Baixe o app para aproveitar ainda mais
Prévia do material em texto
SISTEMAS DE COMPLIANCE DIGITAL 1 SUMÁRIO NOSSA HISTÓRIA ............................................................................................. 2 1.INTRODUÇÃO ................................................................................................ 3 2.CONCEITO ..................................................................................................... 4 2.1.Tipos de Compliance .................................................................................... 4 3.COMPLIANCE DIGITAL .................................................................................. 5 3.1.Função Compliance Digital ........................................................................... 7 3.2.A importância do Compliance Digital ............................................................ 7 3.3.Benefícios Compliance Digital ...................................................................... 8 4.A RELAÇÃO ENTRE O DIREITO E A TECNOLOGIA NA GESTÃO DE RISCOS DE EMPRESAS ................................................................................. 11 5.MEDIDAS TOMADAS EM UM PROGRAMA DE COMPLIANCE DIGITAL ... 12 6.COMPLIANCE DIGITAL E LGPD .................................................................. 17 6.1.Cadastro de Base do Cidadão ................................................................... 18 7.GOVERNANÇA CORPORATIVA E COMPLIANCE DIGITAL ....................... 19 7.1.Tratamento de Dados Pessoais ................................................................. 20 7.2.Boas Práticas e Governança ...................................................................... 21 8.CONCLUSÃO ................................................................................................ 22 REFERÊNCIAS ..................................................................................... 24 2 NOSSA HISTÓRIA A nossa história inicia-se com a ideia visionária e da realização do sonho de um grupo de empresários na busca de atender à crescente demanda de cursos de Graduação e Pós-Graduação. E assim foi criado o Instituto, como uma entidade capaz de oferecer serviços educacionais em nível superior. O Instituto tem como objetivo formar cidadão nas diferentes áreas de conhecimento, aptos para a inserção em diversos setores profissionais e para a participação no desenvolvimento da sociedade brasileira, e assim, colaborar na sua formação continuada. Também promover a divulgação de conhecimentos científicos, técnicos e culturais, que constituem patrimônio da humanidade, transmitindo e propagando os saberes através do ensino, utilizando-se de publicações e/ou outras normas de comunicação. Tem como missão oferecer qualidade de ensino, conhecimento e cultura, de forma confiável e eficiente, para que o aluno tenha oportunidade de construir uma base profissional e ética, primando sempre pela inovação tecnológica, excelência no atendimento e valor do serviço oferecido. E dessa forma, conquistar o espaço de uma das instituições modelo no país na oferta de cursos de qualidade. 3 (Fonte: Google) 1. INTRODUÇÃO O termo “compliance” tem origem no verbo em inglês “to comply”, que significa agir de acordo com uma regra, uma instrução interna, um comando ou um pedido, ou seja, estar em “compliance” é estar em conformidade com leis e regulamentos externos e internos. Portanto, manter a empresa em conformidade significa atender aos normativos dos órgãos reguladores, de acordo com as atividades desenvolvidas pela sua empresa, bem como dos regulamentos internos, principalmente aqueles inerentes ao seu controle interno. O Compliance é um dos temas que mais cresceu no mundo corporativo, recentemente, e deve estar alinhado aos objetivos estratégicos e integrado aos Sistemas de Gestão da organização. Estar em Compliance é atender à legislação vigente, mas não se limitar somente a isso. Trata-se de uma necessidade atual de todas as empresas. O Compliance busca algo ainda mais nobre: “a integridade nos negócios, pelas atitudes de seus funcionários e parceiros comerciais, pautados por elevados padrões éticos e morais”. 4 Nessa mesma direção, hoje, cada vez mais se torna evidente o valor da marca e, consequentemente, a importância de uma imagem limpa, desvinculada de atitudes ilícitas ou comprometedoras. Quando surgiu a atividade de Compliance, principalmente nas instituições financeiras, a maioria direcionou a atividade para ser desempenhada pela assessoria jurídica, considerando a expertise dos mesmos nas interpretações dos instrumentos legais. Vale ressaltar que, hoje as necessidades passaram a demandar que a atividade “Compliance” vai além de normas e políticas: devemos incluir os processos, daí a importância do mapeamento dos mesmos e sua gestão, buscando suas melhorias. Além de manter as informações seguras e seu negócio sempre funcionando, as organizações precisam mostrar, e comprovar, para o mercado que estão adotando as boas práticas. Para isso as organizações precisam estar em conformidade, ou em Compliance. 2. CONCEITO Com o Advento da Lei 12.846/13 (Lei anticorrupção Brasileira ou a Lei do Compliance), surgiu a importância, necessidade e obrigatoriedade do Setor Privado e Público de adequarem a sua Governança Corporativa aos requisitos atuais de Princípios Éticos, Transparência e Integridade, independentemente do tipo societário eleito pelos sócios (embora as microempresas limitadas ou simples tenham menos obrigatoriedades). Implementar, desenvolver e fazer a manutenção de um Programa de Compliance e Integridade, estruturado a partir da legislação e regulamentação é o desafio empresarial. 2.1. Tipos de Compliance ➢ Compliance Trabalhista 5 Compliance trabalhista tem por objetivo se aprofundar nos temas específicos de compliance sob a ótica das Gestão interna e terceiros, Relações e contratos trabalhista e Relações Sindicais. ➢ Compliance Digital Compliance digital tem como objetivo desenvolver competências práticas para atuação em diversas situações de governança corporativa, no cumprimento de normas e leis de proteção de dados. ➢ Compliance Startup A importância do Compliance por meio de um panorama geral, contendo as regulações nacionais e internacionais e o impacto das mesmas em suas atividades e práticas diárias, bem como a obrigatoriedade de um programa de integridade efetivo que os façam ter vantagem competitiva frente a outros concorrentes. ➢ Compliance Governamental Compliance está em constante transformação, com a Lei 13.313/16 toda administração pública direta e indireta está se reestruturando para implantar programa de Compliance atendendo a nova legislação. Da mesma forma as empresas prestadoras de serviço / participante de licitação com os órgãos da administração pública precisam desenvolver know- how para estarem adequados a nova legislação. 3. COMPLIANCE DIGITAL Compliance digital é um conceito que diz respeito ao conjunto de regras e ações internas que regulam as atividades desenvolvidas pelas empresas para estar em consonância com as normas vigentes e aplicáveis àquelas atividades desenvolvidas, no caso, referentes à tecnologia da informação. 6 Para desenvolver Compliance digital, é fundamental criar rotinas de análises de riscos e adotar medidas preventivas. Desse modo é possível garantir a adequação da empresa às regras aplicáveis à TI. A maioria das empresas está passando por muitas mudanças para se adaptar à Transformação Digital e, para isso, estão transformando seus processos para conseguirem atender às novas expectativas dos clientes e melhorar a velocidade e a eficiência na qual seus serviços são prestados. No entanto, além de modificar suas operações, é necessário fazer alterações nos processos de negócios para atender aos novos requisitos regulatóriose garantir a conformidade da empresa. Ao "estar em compliance" com as boas práticas e padrões existentes, a corporação garante o correto funcionamento de seus sistemas e a segurança de suas informações e de seus clientes. Isso fortalece sua imagem de confiança diante do mercado, agregando valor aos negócios. Nesse sentido, para estar em conformidade digital, é necessário colocar algumas medidas importantes em prática no dia a dia da organização, tais como: ➢ Realização de auditorias constantes para avaliar as tecnologias utilizadas e identificar o que necessita de maior atenção; ➢ Verificação das licenças de uso contratadas e controlar a quantidade de usuários habilitados a utilizá-las; ➢ Adequação das políticas de privacidade e termos de uso das ferramentas de TI disponibilizados pela empresa às legislações específicas, como a LGPD e GDPR; ➢ Implementação de políticas internas de gestão dos recursos de TI. A incorporação desses requisitos de conformidade nos processos digitais protege a organização de desvios e ameaças que possam comprometer sua atividade e imagem diante dos clientes. 7 3.1. Função Compliance Digital As práticas de compliance são essenciais para uma adequada gestão de riscos nas empresas. Se antecipar aos problemas cria um ambiente propício a evitar os perigos cada vez mais comuns do mundo digital, como a violação de dados e a vitimização por golpes cibernéticos, crimes virtuais e violações de direitos de software. A importância do compliance digital se mostrou ainda maior no ano de 2017, em que diversas empresas de grande porte sofreram ciberataques. Diversos entes públicos e privados sofreram algum tipo de tentativa de invasão. Prevenir esse tipo de ocorrência é fundamental. A falta de um programa de compliance pode representar um impedimento à continuidade da operação na empresa e também enormes riscos para a saúde financeira da corporação. 3.2. A importância do Compliance Digital A identificação em tempo real de não conformidade e prevenção de possíveis problemas é crucial para as empresas que querem adotar modelos de negócios digitais bem-sucedidos. A adoção de políticas de Compliance digital contribui diretamente para a construção de um ambiente empresarial mais seguro e eficiente, além de reforçar a transparência da corporação e passar confiança para os clientes e parceiros de negócio. Melhorias para o ambiente de trabalho Ao implementar práticas regulatórias que garantam o cumprimento de leis e regulamentações, a empresa aumenta a segurança e eficiência de suas operações, pois as chances de ser penalizada por alguma conduta errada. O compliance digital aprimora os processos e aumenta a qualidade e produtividade dos serviços prestados. Além disso, ele confere maior proteção ao ambiente virtual das organizações, mantendo as ameaças distantes dos dados corporativos. 8 Otimização do relacionamento com fornecedores e clientes Quando um empreendimento segue todos os regulamentos necessários para estar em total conformidade, ele passa uma melhor imagem a seus clientes, fornecedores e parceiros. Por meio do Compliance digital, é possível construir uma imagem de confiança e responsabilidade diante do mercado. Desse modo, a empresa otimiza suas relações de negócios, atraindo e retendo cada vez mais clientes e parcerias de sucesso. Legitimação de investigações internas Para garantir que todas as normas estão sendo seguidas por todos os seus colaboradores, é necessário que a empresa realize investigações internas. Em situações em que problemas e ações ilegais são detectadas, é necessário contar com regras bem estabelecidas. Aquelas que possuírem um programa de Compliance Digital bem estruturado, podem legitimar suas investigações internas e se resguardar, garantindo que não há nenhum tipo de comprometimento pessoal nas fiscalizações. 3.3. Benefícios Compliance Digital Implementar o compliance digital é benéfico para empresas de qualquer porte e setor. Mesmo aquelas que não tem interesse em lidar com o setor público podem colher bons frutos da adoção das melhores práticas no ambiente digital. O apreço contemporâneo pela transparência e clareza sobre como as empresas se comportam faz com que a reputação seja considerada cada vez mais um grande ativo empresarial. Entretanto, não basta um belo discurso. É importante colocar as ações em prática para colher os benefícios do compliance digital. Reputação da empresa 9 Prevenir possíveis vazamentos de dados preserva a reputação da sua empresa, ganhando força e recebendo reconhecimento no mercado. A boa reputação de uma empresa é o segredo da sua longevidade e sucesso, se uma empresa em algum momento deixa de ter sustentabilidade, ela pode vir a desmoronar. Portanto, vale a pena estar em “compliance” com as novas regras e normas de segurança de dados digitais, pois isso mexe diretamente com a imagem da sua empresa no mercado. Maior segurança empresarial Ao adotar medidas preventivas visando o cumprimento de leis e regulamentos, se reduz significativamente penalizações por algum tipo de conduta. A clareza das novas ideias aumenta, consequentemente, o conforto das operações rotineiras. A eficiência dos órgãos também aumenta como resultante do aprimoramento de processos e constantes revisões. Uma empresa que tem como filosofia a responsabilidade como carro chefe, buscando estar sempre numa constante avaliação de suas práticas, tem uma gestão mais consciente e efetiva. Quanto mais empresas adotarem o compliance digital como parte da sua governança, maior será a segurança do ambiente virtual e mais eficientes serão as correções de problemas que surgirem ao longo do tempo. É necessária uma construção diária, mas que tragam impactos positivos e diretos em todo o ambiente virtual. Maior transparência na relação fornecedores x clientes A aplicação de políticas de compliance digital permite que se tenha um ambiente empresarial mais seguro e eficaz, auxiliando em relações de maior transparência entre fornecedores e clientes, viabilizando a responsabilização subsidiária dos agentes responsáveis por eventuais ilicitudes na utilização do parque tecnológico da empresa, além de contribuir para um ambiente coorporativo de maior segurança e eficiência, ajudando a manter uma relação transparente entre clientes e fornecedores. Sua implementação mostra que a empresa trata de forma ética e séria a privacidade dos dados de seus clientes, 10 além de atuar contra a corrupção adotando por padrões éticos e morais perante a sociedade e justiça. Valorização da marca Passar uma imagem responsável perante as práticas de compliance digital com certeza torna a empresa uma primeira opção de escolha pelos clientes, obtendo assim mais vantagens com fornecedores. Quanto mais correta é a entidade, maior a confiança entre ambas as partes. Buscar sempre pelas melhores práticas sempre traz recompensas perante o mercado. A marca se fortalece por ser cumpridora das leis e das éticas, transmitindo assim seriedade, responsabilidade e confiança, valorizando sua marca. Investigações internas legitimadas Deixar bem claro que a empresa preza pelas normas gerais de transparência significa que as investigações não podem mais ser tratadas como medidas investigativas, mas sim como o cumprimento do dever de prestação de contas aos envolvidos no ambiente empresariais, autoridades e sociedade em geral. Uma empresa que tenha um programa de compliance bem delimitado deve prever a ocorrência das investigações internas. Para que essas ações sejam legitimas, é preciso que todos os procedimentos sejam informados antecipadamente aos possíveis investigados, se certificando de que não haja nenhum tipo de comprometimento pessoal na fiscalização. A investigação garante a proteção da empresa, pois issodemonstra proatividade em busca da prevenção e combate aos ilícitos, evitando condenações por omissões. Uma empresa pode se tornar uma verdadeira combatente de irregularidades se houver colaboração com as autoridades e um alto nível de governança. A investigação interna permite que a empresa possa agir perante problemas com muito mais agilidade, eliminando riscos de forma instantânea. É possível demitir por justa causa um funcionário acusado de corrupção, por 11 exemplo, com maior segurança política. Tudo isso com informações obtidas nesse processo. Durante a investigação, critérios devem ser estabelecidos quanto a procedimentos, pessoas envolvidas e possibilidade de defesa. É importante frisar a importância de agir de forma bastante cautelosa durante a verificação das informações e delimitação das condutas de cada pessoa ao se tratar de uma relação trabalhista. Ao lidar com evidências sensíveis e que podem prejudicar a reputação daqueles que estiverem envolvidos, é imprescindível assumir um compromisso com a confidencialidade do fluxo de informações obtidas. Reduzir o acesso dos dados à menor quantidade de pessoas possível é a melhor forma de resguardar sigilo, assim como também é importante assegurar de que o armazenamento das evidências é feito em suporte confiável e seguro. Caso a empresa identifique práticas ilícitas que extrapolam sua alçada, como crimes e ilícitos administrativos, autoridades devem ser comunicadas imediatamente. Se omitir perante fatos conhecidos em razão da investigação interna retira toda a credibilidade da organização, indo contra os princípios básicos do compliance. 4. A RELAÇÃO ENTRE O DIREITO E A TECNOLOGIA NA GESTÃO DE RISCOS DE EMPRESAS A tecnologia mudou a forma como os indivíduos e empresas se comunicam, fazem negócios e interagem de forma geral. O direito vem tentando se adaptar às mudanças tecnológicas, apresentando regras para as situações cotidianas envolvendo o ambiente digital para que haja maior segurança jurídica nas relações. Nesse sentido, o direito surge como instrumento de mensuração dos riscos empresariais e como diretriz para a criação das normas internas. As empresas devem sempre buscar fazer o que é correto e, para isso, nada melhor 12 do que ir direto na fonte e entender como o ordenamento jurídico regula determinada matéria. Ao se falar de compliance digital, é impossível não tratar das normas legais. Por esse motivo, uma assessoria técnica especializada em direito digital é o grande segredo para um compliance bem planejado. A orientação constante de um profissional faz com que a empresa esteja em compliance mesmo com as frequentes mudanças na lei. A complexidade do sistema jurídico brasileiro é um tema que gera acaloradas discussões, mas para bem ou mal pelo menos há regras a se observar. As mais importantes para o compliance digital são as seguintes: ➢ Lei nº 9.279/1996 (Lei de Propriedade Industrial); ➢ Lei nº 9.609/1998 (lei de software); ➢ Lei nº 12.551/2011 (teletrabalho); ➢ Leis nº 12.735/2012 e 12.737/2012 (crimes eletrônicos); ➢ Decreto nº 7.962/2013 (trata das regras para o comércio eletrônico); ➢ Lei nº 12.850/2013 (regulamentação de provas eletrônicas); ➢ Lei nº 12.846/2013 (lei de práticas para o combate à corrupção); ➢ Lei nº 12.965/2014 (Marco Civil da Internet); ➢ Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais). Estar em compliance não é uma tarefa tão simples assim. Até mesmo a empresa mais bem intencionada pode cometer erros que serão corrigidos ao longo do plano de compliance. A conformidade é uma construção diária, que requer constante vigilância, mas oferece grandes recompensas. Mais importante do que não errar é assumir o compromisso de tentar cumprir a lei a todo instante, buscando orientação e se mantendo sempre atualizado. 5. MEDIDAS TOMADAS EM UM PROGRAMA DE COMPLIANCE DIGITAL Realização de auditoria prévia 13 A realização de uma auditoria é o primeiro passo no planejamento do compliance empresarial. O propósito dessa revisão é a verificação de todas as soluções de tecnologia utilizadas pela empresa. Isso abrangerá todo tipo de ferramenta, como hardware, software, serviços contratados e todos os envolvidos no uso desses recursos. Após conhecer e avaliar os recursos e programas utilizados, será feito um trabalho para identificar falhas e redirecionar o uso de ferramentas. O relatório da auditoria apontará sugestões para que a empresa consiga aprimorar a segurança e desempenho nas operações. As principais vantagens da realização de uma auditoria prévia ao planejamento do compliance digital são: ➢ Identificar e criar uma relação de quais são as interações tecnológicas realizadas na empresa; ➢ Dar mais clareza sobre os pontos que precisam de melhorias; ➢ Identificar irregularidades e tomar as iniciativas que forem necessárias; ➢ Coibir a insistência no cometimento de irregularidades. Análise de licenças contratadas Um ponto extremamente relevante para a auditoria que antecede a criação do programa de compliance digital é a análise das licenças de software. Deve-se realizar uma comparação minuciosa entre as licenças de uso contratadas e os usuários dos sistemas a fim de identificar inconsistências e providenciar a aquisição das licenças de uso faltantes. Essa auditoria permite que a empresa esteja preparada para procedimentos fiscalizatórios de fabricantes ou representantes dos provedores desse tipo de produtos e serviços. A violação aos direitos autorais de software gera um grande passivo para as empresas e, por isso, é importante utilizar somente sistemas legalizados. Outro problema causado por sistemas paralelos é o risco de infecção da rede por software malicioso, visando a prática de crimes virtuais como o sequestro de dados ou apropriação de informações financeiras da empresa. 14 Avaliar todos os programas utilizados em todas as máquinas da rede é essencial para eliminar esse tipo de risco. Adequação das políticas de privacidade Com a publicação da nova lei para Proteção de Dados, a criação de uma política de privacidade se tornou obrigatória para qualquer empresa que manipule dados, especialmente em sistemas de computador ou pela internet. Na sistemática atual das organizações, isso significa praticamente qualquer corporação. A operação de desenvolvimento das políticas de compliance digital certamente incluirá a assessoria técnica para que a organização realize a adequação de suas políticas de privacidade e termos de uso voltados aos usuários. Além da Lei de Proteção de Dados Pessoais, as empresas também devem se atentar para que seus termos de uso cumpram o disposto no Marco Civil da Internet e no Código de Defesa do Consumidor. As práticas relacionais de cada instituição devem ser analisadas cuidadosamente por especialistas a fim de definir quais são as melhores práticas e como os termos e peças informativas devem ser redigidos para atingir o devido compliance digital. A nova regulamentação da proteção de dados pessoais merece especial atenção neste momento, pois seu descumprimento pode trazer consequências graves para as empresas. A ideia por trás dessa lei é proteger os dados pessoais de usuários, para que eles não sejam utilizados sem consentimento. Antes, essa regulamentação específica não existia, então as questões eram mais abertas para interpretação. Agora, há certeza sobre como as empresas devem se comportar, o que é perfeito para a criação de políticas de compliance digital. As principais regras introduzidas pela Lei de Proteção de dados no direito brasileiro são: ➢ Soberania do consentimento do dono dos dados, permitindo inclusive a revogação de consentimento anterior a qualquer tempo; ➢ Limitação da definição de dados anonimizados; 15 ➢ Autorização de uso de dados por interesse ou finalidadelegítimos, conforme hipóteses previstas na lei; ➢ Identificação do controlador, que toma decisões sobre os dados coletados e operador, que executa ordens do controlador, para individualizar a imputação de responsabilidade; ➢ Criação da Autoridade Nacional de Proteção de Dados, responsável por fiscalizar o cumprimento das normas de proteção de dados. Com base nessa nova lei as empresas devem mudar sua política de tratamento de dados. É necessário informar aos consumidores, com antecedência quais dados de identificação serão coletados e armazenados, bem como o uso de todas as informações, identificando os responsáveis pelo armazenamento das informações. O pedido de consentimento deve ser muito detalhado, mas de fácil entendimento. Ressalte-se ainda que o dever de prestar todas as informações também é previsto no Código de Defesa do Consumidor. A falha no cumprimento do dever de informação também ocasiona multas na esfera consumerista. Ou seja, transparência e compromisso com o fornecimento de informação adequada sempre! Implementação de políticas internas de gestão dos recursos de TI O desenvolvimento de regulamentos internos durante o processo de compliance digital abrange diversos setores, dentre eles a gestão dos recursos em TI. As políticas internas permitem o controle e prevenção contra abusos, práticas antiéticas e ilegais que possam afetar a empresa, seja de forma direta ou indireta. O desenvolvimento de políticas de compliance digital fornece subsídios para que a empresa administre melhor seu ambiente tecnológico. Por meio das políticas desenvolvidas, a empresa poderá exigir um uso adequado dos recursos tecnológicos, além de coibir abusos ou desvios. Os regulamentos são voltados aos empregados, prestadores de serviços, fornecedores e demais envolvidos diretamente no trabalho da empresa. Para 16 que tudo possa ser aplicado de forma efetiva, é essencial que as políticas sejam redigidas em um formato de fácil compreensão e aplicação. A documentação deve abranger todo o acervo tecnológico da empresa, físico e digital, orientando a todos sobre a forma correta de utilização dos recursos e os limites comportamentais. As penalidades para mau uso devem ser de fácil aplicação para evitar discussões posteriores. Não se pode esquecer de que os programas de integridade serão aplicados aos empregados e por isso mesmo é importante observar o entendimento dos Tribunais a respeito do tema. O Tribunal Superior do Trabalho, em várias decisões, já tratou dos limites sobre o monitoramento da atividade digital dos funcionários das organizações. Para facilitar o processo, o ideal é criar um Regulamento Interno de Segurança da Informação, deixando claro que o monitoramento existe e quais são as regras de uso das ferramentas. Além disso, um compromisso por escrito assinado pelos empregados, na forma de um Termo de Uso de Sistemas de Informação, é capaz de se tornar parte integrante do contrato de trabalho, legitimando o controle das atividades as eventuais provas obtidas nesse tipo de auditoria. Quando falamos de compliance, estamos pensando em todo e qualquer tipo de regra e ideia do que é certo. Mesmo algumas normas que não são jurídicas podem ser integradas aos regulamentos da empresa para aumentar a condução ética dos negócios. As empresas devem definir com muita clareza quais são as condutas corretas ou inadequadas em sua atuação. Nem tudo que é lícito é conveniente sob um ponto de vista ético e também mercadológico. O compliance digital é uma maneira de evitar comportamentos inadequados de todo tipo, ajudando as empresas a progredir em um ambiente competitivo, de forma colaborativa e ética. A ideia é que a organização adote como práxis fazer a coisa certa mesmo que ninguém esteja olhando. 17 O desenvolvimento e implantação de políticas de compliance digital é capaz de prevenir riscos e aumentar a eficiência empresarial. O aumento da transparência é muito bem-visto no mercado e agrega valor à instituição. Além disso, a criação de mecanismos de controle e investigação mitiga riscos de corresponsabilização e pode impedir que a empresa seja prejudicada pela ação de malfeitores. Por fim, a adoção de medidas visando o compliance digital demonstra a responsabilidade social da empresa e o respeito à lei. 6. COMPLIANCE DIGITAL E LGPD A LGPD é uma lei e o Compliance Digital é baseado, em grande parte nela. Isso significa que muitas das práticas do Compliance Digital irão consultar sempre a LGPD, uma das poucas leis destinadas ao ambiente digital. Por isso as duas coisas são tão confundidas! É como se fossem “farinha do mesmo saco”. A lei 13.709, sancionada em agosto de 2018 e em vigor a partir de agosto 2020, veio, novamente nas palavras de Maldonado e Blum, para “alinhar-se ao standard mundial da proteção de dados”. Ademais, veio para cumprir uma espécie de lacuna deixada pela primeira legislação específica para o Direito Digital e o Marco Civil da Internet. Isto se dá quanto à segurança e privacidade dos dados pessoais coletados por outras pessoas ou organizações públicas e privadas. Portanto, a LGPD objetiva proteger usuários da ocorrência de compartilhamento de seus dados pessoais sem a devida segurança jurídica. Para tal, define alguns mecanismos, ➢ Requisitos para coleta, tratamento e compartilhamento de dados por organizações e pelo poder público; ➢ Direitos do titular dos dados; ➢ Agentes de tratamento; 18 ➢ Dever da responsabilidade e ressarcimento por danos pela proteção de dados; ➢ Práticas de governança; ➢ Sanções; e ➢ ANPD – Autoridade Nacional de Proteção de Dados. Por intermédio desta lei, o cidadão poderá saber como seus dados pessoais são tratados. Outrossim, os motivos pelos quais são coletados, como são armazenados, por quanto tempo e, evidentemente, se são de alguma forma distribuídos. Destarte, poderá decidir se consente nesse uso, se o corrige etc. e, caso sofra algum dano devido ao uso dessas informações, tem garantida indenização por isso. Dessa forma, a LGPD chega pedindo respostas efetivas em compliance digital das organizações. 6.1. Cadastro de Base do Cidadão Em outubro de 2019, o governo federal publicou o Decreto 10.046. Com efeito, a medida institui a ampla possibilidade de compartilhamento, na administração pública federal, dos dados dos cidadãos, o Cadastro Base do Cidadão e o Comitê Central de Governança de Dados. Assim, como “dado”, o decreto compreende informações biográficas, mas também biométricas. Além disso, são três as modalidades de compartilhamento: ampla, restrita e específica, a depender do grau de sigilo. Todavia, a categorização deste nível será feita pelo Comitê Central de Governança de Dados. Dessa forma, o objetivo é desburocratizar a administração federal. 19 Entretanto, ainda que a centralização de informações dos brasileiros em uma base única seja promissora em vários aspectos, ela inspira, por outro lado, alguns desafios em gestão pública. Afinal, como lemos na LGPD, que subsome o decreto, toda entidade que lida com dados pessoais deve estar preparada para protegê-los. E mais, ter mecanismos para que o usuário consiga controlar o uso, assim como o compartilhamento dessas informações entre os órgãos. Portanto, isso, toca, ora pela via do setor público, na necessidade de compliance. 7. GOVERNANÇA CORPORATIVA E COMPLIANCE DIGITAL A Governança corporativa pode ser entendida como o sistema que dirige, monitora e incentiva as empresas, abarca os relacionamentos entre os sócios, o conselho de administração, a diretoria, os órgãos de fiscalização e de controle e as partes interessadas. De acordo com o IBCG (2015) as boas práticas de governança corporativa transformam os princípios básicos em recomendações objetivas, envolvendo interesses com o intuito de preservar e otimizar o valoreconômico a longo prazo da organização, facilitando o seu acesso a recursos e contribuindo para a qualidade da gestão da organização, da longevidade e do bem comum. Os princípios básicos de governança perpassam a transparência, a equidade, a prestação de contas (accountability) e a responsabilidade corporativa. O artigo 50, §3º, da LGPD prevê a formulação de regras de boas práticas e de governança nas organizações, que devem ser publicadas e atualizadas de forma periódica e poderão ser reconhecidas e divulgadas pela Autoridade Nacional de Proteção de Dados Pessoais – ANPD. 20 O compliance digital objetiva analisar os riscos e a adoção de medidas preventivas para adequar a organização às regras aplicáveis às tecnologias da informação. A situação indicada se mostra necessária no cenário atual, em que as empresas necessitam zelar pela boa imagem e pela reputação e a ética deve nortear a conduta da organização e de seus colaboradores. 7.1. Tratamento de Dados Pessoais O tratamento de dados é uma operação realizada com os dados pessoais que tem início com a coleta, passa pelo armazenamento, pelo controle e alcança a difusão ou extração. Os agentes de tratamento são o controlador e o operador. As atividades de tratamento de dados pessoais devem respeitar a boa-fé e os princípios da finalidade, da adequação, da necessidade, do livre acesso, da qualidade dos dados, da transparência, da segurança, da prevenção, da não discriminação e da responsabilização e da prestação de contas. O tratamento de dados pessoais deve estar em conformidade com o disposto do artigo 7º ao 10, da Lei nº 13.709 de 2018. O dado pessoal sensível deve passar por um tratamento especial e respeitar as disposições do artigo 11 ao 13, da Lei nº 13.709 de 2018. Com relação aos dados de crianças e de adolescentes deve-se atentar para as indicações do artigo 14, da Lei nº 13.709 de 2018. Outrossim, cabe informar que o tratamento de dados pelo poder público deve ser realizado com o objetivo de atender à finalidade pública, na busca pelo interesse público, com o intuito de executar as competências legais ou cumprir as atribuições do serviço público. As regras sobre o tratamento de dados pelo poder público estão dispostas do artigo 23 ao 30, da LGPD. O controlador e o operador devem registrar as operações sobre tratamento de dados pessoais. 21 A ANPD pode determinar que o controlador elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, no que se refere às operações de tratamento de dados, com base no regulamento, respeitado o segredo comercial e industrial. 7.2. Boas Práticas e Governança A criação de medidas e de regras de boas práticas e de governança é essencial para que todos os requisitos necessários à proteção de dados sejam efetivados. O controlador e o operador ao elaborarem regras de boas práticas, devem levar em consideração, em relação ao tratamento e aos dados, a natureza, o escopo, a finalidade, a probabilidade e a gravidade dos riscos e dos benefícios resultantes de tratamento de dados do titular. Na aplicação dos princípios, o controlador deve observar a estrutura, a escala, o volume de suas operações, a sensibilidade dos dados tratados, entre outros. A implementação do programa de governança em privacidade deve demonstrar o comprometimento do controlador em adotar políticas internas para garantir a proteção de dados pessoais e a segurança da informação; pode ser aplicável em todos os dados que estiverem sob a responsabilidade do controlador; deve ser adaptado ao dado – estrutura, volume, sensibilidade -; ser atualizado constantemente, ou seja, deve ser capaz de adaptar às mudanças, entre outros. As regras devem ser atualizadas e publicadas de maneira periódica, podendo serem reconhecidas e divulgadas pela autoridade nacional. A ANPD deve estimular a adoção de padrões técnicos que facilitem o controle pelos titulares de dados pessoais. Para a criação de um Programa de Privacidade e de Proteção de Dados eficiente deve-se conhecer previamente a empresa e o modelo de negócio adotado; mapear os dados que são coletados e usados pela empresa, identificar 22 os riscos e criar mecanismos com o intuito de proteger os dados contra ameaças; treinar todos os colaboradores e demonstrar a importância de seguir as normas e os procedimentos criados em conformidade com a LGPD. A gestão e a atualização contínua do programa também são pontos importantes que devem ser considerados. Além disso, para que boas práticas sejam de fato buscadas e efetivadas, é importante que o controlador e o operador respeitem as disposições da LGPD, como os princípios indicados na legislação, os deveres e as responsabilidades. Salienta-se que a prestação de contas – accountability – é um dos princípios da governança corporativa e um dos princípios que também foi incorporado à LGPD, no artigo 6º, inciso X. A adequação à LGPD além de visar garantir a proteção de direitos fundamentais, melhora a reputação da empresa e gera impacto positivo no desenvolvimento das atividades e nos contratos comerciais. 8. CONCLUSÃO A elaboração de uma política de compliance envolve, portanto, estratégias que vão além dos códigos de comportamento. Ela precisa contemplar ações para o envolvimento das lideranças, dos funcionários e de outros públicos com os quais a empresa se relaciona, como fornecedores e o poder público, por exemplo. No entanto, é importante destacar que a criação de tais normas por si só, não são suficientes à proteção da empresa. É importante que tais normas sejam revisadas, melhoradas e efetivamente aplicadas, o que somente será possível por meio de uma fiscalização eficiente. Assim é importante estar em concordância com as leis e normas do país, bem como as normas internas estabelecidas, implementando os conceitos 23 de compliance na empresa e trazendo mais valor ético, social e econômico para os negócios. (Fonte: Google) 24 REFERÊNCIAS BRASIL. Decreto n. 10.046, de 9 de outubro de 2019. Dispõe sobre a governança no compartilhamento de dados no âmbito da administração pública federal e institui o Cadastro Base do Cidadão e o Comitê Central de Governança de Dados. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2019- 2022/2019/decreto/D10046.htm. Acesso em: 19 dez. 2022. BRASIL. Decreto n. 7.962, de 15 de março de 2013. Regulamenta a Lei nº 8.078, de 11 de setembro de 1990, para dispor sobre a contratação no comércio eletrônico. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2011- 2014/2013/decreto/d7962.htm. Acesso em: 19 dez. 2022. BRASIL. Lei n. 12.551, de 15 de dezembro de 2011. Altera o art. 6º da Consolidação das Leis do Trabalho (CLT), aprovada pelo Decreto-Lei nº 5.452, de 1º de maio de 1943, para equiparar os efeitos jurídicos da subordinação exercida por meios telemáticos e informatizados à exercida por meios pessoais e diretos. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2011- 2014/2011/lei/l12551.htm#:~:text=LEI%20N%C2%BA%2012.551%2C%20DE% 2015,por%20meios%20pessoais%20e%20diretos. Acesso em: 19 dez. 2022. BRASIL. Lei n. 12.735, de 30 de novembro de 2012. Altera o Decreto-Lei nº 2.848, de 7 de dezembro de 1940 - Código Penal, o Decreto-Lei nº 1.001, de 21 de outubro de 1969 - Código Penal Militar, e a Lei nº 7.716, de 5 de janeiro de 1989, para tipificar condutas realizadas mediante uso de sistema eletrônico, digital ou similares, que sejam praticadas contra sistemas informatizados e similares; e dá outras providências. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2012/lei/l12735.htm. Acesso em: 19 dez. 2022. BRASIL. Lei n. 12.737, de 30 de novembro de 2012. Dispõe sobre a tipificação criminal de delitos informáticos; altera o Decreto-Leinº 2.848, de 7 de dezembro de 1940 - Código Penal; e dá outras providências. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2011-2014/2012/lei/l12737.htm. Acesso em: 19 dez. 2022. http://www.planalto.gov.br/ccivil_03/_ato2019-2022/2019/decreto/D10046.htm http://www.planalto.gov.br/ccivil_03/_ato2019-2022/2019/decreto/D10046.htm http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2013/decreto/d7962.htm http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2013/decreto/d7962.htm https://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/l12551.htm#:~:text=LEI%20N%C2%BA%2012.551%2C%20DE%2015,por%20meios%20pessoais%20e%20diretos https://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/l12551.htm#:~:text=LEI%20N%C2%BA%2012.551%2C%20DE%2015,por%20meios%20pessoais%20e%20diretos https://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/l12551.htm#:~:text=LEI%20N%C2%BA%2012.551%2C%20DE%2015,por%20meios%20pessoais%20e%20diretos http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2012/lei/l12735.htm https://www.planalto.gov.br/ccivil_03/_ato2011-2014/2012/lei/l12737.htm 25 BRASIL. Lei n. 12.846, de 1º de agosto de 2013. Dispõe sobre a responsabilização administrativa e civil de pessoas jurídicas pela prática de atos contra a administração pública, nacional ou estrangeira, e dá outras providências. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2011- 2014/2013/lei/l12846.htm. Acesso em: 19 dez. 2022. BRASIL. Lei n. 12.850, de 2 de agosto de 2013. Define organização criminosa e dispõe sobre a investigação criminal, os meios de obtenção da prova, infrações penais correlatas e o procedimento criminal; altera o Decreto-Lei nº 2.848, de 7 de dezembro de 1940 (Código Penal); revoga a Lei nº 9.034, de 3 de maio de 1995; e dá outras providências. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2011-2014/2013/lei/l12850.htm. Acesso em: 19 dez. 2022. BRASIL. Lei n. 12.965, de 23 de abril de 2014. Estabelece princípios, garantias, direitos e deveres para o uso da Internet no Brasil. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm. Acesso em: 19 dez. 2022. BRASIL. Lei n. 13.709, de 14 de agosto de 2018. Lei Gerald de Proteção de Dados Pessoais (LGPD). Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 19 dez. 2022. BRASIL. Lei n. 9.279, de 14 de maio de 1996. Regula direitos e obrigações relativos à propriedade industrial. Disponível em: https://www.planalto.gov.br/ccivil_03/leis/l9279.htm. 19 dez. 2022. BRASIL. Lei n. 9.609, de 19 de fevereiro de 1998. Dispõe sobre a proteção da propriedade intelectual de programa de computador, sua comercialização no País, e dá outras providências. Disponível em: https://www.planalto.gov.br/ccivil_03/leis/l9609.htm#:~:text=LEI%20N%C2%BA %209.609%20%2C%20DE%2019,Pa%C3%ADs%2C%20e%20d%C3%A1%20 outras%20provid%C3%AAncias. Acesso em: 19 dez. 2022. Dicionário da Língua Portuguesa. https://www.planalto.gov.br/ccivil_03/_ato2011-2014/2013/lei/l12846.htm https://www.planalto.gov.br/ccivil_03/_ato2011-2014/2013/lei/l12846.htm https://www.planalto.gov.br/ccivil_03/_ato2011-2014/2013/lei/l12850.htm https://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm https://www.planalto.gov.br/ccivil_03/leis/l9279.htm https://www.planalto.gov.br/ccivil_03/leis/l9609.htm#:~:text=LEI%20N%C2%BA%209.609%20%2C%20DE%2019,Pa%C3%ADs%2C%20e%20d%C3%A1%20outras%20provid%C3%AAncias https://www.planalto.gov.br/ccivil_03/leis/l9609.htm#:~:text=LEI%20N%C2%BA%209.609%20%2C%20DE%2019,Pa%C3%ADs%2C%20e%20d%C3%A1%20outras%20provid%C3%AAncias https://www.planalto.gov.br/ccivil_03/leis/l9609.htm#:~:text=LEI%20N%C2%BA%209.609%20%2C%20DE%2019,Pa%C3%ADs%2C%20e%20d%C3%A1%20outras%20provid%C3%AAncias 26 DOJ e SEC – Guia de recursos para o FCPA, pág. 57 – Características de um Programa de Compliance Efetivo: http://www.justice.gov/sites/default/files/criminal- fraud/legacy/2015/01/16/guide.pdf OCDE – Guia de Boas Práticas sobre Controles Internos, Ética e Compliance: http://www.oecd.org/daf/anti-bribery/44884389.pdf. Texto baseado no conteúdo do livro “Compliance – A excelência na prática” de Wagner Giovanini. Transparência Internacional – Princípios para combater a corrupção nos negócios: http://www.transparency.org/whatwedo/publication/business_principles_for_cou ntering_bribery UNODC – Um Programa de Ética Anticorrupção e de Compliance para Empresas: guia prático: https://www.unodc.org/documents/corruption/Publications/2013/13- 84498_Ebook.pdf. https://www.unodc.org/documents/corruption/Publications/2013/13-84498_Ebook.pdf https://www.unodc.org/documents/corruption/Publications/2013/13-84498_Ebook.pdf
Compartilhar