COMPLIANCE DIGITAL E5

Prévia do material em texto

AULA 5 
COMPLIANCE DIGITAL E 
GOVERNANÇA CORPORATIVA 
Prof. Felipe Santos Ribas 
 
 
2 
INTRODUÇÃO 
A Lei n. 13.709 de 2018, denominada Lei Geral de Proteção de Dados 
Pessoais (LGPD), que entrou em vigor no ano de 2020, é um tema de grande 
relevância no Brasil, uma vez que vem acompanhado de preocupações ao redor 
de adaptações das empresas que realizam tratamento de dados pessoais para 
fins comerciais. 
Devido às interconexões entre o Compliance e a Governança Corporativa, 
será exposto como funciona a gestão de riscos de um programa efetivo de 
Compliance Digital, procurando abordar questões práticas ligadas ao risco do 
tratamento de dados pessoais, desde a coleta até a sua eliminação. 
TEMA 1 – A RELAÇÃO ENTRE O COMPLIANCE E A PROTEÇÃO DE DADOS 
PESSOAIS 
Com a entrada em vigor da Lei n. 13.709, de 14 agosto de 2018, as 
organizações se viram obrigadas a estruturar um programa de tratamento de 
dados pessoais, com plano de gerenciamento de dados que possua regras de 
boas práticas, mitigação de riscos das informações e normas de segurança 
integrados a um programa de Compliance. 
O Compliance relaciona-se com o cumprimento de leis e normas, mas 
também corresponde aos esforços com intuito de fazer com que as empresas e 
seus membros adotem comportamentos desejáveis e éticos (Carvalho et al., 
2019). Portanto, “estar em compliance” é estar em conformidade com o 
ordenamento jurídico, é estar em conformidade com a Lei Geral de Proteção de 
Dados Pessoais (LGPD). 
Além dos prejuízos financeiros decorrentes das sanções administrativas 
(ex: multas elevadas) e dos processos de indenizatórios, o descumprimento da 
LGPD pode trazer riscos reputacionais para a organização que, ao fim e ao cabo, 
terão reflexos patrimoniais. 
De acordo com a Febraban, oito em cada dez empresas do país não estão 
preparadas para cumprir com os requisitos da referida lei, o que causa grande 
preocupação para os negócios, uma vez que as organizações podem perder a 
sua credibilidade, somar prejuízos e consequentemente ter dificuldades de se 
manter no mercado. 
Alguns dos desafios para atender aos requisitos da lei são (Noomisblog, 
 
 
3 
2019): 
• Custos e restrições orçamentárias; 
• A criação de uma metodologia eficiente de gestão de riscos; 
• A falta de integração entre as áreas de riscos, controles, compliance e 
auditoria interna; 
• A falta de prioridade da administração; 
• A cultura da organização. 
Compreende-se o compliance de dados pessoais como um sistema, um 
processo para disciplinar as empresas que façam tratamento de dados a atuar 
com ética e em conformidade com os limites legais, preservando a privacidade 
dos cidadãos. Diante disso, as empresas possuem a responsabilidade de auferir 
as informações recebidas exclusivamente para o seu objetivo singular e preservar 
tão somente o necessário (razoável) para a prestação do serviço, por exemplo: a) 
uma clínica odontológica, ao fazer o cadastro de um novo cliente/paciente, não 
precisa conhecer a orientação sexual dele; b) uma operadora de telefonia celular, 
ao celebrar a contratação de um serviço, não precisa saber ou exigir que o seu 
cliente informe a cor da sua pele. 
Como alguns dados podem ser repassados para terceiros, para fins 
diversos que vão além de um marketing invasivo, a LGPD preocupa-se com o 
grau de honestidade das organizações que recebem, cadastram e tratam dados 
pessoais. 
Luciana Bacci (2019), ao comentar a Lei Geral de Proteção de Dados 
Pessoais, explica que: 
O crescente uso e valor comercial dos dados pessoais sensíveis, seu 
compartilhamento entre jurisdições legais e o aumento da complexidade 
nos sistemas de informação e comunicação são fatores que podem 
dificultar os processos das empresas na hora de garantir a privacidade 
e alcançar a conformidade com as várias leis aplicáveis. 
[...] 
Neste sentido, a proteção de dados pessoais pode ser entendida como 
o aspecto dos sistemas de tecnologia da informação e comunicação que 
está relacionado com a habilidade de um indivíduo ter ciência e, em 
alguns casos, controle sobre quais dados em um sistema 
computadorizado são utilizados ou mesmo compartilhados com 
terceiros. 
Quando o assunto é proteção de dados pessoais, temos que reforçar 
quem são os principais atores da privacidade: o titular do dado pessoal, 
o controlador do dado pessoal e o operador do dado pessoal. 
Com efeito, hoje vivemos na sociedade da informação e num contexto de 
virtualização da informação. Antigamente, o acúmulo, a preservação e o 
 
 
4 
tratamento da informação aconteciam em meios físicos, materiais, como por 
exemplo um caderno, um livro, um ficheiro etc. Hoje, os dados estão quase que 
exclusivamente em meio digital, armazenado em computadores. Esse cenário cria 
um leque de oportunidades para o armazenador de informações, que pode 
realizar negócios com os dados pessoais de terceiros. É por isso que se diz que 
hoje vivemos na era da informação e sob o manto da economia da informação. 
Mas como dito acima, essas possibilidades também trazem malefícios para 
os titulares dos dados, que têm a sua privacidade invadida e, em alguns casos, a 
segurança comprometida. Aqui está o racional da LGPD ao impor uma série de 
limites para as empresas e organizações (públicas e privadas) que fazem 
tratamento de dados. 
Além disso, segundo Bacci (2019), “o titular do dado pessoal deve conhecer 
e exercer os seus direitos garantidos por lei aplicável com ênfase na consciência 
ao fornecer seus dados pessoais a controladores e/ou operadores com diligência”. 
Nesse sentido, deve haver transparência por parte do administrador dos dados e 
liberdade de decisão por parte do titular. É dever do controlador possuir 
“mecanismos para identificar, avaliar e mitigar os riscos associados à privacidade 
do titular do dado pessoal, implementando controles que os protejam e assegurem 
que o tratamento se dará em conformidade com a lei” (Bacci, 2019). 
A existência de um canal de denúncias é um dos pilares fundamentais em 
um programa de Compliance, pois este abrange o descumprimento de leis e 
regras de condutas das organizações. Mas trata-se de um instrumento que 
também pode auxiliar no tratamento de dados, como bem elucida Isabel Franco 
(2019, p. 339): 
Diante dos diferentes formatos para um canal de denúncias, diversas 
serão, também, as abordagens dadas ao tratamento de dados e as 
responsabilidades dos agentes envolvidos. Quando uma empresa 
recebe as denúncias dentro de sua própria estrutura, por mecanismos 
próprios, agirá como controladora (aquela a quem, nos termos do art. 5º, 
VI, da LGPD, competem as decisões referentes ao tratamento dos 
dados). Caso o processo de coleta das denúncias ocorra por intermédio 
de uma consultoria externa, que trata os dados em nome da empresa, 
estaremos diante de uma operadora. Neste ponto, importante consignar 
que a LGPD estabelece que controladores e operadores serão 
obrigados a reparar danos causados em razão da atividade de 
tratamento, e que a responsabilidade será solidária não apenas quando 
houver o descumprimento das obrigações da legislação de proteção de 
dados, mas, também, quando o operador não seguir as instruções 
determinadas pelo controlador. É dizer: caso a consultoria externa opte 
por não seguir as recomendações dadas pela corporação no tocante à 
implantação do canal de denúncias e a seu formato de operação, e em 
se verificando um incidente de segurança oriundo daquele 
descumprimento, a consultoria externa poderá ser responsabilizada. 
 
 
5 
Além disso, as investigações corporativas dentro de um programa de 
Compliance também devem estar alinhados às balizas e valores da LGPD, para 
que os dados coletados nas organizações cumpram sua finalidade e sejam 
mantidos em sigilos. 
Dessa forma, em consonância com a Lei Geral de Proteção de Dados 
Pessoais, toda empresa deve considerar as consequências e o riscos de uma má 
proteção dedados, bem como da harmonização de procedimentos e políticas de 
Compliance com base em avaliações transparentes e eficazes para garantir 
confiança entre as partes. 
Assim, o programa de Compliance e a LGPD são institutos comunicantes 
e que merecem uma especial atenção da administração das organizações, pois 
eles podem mitigar riscos financeiros, reputacionais e até mesmo criminais. 
TEMA 2 – GESTÃO DE RISCOS: ABORDAGEM CONCEITUAL 
Ao versar sobre riscos, estamos diante de variáveis que, para a atividade 
empresarial, denotam de compreensão na gestão de negócios, para que as 
empresas se mantenham no mercado. A competição é um exemplo de variável 
que deve ser considerada. O ambiente público também não está imune a riscos. 
Não é incomum vermos servidores e gestores públicos serem condenados por 
ações de improbidade, ressarcimento de danos e até mesmo em processos 
criminais. 
Por isso, o planejamento é o momento em que se deve antecipar os riscos, 
bem como estabelecer objetivos mensuráveis como também prazos e ações 
definidos, para a estratégia que irão orientar a gestão de negócios. 
Nesse sentido, Neves e Figueiroa, citados por Carvalho et al. (2018) 
elucidam acerca da gestão de riscos que: 
Como se sabe, toda empresa, associação, entidade, fundação, enfim, 
toda organização é criada para atingir os objetivos estabelecidos em 
seus atos constitutivos e que vão sendo aprimorados paulatinamente 
junto ao desenvolvimento de suas atividades. Para alcançá-los de forma 
mais eficiente, são feitos planejamentos mais simples ou mais 
complexos, a depender da natureza da própria entidade. 
Ainda, o mapeamento de riscos (risk assessment) é instrumento que auxilia 
na tomada de decisão e em estratégias do negócio, com o objetivo de construir 
um modelo pautado por balizas objetivas, que combinado com os programas de 
 
 
6 
Compliance, compreende a mitigação de riscos no negócio, resultando em 
qualidade no tocante à finalidade e aos objetivos empresariais. 
Fernando Borges Mânica (2017), ao tratar da avaliação de riscos, explica 
que: 
Deve dar-se de forma ampla, englobando todos os impactos negativos 
vinculados à área de atuação e escalonando, objetivamente, prioridades 
para, a partir destas, elencar condutas interventivas continuadas. É a 
partir do sopesamento dos riscos inerentes à atividade exercida e da 
definição de metas a serem alcançadas que o código de conduta e os 
valores institucionais serão institucionalizados. 
Assim, é comum que as atividades empresariais, aqui incluindo o 
tratamento de dados, estejam evoluindo e se tornando cada vez mais complexas, 
por vezes internacionalizadas, de modo que a implementação de programas de 
compliance e mitigação de riscos tornam-se imprescindíveis. 
Entretanto, esse gerenciamento de riscos deve ser feito de maneira 
atrelada a um programa de integridade que, a rigor, é até mais amplo que a ideia 
isolada de compliance. Embora os termos compliance (conformidade) e 
integridade sejam tratados por alguns como sinônimos, aquele está contido neste. 
De acordo com o Decreto n. 8.420/2015, que regulamenta a Lei n. 
12.846/2013 (Lei Anticorrupção), o programa de integridade: 
Consiste, no âmbito de uma pessoa jurídica, no conjunto de mecanismos 
e procedimentos internos de integridade, auditoria e incentivo à denúncia 
de irregularidades e na aplicação efetiva de códigos de ética e de 
conduta, políticas e diretrizes com objetivo de detectar e sanar desvios, 
fraudes, irregularidades e atos ilícitos praticados contra a administração 
pública, nacional ou estrangeira. 
Mas um dos principais instrumentos do programa de integridade é 
justamente o gerenciamento de riscos, ou seja, a gestão de qualquer evento 
(oportunidade ou ameaça) que possa ter impacto no cumprimento dos objetivos 
da organização. E não são apenas riscos financeiros; sim, riscos reputacionais, 
ambientais ou sociais também devem ser gerenciados. Por exemplo, uma startup 
sofre um ataque hacker que expõe dezenas de milhares de dados dos seus 
clientes. 
De um modo geral, o gerenciamento de riscos é um processo que 
compreende a identificação, avaliação e tratamento ou aceitação do risco pela alta 
administração da organização. Com efeito, há alguns riscos que não podem ser 
completamente isolados, exigindo que os administradores, em consonância com 
o seu “apetite de risco”, decidam se vão aceitar ou não conviver com o evento. 
 
 
7 
TEMA 3 – MODELO COSO DE GERENCIAMENTO DE RISCOS CORPORATIVOS 
O Committee of Sponsoring Organizations of the Treadway Commission 
(COSO) possui projetos que buscam avaliar e melhorar o gerenciamento de riscos 
nas empresas. A COSO é uma organização privada norte-americana, sem fins 
lucrativos, que tem a finalidade estruturar métodos para prevenir fraudes internas. 
Foi criada em 1985 como National Commission on Fraudulent Financial Reporting 
(Comissão Nacional sobre Fraudes em Relatórios Financeiros) nos EUA, para 
estudar fraudes contábeis, e somente na década de 90 se tornou a COSO. 
Segundo a COSO (2013): 
Ao avaliar riscos, a administração considera o composto dos futuros 
eventos em potencial pertinentes à organização e às suas atividades no 
contexto das questões que dão forma ao perfil de riscos, como tamanho 
da organização, complexidade das operações e grau de regulamentação 
de suas atividades. 
Ao avaliar riscos, a administração leva em consideração eventos 
previstos e imprevistos. Muitos eventos são rotineiros e recorrentes e já 
foram abordados nos programas de gestão e orçamentos operacionais, 
enquanto que outros são imprevistos. A administração avalia os riscos 
em potencial de eventos imprevistos e, caso ainda não tenha feito essa 
avaliação, até os previstos que podem causar um impacto significativo 
na organização. 
Embora o termo “avaliação de riscos” tenha sido usado em conexão com 
uma atividade realizada, uma única vez, no contexto de “avaliação de 
riscos corporativos”, o componente de “avaliação de riscos” é uma 
interação contínua e repetida das ações que ocorrem em toda a 
organização. 
O modelo COSO sugere uma estrutura integrada de controles internos, 
segregada em 8 componentes e 4 objetivos de controle, representada por um 
Cubo, que ilustra todas as dimensões do controle. 
Há uma interconexão entre os componentes e objetivos corporativos. Para 
que a alta administração possa tomar decisões sobre questões que apresentem 
elevados riscos, é preciso que o gerenciamento de riscos seja eficaz e que todos 
esses elementos tenham sido profundamente avaliados pela área de gestão de 
riscos. 
TEMA 4 – PRINCIPAIS RISCOS CORPORATIVOS 
A gestão de riscos não é gratuita. Tanto para o processamento e o 
armazenamento de informações como para a estruturação de equipes 
multidisciplinares, para analisar as informações corporativas e aprimorar e revisar 
 
 
8 
os programas de forma eficaz, evoluindo com o tempo, são necessários 
investimentos. Mas é um custo positivo, pois serve para atenuar prejuízos. 
Edmo Colnaghi Neves e Caio Cesar Figueiroa (citados por Carvalho et al.) 
argumentam que a área de gestão de riscos pode surgir por solicitação do 
conselho de administração, o mais comum, mas também como iniciativa de outros 
departamentos, como o financeiro, por exemplo. A implementação da gestão de 
riscos se dá de forma progressiva, com o empoderamento da área e o desenho 
do processo. 
Muitas empresas, após implementar a área de gestão de riscos, criam um 
comitê executivo que fará os reportes junto à alta administração, que tem a palavra 
final sobre os assuntos levados para deliberação. Nesse sentido, é bastante 
comum que os administradores solicitem medidas complementares ao simples 
tratamento do risco. Por exemplo: se a área de riscos identificar possíveis 
prejuízos decorrentes de fraudes contratuais internas, os administradores podem 
solicitar que a auditoria instaure uma investigação interna. 
É preciso destacar,finalmente, que grande parte dos riscos são comuns 
para qualquer empresa comercial, senão vejamos: 
• Riscos operacionais: Risco de terceirização de serviços; Risco de 
conformidade (fraude, desvio de dinheiro, descumprimento de regras e 
protocolos internos etc.); Risco de mudança no ambiente tecnológico ou de 
sistema; Risco de informação (falta) e de segurança da informação 
(sigilo/restrição); Risco contratual ou de contencioso (judicialização de 
demandas, ex.: trabalhistas, indenizatórias etc.); Risco de falha humana ou 
de indisponibilidade de pessoal especializado; 
• Riscos Financeiros: Risco de crédito e Risco de Liquidez (fluxo de caixa); 
• Riscos Estratégicos: Risco regulatório; Risco de imagem ou 
reputacionais; 
Os litígios judiciais estão cada vez mais presentes na área corporativa, 
sendo que as pessoas estão gradativamente mais conscientes da invasão da sua 
privacidade e intimidade, o que exige uma cautela por parte das empresas que 
fazem tratamento de dados. 
Dessa forma, como cada organização possui várias áreas, a gestão de 
riscos deve se comunicar com as demais áreas das empresas, para que todas 
caminhem juntas com a mesma finalidade, planejamento e objetivo, fazendo 
 
 
9 
assim com que haja redução de custos, melhorias de qualidade na gestão das 
empresas e incontáveis benefícios. 
Para finalizar, cabe esclarecer que um programa de integridade existe 
também para proteger a empresa e os funcionários de eventos imprevisíveis. A 
aplicação eficaz de compliance pode evitar que as pessoas se envolvam em 
condutas ilícitas e, na mesma medida, um tratamento sério de riscos, com 
processos e metodologias bem definidas, pode mitigar riscos para essas pessoas. 
Dessa forma, empregar um programa de integridade, com uma boa gestão 
de riscos, é aspecto crucial para as organizações asseverarem lisura e segurança 
nas relações com os clientes. 
TEMA 5 – METODOLOGIA DE AVALIAÇÃO DE RISCOS 
Tem-se que medidas exigentes e rigorosas não são, por si sós, 
apropriadas, mas sim a padronização faz com que se busque melhores resultados 
e melhor aproveitamento nas organizações, o que diminui os custos das 
operações, bem como resulta em eficácia do controle dos riscos, evitando que 
tanto os profissionais quanto os clientes não pratiquem ilícitos, que podem trazer 
sérias consequências como o comprometimento de licença profissional ou até 
mesmo responder processos administrativos e judiciais. 
Edmo Colnaghi Neves e Caio Cesar Figueiroa (citados por Carvalho et 
al.) assim ensinam: 
Diante destas preocupações, já há diversas regras internacionais – 
como o próprio FCPA e o UK Bribery Act – fixando regras para auditoria 
de clientes que deverão ser previamente operacionalizadas à execução 
dos serviços. Dentre elas, pode-se destacar a identificação completa do 
cliente e dos serviços prestados, tudo com o objetivo de prevenir a 
lavagem de dinheiro. A nova proposta do risk based approach, portanto, 
aprimora as principais regulamentações internacionais observadas a 
partir da ideia de ganhos de efetividade durante a gestão e controle de 
riscos. 
Ao identificar os riscos, estes são decorrentes de descumprimentos de 
políticas de Compliance, regulamentos, leis e código de condutas, em que os 
canais de denúncias são um dos mecanismos de prevenção, por meio do quais 
tanto os funcionários quanto os clientes podem se valer dessa ferramenta. 
Quando as empresas se valem de programas de Compliance, inúmeras 
são as formas de mitigar possíveis riscos, como relatórios periódicos na empresa, 
responsabilização, relatórios de processos judiciais, equipes multidisciplinares 
para análise de informações, entre outras, que vão depender de cada empresa. 
 
 
10 
O Committee of Sponsoring Organizations of the Treadway 
Commission (COSO) apresenta alguns métodos para a avaliação de riscos, veja-
se: 
A metodologia de avaliação de riscos de uma organização inclui uma 
combinação de técnicas qualitativas e quantitativas. Geralmente, a 
administração emprega técnicas qualitativas de avaliação se os riscos 
não se prestam a quantificação, ou se não há dados em quantidade 
suficiente para a realização das avaliações quantitativas, ou, ainda, se a 
relação custo-benefício para obtenção e análise de dados não for viável. 
Tipicamente, as técnicas quantitativas emprestam maior precisão e são 
utilizadas em atividades mais complexas e sofisticadas para 
suplementar as técnicas qualitativas. As técnicas quantitativas de 
avaliação geralmente requerem mais esforço e rigor, muitas vezes 
utilizando modelos matemáticos não triviais. As técnicas quantitativas 
dependem sobremaneira da qualidade dos dados e das premissas 
adotadas e são mais relevantes para exposições que apresentem um 
histórico conhecido, uma freqüência de sua variabilidade e permitam 
uma previsão confiável. (2013) 
Dessa forma, para se ter uma gestão de riscos efetiva, necessária se faz 
uma governança eficaz para prevenir as atividades de gestão de riscos, uma vez 
que estas se complementam. Portanto, a gestão de riscos manifesta-se como um 
plano para dirimir ilegalidades e conflitos que possam existir nas organizações. 
Na prática, o gestor de riscos primeiramente identifica o evento incerto que, 
se ocorrer, pode provocar um impacto negativo à empresa. Aproveitando a 
oportunidade, deve-se destacar, também, que a situação incerta pode trazer um 
impacto positivo para a organização, como, por exemplo, quando se está diante 
de uma fusão com outra empresa. 
Na sequência, esse risco deve ser tratado e monitorado. O gestor deve 
sempre se esforçar para que os impactos negativos nunca ocorram e, por outro 
lado, para que os impactos se realizem o quanto antes. Se conseguir atingir esses 
objetivos, o gestor consegue proteger a empresa ou projeto, gerar valor para a 
empresa ou projeto e facilitar a tomada de decisões pela alta administração. 
CONCLUSÃO 
Os padrões para a efetivação do Compliance consistem em valores, 
culturas e em hábitos cotidianos, os quais serão viabilizados por meio da formação 
de um programa efetivo, em que a meta é tolher atos ilícitos e corruptivos 
preventivamente. 
É fundamental a implementação de um programa de integridade, que crie 
mecanismos de prevenção para um melhor desempenho das organizações, 
 
 
11 
evitando riscos de negócios e mecanismos para o fortalecimento desse sistema. 
E, por óbvio, é essencial o comprometimento da alta gestão nas organizações 
para que os empregados entendam a importância da proteção dos dados para a 
organização como um todo. 
 Conquanto o Brasil possua diversas normas que cuidam parcialmente do 
tema, a LGPD é a primeira lei federal inerente a proteção de dados pessoais. Os 
administradores não estavam adaptados a trabalhar com esse tema. Por esse 
motivo é que se deve construir uma cultura e difundir as boas práticas para que a 
lei seja determinante. Toda a organização precisa ser treinada. 
O controle de dados pessoais deve ser efetuado pelas organizações com 
o escopo de preservar a privacidade de cada indivíduo, pois eventuais falhas na 
garantia desses dados podem fomentar graves consequências financeiras e de 
imagem para as empresas. Por conseguinte, um robusto programa de Compliance 
Digital, com uma boa gestão de riscos, pode ser decisivo para a perenidade das 
corporações. 
 
 
 
 
 
 
 
12 
REFERÊNCIAS 
84% das Empresas não estão Prontas para Proteger Dados Pessoais. 
Noomisblog, 25 nov. 2019. Disponível em: 
. Acesso em: 29 jun. 2021. 
BRASIL. Decreto n. 8.420, de 18 de março de 2015. Diário Oficial da União, 
Brasília, DF, 19 mar. 2051. 
BACCI, L. Boas práticas de proteção de dados pessoais e o pratique ou explique. 
IBGC, 25 set. 2019. Disponível em: Acesso em: 29 jun. 2021.COSO. Releases Internal Control – Integrated Framework (2013). Disponível 
em: Acesso em: 29 jun. 2021. 
FRANCO, I. Guia Prático de Compliance. Rio de Janeiro: Editora Forense, 2019. 
MÂNICA, F. Prestação de serviços de assistência à saúde pelos municípios. 
Belo Horizonte: Editora Fórum, 2017. 
MENDES, L. S. Privacidade, proteção de dados e defesa do consumidor. São 
Paulo: Editora Saraiva, 2014. 
NEVES, E. C.; FIGUEIROA, C. C. In: CARVALHO, A. C. et al. (Coord.). Manual 
de Compliance. São Paulo: Editora Forense, 2018. p. 20-34. 
PINHEIRO, P. P. Proteção de Dados Pessoais: Comentários à Lei n. 
13.709/2018 (LGPD). São Paulo: Editora Saraiva, 2018 
SCHREIBER, A. Direitos da personalidade. São Paulo: Editora Atlas, 2011.