abril 2019 - Código Conduta | Conformidade e Integridade Corporativa
Associação Brasileira de Agências de Publicidade (ABAP) lança diretrizes de compliance para o mercado publicitário

Associação Brasileira de Agências de Publicidade (ABAP) lança diretrizes de compliance para o mercado publicitário

Seguindo a tendência de órgãos de abrangência nacional e regional, a Associação Brasileira de Agências de Publicidade (ABAP) iniciou, no último mês de março, a divulgação de sua cartilha de Compliance, denominada Guia de Boas Práticas para o Mercado Publicitário, com o objetivo de coibir fraudes ou desvios de conduta praticados por colaboradores ou terceiros vinculados às agências, fortalecendo a reputação e a credibilidade do mercado.

O guia aborda de maneira direta o conceito e a origem do Compliance, os objetivos de um Programa de Integridade e as melhores práticas para o mercado publicitário, além de trazer os princípios das diretrizes propostos pela ABAP, dentre os quais se destacam o comprometimento e apoio da alta direção, a responsabilidade dos gestores, comunicação e treinamento e gestão de riscos.

Mário D’ Andrea, presidente da ABAP, destaca na introdução do Guia que “…para ser eficiente e de fato permear as atividades das empresas, o compliance tem de ser prioridade para quem as comanda. Hoje, todos os setores estão exigindo que seus parceiros tenham Código de Ética e de Conduta e Programa de Compliance efetivamente aplicados no dia a dia de seus negócios.”

Para Cynzia Fontana, Sócia-Diretora da CódigoConduta.com, a iniciativa vai além da proposição de simples diretrizes, pois conforme disposto no próprio documento o seu objetivo é padronizar práticas e comportamentos e, o mais importante, uniformizar o conhecimento sobre o tema com os players do mercado: “Trata-se de um verdadeiro manual, voltado para profissionais e agências de publicidade, com linguagem fácil e recomendações de melhores práticas, podendo ser utilizado como material de apoio tanto por aquelas empresas que ainda não estão familiarizadas com o Compliance quanto por aquelas que já possuem uma estrutura bem definida, as quais poderão revisar o seu Programa de Integridade com base nessas diretrizes. É extremamente satisfatório noticiar que as associações de classe estão cada vez mais engajadas na consolidação de um ambiente de negócios mais íntegro.

Para saber mais e acessar o documento na íntegra, clique aqui.

Metas relacionadas ao Compliance começam a influenciar gratificações de grandes executivos e de colaboradores das empresas

Metas relacionadas ao Compliance começam a influenciar gratificações de grandes executivos e de colaboradores das empresas

As recentes ações do poder público e a prisão de executivos do alto escalão de grandes corporações envolvidas em escândalos de corrupção motivaram a implementação de instrumentos até então incomuns no âmbito de algumas organizações.

O aumento de alocação de recursos financeiros e humanos para garantir que as empresas atinjam os desejados padrões de ética e Compliance fizeram com que muitas adotassem métodos para associar os muitas vezes polpudos bônus de final de ano à necessidade de atingimento de metas relacionadas ao Programa de Compliance.

Dois exemplos noticiados amplamente pelos veículos de comunicação são inclusive de empresas envolvidas nos episódios mencionados, a J&F e a Odebrecht. Nesses dois casos, a porcentagem da gratificação paga aos executivos relacionada a metas de Compliance pode chegar a atingir 50% da totalidade dos bônus pagos.

Interessante notar que nestes casos as metas não estão restritas a profissionais envolvidos com a alta direção, mas também a colaboradores de níveis inferiores dentro do organograma das organizações, com porcentagens variando entre 5% a 30%, dependendo do grau hierárquico, na Odebrecht.

O objetivo desse tipo de ação é incrustar uma nova cultura em todos os níveis da organização visando associar essas empresas a notícias positivas e restabelecendo sua reputação.

Certamente o cenário ideal seria aquele no qual as pessoas agem de maneira íntegra simplesmente porque é a coisa certa a se fazer e não porque serão bonificadas por isso. Contudo, temos consciência que esse tipo de ação pode ter bons resultados, principalmente nessas empresas que estão de certo modo ‘machucadas’ em razão dos escândalos nos quais estiveram envolvidas. A previsão de metas com o envolvimento de todos os colaboradores faz com que o Programa de Integridade seja responsabilidade de todos e não só da alta direção ou do responsável pela função Compliance dentro da organização.

FONTE: https://economia.estadao.com.br/noticias/geral,executivo-ja-perde-bonus-por-meta-de-compliance,70002790604

Projetos de Lei visam a adoção de mecanismos de Compliance e Integridade por Partidos Políticos

Projetos de Lei visam a adoção de mecanismos de Compliance e Integridade por Partidos Políticos

No último dia 25 de março foi aprovado pela Comissão de Constituição e Justiça do Senado Federal o Projeto de Lei nº 429/2017, de autoria do Senador Antonio Anastasia (PSDB/MG), que, dentre suas medidas, impõe que partidos políticos passem a adotar uma série de mecanismos para aumentar a transparência e evitar atos de corrupção e desvios de conduta por parte de seus membros. Em não havendo recurso, o texto seguirá para apreciação pela Câmara dos Deputados.

No texto de justificativa do Projeto, Anastasia sustenta que, “como qualquer pessoa jurídica, os partidos políticos também devem ter procedimentos e controles robustos, baseados nas melhores práticas nacionais e internacionais, a fim de evitar irregularidades e ilícitos, principalmente por lidarem com recursos públicos”.

O Programa de Integridade para os Partidos Políticos é definido no texto como umconjunto de mecanismos e procedimentos internos de integridade, controle, auditoria e incentivo à denúncia de irregularidades, e na aplicação efetiva de códigos de ética e de conduta, políticas e diretrizes, inclusive estendidas a terceiros, com o objetivo de detectar e sanar desvios, fraudes, irregularidades e atos ilícitos”.

Dentre as sanções previstas para quem não respeitar as diretrizes do texto normativo estão a imediata desfiliação do integrante do partido responsável pelo desvio de conduta e até mesmo a suspensão do recebimento do fundo partidário, pelo prazo de 3 a 12 meses, pelo Partido que não possuir um Programa de Compliance efetivo ou que inexista na prática.

Para Fernando Henrique Zanoni, Sócio-Diretor da CódigoConduta.com, Programas de Integridade servem à todo tipo de organização, sendo uma medida de extrema necessidade, principalmente pois os recentes escândalos de corrupção estão diretamente ligados à desvios de conduta na arrecadação e transparência nos gastos com recursos por parte de partidos políticos: “Ficou comprovado por recente pesquisa que o Brasil é um dos países nos quais a população mais desacredita no governo, estando 25 pontos percentuais abaixo da média mundial. Nosso sistema político-partidário e a atual conjuntura de reiterados escândalos só vêm a corroborar com esse cenário, portanto ações que visem dar mais transparência ao funcionamento dessas organizações partidárias  sempre serão bem vindas.

Para acessar o texto do Projeto de Lei e acompanhar o seu andamento, clique aqui.

CAPÍTULO 11 – LGPD na Prática: 13 passos para se adequar à nova regulamentação

CAPÍTULO 11 – LGPD na Prática: 13 passos para se adequar à nova regulamentação

Os primeiros 10 capítulos da série “LGPD na Prática” permitiram ao leitor entender quais empresas são impactadas pela nova regulamentação,  qual a melhor maneira para estruturar um sistema de governança de dadoscomo gerar um inventário de dados pessoais e mecanismos de transferênciade que maneira implementar uma política de privacidadecomo as rotinas da organização são afetadas pela nova lei, de que forma treinar e como se comunicar com colaboradores e demais stakeholders com relação à temas de segurança e privacidade de dadosde que forma mapear e gerenciar riscos próprios e de terceiroscomo aplicar avisos legais (“disclaimers“) e de que modo estabelecer procedimentos internos para responder tempestivamente às solicitações e reclamações de usuários.

O presente capítulo será destinado a tratar do chamado “Privacy by Design“, ou seja, como identificar nas práticas operacionais novos processos, ou  processos já existentes, que já estejam ou possam vir a estar  relacionados à coleta, processamento e tratamento de dados, de modo a adapta-los, à nova legislação, às regulamentações internacionais e às normas de conduta e políticas internas, visando preservar o direito à privacidade do usuário final. Em outras palavras, deve-se propugnar pela proteção de dados em todos os estágios do negócio, ou seja, desde o design de um sistema, produto ou serviço até todo o seu ciclo de vida, instaurando medidas técnicas e organizacionais que objetivem prever riscos e eventos invasivos de privacidade antes que eles ocorram e tomando medidas para evitar danos ao titular dos dados. Para tanto, passo a elencar alguns passos a serem seguidos:

1. Manter diretrizes e modelos detalhando como conduzir avaliações de impacto de privacidade ou avaliações de impacto de proteção de dados para garantir que os riscos de proteção de dados são medidos e analisados periodicamente quando há um novo projeto envolvendo o uso de dados pessoais, novos sistemas de segurança da informação ou o compartilhamento de dados com terceiros, e também no caso de projetos já em andamento e sistemas existentes.  As avaliações de impacto de privacidade devem ser conduzidas o mais cedo possível no ciclo de vida do projeto (daí a expressão Privacy by Design), para que recomendações possam ser incorporadas durante o seu andamento, identificando os riscos que a iniciativa planejada possa fazer emergir e formas alternativas de processamento dos dados pessoais para mitigar essas ameaças potenciais. Nas avaliações de impacto de privacidade devem estar envolvidos o Data Protection Officer (DPO), um profissional de segurança da informação, o processador dos dados e um consultor jurídico especialista em privacidade de dados. A ICO (Information Commissioner’s Office), autoridade britânica criada para defender os direitos de informação, disponibiliza um template bastante intuitivo que pode ser usado como apoio para realização de uma avaliação de impacto de privacidade.

2. Estruturar a avaliação de impacto de privacidade de maneira lógica e procedimentalizada. A avaliação de impacto de privacidade deve ser concebida de forma coerente, de modo a permitir que todos da organização sigam o mesmo norte quando da necessidade de realiza-la. Isso significa que deve ser procedimentalizada. Nesse sentido, sugere-se sejam adotados ao menos os seguintes passos: (i) estudo do contexto,  com um overview do processo e do produto ou serviço, fase na qual são identificados o controlador e o processador, quais serão os dados a serem processados e armazenados e o ciclo de vida desses dados (preferencialmente com um diagrama de fluxos e uma descrição detalhada do passo a passo); (ii) estudo dos princípios fundamentais, com a identificação da justificativa para recolhimento dos dados, a legalidade do tratamento, minimização de dados, qualidade, duração dos registros, informações para os titulares, obtenção do consentimento do titular e possibilidade de acessar seus dados diretamente, portabilidade, possibilidade de retificar e apagar os dados, contestar ou restringir o processamento e transferência para outras jurisdições, explicando e justificando as escolhas feitas e descrevendo os controles selecionados para cumprir os requisitos legais; (iii) estudo dos riscos de segurança de dados, a ser executado pelo responsável pelo projeto, avaliação de controles existentes ou planejados sobre os dados processados, sobre a segurança do sistema no qual o processamento é realizado e no gerenciamento do projeto, no caso de incidentes e violações e na relação com terceiros; (iv) validação da avaliação de impacto, fase na qual os resultados das fases anteriores são consolidados e apresentados, com o mapeamento dos riscos e os respectivos planos de ação para mitiga-los. O framework proposto pela CNIL, autoridade administrativa independente da França, disponível no link a seguir (https://www.cnil.fr/en/privacy-impact-assessment-pia), também pode ser bastante útil aos profissionais que terão a função de preparar o plano de avaliação de impacto dentro das organizações.

3. Envolver terceiros como parte destes processos de avaliações de impacto de privacidade ou de proteção de dados.  Na avaliação de impacto de privacidade a participação de partes interessadas como usuários de sistemas, clientes, colaboradores e até mesmo os órgãos reguladores pode oferecer novas perspectivas sobre os riscos. Por essa razão, buscar a opinião desses stakeholders pode ser útil durante o desenvolvimento de um novo projeto, seja por meio de surveys ou mesmo da imersão total para melhor entendimento de quais são e como se dará o processamento e armazenamento dos dados.

4. Acompanhar e abordar os problemas de proteção de dados identificados durante as avaliações. Uma avaliação de impacto de privacidade ou de proteção de dados geralmente é iniciada com um processo de assessment, na qual perguntas são feitas para identificar se a iniciativa proposta terá ou não impacto sobre os direitos e liberdades dos indivíduos quanto à proteção de dados. As perguntas devem ser projetadas de modo que sejam fornecidos indicadores sobre o grau, o escopo e a escala dos problemas de privacidade. Auxilia nesta etapa a elaboração de uma planilha compartilhada de Project Management, na qual são identificados os riscos, as respectivas soluções, proteções e/ou processos alternativos para mitiga-los, os responsáveis pela sua implementação e a pessoa responsável para endereçamento de preocupações futuras relacionadas à essas ameaças na eventualidade de surgir quaisquer problemas.

5. Elaborar relatórios para os reguladores e partes interessadas, quando necessário. O relatório de avaliação de impacto de proteção de dados detalhará os riscos identificados durante o processo e os priorizará de acordo com a gravidade, devendo ainda esclarecer quais são os impactos sobre os direitos dos titulares dos dados caso os riscos venham a ocorrer, além de recomendar a adoção de controles apropriados para mitiga-los e reduzi-los a um nível aceitável. Estes relatórios poderão ser submetidos aos reguladores ou a terceiros que tenham ou não participado do processo, para que todos sejam informados acerca dos riscos de privacidade antes do lançamento de um novo produto, sistema ou processo.

No próximo capítulo, irei discorrer sobre como conduzir de forma estruturada a apuração e correção de violações de privacidade.

Para acessar o primeiro capítulo da Série, clique aqui.