Fernando Henrique Zanoni, Autor em Código Conduta | Conformidade e Integridade Corporativa
A ISO 37001 serve para Pequenas e Médias Empresas?

A ISO 37001 serve para Pequenas e Médias Empresas?


Fernando Henrique Zanoni (Sócio da CódigoConduta.com)
Escrevo o presente artigo exatamente um dia após receber a confirmação de que um cliente, escritório de advocacia de Rondônia, recebeu a Certificação do seu Sistema de Gestão Antissuborno, motivo pelo qual me atrevo desde logo a responder à pergunta que encabeça este texto com um sonoro SIM, adotar o framework proposto pela Norma ISO 37001 serve a organizações dos mais variados portes e segmentos de atuação, inclusive pequenas e médias empresas.
Todavia, entendo que o tema é relativamente novo e pode suscitar outros questionamentos àqueles que não estão tão familiarizados com o conceito de compliance antissuborno e com a metodologia trazida pela norma, portanto, tentarei esclarecer a questão principal a partir de respostas para outras perguntas, de maneira didática e simplificada.
Então, vamos lá!
1. O que é a ISO 37001?
A ISO 37001 é uma norma proposta por uma organização internacional não-governamental independente (International Organization for Standardization – ISO) que especifica requisitos e fornece orientações padronizadas para implementação, manutenção, análise crítica e melhoria contínua de um sistema de gestão antissuborno. Seu objetivo é mitigar riscos de ocorrência de suborno nos setores público, privado e sem fins lucrativos, pelas e para as organizações, por e para seus colaboradores e seus parceiros de negócio, de maneira direta ou indireta. Destaco aqui que o conceito de suborno para essa norma vai além de situações envolvendo agentes públicos e contempla também o pagamento/recebimento de suborno nas relações entre particulares.
2. Quais as vantagens para minha empresa?
Seguir os requisitos e orientações da norma ISO 37001 permite que a organização postule a respectiva certificação de conformidade do seu sistema de gestão antissuborno. Em outras palavras, a organização terá um selo de eficácia do seu sistema de gestão, o qual, por ser emitido com a chancela de um organismo internacional, é reconhecido mundialmente. Essa certificação, entendo, além de valorizar a organização certificada perante o mercado no qual está inserida também já é vista como um diferencial para aquelas empresas que fornecem produtos e/ou serviços para a Administração Pública, representando uma vantagem competitiva em certames licitatórios.
3. Como funciona o processo de implementação do Sistema de Gestão de acordo com a ISO 37001?
A metodologia proposta pela norma ISO 37001 está baseada no ciclo PDCA, também chamado de Ciclo de Deming, que consiste em uma sistemática que tem como objetivo promover a melhoria contínua dos processos a partir de quatro etapas: planejar (plan), fazer (do), checar (check) e agir (act). Colocando em prática tal metodologia, o Sistema de Gestão Antissuborno é implementado a partir da revisão das estruturas de governança, gestão de riscos e controles internos, passa pela concepção de normas de conduta, procedimentos corporativos e outras informações documentadas, implementação de ferramentas de compliance como canais de denúncia e continua com a checagem de efetividade de todos os mecanismos adotados e com a adoção de planos de ação que visam sua melhoria contínua.
4. Que políticas e procedimentos compõem um Sistema de Gestão Antissuborno robusto e efetivo?
Cada organização tem suas peculiaridades, mas para um Sistema de Gestão Antissuborno estar em conformidade com o disposto na norma ISO 37001 é fundamental que existam normas de conduta relacionadas ao gerenciamento de conflito de interesses, às relações com agentes públicos, fornecedores, concorrentes, clientes e parceiros de negócio, à brindes, viagens, presentes e hospitalidades, doações, contribuições e patrocínios. Além disso, recomendo que a organização possua uma política de consequências, uma política de alçadas e uma política de não-retaliação a denunciantes. Por fim, é necessário implementar/revisitar procedimentos operacionais padrão financeiros, de provimento de pessoal, de ações para abordagem de riscos e oportunidades, de não-conformidades, ações corretivas e ações preventivas, de auditoria e monitoramento e de comunicação e treinamento, entre outros.
5. E quanto à certificação? Como proceder?
Antes de postular a certificação do Sistema de Gestão Antissuborno é necessário que o ciclo PDCA tenha “rodado” ao menos uma vez, ou seja, que os mecanismos de compliance adotados tenham sido auditados e que eventuais problemas tenham sido solucionados. Para tanto, recomendo fortemente que a organização promova a realização de uma auditoria interna com um profissional experiente e independente, que irá avaliar o sistema de gestão de maneira isenta, preocupando-se única e exclusivamente com seus aspectos técnicos e com a verificação de conformidade com o disposto na norma ISO 37001. Ao término desse processo, realizada a análise crítica pela função compliance antissuborno e pela alta direção e corrigidas as não-conformidades, a organização poderá contratar um organismo de certificação cadastrado no INMETRO para realização da respectiva auditoria, também chamada de Auditoria de 3ª Parte, que será realizada por um profissional também acreditado.
6. Existem ferramentas que podem auxiliar todo esse processo?
O processo de certificação passa obrigatoriamente por uma minuciosa análise de toda a informação documental que compõe o Sistema de Gestão Antissuborno. Assim, possuir uma ferramenta tecnológica que reúna todo esse arcabouço documental e consiga demonstrar de maneira efetiva a jornada do ciclo PDCA em uma única plataforma pode facilitar o trabalho do próprio auditor e demonstrar a padronização e o cuidado da organização para com o seu Sistema de Gestão.
Antes de encerrar, creio ser fundamental alertar que o processo de implementação de um Sistema de Gestão Antissuborno ou de adequação de um Programa de Compliance para atender aos requisitos da norma ISO 37001 exige planejamento e, principalmente, comprometimento de todas as esferas da organização, da alta liderança à base, mas que, se bem organizado, pode representar melhoria de processos corporativos, redução de custos e mitigação de riscos.
Quer saber mais? Entre em contato e vamos conversar sobre o tema.          

CAPÍTULO 11 – LGPD na Prática: 13 passos para se adequar à nova regulamentação

CAPÍTULO 11 – LGPD na Prática: 13 passos para se adequar à nova regulamentação

Os primeiros 10 capítulos da série “LGPD na Prática” permitiram ao leitor entender quais empresas são impactadas pela nova regulamentação,  qual a melhor maneira para estruturar um sistema de governança de dadoscomo gerar um inventário de dados pessoais e mecanismos de transferênciade que maneira implementar uma política de privacidadecomo as rotinas da organização são afetadas pela nova lei, de que forma treinar e como se comunicar com colaboradores e demais stakeholders com relação à temas de segurança e privacidade de dadosde que forma mapear e gerenciar riscos próprios e de terceiroscomo aplicar avisos legais (“disclaimers“) e de que modo estabelecer procedimentos internos para responder tempestivamente às solicitações e reclamações de usuários.

O presente capítulo será destinado a tratar do chamado “Privacy by Design“, ou seja, como identificar nas práticas operacionais novos processos, ou  processos já existentes, que já estejam ou possam vir a estar  relacionados à coleta, processamento e tratamento de dados, de modo a adapta-los, à nova legislação, às regulamentações internacionais e às normas de conduta e políticas internas, visando preservar o direito à privacidade do usuário final. Em outras palavras, deve-se propugnar pela proteção de dados em todos os estágios do negócio, ou seja, desde o design de um sistema, produto ou serviço até todo o seu ciclo de vida, instaurando medidas técnicas e organizacionais que objetivem prever riscos e eventos invasivos de privacidade antes que eles ocorram e tomando medidas para evitar danos ao titular dos dados. Para tanto, passo a elencar alguns passos a serem seguidos:

1. Manter diretrizes e modelos detalhando como conduzir avaliações de impacto de privacidade ou avaliações de impacto de proteção de dados para garantir que os riscos de proteção de dados são medidos e analisados periodicamente quando há um novo projeto envolvendo o uso de dados pessoais, novos sistemas de segurança da informação ou o compartilhamento de dados com terceiros, e também no caso de projetos já em andamento e sistemas existentes.  As avaliações de impacto de privacidade devem ser conduzidas o mais cedo possível no ciclo de vida do projeto (daí a expressão Privacy by Design), para que recomendações possam ser incorporadas durante o seu andamento, identificando os riscos que a iniciativa planejada possa fazer emergir e formas alternativas de processamento dos dados pessoais para mitigar essas ameaças potenciais. Nas avaliações de impacto de privacidade devem estar envolvidos o Data Protection Officer (DPO), um profissional de segurança da informação, o processador dos dados e um consultor jurídico especialista em privacidade de dados. A ICO (Information Commissioner’s Office), autoridade britânica criada para defender os direitos de informação, disponibiliza um template bastante intuitivo que pode ser usado como apoio para realização de uma avaliação de impacto de privacidade.

2. Estruturar a avaliação de impacto de privacidade de maneira lógica e procedimentalizada. A avaliação de impacto de privacidade deve ser concebida de forma coerente, de modo a permitir que todos da organização sigam o mesmo norte quando da necessidade de realiza-la. Isso significa que deve ser procedimentalizada. Nesse sentido, sugere-se sejam adotados ao menos os seguintes passos: (i) estudo do contexto,  com um overview do processo e do produto ou serviço, fase na qual são identificados o controlador e o processador, quais serão os dados a serem processados e armazenados e o ciclo de vida desses dados (preferencialmente com um diagrama de fluxos e uma descrição detalhada do passo a passo); (ii) estudo dos princípios fundamentais, com a identificação da justificativa para recolhimento dos dados, a legalidade do tratamento, minimização de dados, qualidade, duração dos registros, informações para os titulares, obtenção do consentimento do titular e possibilidade de acessar seus dados diretamente, portabilidade, possibilidade de retificar e apagar os dados, contestar ou restringir o processamento e transferência para outras jurisdições, explicando e justificando as escolhas feitas e descrevendo os controles selecionados para cumprir os requisitos legais; (iii) estudo dos riscos de segurança de dados, a ser executado pelo responsável pelo projeto, avaliação de controles existentes ou planejados sobre os dados processados, sobre a segurança do sistema no qual o processamento é realizado e no gerenciamento do projeto, no caso de incidentes e violações e na relação com terceiros; (iv) validação da avaliação de impacto, fase na qual os resultados das fases anteriores são consolidados e apresentados, com o mapeamento dos riscos e os respectivos planos de ação para mitiga-los. O framework proposto pela CNIL, autoridade administrativa independente da França, disponível no link a seguir (https://www.cnil.fr/en/privacy-impact-assessment-pia), também pode ser bastante útil aos profissionais que terão a função de preparar o plano de avaliação de impacto dentro das organizações.

3. Envolver terceiros como parte destes processos de avaliações de impacto de privacidade ou de proteção de dados.  Na avaliação de impacto de privacidade a participação de partes interessadas como usuários de sistemas, clientes, colaboradores e até mesmo os órgãos reguladores pode oferecer novas perspectivas sobre os riscos. Por essa razão, buscar a opinião desses stakeholders pode ser útil durante o desenvolvimento de um novo projeto, seja por meio de surveys ou mesmo da imersão total para melhor entendimento de quais são e como se dará o processamento e armazenamento dos dados.

4. Acompanhar e abordar os problemas de proteção de dados identificados durante as avaliações. Uma avaliação de impacto de privacidade ou de proteção de dados geralmente é iniciada com um processo de assessment, na qual perguntas são feitas para identificar se a iniciativa proposta terá ou não impacto sobre os direitos e liberdades dos indivíduos quanto à proteção de dados. As perguntas devem ser projetadas de modo que sejam fornecidos indicadores sobre o grau, o escopo e a escala dos problemas de privacidade. Auxilia nesta etapa a elaboração de uma planilha compartilhada de Project Management, na qual são identificados os riscos, as respectivas soluções, proteções e/ou processos alternativos para mitiga-los, os responsáveis pela sua implementação e a pessoa responsável para endereçamento de preocupações futuras relacionadas à essas ameaças na eventualidade de surgir quaisquer problemas.

5. Elaborar relatórios para os reguladores e partes interessadas, quando necessário. O relatório de avaliação de impacto de proteção de dados detalhará os riscos identificados durante o processo e os priorizará de acordo com a gravidade, devendo ainda esclarecer quais são os impactos sobre os direitos dos titulares dos dados caso os riscos venham a ocorrer, além de recomendar a adoção de controles apropriados para mitiga-los e reduzi-los a um nível aceitável. Estes relatórios poderão ser submetidos aos reguladores ou a terceiros que tenham ou não participado do processo, para que todos sejam informados acerca dos riscos de privacidade antes do lançamento de um novo produto, sistema ou processo.

No próximo capítulo, irei discorrer sobre como conduzir de forma estruturada a apuração e correção de violações de privacidade.

Para acessar o primeiro capítulo da Série, clique aqui.

CAPÍTULO 11 – LGPD na Prática: 13 passos para se adequar à nova regulamentação

CAPÍTULO 10 – LGPD na Prática: 13 passos para se adequar à nova regulamentação

Nos capítulos anteriores da série “LGPD na Prática” foi possível fazer um overview de quais empresas são impactadas pela nova regulamentaçãocomo implementar e manter uma estrutura de governança de dados, qual a melhor maneira de implementar um processo de inventário de dados pessoais e mecanismos de transferência, como adotar uma política de privacidade, entender como a nova lei afeta as rotinas da organização, qual a forma mais eficaz de implantar um cronograma de treinamento e comunicação,  como mapear e gerenciar riscos de segurança da informação e de terceiros e  a aplicação prática dos avisos legais (“disclaimers“).

Nesta etapa, pretendo esclarecer como estabelecer procedimentos internos para responder tempestivamente às solicitações e reclamações de usuários, considerando alguns pontos fundamentais, quais sejam:

1. Desenhar um workflow para resolver eventuais reclamações de usuários ou pedidos de informação. Toda organização deve manter procedimentos-padrão para: (i) reconhecer reclamações relacionadas a questões de proteção de dados; (ii) lidar com demandas simples e relatar a resolução ao DPO (Data Protection Officer); e (iii) encaminhar imediatamente as demandas mais sensíveis para o responsável pela proteção de dados. Recomenda-se que seja mantido um canal direto entre titular dos dados e o DPO por meio do website da organização, seja através de formulário ou informando um e-mail de contato. No caso de demandas complexas, que eventualmente requeiram atualizações ou revisões dos sistemas de informação ou mesmo repactuação de contratos firmados com terceiros sugere-se seja envolvida a alta direção ou um comitê multidisciplinar. É necessário, ainda, estabelecer e cumprir prazos para responder aos titulares de dados e mantê-los inteirados dos procedimentos para apuração ou solução das suas reclamações ou pedidos de informação, de modo a resolver as demandas a fim de se evitar que o usuário procure as autoridades competentes.

2. Manter procedimentos específicos para responder a pedidos de acesso, atualização ou correção de dados pessoais, respeitando os requisitos legais e observando os conteúdos e prazos de resposta. A resposta à solicitação de acesso, atualização ou correção de dados pressupõe dois estágios: (i) primeiro verifica-se se os dados que o titular busca estão realmente sendo processados; (ii)  em seguida, conforme disposto em lei, deve-se facilitar a consulta, informando de maneira clara a origem destes dados, a finalidade específica do seu tratamento , as categorias, os destinatários, a duração prevista do armazenamento e a identificação do controlador, com as devidas informações de contato, fornecendo os dados por meio eletrônico ou sob forma impressa no prazo máximo de 15 (quinze) dias. Em casos fundamentados, este prazo poderá excepcionalmente ser excedido, desde que com aprovação da autoridade nacional. O grande desafio, neste particular, é entender que qualquer colaborador da organização pode receber uma solicitação válida de um titular de dados, seja aquele que tem contato direto com um cliente ou prospect ou aquele que monitora as redes sociais. Por essa razão, e considerando o prazo exíguo para resposta ao titular, todos da organização devem ter bem entendido o processo para notificar o DPO ou área responsável por responder às solicitações de acesso. Recomenda-se, neste particular, a adoção de um procedimento específico e o treinamento desses colaboradores que podem vir a receber a pedidos de acesso, atualização ou correção de dados pessoais. A aplicação de um formulário padrão para que o usuário titular solicite o acesso, atualização ou correção de dados pessoais facilitará substancialmente o processo interno e agilizará a resposta. As melhores práticas recomendam que, sempre que possível, as organizações forneçam acesso remoto a um sistema de auto-atendimento seguro que proporcione ao indivíduo acesso direto às suas informações. No caso de pedidos de acesso feitos por terceiros, a organização deve estar segura de que este tem o direito de agir em nome do titular dos dados, portanto deve solicitar a apresentação de uma autorização por escrito ou procuração e em não sendo  atendido este pedido sugere-se sejam divulgadas as informações diretamente ao titular. Quando os dados solicitados estiverem sendo processados por um terceiro (operador) é importante garantir que o acordo de nível de serviços preveja o cumprimento dos prazos no caso de solicitações de acesso.

3. Zelar para que processos de exclusão de dados ou portabilidade sejam respondidos correta e tempestivamente. Nos termos do Art. 18, VI, da LGPD, os titulares de dados têm direito à eliminação destes, também conhecido como “direito de ser esquecido”, quando estes não são mais necessários para o propósito para o qual foi coletado ou processado originalmente, quando o indivíduo retira seu consentimento ou quando não há interesse legítimo para continuar com o processamento. Quando a organização compartilhou os dados com terceiros, processadores, por exemplo, é necessário implementar um processo no qual qualquer demanda de exclusão seja notificada a estes parceiros. Importante salientar que a exclusão dos dados também deve ser realizada dos sistemas de backup, além dos sistemas ativos. No caso da portabilidade, as organizações devem manter mecanismos para exportar e importar dados, bem como processos (automatizados ou não) para responder a solicitações de indivíduos neste particular, transmitindo diretamente os dados para o titular, fornecendo acesso a uma ferramenta que permita a ele extrair estes dados ou transferindo diretamente para outro controlador, quando tecnicamente viável. A transferência de dados deve ser feita de maneira estruturada, ou seja, utilizando-se planilhas, por exemplo, nas quais os dados são organizados em linhas e colunas, em um formato comumente utilizado, de modo que possa ser lido e processado por outros controladores por meio de aplicativos de softwares comuns. Ainda, deve-se pensar na responsabilidade da organização caso seja aquela que receberá dados pessoais devido a uma solicitação de dados. Nesse caso, ao decidir aceitar ou reter dados pessoais provenientes de outro controlador a organização deve considerar se estes são relevantes ou eventualmente se excedem os propósitos para os quais esta os processará.

4. Conservar um “FAQ” (respostas à perguntas frequentes) de fácil acesso pelos usuários é altamente recomendável, seja para suportar a política de privacidade e os avisos legais ou mesmo o treinamento dos colaboradores.

5. Avaliar as principais causas de reclamações relacionadas à privacidade de dados, monitorar e relatar métricas. Recomenda-se fortemente que o DPO mantenha um processo para investigar as principais causas que geram reclamações de usuários e emitir recomendações para melhoria das práticas a fim de evitar queixas adicionais, gerando relatórios gerenciais para as áreas respectivas, de modo a permitir que seja medida a eficiência na resolução dos problemas e os respectivos custos e identificando processos sensíveis, os quais acabam por expor a organização a riscos relacionados com a proteção de dados.

No próximo capítulo, irei discorrer sobre como monitorar novas práticas operacionais implementando princípios de Privacidade por Design (Privacy by Design).

Para acessar o primeiro capítulo da Série, clique aqui.

Para acessar o próximo capítulo, clique aqui.

UNISOCIESC Curitiba lança Pós-Graduação em Compliance e Direito 4.0

UNISOCIESC Curitiba lança Pós-Graduação em Compliance e Direito 4.0

 

Na noite de segunda-feira (18), o Procurador de Justiça do Ministério Público do Paraná, Fábio André Guaragni, abriu a série de palestras na inauguração da sede acadêmica do Comitê Brasileiro de Compliance – CBC e apresentação da Pós-graduação em Compliance e Direito 4.0, que será oferecida em parceria com a Unisociesc.

“Que impacto você quer causar amanhã? ” – Perguntou Guilherme Oshima, presidente do CBC, ao público que lotou o auditório da Unisociesc. Segundo ele, “reinvenção e inovação” são os lemas do comitê. Para a coordenadora da Escola de Direito, Alessandra Matos, “a pós revoluciona o estudo do Compliance por trabalhar o tema na prática, oferecendo ao profissional um preparo efetivo para atuar na nova era do Direito 4.0. ”

Compareceram ao evento, centenas de pessoas, entre autoridades do Estado, membros do Ministério Público e do Instituto de Engenharia do Paraná, que prestigiaram o coquetel de inauguração oferecido pela Unisociesc.

A aplicação do Compliance à realidade brasileira é o assunto de grande repercussão no momento devido aos impactos das ações anticorrupção e adoção de políticas destinadas à diminuição de riscos na atividade empresarial. “A evolução dessa atividade e do profissional da área, são fundamentais no cenário corporativo atual”, pontuou Fábio André Guaragni, Procurador de Justiça do Ministério Público do Paraná.

O advogado Gustavo Scandelari, segundo palestrante da noite, considera duas iniciativas altamente inovadoras e complementares –  ter organizações como o CBC, que se dediquem a eventos para divulgação de conhecimento a respeito desse assunto e, as instituições de ensino superior, como essa iniciativa da pós em Compliance e Direito 4.0 –  “Não havia um espaço de estudo dedicado ao Compliance como o inaugurado aqui na Unisociesc. É uma ótima notícia”, diz.

O evento contou também com a participação de Adriana Gluck Camargo, Compliance Analyst do Ebanx, Melissa Gonçalves, atual Compliance Analyst da Positivo Tecnologia, bem como do sócio-fundador da CódigoConduta.com, Fernando Zanoni, uma das maiores plataformas nacionais de implantação de programas de integridade.

As aulas da pós-graduação em Compliance e Direito 4.0 estão previstas para iniciar dia 02 de abril. Informações sobre corpo docente, grade curricular e detalhes sobre inscrições estão disponíveis  no site e também por WhatsApp: 41 99971-6110/99655-0698.

 

Informações do Comitê Brasileiro de Compliance

E-mail: [email protected]

 

Serviço

Pós-graduação de Compliance e Direito 4.0

Início das aulas: 02 de abril. Local: Unisociesc Palácio Avenida. Rua Luiz Xavier, 40.

Local: Rua Luiz Xavier, 40

 

Fonte: Bem Paraná

https://www.bemparana.com.br/noticia/unisociesc-curitiba-lanca-pos-graduacao-em-compliance-e-direito-4.0

Gestão de Terceiros e Compliance foi tema de debate no SETCEPAR

Gestão de Terceiros e Compliance foi tema de debate no SETCEPAR

A Gestão de Terceiros sob as perspectivas contratual, trabalhista e de compliance foi o escopo do evento organizado pelo Instituto Brasileiro de Governança Trabalhista (IBGTR) e o Sindicato das Empresas de Transportes de Cargas no Estado do Paraná (SETCEPAR) no último dia 13 de março.

Com abordagem multidisciplinar, o objetivo dos organizadores foi mostrar para o público presente que monitorar de maneira eficaz os contratos firmados com terceiros permite às empresas mitigar riscos e aperfeiçoar seus processos internos.

A CódigoConduta.com esteve representada nos debates por seu Sócio-Diretor, Fernando Henrique Zanoni, que em sua apresentação abordou os riscos existentes em todas as etapas de uma contratação, desde a prospecção até a rescisão, passando pela execução e por eventuais não-conformidades. O diferencial de sua exposição, no entanto, foi tratar o tema tanto sob a perspectiva da contratante como do terceiro (contratado): “Todas as empresas são, em sua essência, contratantes e contratadas, portanto é necessário entender que a partir do momento que os processos internos da parte que contrata se entrelaçam com os processos internos de seu parceiro negocial, riscos são compartilhados, e a melhor maneira de mitiga-los é mantendo uma relação transparente, desde o início da relação até o seu término. Isso passa, como se viu nos outros painéis, por questões de governança trabalhista, de gestão de contratos, mas também pela necessidade imperiosa de se criar normas de conduta e controles efetivos, baseados em uma pré-análise das potenciais ameaças.”

O IBGTR organiza eventos voltados a discutir, criar e disseminar as boas práticas nas relações de trabalho a fim de identificar, controlar, eliminar ou gerir os passivos trabalhistas.

Para mais informações sobre os futuros eventos, visite o site do Instituto em www.ibgtr.com.br.