo com Acutu (2018, online) com 
sua startup desenvolveu uma tecnologia desenhada especificamente 
para que provas digitais sejam registradas com elevada eficiência, se-
gurança e respeitando normas técnicas e jurídicas. Com isso, qualquer 
usuário, com ou sem conhecimento técnico, pode registrar provas di-
gitais com técnica pericial, com recurso oficial e tudo de acordo com a 
metodologia de preservação de integridade destas provas e com alta 
segurança.
63
C
O
M
P
LI
A
N
C
E
 D
IG
IT
A
L 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
De acordo com Verifact Tecnologia (2020, online) “A coleta 
das provas dos vídeos no Youtube foi feita através do uso da tecnolo-
gia da Verifact. O advogado registrou os materiais por uma plataforma 
online, acessada por um computador com internet”. Este sistema age 
conforme os conceitos e técnicas que agiria um perito em forense com-
putacional de forma a não só permitir o registro, mas capta e armazena 
as provas de forma legal, juridicamente válida e extremamente segura.
FERRAMENTAS DE FORENSE COMPUTACIONAL.
À medida que toda uma série de crimes passa a ocorrer de 
maneira diferente, em meio diferente do que em meios tradicionais, é 
natural que seja necessário o desenvolvimento de técnicas, conceitos 
e ferramentas que permitam a estes crimes a mesma eficiência investi-
gativa que de crimes comuns e que já possuem sua ciência e técnicas 
bem estabelecidas.
Estamos falando aqui da Ciência Forense Digital, ou Forense 
Computacional, que trata de desenvolver as técnicas necessárias para 
que as investigações de cibercrimes sejam conduzidas com a mesma 
diligência que de crimes não digitais e de acordo com Silva et al. (2020) 
“[...] o mapeamento dos registros das tecnologias, nesse caso as paten-
tes ligadas à área, provê informações sobre os provedores das tecno-
logias da Computação Forense e possíveis tendências tecnológicas.”
O mundo digital é literalmente um mundo conectado e por este 
motivo toda e qualquer atividade que nele ocorra é registrada de alguma 
maneira. Com a técnica Forense Computacional é possível encontrar a 
origem da mais astuta atividade hacker e com isso encontrar o criminoso.
De acordo com Silva et al. (2020, pg. 10) a Forense Compu-
tacional se origina da Forense Clássica e “[...] se caracteriza como um 
conjunto de técnicas elaboradas e conceitos, de modo a coletar evi-
dências digitais capazes de identificar a condição criminal ocorrida em 
aparelhos eletrônicos computacionais.”.
Com isso temos que a Forense Computacional representa uma 
área a investigação responsável pelos métodos a serem utilizados em 
64
C
O
M
P
LI
A
N
C
E
 D
IG
IT
A
L 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
crimes virtuais, investigações de fatos nestes crimes virtuais e onde os 
peritos se fazem valer de diversos procedimentos e regras para não 
somente encontrar o criminoso, mas para que seja feito de maneira 
juridicamente aceita. (PEREIRA; OLIVEIRA, 2019).
De acordo com Pereira e Oliveira (2019, pg. 213) “[...] a mo-
dalidade de perícia criada para combater os crimes digitais, utilizando 
análises e métodos na busca de identificar e coletar evidências compro-
vadas e eficientes.” Assim, podemos identificaras fases essenciais de 
uma investigação em Forense Computacional:
Quadro 6: Fases da Perícia Forense
Coleta
Fase em que o perito realiza busca, coleta e catalogação de da-
dos que podem ser considerados ativos e inativos, ou seja, explí-
citos e ocultos, devendo os mesmos serem preservados. 
Exame
Fase para procurar os dados, fotos, vídeos e informações escon-
didas nas evidências coletadas, selecionando e utilizando ferra-
mentas e também técnicas para extração de informações impor-
tantes para o caso sempre mantendo a integridade das mesmas.
Análise Fase que realiza exames sobre evidências importantes e relevan-tes para a investigação.
Relatório
Fase final que realiza um relatório onde devem ser es-
critos os procedimentos usados na investigação, quais os dados 
que foram recuperados durante a mesma contendo relevância 
para o caso. O relatório deve ser produzido com escrita adequa-
da que garanta a compreensão e o entendimento por parte de 
todos.
Fonte: Souza (2017, apud Pereira e Oliveira (2019, pg. 213)
Podemos conceituar crime cibernético, ou cibercrime como a 
modalidade de crime que ocorre envolvendo elementos computacionais 
como computadores, redes de computadores, smartphones, tablets, en-
fim, dispositivos que permitam, via meio eletrônico, acesso não autori-
zado que cause danos a pessoas e a empresas.
65
C
O
M
P
LI
A
N
C
E
 D
IG
IT
A
L 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
Vale ressaltar que a segurança online não depende apenas de 
sistemas como antivírus e firewalls, e sim das atitudes do usuário, da 
mesma forma que os usuários de bancos tem que cuidar de seus proce-
dimentos quando usam um caixa eletrônico, por exemplo. Existem atitu-
des seguras e atitudes que favorecem o crime virtual, cabe ao usuário 
buscar saber o melhor procedimento.
A internet permite que o criminoso promova centenas de tipos 
de crimes diferentes de onde quer que esteja, e existe uma alarmante 
tendência que dita que as inovações em ataques, nos crimes digitais, 
ocorrem de maneira mais acelerada do que as tecnologias de preven-
ção, e “[...] com o passar dos tempos a pratica dos crimes vem se ino-
vando, os alvos também são variados, mas isso não quer dizer que os 
crimes tradicionais são deixados de lado, por tanto os usuários ainda 
tem que ter muito cuidado.” Pereira e Oliveira (2019, pg. 216). Podemos 
classificar os crimes cibernéticos como:
• Crime cibernético puro: É qualquer conduta envolvendo a parte de har-
dware ou software de um computador, sendo assim toda conduta praticada 
contra os componentes do computador e seus dados.
• Crime cibernético misto: É a conduta que utiliza a internet para realizar o 
crime, o foco não é computador da vítima, mas todo bem jurídico. 
• Crime cibernético comum: É a conduta que utiliza a internet como ferramen-
ta para cometer os delitos, o principal deles é a pornografia infantil onde se 
utiliza várias plataformas desde as salas de bate-papo aos e-mails.
• Crime cibernético próprio: É a conduta onde ocorre violação do sistema, 
contudo é o crime onde ocorre roubo de dados, alteração e exclusão das 
mesmas. 
• Crime cibernético impróprio: É a conduta que utiliza o computador para 
cometer o delito ao bem jurídico como forma de injuria, difamação ou fraude. 
(GIMENES, 2013, apud PEREIRA; OLIVEIRA, 2019, pg. 216)
Nunca foi tão crítica a questão dos crimes virtuais como no 
ano de 2020, onde a cada dia mais e mais serviços estão migrando 
para plataformas digitais e onde a computação em nuvem é a grande 
responsável por este movimento junto com a popularização e evolução 
dos aparelhos de telefone inteligentes, os smartphones, o que aumenta 
o campo de atuação dos criminosos digitais. Assim, é necessário um 
olhar atento das autoridades e das empresas de tecnologia para que 
66
C
O
M
P
LI
A
N
C
E
 D
IG
IT
A
L 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
sejam encontradas formas de se antever a situações de vulnerabilidade 
digital e com isso que pessoas físicas e jurídicas sejam protegidas e que 
a internet seja um benefício, não um risco. De acordo com Eleutério e 
Machado (2019, NP):
Considerando o crescente uso dos computadores e da popularização dos 
dispositivos computacionais portáteis, espera-se que novos tipos de exames 
forenses na área de informática sejam necessários em um futuro próximo. 
Da mesma forma, imagina-se que a demanda crescerá bastante nos próxi-
mos anos, pois os computadores tornaram-se um excelente mecanismo de 
investigação, sendo fundamentais para solucionar diversos tipos de delitos.
Neste cenário a Forense Computacional apresenta normas e 
procedimentos para cada modalidade de crime, bem como cada am-
biente onde este crime ocorre, pois existem distinções como, por exem-
plo, se um crime digital ocorre em um smartphone ou se ocorre em 
uma página da internet. Neste sentido, o quadro a seguir apresenta as 
principais formas de exames da Forense Computacional:
Quadro 7: Principais exames da Forense Computacional
Exames e procedi-
mentos em locais 
de crime de infor-
mática
Consistem principalmente no mapeamento, identifica-
ção e correta preservação dos equipamentos computa-
cionais, a fim de permitir a melhor seleção do material 
a ser apreendido, para serem examinados posterior-
mente em laboratório. Em alguns casos, é necessária a 
realização de exames forenses ainda no local do crime.
Exames em dispo-
sitivos de armaze-
namento computa-
cional
São os exames periciais mais solicitados na Compu-
tação Forense e consistem basicamente em analisar 
arquivos, sistmas e programas instalados em discos 
rígidos, CD´s, DVD´s, Blue-Rays, pen drives e outros 
dispositivos de armazenamento digital de dados. Estes 
exames são compostos de quatro fases (Preservação, 
extração, análise e formalização) e fazem uso de algu-
mas técnicas, como recuperação de arquivos apaga-
dos, quebra de senhas e virtualização. 
Exames em apa-
relhos de telefone 
celular
Compreendem basicamente a extração dos dados 
desses aparelhos a fim de recuperar e formalizar as 
informações armazenadas em suas memórias (lista de 
contato, ligações, fotos, mensagens etc.), de acordo 
com a necessidade de cada caso.
67
C
O
M
P
LI
A
N
C
E
 D
IG
IT
A
L 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
Exames em sites 
da internet
Consistem principalmente na verificação e cópia de 
conteúdo existente na internet, em sistes e servidores 
remotos dos mais variados serviços. Além disso, trata-
-se da investigação do responsável por um domínio de 
um site e/ou endereço IP.
Exames em men-
sagens eletrônicas 
(emails)
Correspondem basicamente à analise das proprieda-
des das mensagens eletrônicas, a fim de identificar 
hora, data, endereço IP e outras informações do reme-
tente da mensagem.
Fonte: Eleutério e Machado (2019, NP)
Portanto, as ferramentas e procedimentos tradicionais forenses 
foram portados para o mundo digital e adequados a esta nova realida-
de, sempre com a mesma pegada investigativa e com a mesma perícia 
e empenho ao se coletar e preservar as provas digitais.
O COMPLIANCE DE TI E A SEGURANÇA DE TI: DIFERENÇAS
Em um mundo cada vez mais digitalizado toda e qualquer me-
dida de segurança que a empresa providencia soa a cada momento 
menos efetiva e insuficiente. Os crimes digitais estão exigindo um pa-
cote de segurança cada vez mais extravagante e compreensivo das 
empresas e com isso temas como Compliance, Governança Corporati-
va e Segurança da Informação passam a fazer parte do vocabulário do 
empresário.
Se fizermos uma comparação com o mundo antes e depois da 
massiva popularização da internet poderemos compreender o quanto 
esta poderosa ferramenta contribuiu positivamente, ao criar novos ne-
gócios, novos mercados, aumentar a participação das empresas em 
seus mercados e agregar mercados novos, podemos notar, em pers-
pectiva que existem muito mais pontos positivos que negativos. 
A era dos negócios digitais fez nascer toda uma série de pro-
blemas de segurança, uma vez que, diferente da era pré-internet,onde 
as empresas mantinham muito mais registros no papel, em seus livros, 
etc., agora arquivos contendo muitas informações sigilosas e estratégi-
cas, estavam sendo armazenados em meio eletrônico de certa forma 
conectado à internet e assim, suscetível a iminentes ataques de hackers.
A evolução dos serviços de sistemas online que chamamos 
de computação em nuvem, também chegou criando novos mercados, 
novos negócios e infelizmente novas oportunidades de as informações 
das empresas sofrerem com danos, invasões e sequestros. Claro que 
68
C
O
M
P
LI
A
N
C
E
 D
IG
IT
A
L 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
não podemos estabelecer que a computação em nuvem seja feita sem 
segurança, pois pelo contrário, seus servidores possuem robustas tec-
nologias anti-invasão, e suas redundâncias não permitem que dados 
sejam perdidos.
Neste sentido, Cavalari (2020) afirma que a transformação di-
gital fez com que a tecnologia reorganizasse todo o mundo corporativo, 
a natureza dos negócios e onde passou a exigir das empresas interes-
sadas em embarcar nesta transformação digital o desenvolvimento de 
um ambiente capaz de incentivar a inovação. Com isso temos a visão 
de que empresas antenadas com as tecnologias passam a ter maiores 
preocupações com segurança da informação e TI a medida com que 
migram sistemas para a nuvem de computadores, embora a migração 
permita grande competitividade.
Em uma analogia, dentro da esfera da segurança, temos o co-
fre, um dispositivo símbolo de segurança, que a alguns anos era uti-
lizado com grande frequência nas empresas para o armazenamento 
de dinheiro, joias e documentos importantes. Cofres costumam estar 
dentro do espaço físico da empresa, em muitos casos na sala do diretor 
ou proprietário, e com isso se algum criminoso desejar subtrair algo que 
esteja dentro do cofre deverá fazer sua tentativa fisicamente dentro do 
estabelecimento, no cofre em si.
Para que o acesso a serviços bancários em smartphones seja 
uma experiência segura e venha a agregar à vida das pessoas é preciso 
que seja feito de forma segura por parte do usuário ao conhecer os ca-
nais corretos de acesso, como qual é o aplicativo oficial de seu banco, e 
outras medidas podem ser tomadas como saber quais os canais oficiais 
de atendimento e o que o atendimento destes canais pode perguntar ao 
usuário.
A modernidade e os bancos mudaram este cenário dos cofres 
e agora não é tão comum, muito menos prático armazenar dinheiro em 
um cofre nas dependências da empresa, isso agora é feito no banco 
e os recursos financeiros ficam disponíveis a qualquer momento e em 
qualquer lugar onde se tenha um dispositivo com internet como smar-
tphone, por exemplo.
69
C
O
M
P
LI
A
N
C
E
 D
IG
IT
A
L 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
Todavia, agora que o dinheiro da empresa está acessível on-
line, criminosos podem tentar subtrair este recurso financeiro por meio 
eletrônico sem precisar invadir fisicamente a empresa, sem precisar 
render seguranças, derrubar grades e cercas, apenas precisam de 
acesso ao sistema do banco e expertise para tal.
Bancos são seguros, mas existem notícias de invasões e da-
nos ao patrimônio de seus clientes, o ponto a observar aqui é que a 
vulnerabilidade da empresa online é maior, e com isso os métodos de 
segurança devem acompanhar este fator. Portanto a segurança digital 
ganha maior importância em um universo de empresas digitais, e neste 
sentido Cavalari (2020, pg. 47) afirma que:
Atualmente os dados corporativos das organizações encontram-se armaze-
nados em diferentes ambientes: servidores da empresa ou em nuvem, no-
tebooks, celulares, tablets, smartwatchs, pendrives e aplicações de Internet, 
corporativas ou muitas vezes particulares. Fato é que, nos dias atuais, What-
sApp, Facebook e LinkedIn, por exemplo, são ferramentas utilizadas, ao 
mesmo tempo, para marcar o jantar com a família e fechar grandes negócios.
Assim, tanto as empresas quanto os criminosos, observaram 
as maravilhas do universo da rede mundial de computadores, a internet, 
e de como podem obter vantagem, o que faz do lado empresarial ter 
que promover a implementação de ferramentas e procedimentos de se-
gurança, já do lado criminoso, o desenvolvimento constante de técnicas 
de invasão de sistemas. 
Outro ponto que passou a receber grande atenção pelos de-
senvolvedores de soluções de segurança veio da crescente utilização 
de processamento em nuvem, ou seja: a empresa passa a executar sua 
carga de processamento que antes se dava em sistema local, para um 
sistema que funciona dentro de um servidor virtual em nuvem.
Este novo detalhe causou grande preocupação para quem lida 
com segurança da informação e de TI, pois passou a ter que proteger 
dados antes desconectados e que agora precisam trafegar com segu-
rança pela internet. Ainda sobre a questão dos dados, de acordo com 
Cavalari (2020, pg. 47) apresenta o Big Data como elemento de impor-
tância à segurança da informação:
Com o aumento da capacidade de processamento dos dados pelos compu-
tadores é que se observa o fenômeno da Big Data, ou seja, a capacidade 
computacional de obter e processar grande volume de dados. E com isso, 
a partir dela, vê-se o contexto da economia compartilhada e do capitalismo 
de vigilância, os quais se valem da mineração das informações produzidas 
pelos usuários de dispositivos computacionais para o possível fomento eco-
nômico dos dados.
70
C
O
M
P
LI
A
N
C
E
 D
IG
IT
A
L 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
Dentro da complexidade que se tornou a internet existem cri-
mes que exigem todo o arsenal da empresa, do compliance a seguran-
ça de TI, e sem deixar de lado as boas práticas da Governança Corpo-
rativa, a exemplo disso temos a venda de informações de cadastro. 
Como crime virtual as vendas de informações cadastrais ocor-
rem quando o usuário é ludibriado a se cadastrar em algo, seja um jogo 
ou rede social, fornece seus dados como endereço, números de docu-
mentos pessoais e até preferências de esportes, etc. e o proprietário 
do site, jogo ou rede social usa as informações colhidas para vender 
a possíveis empresas interessadas em listas de clientes em potencial.
A venda de informações cadastrais se encaixa no arsenal com-
pleto pois exige da empresa que tem acesso a estas informações, faça 
o compliance para compreender que tais dados não são mercadoria; do 
aspecto da segurança de TI podemos mencionar a necessidade de se 
proteger tais dados, já pela Governança Corporativa a empresa deve 
estabelecer que além de juridicamente, eticamente não pode enxergar 
as informações de clientes como estoque, possibilidade de lucro.
A venda de dados dos consumidores, ou venda de mailing é 
uma prática muito comum ao marketing digital, mas o grande problema 
são as incontáveis vezes em que esta venda é feita sem o consentimen-
to do consumidor. Muitas vezes fazemos cadastro em algum site para 
ter acesso a um conteúdo especial, ou nos cadastramos em promoções 
de supermercados, lojas de departamento, ou até quando tentamos pe-
dir aquele cartão de crédito de limite maior e nem nos damos conta de 
que podemos estar entregando os dados a uma empresa que os ven-
derá a terceiros. Todo cuidado é pouco.
Atualmente a internet carrega um inestimado valor nas infor-
mações e dados que abriga e que de acordo com Cavalari (2020) não é 
possível se conceber internet sem estar acompanhado de alguma forma 
de proteção de dados pessoais. Junto com este fenômeno da circula-
ção instantânea de dados pessoais, com esta facilidade, surgiram as 
lacunas de desenvolvimento, principalmente na gestão destes dados, 
sua captura e conservação.
Assim, a empresa que lida com tais informações vai precisar 
caminhar próxima com a legislação vigente em ordem de se manter 
71
C
O
M
P
LI
A
N
C
E
 D
IG
IT
A
L 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
aderente a ela, estamos a tratar, portanto, do Compliance de TI, que, de 
acordo com Moreira (2017) é um termo que vem se tornando comum a 
cada dia, principalmenteem empresas de TI e startups, pois muitas ino-
vações tecnológicas tendem a interferir com alguma legislação prova-
velmente não considerada por quem desenvolve o sistema em questão.
Podemos então perceber que aos empreendimentos que te-
nham alguma porção de atividades online, se torna responsável pela 
segurança dos dados que abriga, e que seu setor de TI precisa se preo-
cupar em realizar tais ações dentro do que preconiza o compliance e 
promover políticas de acesso e outras tecnologias capazes de prevenir 
ataques, fraudes e garantir a confiabilidade das informações. (MOREI-
RA, 2017, online)
Podemos construir o argumento de que ter compliance não sig-
nifica ter segurança da informação, embora dentro do compliance em 
empresas que lidam com informação tenhamos a LGPD, ou seja, a Lei 
Geral de Proteção de Dados e sua norma ao se tratar destas questões. 
Porém, dentro do escopo do compliance, existe a necessidade das au-
ditorias e de que forma devem ser implementadas para que forneçam 
dados fiéis a tomada de decisão.
Se a empresa está profundamente imersa em negócios digitais 
vai precisar integrar o compliance a segurança da informação e buscar 
estratégias para que sempre manuseie suas tecnologias e ferramentas, 
recursos de TI de forma eficiente e, acima de tudo, ética. Agora a Gover-
nança Corporativa de TI entra como uma camada exterior a tudo isso de 
forma a organizar para que a empresa seja ética e eficiente, não apenas 
o setor ou departamento que lida com dados de clientes, por exemplo. 
E neste sentido Guimarães (2020, online) afirma que:
A Governança de TI é voltada para a área técnica, padronização de proces-
sos e a busca por manter sempre a segurança da informação. Ela trata de 
um processo de políticas e metodologias que visam auxiliar o trabalho dos 
gestores, mostrando uma direção a ser seguida, tanto no planejamento do 
setor de tecnologia da informação, quanto no controle dos processos.
Para que a empresa garanta aos seus clientes a confiabilidade 
de seus serviços, não somente segurança, temos novamente a Gover-
nança Corporativa como atributo, como sistema geral que governará 
as ações, decisões e em muitas instâncias, a construção do sistema 
de segurança da empresa, bem como seu parque tecnológico. Embora 
o compliance tenha um viés comercial pois é impulsionado por deman-
das comerciais e não em parâmetros técnicos, pois busca promover a 
orientação e a estruturação das ações da TI de forma a cumprir com a 
legislação vigente e que rege a organização. (GUIMARÃES, 2020)
72
C
O
M
P
LI
A
N
C
E
 D
IG
IT
A
L 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
De forma estrutural, Guimarães (2020) complementa que tal 
sistematização tem por objetivo atingir quem for classificado como res-
ponsável pelo projeto, sempre demonstrando que os processos dese-
nhados estão gerando processos reais corretos e que atendem aos re-
quisitos contratuais, regulamentações, etc. 
Para Moreira (2017) as empresas devem compreender a Go-
vernança de TI como uma estrutura sistematizada com políticas e mé-
todos que possuem o objetivo de orientar o processo de tomada de de-
cisão da direção e no planejamento, bem como no uso da tecnologia da 
informação. No Compliance, temos o respeito a legislação, bem como a 
normativas internas e externas.
Apesar de serem diferentes, são nesses conceitos que as de-
cisões tomadas por um gerente devem ser baseadas, sempre levando 
em consideração a gestão de riscos, de recursos, sua entrega de valo-
res e o aumento dos lucros. Portanto está dividido entre vários atores 
a responsabilidade por promover na internet um ambiente de negócios 
seguro. 
Empresas e governo tendem a ser relevantes ao ter, respecti-
vamente, o primeiro ao construir sistemas de compliance, de segurança 
da informação e até mesmo de Governança Corporativa que garantam 
uma operação eficiente e ética, e o segundo ao construir leis que exijam 
o maior cuidado com a segurança da informação, bem como leis que 
protejam empresas, clientes, cidadãos em geral.
73
C
O
M
P
LI
A
N
C
E
 D
IG
IT
A
L 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
QUESTÕES DE CONCURSO
QUESTÃO 1
Ano: 2018 Banca: FUNDEP (Gestão de Concursos) Órgão: CODE-
MIG Prova: Analista de Compliance
Conforme o Portal de Compliance (2016), para que possa ser ple-
namente implementado um programa efetivo de compliance, são 
necessários oito passos fundamentais para que esse programa 
possa ter êxito e ser, de fato, bem-sucedido. É(são) passo(s) fun-
damental(is) para que o programa de compliance seja bem-sucedi-
do, EXCETO:
a) Patrocínio e tone of the top.
b) Supervisão e recursos para compliance.
c) Código de ética & conduta, políticas e procedimentos.
d) Evitar corrupção junto a agentes do poder público.
QUESTÃO 2
Ano: 2018 Banca: FUNDEP (Gestão de Concursos) Órgão: CODE-
MIG Prova: Analista de Compliance
Ao analisar se terceiros foram contratados de acordo com o esta-
belecido no Programa de Compliance, a área de compliance deve 
analisar se os fornecedores contratados somente tiveram seus 
contratos assinados após resposta satisfatória às seguintes ques-
tões, EXCETO:
a) Quando a empresa foi fundada? Trata-se de empresa recentemente 
constituída, sem experiência ou histórico que comprove sua capacidade 
técnica?
b) Quem são os sócios?
c) Esta empresa contratada é uma microempresa?
d) Que tipo de serviço será prestado pela empresa? Ele está condizente 
com o objeto de atuação da empresa?
QUESTÃO 3
Ano: 2019 Banca: IADES Órgão: BRB Prova: Escriturário
Assinale a alternativa que indica os objetivos da função de com-
pliance em uma instituição financeira.
a) Assegurar que a instituição atue em conformidade com a legislação, 
com as normativas dos órgãos reguladores e com os regulamentos in-
ternos, de modo a garantir a eficiência, a eficácia e a confiabilidade 
organizacional.
b) Garantir que as estratégias empresariais se completem segundo o 
cronograma planejado.
74
C
O
M
P
LI
A
N
C
E
 D
IG
IT
A
L 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
c) Incrementar o acesso a novos clientes por meio do aumento da gama 
de serviços ofertados.
d) Assegurar o retorno financeiro dos investimentos de clientes e acio-
nistas por meio de redução da burocracia e extinção de atividades-meio 
com finalidade de controle interno.
e) Completar o quadro de pessoal com ações de recrutamento, seleção 
e contratação de mão de obra especializada e capacitada para ativida-
des relacionadas ao core business da instituição.
QUESTÃO 4
Ano: 2020 Banca: IBADE Órgão: Prefeitura de Vila Velha - ES Pro-
va: Analista Público de Gestão - Administração
São normas, publicadas pela ISO, que apresentam requisitos e di-
retrizes relacionados aos sistemas de gestão de compliance e an-
tissuborno:
a) ISO 9001 e ISO 14001.
b) ISO 19600 e ISO 37001.
c) ISO 37001 e ISO 45001.
d) ISO 9001 e ISO 45001.
e) ISO 19600 e ISO 45001.
QUESTÃO 5
Ano: 2018 Banca: FUNDEP (Gestão de Concursos) Órgão: CODE-
MIG Prova: Analista de Compliance
Entre os indicadores a seguir, qual não tem relação com o moni-
toramento sobre a qualidade / aproveitamento dos treinamentos 
de compliance?
a) Presença de membros da alta administração nos treinamentos.
b) Quantidade de treinamentos realizados por colaboradores e parcei-
ros de negócio.
c) Resultado dos testes de conhecimento realizados pelos colaborado-
res e parceiros de negócio que medem a assimilação do conteúdo.
d) Dúvidas levantadas durante os treinamentos
QUESTÃO DISSERTATIVA – DISSERTANDO A UNIDADE
Como preservação entende-se “assegurar proteção à informação de 
valor permanente para acesso pelas gerações presentes e futuras”. Ou 
ainda, “parte do trabalho central de uma biblioteca que busca manter 
suas coleções para uso permanente, protegendo-as de ameaças, ou 
salvando-as e reparando-as para compensar seus impactos”.
Sobre o texto base comente acerca das ameaças sobre documentos 
eletrônicos.
75
C
O
M
P
LI
A
N
C
E
 D
IG
IT
A
L 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
TREINO INÉDITO
O documento eletrônico ou digitalé entendido como:
a) todo registro gerado ou recebido por uma entidade pública ou privada 
através de sistemas de computação.
b) todo documento que é editado e disponibilizado em redes e nuvens.
c) todo registro que permite o compartilhamento, sendo digital ou físico.
d) toda informação que contém dados pertinentes a uma empresa privada.
e) todo dado gerado através de sites e sistemas confiáveis e que não 
possa ser compartilhado.
NA MÍDIA
OS DESAFIOS DA PRESERVAÇÃO DE DOCUMENTOS PÚBLICOS 
DIGITAIS
Este artigo aborda a questão da necessidade de preservação dos docu-
mentos públicos, em especial os documentos digitais. Com base na teo-
ria arquivística expõe as razões de se preservar documentos e, apoiado 
na legislação existente, aponta os deveres e responsabilidades sobre 
os documentos públicos. Em seguida, descreve as diversas aborda-
gens de preservação de documentos digitais, usando como referência 
iniciativas em andamento em países como Austrália, Estados Unidos e 
Canadá.
Fonte: SANT’ANNA, Marcelo Leone. Os desafios da preservação de 
documentos públicos digitais. Revista IP, v. 3, n. 2, p. 123-35, 2001. 
Data: 2001
Leia o artigo na íntegra: http://www.ip.pbh.gov.br/ANO3_N2_PDF/ip-
0302santanna.pdf 
NA PRÁTICA
O vídeo procura responder as seguintes perguntas: Quais são os princi-
pais Riscos de TI? Quais são as consequências das falhas na TI? Como 
o programa de compliance pode ajudar na Gestão de Riscos de TI? 
Além disso, expõe os riscos de não adotar o compliance, um exemplo 
clássico é “manchar” a reputação da empresa.
Vídeo sobre o assunto: Programa de Compliance e Riscos de TI
Acesse os links: https://www.youtube.com/watch?v=yXp-qBZfrMI 
76
C
O
M
P
LI
A
N
C
E
 D
IG
IT
A
L 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
Podemos concluir que a lógica dita que, embora compliance e 
segurança da informação sejam conceitos distintos, mas complemen-
tares, a evolução dos serviços online exige que sejam projetos simul-
tâneos, e que não se deve escolher entre um e outro. O crime digital 
sempre vai existir na humanidade, mesmo que com sua evolução passe 
a ser mais danoso e apesar das medidas contra sua propagação não 
sejam tão velozes. O empresário deve buscar sempre as melhores téc-
nicas que o ajudarão a desenvolver suas tecnologias e com isso pro-
mover sistemas mais robustos que assegurem a integridade dos dados 
dos clientes.
77
C
O
M
P
LI
A
N
C
E
 D
IG
IT
A
L 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
GABARITOS
CAPÍTULO 01
QUESTÕES DE CONCURSOS
01 02 03 04 05
C B E D B
QUESTÃO DISSERTATIVA – DISSERTANDO A UNIDADE – PADRÃO 
DE RESPOSTA
A etimologia da palavra compliance advém do latim complete e o seu 
significado relaciona-se a agir de acordo com regras. Em inglês o ver-
bo to comply foi utilizado com pioneirismo pelos norte-americanos na 
área financeira para expressar a necessidade de regulamentação nas 
relações comerciais. Sobre o enunciado, comente sobre a história do 
compliance, como, quando e onde iniciou? E relate sobre o compliance 
no Brasil.
Apesar de o tema compliance ter ganhado força no Brasil com a Lei 
Anticorrupção, ainda existe alguma resistência, porque esse tipo de 
programa exige investimentos, mas isso está mudando rapidamente,” 
afirma Renan Marcondes Facchinatto, advogado, membro do Instituto 
Brasileiro de Direito e Ética Empresarial.
A origem do compliance está ligada às instituições financeiras a partir 
da realização, em 1944, da Conferência Monetária e Financeira das 
Nações Unidas e Associados, sediada na cidade Bretton Woods, nos 
Estados Unidos. Tal sistema financeiro internacional careceu de regu-
lação. (CINTRA; GOMES, 2012). Como resposta a essa necessidade, 
em 1975 foi estabelecido o Comitê de Supervisão Bancária da Basi-
léia (Basel Committee on Banking Supervision – BCBS), com objeti-
vo de proteger o sistema financeiro internacional. (MANZI; COIMBRA, 
2010, p. 13). O Comitê da Basiléia, segundo o Banco Central do Brasil 
(BACEN) (BANCO CENTRAL DO BRASIL, 2018): “Funciona como um 
fórum mundial para discussão e cooperação em matéria de regulação 
bancária prudencial; seu objetivo consiste em reforçar a regulação, a 
supervisão e as melhores práticas no mercado financeiro”.
FREITAS, Josiane Martins de. Programa de compliance e a respon-
sabilidade dos administradores das sociedades limitadas. Direito-
-Pedra Branca, 2018.
78
C
O
M
P
LI
A
N
C
E
 D
IG
IT
A
L 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
TREINO INÉDITO
Gabarito: D
79
C
O
M
P
LI
A
N
C
E
 D
IG
IT
A
L 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
CAPÍTULO 02
QUESTÕES DE CONCURSOS
01 02 03 04 05
D D A A C
QUESTÃO DISSERTATIVA – DISSERTANDO A UNIDADE – PADRÃO 
DE RESPOSTA
No Brasil, o crescimento do compliance foi acelerado pela Lei Anticor-
rupção (nº12.846/2013) e pelas punições que vêm ocorrendo no mundo 
empresarial por conta das operações Lava-Jato e Zelotes. Hoje, todos 
estão preocupados em seguir as regras porque sabem que podem ser 
punidos. No Brasil, instituiu-se a Lei nº. 9.613 de (alterada em 2012 pela 
Lei nº 12.683 (Lei dos Crimes de “Lavagem” ou Ocultação de Bens, Di-
reitos e Valores), determinou, em seu artigo 10º, a obrigação da adoção 
de procedimentos e controle internos pelas pessoas físicas e jurídicas 
sujeitas às sanções da lei. Além disso, criou o Conselho de Controle 
de Atividades Financeiras (COAF) objetivando “identificar, disciplinar e 
aplicar penas administrativas às atividades ilícitas praticadas, nos ter-
mos desta Lei”. (BENEDETTI, 2014, p. 76)
TREINO INÉDITO
Gabarito: A
80
C
O
M
P
LI
A
N
C
E
 D
IG
IT
A
L 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
CAPÍTULO 03
QUESTÕES DE CONCURSOS
01 02 03 04 05
D C A B A
QUESTÃO DISSERTATIVA – DISSERTANDO A UNIDADE – PADRÃO 
DE RESPOSTA
As ameaças que os documentos em suporte não eletrônico sofrem, 
atuam também sobre os documentos digitais. Tal como o papel se de-
sintegra com o passar dos anos, a informação gravada na superfície 
metálica magnetizada dos dispositivos de armazenamento mais larga-
mente utilizados, pode também tornar-se irrecuperável. 
A temperatura, umidade e nível de poluição do ar nos ambientes dos tra-
dicionais arquivos devem ser controlados, assim como nos ambientes 
de armazenamento das mídias digitais. Todos os tipos de suporte es-
tão sujeitos a fungos, traças, ratos e outras ameaças biológicas. Estão 
também sujeitos a danos provocados pelo uso indevido e, igualmente, 
pelo uso regular. As catástrofes naturais como inundações, terremotos, 
incêndios, etc. ameaçam qualquer tipo de acervo.
Portanto, as ameaças comuns a todos os tipos de documentos, inde-
pendentemente do seu suporte físico, requerem as mesmas estratégias 
de preservação. Já as ameaças inerentes somente aos documentos 
digitais requerem o uso de estratégias diferenciadas e, na maioria das 
vezes, de forma associada. 
O rápido avanço das tecnologias da informação leva ao problema da 
obsolescência tecnológica. Os disquetes de oito polegadas utilizados 
no início da penúltima década do século passado, quando as organi-
zações brasileiras de médio porte começaram a utilizar a informática 
de forma mais ampla, através de sistemas de oito bits com sistema 
operacional CP/M, não mais podem ser lidos. Não só pela provável de-
gradação e desmagnetização da mídia, como pela quase inexistência 
de computadores com dispositivos necessários para a operação. Esse 
é o problema da
obsolescência tecnológica inerente ao hardware.
TREINO INÉDITO
Gabarito: A
81
C
O
M
P
LI
A
N
C
E
 D
IG
IT
A
L 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
ACUTU, Regina. Startup facilita o registro de provas digitais para 
vítimas de crimes virtuais. 2018 Disponível em: <https://reginamidori.
jusbrasil.com.br/noticias/690130735/startup-facilita-o-registro-de-pro-
vas-digitais-para-vitimas-de-crimes-virtuais> Acesso em 01/12/2020.
ALLEASY. Compliance em TI: o que é e qual o papel da segurança da 
informação? Disponível em: <https://www.alleasy.com.br/2020/01/13/
compliance-em-ti-papel-da-seguranca-da-informacao/> Acessoem 
23/11/2020.
ALMEIDA, Adriano. As Investigações Corporativas Privadas, A Le-
gislação Anticorrupção E A Validade Dos Elementos De Informa-
ção Produzidos. 2017. Disponível em: <https://www.linkedin.com/
pulse/investiga%C3%A7%C3%B5es-corporativas-privadas-legisla%-
C3%A7%C3%A3o-e-validade-macedo/?originalSubdomain=pt> Aces-
so em 28/11/2020.
AMARAL, Rodrigo. Qual a importância da preservação de provas di-
gitais? 2019. Disponível em: <http://amaralmonteiro.com.br/qual-a-im-
portancia-da-preservacao-de-provas-digitais/> Acesso em 01/12/2020.
ANTONIK, Luis Roberto. Compliance, ética, Responsabilidade So-
cial e Empresarial: uma Visão Prática. Rio de Janeiro: Atlas Books, 
2016.
ASSI, Marcos. Governança, Riscos e Compliance: Mudando a Con-
duta nos Negócios. São Paulo: Saint Paul, 2017.
ASSI, Marcos. Governança, Riscos e Compliance: Mudando a Con-
duta nos Negócios - São Paulo: Saint Paul Editora, 2018.
ASTRO, Marco; CAJAZEIRA, Fábio. Como Supervisionar Investigações 
Internas. 2018. Disponível em: <https://www.pwc.com.br/pt/estudos/
preocupacoes-ceos/mais-temas/2018/sup_invest_int_18.pdf> Acesso 
em 28/11/2020.
BLOK, Marcella. Compliance e Governança Corporativa. 3. ed. Rio 
de Janeiro: Freitas Bastos, 2020.
CARDOSO, Débora Motta. Criminal Compliance na Perspectiva da 
Lei de Lavagem de Dinheiro. São Paulo: Liber Arts 2015.
82
C
O
M
P
LI
A
N
C
E
 D
IG
IT
A
L 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
CARLI, Carla Verissimo de. Compliance: incentivo à adoção de me-
didas anticorrupção. 2016 Disponível em: <http://bibliotecadigital.mpf.
mp.br/bdmpf/bitstream/handle/11549/99813/DE%20
CARLI_Carla_anticorrupcao_compliance_incapacidade.pdf?sequen-
ce=1&isAllowed=y> Acesso em 23/11/2020.
CARVALHO, André. Manual de Compliance. 2ed. São Paulo: Forense, 
2020.
CAVALARI, Ana Paula França. Elas na advocacia - O Compliance Digi-
tal Como Tecnologia de Gestão. – Porto Alegre: OAB/RS, 2020.
DIREITO PROFISSIONAL. Programa de Compliance e Programa de In-
tegridade: entenda as diferenças e a importância para a empresa. 2019. 
Disponível em: <https://www.direitoprofissional.com/programa-de-com-
plicance-e-programa-de-integridade/> Acesso em 23/11/2020.
DOLCI, Gustavo. Princípios constitucionais inerentes a prova. Dis-
ponível em: <https://gugadolci.jusbrasil.com.br/artigos/431678544/prin-
cipios-constitucionais-inerentes-a-prova> Acesso em 28/11/2020.
ELEUTÉRIO, Pedro Monteiro da Silva; MACHADO, Marcio Pereira. 
Desvendando a Computação Forense 2019 Disponível em: <https://
books.google.com.br/books?hl=pt-BR&lr=lang_pt&id=jS2oDwAAQBA-
J&oi=fnd&pg=PT4&dq=Ferramentas+de+Forense+Computacional&o-
ts=PTPIBae5dL&sig=xEWVJLlPWdyzwlHsY4WHBl33fJo#v=onepa-
ge&q=Ferramentas%20de%20Forense%20Computacional&f=false> 
Acesso em 01/12/2020.
FRANCO, Isabel (Org.). Guia prático de compliance. 1. ed. – Rio de 
Janeiro: Forense, 2020.
FSENSE. Auditoria de compliance: entenda o que deve fazer parte e 
como fazer. 2020. Disponível em: <https://fsense.com/pt/auditoria-de-
-compliance-entenda-o-que-deve-fazer-parte-e-como-fazer/> Acesso 
em 23/11/2020.
FUCHIMI, Regis. O Papel da Auditoria Interna no Processo de ‘Com-
pliance’. 2016. Disponível em: <https://administradores.com.br/arti-
gos/o-papel-da-auditoria-interna-no-processo-de-compliance> Acesso 
em 23/11/2020.
83
C
O
M
P
LI
A
N
C
E
 D
IG
IT
A
L 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
GUIMARÃES, Gabriela. Compliance e Segurança de TI: Veja qual 
a diferença entre eles. 2020 Disponível em: <https://www.duk.com.br/
sem-categoria/compliance-e-seguranca-de-ti-veja-qual-a-diferenca-en-
tre-eles/> Acesso em 01/12/2020.
JÚNIOR, Ivan Jezler. Prova Penal Digital: Tempo, Risco e Busca Te-
lemática. São Paulo: Tirant Lo Blanch Brasil, 2020.
KAFRUNI, Simone. Contra a corrupção, Compliance impõe desafios 
às empresas. Disponível em: <https://www.correiobraziliense.com.br/
app/noticia/economia/2019/10/07/internas_economia,795341/contra-
-a-corrupcao-compliance-impoe-desafios-as-empresas.shtml> Acesso 
em 23/11/2020.
LARA, Carolina. Compliance criminal é uma necessidade no mun-
do corporativo. Disponível em: <https://www.contabilidadenatv.com.
br/2019/11/compliance-criminal-e-uma-necessidade-no-mundo-corpo-
rativo/> Acesso em 28/11/2020.
LEC. Entenda Como Funciona O Processo De Investigações Inter-
nas De Compliance. 2019. Disponível em: <https://lec.com.br/blog/
entenda-como-funciona-o-processo-de-investigacoes-internas-de-com-
pliance.> Acesso em 28/11/2020.
LECa. Due Diligence: Entenda O Que É E Quais São As Suas Apli-
cações. 2019. Disponível em: <https://lec.com.br/blog/due-diligen-
ce-entenda-o-que-e-e-quais-sao-as-suas-aplicacoes/> Acesso em 
28/11/2020.
LIMA, Vinícius Oliveira Gomes. O uso dos programas de compliance 
como meio de investigação preliminar. Disponível em: <https://www.
conteudojuridico.com.br/coluna/2543/o-uso-dos-programas-de-com-
pliance-como-meio-de-investigacao-preliminar> Acesso em 28/11/2020.
LOUZADA, Jean. Compliance como Meio de Prevenção de Ilícitos 
na Relação Público Privada. 2018. Disponível em: <https://pantheon.
ufrj.br/bitstream/11422/6450/1/JLouzada.pdf> Acesso em 23/11/2020.
MARCONDES, José Sérgio. Programa de Integridade: O que é? Sig-
nificado, Finalidade e Pilares. 2020. Disponível em: <https://gestaode-
segurancaprivada.com.br/programa-de-integridade-o-que-e-significa-
do-finalidade-e-pilares/> Acesso em 23/11/2020.
84
C
O
M
P
LI
A
N
C
E
 D
IG
IT
A
L 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
MOREIRA, Esdras. O que é Compliance? Entenda o seu poder para 
a TI. 2017 Disponível em: <https://introduceti.com.br/blog/o-que-e-com-
pliance/> Acesso em 01/12/2020.
NETTO, Thaís. Compliance e as investigações internas. 2020. Dis-
ponível em: <https://direitoreal.com.br/artigos/compliance-e-as-investi-
gacoes-internas> Acesso em 28/11/2020.
OLIVEIRA, Ana Paula de. A Lei Geral De Proteção De Dados Brasilei-
ra Na Prática Empresarial. 2019. disponível em: <http://revistajuridica.
esa.oabpr.org.br/wp-content/uploads/2019/05/revista-esa-cap-08.pdf> 
Acesso em 23/11/2020.
OLIVEIRA, Vinícios Machado de. Norma NBR ISO/IEC 27037:2013 – 
RESUMO, 2019 Disponível em: <https://www.tiforense.com.br/norma-
-nbr-iso-iec-270372013-resumo/> Acesso em 01/12/2020.
PEREIRA, Kamille da Silva; OLIVEIRA, Fábio Machado de. Perí-
cia Forense Computacional e Crimes Cibernéticos. 2019 Dispo-
nível em: <http://www.reinpec.org/reinpec/index.php/reinpec/article/
view/292/253> Acesso em 01/12/2020.
RAMOS FILHO, Ruy César et al. Programa de Integridade e Com-
pliance. 2018. Disponível em: <https://www.gov.br/iti/pt-br/acesso-a-
-informacao/institucional/Programa_de_Integridade_e_Compliance___
Assinado_1.pdf> Acesso em 23/11/2020.
RAPÔSO, Cláudio Filipe Lima. LGPD - Lei Geral De Proteção De Da-
dos Pessoais Em Tecnologia Da Informação: Revisão Sistemática. 
Disponível em: <https://revistas.cesmac.edu.br/index.php/administra-
cao/article/view/1035> Acesso em 23/11/2020.
RECHULSKI, David. Compliance officer: A missão. 2020. Disponível 
em: <https://migalhas.uol.com.br/depeso/319440/compliance-officer--a-
-missao> Acesso em 25/11/2020.
RIBEIRO, Raphael. A Importância do Marco Civil da Internet na Pre-
servação e Utilização da Prova Criminal em Ambiente Digital. 2020 
Disponível em: <http://intertemas.toledoprudente.edu.br/index.php/
ETIC/article/view/8620/6764993> Acesso em 01/12/2020.
85
C
O
M
P
LI
A
N
C
E
 D
IG
IT
A
L 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S
ROCHA JÚNIOR, Francisco de Assis do Rego Monteiro; GIZZI, Guilher-
me Frederico Tobias de Bueno. Fraudes Corporativas e Programas 
de Compliance. Curitiba: Intersaberes, 2018.
ROCHA JÚNIOR, Francisco de Assis do Rego Monteiro; GIZZI, Guilher-
me Frederico Tobias de Bueno. Fraudes Corporativas e Programas 
de Compliance. Curitiba: Intersaberes, 2018.
SILVA, Wanderson de Vasconcelos Rodrigues da. Et al. Análise da pro-
dução científica e tecnológica acerca da Ciência Forense Digital. 
2020 Disponível em: <https://www.rsdjournal.org/index.php/rsd/article/
view/10224/8989> Acesso em 01/12/2020.TONON, Daniel Henrique Paiva; RANGEL, Ronaldo Raemy. Complian-
ce Estratégico – São Paulo: Editora Dialética, 2020.
VENTURA, Fábio. Compliance de Dados: Confira o Impacto para 
as Empresas. 2019 Disponível em: <https://www.sigalei.com.br/blog/
compliance-de-dados-confira-o-imcto-para-as-empresas> Acesso em 
23/11/2020.
VERIFACT TECNOLOGIA. TJRJ aceita provas digitais registradas 
pela tecnologia da Verifact em caso de pirataria online 2020 Dispo-
nível em: <https://jus.com.br/noticias/86700/tjrj-aceita-provas-digitais-
-registradas-pela-tecnologia-da-verifact-em-caso-de-pirataria-online> 
Acesso em 01/12/2020
86
C
O
M
P
LI
A
N
C
E
 D
IG
IT
A
L 
- 
 G
R
U
P
O
 P
R
O
M
IN
A
S