Categoria: LGPD

Categorias
Compliance LGPD

O que é compliance? Por que Fala-se Tanto Nisso?

O que é compliance? O gráfico abaixo foi elaborado pelo Google, demonstrando com informações de acesso o interesse por essa questão. A linha azul demonstra o volume de pesquisas realizadas no Brasil em 2019 do monitoramento contínuo do Google Trends.

o que é compliance ? Google Trends

Os números representam o interesse de pesquisa relativo ao ponto mais alto no gráfico. Em uma escala de zero à cem, o valor 100 representa um pico de popularidade.

Vivemos um momento de grandes questionamentos sobre corrupção e transparência na gestão pública. Escândalos envolvendo grandes grupos econômicos e agentes públicos.

Recentemente, vieram à tona preocupações sobre corrupção, lavagem de dinheiro, interpretação de leis e o compliance jurídico.

Profissionais de compliance e governança corporativa vêm um mercado aquecido em busca de bons profissionais.

Mas Afinal O Que Significa Compliance?

A palavra é usada quase como um neologismo, ou seja, utilizada em nosso idioma com base na pronúncia de outra palavra estrangeira. Em inglês “to comply” significa literalmente: cumprir, obedecer, concordar ou consentir.

Compliance em portugues, poderia significar de forma simples: cumprimento de leis. Não obstante, o Compliance empresarial pode (e deve) ser mais abrangente. Precisa, além das leis, garantir o cumprimento de políticas, normas e procedimentos da companhia.

A Constituição e o Princípio da Legalidade

De acordo com o art. 5º, inciso II, da Constituição Federal:

“ninguém será obrigado a fazer ou deixar de fazer alguma coisa senão em virtude de lei”.

art. 5º, inciso II, da Constituição Federal

Se a legalidade trata da obrigação, ou desobrigação de uma ação, nota-se que não é possível que a lei cubra todas as situações e determine o que deve ser feito em cada uma delas.

Leis e Princípios

Diferentemente das leis, os princípios são conceitos abstratos igualmente importantes que norteiam as situações não previstas. Ética, moral, integridade são algo muito mais abrangente e assunto para outro post.

Compliance Officer

Esta é denominação geralmente usada para o profissional à frente do tema. No entanto, em algumas empresas, o tema pode ser compartilhado, ou mesmo tratado por outros departamentos como Auditoria Interna, Gestão de Riscos, Controles Internos, Prevenção de Fraudes, Inspetoria, Governança Corporativa ou Segurança da Informação.

Compliance Empresarial

No setor privado portanto, o Compliance deve ter uma visão holística de todos os departamentos. Há de se ter um olhar especial à aqueles que sofrem algum tipo de regulação do governo. Veja alguns exemplos:

Recursos Humanos e Segurança Ocupacional: O que é compliance trabalhista? Em termos simples é o cumprimento da legislação trabalhista. Alguns exemplos de obrigações trabalhistas são as garantias de: descanso semanal remunerado, direito à férias, pagamento de décimo terceiro salário, descanso inter-jornada, uso de EPI e etc..

Tributário e Fiscal: o departamento deve executar o cálculo correto de tributos, recolhimentos dentro do prazo, sem subterfúgios para fugir de impostos;

Contabilidade e Controladoria: a correta contabilização de ativos, passivos, cálculo de depreciação, reconhecimento de perdas devem ser refletidos no DRE e demais relatórios divulgados internamente ou ao mercado.

Sustentabilidade, Facilities, Ambiental: o descarte de resíduos (inclusive contaminantes biológicos, químicos, perfurocortantes e especialmente os radioativos). O Compliance na saúde certamente permeia essas questões.

TI e Transformação Digital: a era dos dados criou situações inimagináveis a pouco tempo atrás, e novas leis precisaram ser criadas sobre acesso à informações, uso responsável da internet e mais recentemente proteção de dados pessoais. A governança de TI está acompanhando esta evolução.

Em conclusão, percebe-se uma maior preocupação com a conformidade. A garantia de impunidade tem sido notavelmente abalada. Cada vez mais vemos a responsabilização de pessoas físicas por situações irregulares nas corporações e no setor público.

Assim, pergunte-se: você se preocupa com o Compliance?

Categorias
Auditoria Compliance LGPD

Nova Lei De Proteção Dados e a Auditoria Interna

LGPD – Lei Geral de Proteção de Dados.

LGPD significa Lei Geral de Proteção de Dados – a nova lei nº 13.709/2018, semelhante à GDPR, amplia o marco civil da internet e estabelece parâmetros de proteção ao cidadão nos processos de coleta, retenção, utilização e exclusão de dados pessoais.

Certamente, os profissionais de Auditoria Interna e TI, Governança Corporativa e Compliance, e até mesmo de TI devem estudar o tema com cuidado. Novos desafios profissionais surgem na era do Big Data.

GDPR

A Lei de Dados é sobretudo inspirada na GDPR (General Data Protection Regulation), lei européia com a mesma finalidade.

A GDPR já provocou profundas mudanças em empresas com operação na Europa e já podemos ver algumas dessas mudanças aqui.

Para citar alguns exemplos da aplicação da lei na Europa: Whatsapp, Facebook e Google já possuem funções de controle privacidade contendo explicações de como as informações são utilizadas, revisão de consentimento e até mesmo download dos dados pessoais cadastrados nas plataformas.

Objetivos

  • Clareza: o cidadão tem o direito de ser informado com clareza quais são os dados coletados e como eles serão utilizados;
  • Classificação dos dados: dados pessoais e dados pessoais sensíveis;
  • Papéis e Responsabilidades – a nova lei define diretos e deveres para cada um dos envolvidos: titular, controlador, processador;
  • Consentimento: informações só poderão ser coletadas, controladas ou processadas com o consentimento do titular.

Principais exigências da nova lei

  • Solicitação de confirmação da existência de dados pessoais;
  • Acesso aos próprios dados.
  • Possibilidade de correção dos dados: informações incompletas, inexatas ou desatualizadas;
  • Anonimizar, bloquear ou excluir dados tratados indevidamente;
  • Portabilidade dos dados para outra empresa;
  • Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados.
  • Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa.
  • Revogação do consentimento.

Dados Pessoais

Dados pessoais são características únicas do indivíduo como CPF, RG, data de nascimento etc.

Estes dados são o foco da nova lei, porém algumas implicações legais deverão ser consideradas. Por exemplo: uma situação conflitante em que o cidadão exige a exclusão dos dados mas uma outra lei exige a retenção ou até mesmo a divulgação compulsória daquela informação.

Alguns dados não são estritamente pessoais, mas, quando correlacionados permitem a identificação de um indivíduo. Desta forma, juntando alguns atributos como idade, sexo, endereço, número de telefone ou e-mail é possível identificar alguém sem saber necessariamente o seu CPF.

Dados sensíveis

Dados sensíveis são informações que possam trazer algum tipo de constrangimento quando divulgadas sem autorização. Quando mal controlados, esses dados tem potencial de utilização para atacar, discriminar ou constranger outros (bullying). Alguns exemplos de dados sensíveis: Crença, orientação sexual, histórico de saúde.

Preferências pessoais como hábitos de compra, histórico de localização são amplamente explorados em campanhas de marketing digital. Normalmente presente em cookies, esses dados também passarão a ser protegidos pela lei de dados. O marco civil da internet, lei 12965, foi o pontapé inicial nessa jornada. A lei de acesso à informação (12.527/2011) é também revisitada nessa nova legislação.

Consentimento de uso

A Organização deverá estar preparada para solicitar o consentimento de uso de dados pessoais, indicando claramente o objetivo da utilização.

Este consentimento poderá ser revisado (ampliado ou reduzido), delimitado ou até mesmo revogado a critério do indivíduo dono dos dados.

Forget my Data

Esqueça meus dados! Amparados pela nova lei de proteção de dados, os consumidores terão o direito de solicitar a exclusão de dados pessoais a qualquer momento.

A exclusão de dados pessoais poderá ser parcial ou total.

Uma prática comum em Tecnologia da Informação é a exclusão lógica de informações. Ao invés de realmente excluir o dado, ele é marcado com uma flag de inativação. No entanto, o dado continua lá e pode ser “reativado” à qualquer momento. Este tipo de exclusão fake terá de ser revisto, remodelado, e pode alterar completamente a lógica e o código fonte de algumas aplicações.

Data Protection Officer

DPO ou Data Protection Officer será o profissional responsável por garantir o cumprimento da nova lei de proteção de dados pessoais. Consequentemente, novas oportunidades de trabalho surgirão para profissionais relacionadas à riscos, controles internos e segurança da informação.

Além de conhecimento técnico serão necessárias ferramentas tecnológicas para auxiliar a jornada de LGPD:

  • Data Discovery
  • Data Quality, Integrity & Cleansing
  • Data Classification
  • Data Loss Prevention

A Microsoft já adotou medidas para incluir essas ferramentas na nuvem do Office 365, como por exemplo o Security & Compliance Center.

ANPD

Por fim, tudo isso precisará de fiscalização. A Autoridade Nacional de Proteção de Dados será o orgão governamental responsável por fiscalizar a aplicação da nova lei de dados. Assim sendo, a agência poderá inclusive aplicar multas quando identificar violações da lei.

você está offline!