LGPD na Prática: 13 passos para se adequar à nova regulamentação

LGPD na Prática: 13 passos para se adequar à nova regulamentação

Como já é notório, recentes escândalos de vazamentos de dados deram vazão a uma onda global de edição de normas, dentre elas a tão famigerada General Data Protection Regulation (GDPR), aplicável a todos os cidadãos europeus.

Referidas regulamentações, sem sombra de dúvidas, contribuem para melhorar os mecanismos de segurança e processamento de dados com o objetivo de impedir que terceiros não autorizados tenham acesso a informações pessoais sem o consentimento do usuário. E isso acaba por afetar as empresas de modo positivo, haja vista que faz com que estas, obrigatoriamente, implementem uma cultura de respeito pela privacidade dos dados pessoais de seus usuários, clientes e colaboradores.

O fenômeno chegou ao Brasil com a promulgação da Lei nº 13.709, de 14 de agosto de 2018, norma brasileira que dispõe sobre o uso, proteção, coleta e tratamento de dados pessoais, a qual foi alterada no final do ano passado com a edição da Medida Provisória nº 869, de 28 de dezembro, que ampliou o prazo legal para o dia 16 de agosto de 2020 para para que as empresas se ajustem às novas obrigações.

Não pretendo neste breve artigo avaliar a norma sob o ponto de vista jurídico, mas sim esclarecer desde logo dois pontos que saltam aos olhos já num primeiro momento:

1. Que empresas são afetadas com a edição dessa nova regulamentação? e

2. Quais são os direitos dos usuários?

Para responder a primeira pergunta, é necessário compreender que a norma: (i) define como dado pessoal qualquer informação que identifique diretamente ou torne identificável uma pessoa natural; e (ii) designa como tratamento qualquer operação de coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração deste dado.

Ou seja, se sua empresa de alguma forma trata dados pessoais de titulares localizados em território nacional, diretamente ou através de terceiros, com o objetivo de obter vantagem econômica, a lei lhe é aplicável. Por consequência, todas as operações de tratamento de dados deverão ser devidamente registradas em um Relatório de Impacto à Proteção de Dados Pessoais e um monitor e disseminador das boas práticas, pessoa física ou jurídica, denominado Encarregado de Proteção de Dados (DPO – Data Protection Officer) deverá ser nomeado para ser a interface da sua organização com a Agência Nacional de Proteção de Dados (ANPD), em especial naquelas empresas que tratem dados pessoais sensíveis, assim considerados aqueles relacionados à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico. E não pára por aí: a empresa deverá adotar medidas de segurança efetivas para evitar que os dados pessoais sejam acessados indevidamente, destruídos, perdidos ou alterados e todo e qualquer incidente deverá ser reportado de forma clara à ANPD e aos próprios usuários em prazo razoável (seja lá o que isso signifique).

Quanto ao segundo questionamento, os usuários, por sua vez, têm direito de: (a) acesso aos dados pessoais que porventura sejam tratados e, consequentemente, garantia da retificação e atualização destes; (b) tratamento de suas informações pessoais somente mediante expresso consentimento, sendo realizada de maneira fácil e gratuita a exclusão dos dados do respectivo banco; e (c) portabilidade, permitindo que referidos dados possam ser encaminhados a outras empresas que também performem o seu tratamento.

Com base nas duas respostas acima, tem-se plena certeza de que a nova norma impactará as operações de inúmeras empresas, nacionais e multinacionais, o que leva ao terceiro e mais importante questionamento, cuja resposta é o objeto da presente série de pequenos artigos:

3. O que as empresas devem fazer para se adequar à Lei Geral de Proteção de Dados (LGPD) dentro do prazo legal?

Para responder a este terceiro questionamento, elenco a seguir 13 situações a serem observadas por qualquer organização que esteja submetida à Lei Geral de Proteção de Dados, com base no Framework Nymity*, as quais serão analisadas individualmente nos próximos capítulos desta série:

I – MANTER UMA ESTRUTURA DE GOVERNANÇA DE DADOS: Certificar de que existem na organização pessoas responsáveis pela privacidade e gestão dos dados e procedimentos para reporte de incidentes;

II – PRESERVAR UM INVENTÁRIO DE DADOS PESSOAIS E MECANISMOS DE TRANSFERÊNCIA DE DADOS: Atestar a existência e manutenção de um inventário da localização do armazenamento de dados pessoais ou fluxo de dados, com suas classes devidamente definidas;

III – IMPLEMENTAR UMA POLÍTICA DE PRIVACIDADE DE DADOS: Redigir e executar normas relacionadas à privacidade de dados que atenda aos requisitos legais e mitigue riscos operacionais e de danos a indivíduos;

IV – INCORPORAR A PRIVACIDADE DE DADOS À SUAS OPERAÇÕES: Sustentar procedimentos operacionais consistentes com as normas internas e externas relacionadas à privacidade de dados e aos objetivos de gerenciamento de riscos;

V – CUMPRIR UM CRONOGRAMA INTERNO DE TREINAMENTO E COMUNICAÇÃO: Fornecer treinamento e comunicação contínuos para promover a conformidade com as normas internas e externas relacionadas à privacidade de dados e a mitigação de riscos operacionais;

VI – GERENCIAR OS RISCOS RELACIONADOS À SEGURANÇA DA INFORMAÇÃO: Manter um Sistema de Segurança da Informação baseado nos requisitos legais e nos riscos a que a organização está submetida;

VII – ADMINISTRAR RISCOS DE TERCEIROS: Atestar que as contratações com terceiros e parceiros de negócio estão de acordo com as normas internas e externas de privacidade de dados e dentro dos limites de tolerância ao risco estabelecidos previamente;

VIII – PROVER AVISOS LEGAIS: Preparar avisos para usuários em consonância com a política de privacidade de dados, os requisitos legais e análise prévia de riscos;

IX – RESPONDER TEMPESTIVAMENTE ÀS SOLICITAÇÕES E RECLAMAÇÕES DE USUÁRIOS: Estabelecer procedimentos eficazes para interagir com os indivíduos acerca de seus dados pessoais;

X – MONITORAR NOVAS PRÁTICAS OPERACIONAIS: Observar novas práticas organizacionais para identificar eventuais novos processos ou mudanças nos processos existentes que estejam relacionados ao tratamento de dados, e garantir a implementação dos princípios de Privacidade por Design (Privacy by Design);

XI – CONDUZIR DE FORMA ESTRUTURADA A APURAÇÃO E CORREÇÃO DE VIOLAÇÕES DE PRIVACIDADE: Manter um efetivo sistema de averiguação e reparação de transgressões às normas e controles e incidentes relacionados à privacidade de dados;

XII – MENSURAR A EFETIVIDADE DOS PROCESSOS E CONTROLES INTERNOS: Verificar se as práticas operacionais estão em conformidade com a política de privacidade de dados, medir e relatar a eficiência dos processos e controles internos;

XIII – ACOMPANHAR A EDIÇÃO DE NOVAS REGULAMENTAÇÕES E AS MELHORES PRÁTICAS DE MERCADO: Rastrear novos requisitos de conformidade, expectativas e as melhores práticas de mercado.

Fique atento! Acompanhe periodicamente a publicação de novos capítulos da série no website da CódigoConduta.com.

Para acessar o próximo capítulo, clique aqui.

 

* Para informações mais detalhadas, acesse www.nymity.com.

5 Pontos de Atenção para seu Programa de Integridade em 2019

5 Pontos de Atenção para seu Programa de Integridade em 2019

Ano novo, novos desafios.

2019 será, definitivamente, o ano do Compliance e dos Programas de Integridade.

Se em 2018 vivenciamos um boom de congressos, seminários, palestras, cursos e livros tratando sobre conformidade e integridade corporativa, chegou a hora de aplicar os conhecimentos adquiridos com as melhores práticas de mercado, sempre de olho nas particularidades de cada organização. Para tanto, deve-se ir muito além dos debates em salas de aula, Conselhos de Administração e reuniões de Diretoria e entender, efetivamente, quais são as implicações concretas do Compliance (e, principalmente, do não-Compliance) nas operações.

Programas de Integridade “para inglês ver” não terão lugar neste novo ambiente de negócios que está sendo institucionalizado nacional e globalmente.

A mudança de panorama, iniciada com a entrada em vigor da Lei Anticorrupção, que prevê a responsabilização objetiva das pessoas jurídicas por atos lesivos praticados em seu benefício, e que já teve um novo capítulo com as mudanças político-estruturais do início do ano, em especial no Ministério da Justiça, alcançará novo patamar com a possível aprovação, pelo renovado Congresso Nacional, de alguns projetos de lei relacionados à transparência e a práticas anticorrupção, como por exemplo, aquele que criminaliza a corrupção privada (entre particulares).  Em paralelo, cada vez mais Estados estão sancionando Leis próprias dispondo sobre a obrigatoriedade da implantação de Programa se Integridade para empresas que contratarem com a Administração Pública local.

Isso significa que o Compliance deve estar enraizado em todos os níveis de qualquer organização, pois qualquer deslize de um colaborador ou stakeholder pode dar ensejo a graves impactos de ordem reputacional.

Diante desse novo cenário, visando dar um breve norte para o aperfeiçoamento de estruturas de Compliance, destacamos 5 pontos de atenção para seu Programa de Integridade em 2019:

1. CONDUCT AT THE TOP

Nessa nova conjuntura, com a iminente necessidade de se instaurar um Compliance efetivo, deve-se superar a ideia de “tom do topo”. As ações da Alta Direção de qualquer organização ressoam muito mais do que qualquer discurso ou norma escrita. Assim, é fundamental repensar algumas questões, em particular: (i) se e como os líderes estão desencorajando os desvios de conduta; (ii) que ações de remediação foram tomadas para demonstrar o empenho da alta direção para com o Programa de Integridade; e (iii) como é monitorado o comportamento da própria liderança da organização. A construção de uma cultura ética resulta das ações praticadas pelos líderes da organização e das práticas adotadas, por exemplo, em relação a temas como interação com fornecedores e colaboradores, remuneração e comissionamento, comunicação corporativa, promoção e demissão.

2. CANAIS DE REPORTE

Entre os Projetos de Lei que se encontram em trâmite no Congresso Nacional alguns deles incentivam que empregados ou terceiros que tomem conhecimento de desvios de conduta graves denunciem estes mal feitos diretamente às autoridades. Algo semelhante já ocorre nos Estados Unidos há alguns anos, motivo pelo qual não é de se duvidar que um destes projetos torne-se lei já no ano de 2019. Por esse motivo, é fundamental que as organizações aperfeiçoem seus canais de reporte e os respectivos procedimentos para apuração de fraudes e desvios de conduta. Nesse sentido, todos os colaboradores e stakeholders devem saber que caminho seguir para fazer um relato, terem plena confiança de que toda e qualquer situação será devidamente apurada e de que não haverá qualquer tipo de retaliação contra o denunciante de boa fé. A confidencialidade do processo é imprescindível, razão pela qual recomenda-se a adoção de ferramentas que propiciem a preservação do anonimato do denunciante. Ainda, todos devem ter plena ciência que o silêncio traduz concordância, razão pela qual omissões devem ser punidas tanto quanto os desvios de conduta.

3. COMUNICAÇÃO

Estudos comprovam que o contexto imediato (o dia a dia no ambiente de trabalho), o contexto organizacional (a cultura e as práticas da organização) e o contexto institucional (o ambiente de negócio em que a empresa está inserida) podem prejudicar o julgamento ético das pessoas. Por essa razão, manter o discurso ético vivo, em todas as camadas da organização e entre todos os seus profissionais, é fundamental e a melhor forma para tanto é criar um cronograma anual de comunicação, tanto interna quanto externa, enfatizando os principais pilares do Programa de Integridade e das normas de conduta da organização. E, aqui, é necessário entender que a comunicação relacionada a um Programa de Integridade vai das peças de endomarketing e informes na intranet, voltados para o público interno, posts em redes sociais, voltados ao público em geral, até memorandos, ofícios e outros documentos que o apresentem para seus clientes, fornecedores, distribuidores e parceiros de negócio.

4. TREINAMENTO

O treinamento dos colaboradores e fornecedores, seja ele presencial ou online, deve ter a linguagem adaptada aos diferentes públicos. Neste sentido, deve-se pensar “fora da caixa” e adotar sistemáticas inovadoras, que incentivem a interação entre o comunicador e a audiência, de modo a aproximar as mensagens das normas de conduta ao dia a dia das áreas de operação. Trazer à tona desvios de conduta vivenciados anteriormente dentro da organização e as ações de remediação que foram tomadas são conteúdos interessantes a serem incluídos em treinamentos, pois além de demonstrarem a importância do comportamento ético, dão mais credibilidade aos canais de reporte. Por fim, não custa lembrar que a participação pública dos principais líderes da organização nos treinamentos e a utilização de uma comunicação personalizada, em que se evidencie a chancela da alta direção às ações da função Compliance é passo importante na construção de uma cultura ética.

5. MONITORAMENTO

O monitoramento constante do Programa de Integridade e dos controles internos é a ferramenta mais eficaz para se avaliar os aspectos operacionais do Compliance, ou seja, se as políticas e procedimentos são devidamente observados na rotina da organização. Sem o aspecto formal que reveste um processo de auditoria, o monitoramento é uma forma efetiva de mensurar a maturidade do Programa de Integridade. Para tanto, é necessário criar um cronograma de monitoramento que envolva, por exemplo, a análise (i) dos documentos de integridade e dos controles internos (formulários, relatórios, etc.), (ii) da periodicidade e efetividade dos treinamentos; (iii) das transações financeiras mais relevantes, processos de cadastro, aprovação e pagamentos de fornecedores, política de alçadas e reportes contábeis; (iv) dos métodos de interação com clientes e da medição de sua satisfação; (v) de potenciais conflitos de interesse; e (vi) de sistemas de informação, recebimento, tratamento e conservação de dados próprios e de terceiros.

Dados das empresas participantes da Rede Brasil do Pacto Global mostram prioridades relacionadas ao Compliance

Dados das empresas participantes da Rede Brasil do Pacto Global mostram prioridades relacionadas ao Compliance

O Pacto Global, iniciativa proposta pela ONU no ano 2000 para encorajar empresas a adotar políticas de responsabilidade social e sustentabilidade, colocam as empresas como protagonistas no desenvolvimento social das nações, contribuindo para a criação de uma sociedade mais justa.

Nesse sentido, foram criados 10 Princípios e 17 Objetivos de Desenvolvimento Sustentável, com o objetivo de engajar as organizações para uma agenda de desenvolvimento.

A Rede Brasil do Pacto Global, grupo constituído por empresas brasileiras que aderem à iniciativa, divulgou relatório anual, denominado “Integração dos ODS na Estratégia Empresarial”, com interessantes insights relacionados ao Compliance para que as premissas da Agenda 2030 sejam atingidas.

Com relação à implementação de ações específicas relacionadas aos Objetivos de Desenvolvimento Sustentável (ODS), 53% das empresas afirmaram terem priorizado a criação ou revisão do Código de Ética da organização.

Para Fernando Henrique Zanoni, sócio-diretor da CódigoConduta, “ainda que o universo da pesquisa esteja limitado às empresas que de alguma forma já estão comprometidas e informadas a respeito do tema, não representando o ambiente corporativo como um todo, tem-se uma boa ideia da importância dos documentos de integridade para qualquer tipo de negócio que efetivamente se preocupa com sua perenidade“.

O relatório completo pode ser acessado clicando no link a seguir: https://codigoconduta.com/wp-content/uploads/2018/12/Integracao_ODS_Estrategia_2018.pdf

Prazo de inscrições para participação do selo Pró-Ética encerra-se em Janeiro

Prazo de inscrições para participação do selo Pró-Ética encerra-se em Janeiro

O Selo Pró-Ética, concedido anualmente pela Controladoria Geral da República, certifica as empresas que tomam um conjunto de ações para tornar o ambiente de negócios mais integro, ético e transparente. A avaliação ocorre de acordo com seis grupos que abrangem a rotina das organizações, sendo eles:

1. Compromisso da alta direção e comprometimento com a ética;
2. Políticas e procedimentos;
3. Comunicação e treinamento;
4. Canais de denúncia e remediação;
5. Análise de risco e monitoramento;
6. Transparência e responsabilidade social.

As empresas interessadas em se inscrever para o Pró-Ética 2018-2019 devem apressar suas inscrições, tendo em vista que o prazo se encerra no dia 31 de janeiro de 2019.

Após análise da documentação e recolhimento de informações, por equipe especializada da CGU, as melhores práticas serão selecionadas e premiadas em evento que será realizado no mês de setembro, proporcionando às organizações a oportunidade de mostrar ao mercado seu comprometimento com a prevenção e combate a corrupção.

Na última edição do Pró-Ética, vinte e três (23) empresas foram certificadas. Além do prêmio, elas receberam um relatório com avaliação do seu Programa de  Integridade, além de sugestões que permitem o aprimoramento contínuo do mesmo.

Segundo Cynzia Fontana, sócia-diretora da CódigoConduta.com, “a realização de uma due dilligence, voltada especificamente para os tópicos analisados pela CGU para certificação, é fundamental para que as organizações já tenham um norte do que precisa ser aperfeiçoado no seu Programa de Integridade, permitindo que, quando da inscrição, estes gaps já tenham sido resolvidos, aumentando a chance de sucesso“.

As empresas interessadas poderão acessar o site da CGU (http://www.cgu.gov.br/assuntos/etica-e-integridade/empresa-pro-etica) para obter maiores informações sobre o Selo.

× Fale Conosco