por Fernando Henrique Zanoni | 14 mar 2021 | Conformidade e Integridade
O assédio sexual pode ser caracterizado pela insistente intimidação de uma pessoa com propósitos sexuais ou qualquer comportamento sexual coercitivo, indesejado e sem reciprocidade, seja ele praticado de forma verbal ou física. É importante criar controles para evitar a ocorrência de Assédio dentro das organizações, haja vista os riscos reputacionais que casos dessa natureza podem acarretar, como bem mostrou o movimento #metoo.
Controles para evitar o Assédio Sexual:
- Criar normas e diretrizes claras com a definição e exemplos de assédio sexual;
- Criar um protocolo de investigação, preferencialmente com pessoas do mesmo gênero e orientação sexual entrevistando as potenciais vítimas de assédio;
- Criar um processo de monitoramento das vítimas, de modo a preservá-las e a prevenir qualquer tipo de retaliação;
- Aplicar sanções proporcionais aos assediadores, independente do cargo exercido dentro da organização;
- Adaptar os treinamentos para situações que possam ocorrer ou até mesmo que já ocorreram na organização, obviamente preservando a identidade dos envolvidos.
Quer saber mais sobre nossas edições do Doses de Compliance?
Acesse nossas mídias sociais:
www.instagram.com/codigo_conduta/ e www.linkedin.com/company/codigoconduta
por Fernando Henrique Zanoni | 13 mar 2021 | Conformidade e Integridade
Fernando Henrique Zanoni (Sócio da CódigoConduta.com)
Escrevo o presente artigo exatamente um dia após receber a confirmação de que um cliente, escritório de advocacia de Rondônia, recebeu a Certificação do seu Sistema de Gestão Antissuborno, motivo pelo qual me atrevo desde logo a responder à pergunta que encabeça este texto com um sonoro SIM, adotar o framework proposto pela Norma ISO 37001 serve a organizações dos mais variados portes e segmentos de atuação, inclusive pequenas e médias empresas.
Todavia, entendo que o tema é relativamente novo e pode suscitar outros questionamentos àqueles que não estão tão familiarizados com o conceito de compliance antissuborno e com a metodologia trazida pela norma, portanto, tentarei esclarecer a questão principal a partir de respostas para outras perguntas, de maneira didática e simplificada.
Então, vamos lá!
1. O que é a ISO 37001?
A ISO 37001 é uma norma proposta por uma organização internacional não-governamental independente (International Organization for Standardization – ISO) que especifica requisitos e fornece orientações padronizadas para implementação, manutenção, análise crítica e melhoria contínua de um sistema de gestão antissuborno. Seu objetivo é mitigar riscos de ocorrência de suborno nos setores público, privado e sem fins lucrativos, pelas e para as organizações, por e para seus colaboradores e seus parceiros de negócio, de maneira direta ou indireta. Destaco aqui que o conceito de suborno para essa norma vai além de situações envolvendo agentes públicos e contempla também o pagamento/recebimento de suborno nas relações entre particulares.
2. Quais as vantagens para minha empresa?
Seguir os requisitos e orientações da norma ISO 37001 permite que a organização postule a respectiva certificação de conformidade do seu sistema de gestão antissuborno. Em outras palavras, a organização terá um selo de eficácia do seu sistema de gestão, o qual, por ser emitido com a chancela de um organismo internacional, é reconhecido mundialmente. Essa certificação, entendo, além de valorizar a organização certificada perante o mercado no qual está inserida também já é vista como um diferencial para aquelas empresas que fornecem produtos e/ou serviços para a Administração Pública, representando uma vantagem competitiva em certames licitatórios.
3. Como funciona o processo de implementação do Sistema de Gestão de acordo com a ISO 37001?
A metodologia proposta pela norma ISO 37001 está baseada no ciclo PDCA, também chamado de Ciclo de Deming, que consiste em uma sistemática que tem como objetivo promover a melhoria contínua dos processos a partir de quatro etapas: planejar (plan), fazer (do), checar (check) e agir (act). Colocando em prática tal metodologia, o Sistema de Gestão Antissuborno é implementado a partir da revisão das estruturas de governança, gestão de riscos e controles internos, passa pela concepção de normas de conduta, procedimentos corporativos e outras informações documentadas, implementação de ferramentas de compliance como canais de denúncia e continua com a checagem de efetividade de todos os mecanismos adotados e com a adoção de planos de ação que visam sua melhoria contínua.
4. Que políticas e procedimentos compõem um Sistema de Gestão Antissuborno robusto e efetivo?
Cada organização tem suas peculiaridades, mas para um Sistema de Gestão Antissuborno estar em conformidade com o disposto na norma ISO 37001 é fundamental que existam normas de conduta relacionadas ao gerenciamento de conflito de interesses, às relações com agentes públicos, fornecedores, concorrentes, clientes e parceiros de negócio, à brindes, viagens, presentes e hospitalidades, doações, contribuições e patrocínios. Além disso, recomendo que a organização possua uma política de consequências, uma política de alçadas e uma política de não-retaliação a denunciantes. Por fim, é necessário implementar/revisitar procedimentos operacionais padrão financeiros, de provimento de pessoal, de ações para abordagem de riscos e oportunidades, de não-conformidades, ações corretivas e ações preventivas, de auditoria e monitoramento e de comunicação e treinamento, entre outros.
5. E quanto à certificação? Como proceder?
Antes de postular a certificação do Sistema de Gestão Antissuborno é necessário que o ciclo PDCA tenha “rodado” ao menos uma vez, ou seja, que os mecanismos de compliance adotados tenham sido auditados e que eventuais problemas tenham sido solucionados. Para tanto, recomendo fortemente que a organização promova a realização de uma auditoria interna com um profissional experiente e independente, que irá avaliar o sistema de gestão de maneira isenta, preocupando-se única e exclusivamente com seus aspectos técnicos e com a verificação de conformidade com o disposto na norma ISO 37001. Ao término desse processo, realizada a análise crítica pela função compliance antissuborno e pela alta direção e corrigidas as não-conformidades, a organização poderá contratar um organismo de certificação cadastrado no INMETRO para realização da respectiva auditoria, também chamada de Auditoria de 3ª Parte, que será realizada por um profissional também acreditado.
6. Existem ferramentas que podem auxiliar todo esse processo?
O processo de certificação passa obrigatoriamente por uma minuciosa análise de toda a informação documental que compõe o Sistema de Gestão Antissuborno. Assim, possuir uma ferramenta tecnológica que reúna todo esse arcabouço documental e consiga demonstrar de maneira efetiva a jornada do ciclo PDCA em uma única plataforma pode facilitar o trabalho do próprio auditor e demonstrar a padronização e o cuidado da organização para com o seu Sistema de Gestão.
Antes de encerrar, creio ser fundamental alertar que o processo de implementação de um Sistema de Gestão Antissuborno ou de adequação de um Programa de Compliance para atender aos requisitos da norma ISO 37001 exige planejamento e, principalmente, comprometimento de todas as esferas da organização, da alta liderança à base, mas que, se bem organizado, pode representar melhoria de processos corporativos, redução de custos e mitigação de riscos.
Quer saber mais? Entre em contato e vamos conversar sobre o tema.
por Fernando Henrique Zanoni | 13 mar 2021 | Conformidade e Integridade
Muito tem se falado sobre a agenda ESG (Environmental, Social & Governance) nas empresas, contudo vejo que o tema muitas vezes é tratado de maneira apaixonada ou até mesmo politizada, com pouco foco na Governança.
É importante entender que muito desse debate teve origem nos Estados Unidos em razão de debates judiciais versando sobre o propósito das organizações, ou seja, está relacionado ao equilíbrio entre os deveres fiduciários de executivos e membros de Conselhos de Administração para com os acionistas e outras partes interessadas.
Nesse sentido, preocupa-me que organizações abracem causas sociais ou ambientais em razão de pressões externas sem o devido planejamento, sem desenvolver robustos indicadores de gestão, ou até mesmo levando a polarização política para o mercado, ou seja, com muito foco no discurso e pouca prática.
Por essa razão, é preciso que as empresas reavaliem o seu propósito de olho nessas demandas sociais e ambientais, mas sem esquecer o seu core business, desenvolvendo mecanismos que permitam avaliar de maneira efetiva o impacto de suas operações e pensando em maneiras de equilibrar os interesses de acionistas e outras partes interessadas, tais como empregados, consumidores e comunidade em geral.
Um bom exemplo disso é a Philip Morris, que recentemente lançou um Relatório Integrado bastante completo, que integra performance financeira e não financeira e que inclusive faz menção direta à contribuição expressa aos Objetivos de Desenvolvimento Sustentável propostos pela Agenda 2030.
Fernando Henrique Zanoni é sócio da CódigoConduta.com e aluno do curso de Capitalismo Sustentável e ESG da Universidade da Califórnia (Berkeley School of Law). O relatório da Philip Morris pode ser acessado no link https://www.pmi.com/media-center/news/pmi-s-2020-integrated-report-shows-progress-toward-accelerating-the-end-of-smoking
por Fernando Henrique Zanoni | 23 abr 2019 | Artigos
Os primeiros 10 capítulos da série “LGPD na Prática” permitiram ao leitor entender quais empresas são impactadas pela nova regulamentação, qual a melhor maneira para estruturar um sistema de governança de dados, como gerar um inventário de dados pessoais e mecanismos de transferência, de que maneira implementar uma política de privacidade, como as rotinas da organização são afetadas pela nova lei, de que forma treinar e como se comunicar com colaboradores e demais stakeholders com relação à temas de segurança e privacidade de dados, de que forma mapear e gerenciar riscos próprios e de terceiros, como aplicar avisos legais (“disclaimers“) e de que modo estabelecer procedimentos internos para responder tempestivamente às solicitações e reclamações de usuários.
O presente capítulo será destinado a tratar do chamado “Privacy by Design“, ou seja, como identificar nas práticas operacionais novos processos, ou processos já existentes, que já estejam ou possam vir a estar relacionados à coleta, processamento e tratamento de dados, de modo a adapta-los, à nova legislação, às regulamentações internacionais e às normas de conduta e políticas internas, visando preservar o direito à privacidade do usuário final. Em outras palavras, deve-se propugnar pela proteção de dados em todos os estágios do negócio, ou seja, desde o design de um sistema, produto ou serviço até todo o seu ciclo de vida, instaurando medidas técnicas e organizacionais que objetivem prever riscos e eventos invasivos de privacidade antes que eles ocorram e tomando medidas para evitar danos ao titular dos dados. Para tanto, passo a elencar alguns passos a serem seguidos:
1. Manter diretrizes e modelos detalhando como conduzir avaliações de impacto de privacidade ou avaliações de impacto de proteção de dados para garantir que os riscos de proteção de dados são medidos e analisados periodicamente quando há um novo projeto envolvendo o uso de dados pessoais, novos sistemas de segurança da informação ou o compartilhamento de dados com terceiros, e também no caso de projetos já em andamento e sistemas existentes. As avaliações de impacto de privacidade devem ser conduzidas o mais cedo possível no ciclo de vida do projeto (daí a expressão Privacy by Design), para que recomendações possam ser incorporadas durante o seu andamento, identificando os riscos que a iniciativa planejada possa fazer emergir e formas alternativas de processamento dos dados pessoais para mitigar essas ameaças potenciais. Nas avaliações de impacto de privacidade devem estar envolvidos o Data Protection Officer (DPO), um profissional de segurança da informação, o processador dos dados e um consultor jurídico especialista em privacidade de dados. A ICO (Information Commissioner’s Office), autoridade britânica criada para defender os direitos de informação, disponibiliza um template bastante intuitivo que pode ser usado como apoio para realização de uma avaliação de impacto de privacidade.
2. Estruturar a avaliação de impacto de privacidade de maneira lógica e procedimentalizada. A avaliação de impacto de privacidade deve ser concebida de forma coerente, de modo a permitir que todos da organização sigam o mesmo norte quando da necessidade de realiza-la. Isso significa que deve ser procedimentalizada. Nesse sentido, sugere-se sejam adotados ao menos os seguintes passos: (i) estudo do contexto, com um overview do processo e do produto ou serviço, fase na qual são identificados o controlador e o processador, quais serão os dados a serem processados e armazenados e o ciclo de vida desses dados (preferencialmente com um diagrama de fluxos e uma descrição detalhada do passo a passo); (ii) estudo dos princípios fundamentais, com a identificação da justificativa para recolhimento dos dados, a legalidade do tratamento, minimização de dados, qualidade, duração dos registros, informações para os titulares, obtenção do consentimento do titular e possibilidade de acessar seus dados diretamente, portabilidade, possibilidade de retificar e apagar os dados, contestar ou restringir o processamento e transferência para outras jurisdições, explicando e justificando as escolhas feitas e descrevendo os controles selecionados para cumprir os requisitos legais; (iii) estudo dos riscos de segurança de dados, a ser executado pelo responsável pelo projeto, avaliação de controles existentes ou planejados sobre os dados processados, sobre a segurança do sistema no qual o processamento é realizado e no gerenciamento do projeto, no caso de incidentes e violações e na relação com terceiros; (iv) validação da avaliação de impacto, fase na qual os resultados das fases anteriores são consolidados e apresentados, com o mapeamento dos riscos e os respectivos planos de ação para mitiga-los. O framework proposto pela CNIL, autoridade administrativa independente da França, disponível no link a seguir (https://www.cnil.fr/en/privacy-impact-assessment-pia), também pode ser bastante útil aos profissionais que terão a função de preparar o plano de avaliação de impacto dentro das organizações.
3. Envolver terceiros como parte destes processos de avaliações de impacto de privacidade ou de proteção de dados. Na avaliação de impacto de privacidade a participação de partes interessadas como usuários de sistemas, clientes, colaboradores e até mesmo os órgãos reguladores pode oferecer novas perspectivas sobre os riscos. Por essa razão, buscar a opinião desses stakeholders pode ser útil durante o desenvolvimento de um novo projeto, seja por meio de surveys ou mesmo da imersão total para melhor entendimento de quais são e como se dará o processamento e armazenamento dos dados.
4. Acompanhar e abordar os problemas de proteção de dados identificados durante as avaliações. Uma avaliação de impacto de privacidade ou de proteção de dados geralmente é iniciada com um processo de assessment, na qual perguntas são feitas para identificar se a iniciativa proposta terá ou não impacto sobre os direitos e liberdades dos indivíduos quanto à proteção de dados. As perguntas devem ser projetadas de modo que sejam fornecidos indicadores sobre o grau, o escopo e a escala dos problemas de privacidade. Auxilia nesta etapa a elaboração de uma planilha compartilhada de Project Management, na qual são identificados os riscos, as respectivas soluções, proteções e/ou processos alternativos para mitiga-los, os responsáveis pela sua implementação e a pessoa responsável para endereçamento de preocupações futuras relacionadas à essas ameaças na eventualidade de surgir quaisquer problemas.
5. Elaborar relatórios para os reguladores e partes interessadas, quando necessário. O relatório de avaliação de impacto de proteção de dados detalhará os riscos identificados durante o processo e os priorizará de acordo com a gravidade, devendo ainda esclarecer quais são os impactos sobre os direitos dos titulares dos dados caso os riscos venham a ocorrer, além de recomendar a adoção de controles apropriados para mitiga-los e reduzi-los a um nível aceitável. Estes relatórios poderão ser submetidos aos reguladores ou a terceiros que tenham ou não participado do processo, para que todos sejam informados acerca dos riscos de privacidade antes do lançamento de um novo produto, sistema ou processo.
No próximo capítulo, irei discorrer sobre como conduzir de forma estruturada a apuração e correção de violações de privacidade.
Para acessar o primeiro capítulo da Série, clique aqui.
por Fernando Henrique Zanoni | 27 mar 2019 | Artigos
Nos capítulos anteriores da série “LGPD na Prática” foi possível fazer um overview de quais empresas são impactadas pela nova regulamentação, como implementar e manter uma estrutura de governança de dados, qual a melhor maneira de implementar um processo de inventário de dados pessoais e mecanismos de transferência, como adotar uma política de privacidade, entender como a nova lei afeta as rotinas da organização, qual a forma mais eficaz de implantar um cronograma de treinamento e comunicação, como mapear e gerenciar riscos de segurança da informação e de terceiros e a aplicação prática dos avisos legais (“disclaimers“).
Nesta etapa, pretendo esclarecer como estabelecer procedimentos internos para responder tempestivamente às solicitações e reclamações de usuários, considerando alguns pontos fundamentais, quais sejam:
1. Desenhar um workflow para resolver eventuais reclamações de usuários ou pedidos de informação. Toda organização deve manter procedimentos-padrão para: (i) reconhecer reclamações relacionadas a questões de proteção de dados; (ii) lidar com demandas simples e relatar a resolução ao DPO (Data Protection Officer); e (iii) encaminhar imediatamente as demandas mais sensíveis para o responsável pela proteção de dados. Recomenda-se que seja mantido um canal direto entre titular dos dados e o DPO por meio do website da organização, seja através de formulário ou informando um e-mail de contato. No caso de demandas complexas, que eventualmente requeiram atualizações ou revisões dos sistemas de informação ou mesmo repactuação de contratos firmados com terceiros sugere-se seja envolvida a alta direção ou um comitê multidisciplinar. É necessário, ainda, estabelecer e cumprir prazos para responder aos titulares de dados e mantê-los inteirados dos procedimentos para apuração ou solução das suas reclamações ou pedidos de informação, de modo a resolver as demandas a fim de se evitar que o usuário procure as autoridades competentes.
2. Manter procedimentos específicos para responder a pedidos de acesso, atualização ou correção de dados pessoais, respeitando os requisitos legais e observando os conteúdos e prazos de resposta. A resposta à solicitação de acesso, atualização ou correção de dados pressupõe dois estágios: (i) primeiro verifica-se se os dados que o titular busca estão realmente sendo processados; (ii) em seguida, conforme disposto em lei, deve-se facilitar a consulta, informando de maneira clara a origem destes dados, a finalidade específica do seu tratamento , as categorias, os destinatários, a duração prevista do armazenamento e a identificação do controlador, com as devidas informações de contato, fornecendo os dados por meio eletrônico ou sob forma impressa no prazo máximo de 15 (quinze) dias. Em casos fundamentados, este prazo poderá excepcionalmente ser excedido, desde que com aprovação da autoridade nacional. O grande desafio, neste particular, é entender que qualquer colaborador da organização pode receber uma solicitação válida de um titular de dados, seja aquele que tem contato direto com um cliente ou prospect ou aquele que monitora as redes sociais. Por essa razão, e considerando o prazo exíguo para resposta ao titular, todos da organização devem ter bem entendido o processo para notificar o DPO ou área responsável por responder às solicitações de acesso. Recomenda-se, neste particular, a adoção de um procedimento específico e o treinamento desses colaboradores que podem vir a receber a pedidos de acesso, atualização ou correção de dados pessoais. A aplicação de um formulário padrão para que o usuário titular solicite o acesso, atualização ou correção de dados pessoais facilitará substancialmente o processo interno e agilizará a resposta. As melhores práticas recomendam que, sempre que possível, as organizações forneçam acesso remoto a um sistema de auto-atendimento seguro que proporcione ao indivíduo acesso direto às suas informações. No caso de pedidos de acesso feitos por terceiros, a organização deve estar segura de que este tem o direito de agir em nome do titular dos dados, portanto deve solicitar a apresentação de uma autorização por escrito ou procuração e em não sendo atendido este pedido sugere-se sejam divulgadas as informações diretamente ao titular. Quando os dados solicitados estiverem sendo processados por um terceiro (operador) é importante garantir que o acordo de nível de serviços preveja o cumprimento dos prazos no caso de solicitações de acesso.
3. Zelar para que processos de exclusão de dados ou portabilidade sejam respondidos correta e tempestivamente. Nos termos do Art. 18, VI, da LGPD, os titulares de dados têm direito à eliminação destes, também conhecido como “direito de ser esquecido”, quando estes não são mais necessários para o propósito para o qual foi coletado ou processado originalmente, quando o indivíduo retira seu consentimento ou quando não há interesse legítimo para continuar com o processamento. Quando a organização compartilhou os dados com terceiros, processadores, por exemplo, é necessário implementar um processo no qual qualquer demanda de exclusão seja notificada a estes parceiros. Importante salientar que a exclusão dos dados também deve ser realizada dos sistemas de backup, além dos sistemas ativos. No caso da portabilidade, as organizações devem manter mecanismos para exportar e importar dados, bem como processos (automatizados ou não) para responder a solicitações de indivíduos neste particular, transmitindo diretamente os dados para o titular, fornecendo acesso a uma ferramenta que permita a ele extrair estes dados ou transferindo diretamente para outro controlador, quando tecnicamente viável. A transferência de dados deve ser feita de maneira estruturada, ou seja, utilizando-se planilhas, por exemplo, nas quais os dados são organizados em linhas e colunas, em um formato comumente utilizado, de modo que possa ser lido e processado por outros controladores por meio de aplicativos de softwares comuns. Ainda, deve-se pensar na responsabilidade da organização caso seja aquela que receberá dados pessoais devido a uma solicitação de dados. Nesse caso, ao decidir aceitar ou reter dados pessoais provenientes de outro controlador a organização deve considerar se estes são relevantes ou eventualmente se excedem os propósitos para os quais esta os processará.
4. Conservar um “FAQ” (respostas à perguntas frequentes) de fácil acesso pelos usuários é altamente recomendável, seja para suportar a política de privacidade e os avisos legais ou mesmo o treinamento dos colaboradores.
5. Avaliar as principais causas de reclamações relacionadas à privacidade de dados, monitorar e relatar métricas. Recomenda-se fortemente que o DPO mantenha um processo para investigar as principais causas que geram reclamações de usuários e emitir recomendações para melhoria das práticas a fim de evitar queixas adicionais, gerando relatórios gerenciais para as áreas respectivas, de modo a permitir que seja medida a eficiência na resolução dos problemas e os respectivos custos e identificando processos sensíveis, os quais acabam por expor a organização a riscos relacionados com a proteção de dados.
No próximo capítulo, irei discorrer sobre como monitorar novas práticas operacionais implementando princípios de Privacidade por Design (Privacy by Design).
Para acessar o primeiro capítulo da Série, clique aqui.
Para acessar o próximo capítulo, clique aqui.
Comentários