por Fernando Henrique Zanoni | 11 jan 2019 | Artigos
No primeiro Capítulo da Série “LGPD na Prática” ficou claro que a grande maioria das empresas será afetada, direta ou indiretamente, pela nova regulamentação brasileira em virtude dos novos direitos dos usuários titulares de dados, o que fez surgir, por conseguinte, inúmeras obrigações legais a serem respeitadas por essas organizações dentro do prazo estabelecido, ou seja, até 15 de agosto de 2020.
À primeira vista, o prazo legal para adequação à norma pode até parecer elastecido, contudo uma análise mais apurada não só dos encargos legais, mas, principalmente, da realidade das organizações, mostra a necessidade de se iniciar imediatamente um projeto estruturado para harmonização de suas operações às novas regras.
Por tais motivos, destaquei primeiramente a necessidade das empresas de manter uma estrutura de governança de dados, ou seja, certificar de que existem na organização pessoas responsáveis pela privacidade e gestão dos dados e procedimentos para reporte de incidentes.
Para tanto, sugere-se sejam seguidos os seguintes passos:
1. Nomear um Encarregado de Proteção de Dados (DPO – Data Protection Officer), responsável por supervisionar a estratégia e a implementação da proteção de dados para garantir a conformidade com os requisitos não só da LGPD, mas de outras normas internacionais as quais a empresa eventualmente esteja submetida, recebendo, processando e solucionando as reclamações e comunicações dos titulares de dados e da autoridade nacional e orientando colaboradores e terceiros a respeito das melhores práticas no que tange ao tratamento e processamento de dados pessoais. Ou seja, sua função será a de educar sobre os requisitos de conformidade, treinar todos os envolvidos, realizar auditorias regulares de segurança, manter registros abrangentes de todas as atividades e atuar como interface entre a organização, os titulares dos dados e a Agência Nacional de Proteção de Dados (ANPD). A norma não inclui uma lista de credenciais para o DPO, mas recomenda-se fortemente que seja um profissional, ou uma empresa, que tenha conhecimento especializado de leis e práticas de proteção de dados, que esteja alinhado com as operações , a infraestrutura e os sistemas de tecnologia da informação da organização e, principalmente, que conheça os riscos envolvidos neste particular, considerando as especificidades do negócio e da empresa. Idealmente, o DPO deve ter habilidades de gerenciamento e capacidade de interagir com a equipe interna, terceiros, titulares de dados e órgãos oficiais. É necessário que as informações do DPO sejam públicas e fornecidas a todas as agências de supervisão regulatória.
2. Envolver a Alta Administração e a Gerência Sênior da organização, pois assim como em um Programa de Integridade, a adequação à LGPD exige buy-in do corpo diretivo e dos principais líderes, de modo que todos devem compreender os riscos cibernéticos a que qualquer empresa está exposta, além de estarem alinhados às estratégias e objetivos das normas internas relacionadas ao processamento e tratamento de dados . Nesse sentido, recursos suficientes devem ser alocados para desenvolver, implementar, manter e melhorar os respectivos controles internos e sistemas de segurança da informação. A apresentação de reportes periódicos às partes interessadas sobre o status do processo de adequação a LGPD, neste particular, é fundamental. Nesse sentido, sugere-se que o tema seja debatido de forma recorrente em fóruns da alta direção, tais como reuniões do Conselho de Administração ou Diretoria para que se garanta que o órgãos máximos de gestão mantenham supervisão suficiente com linhas de subordinação e prestação de contas clara, a fim de demonstrar conformidade com as normas.
3. Atribuir responsabilidades pela privacidade dos dados em toda a organização. A nomeação de um Encarregado de Dados não o transforma no único responsável pelo tema dentro de uma corporação. É importante entender que existem departamentos que colhem e tratam dados pessoais periodicamente, tais como recursos humanos e marketing, para citar dois dos principais. Deste modo, os gestores dessas áreas devem estar amplamente envolvidos com o cumprimento da política de privacidade de dados e das obrigações legais advindas da LGPD. Recomenda-se, neste particular, que no próprio job description de profissionais dessas e de outras áreas que tenham contato direto com dados pessoais sejam incluídas obrigações relacionadas à observância das normas internas e externas.
4. Implementar processos de comunicação regular entre todos os envolvidos, pois uma das mudanças mais importantes que a LGPD trouxe é a obrigação das organizações de relatar em tempo razoável toda violação de dados. Procedimentos bem definidos de interação entre o Encarregado de Dados e os colaboradores, terceiros que eventualmente prestem serviços de processamento ou tratamento de dados, titulares e autoridades regulatórias devem ser sistematizados em um plano de comunicação de crise, tendo em vista o exíguo tempo para apuração e remediação de tais situações e, principalmente, os riscos reputacionais de vazamento da informação dessa , o que acarreta na imperiosa necessidade de preparar declarações reativas para tratar o assunto, em especial no caso de marcas e empresas conhecidas.
5. Realizar periódicas avaliações de riscos, de modo a criar uma conscientização quanto às possíveis consequências de uma violação e a importância de aprimorar os controles e sistemas de segurança cibernética, políticas e procedimentos de governança de dados. É importante verificar se as medidas técnicas e organizacionais adotadas pela empresa e por terceiros que eventualmente processem ou tratem dados para esta, são suficientes para proteger a confidencialidade, integridade e disponibilidade dos dados. Por isso, testes de penetração regulares de sistemas de TI e de restauração do acesso a dados pessoais no caso de violações, além da revisões das melhores práticas e de novas tecnologias para mitigar o impacto de potenciais problemas, são interessantes ferramentas de auxílio ao aperfeiçoamento das estruturas de salvaguarda. E, se num primeiro momento, as organizações possam vir a assumir que os únicos riscos que enfrentam são de invasões ou roubo de dados, é importante ressaltar a responsabilização das empresas no caso de destruição, perda ou divulgação acidental ou ilegal dos dados o que vai muito além de simples ataques de hackers.
No próximo capítulo, irei analisar a importância de se preservar um inventário de dados pessoais e definir os mecanismos de transferência de dados.
Para acessar o primeiro capítulo da Série, clique aqui.
Para acessar o próximo capítulo, clique aqui.
por Fernando Henrique Zanoni | 9 jan 2019 | Artigos
Como já é notório, recentes escândalos de vazamentos de dados deram vazão a uma onda global de edição de normas, dentre elas a tão famigerada General Data Protection Regulation (GDPR), aplicável a todos os cidadãos europeus.
Referidas regulamentações, sem sombra de dúvidas, contribuem para melhorar os mecanismos de segurança e processamento de dados com o objetivo de impedir que terceiros não autorizados tenham acesso a informações pessoais sem o consentimento do usuário. E isso acaba por afetar as empresas de modo positivo, haja vista que faz com que estas, obrigatoriamente, implementem uma cultura de respeito pela privacidade dos dados pessoais de seus usuários, clientes e colaboradores.
O fenômeno chegou ao Brasil com a promulgação da Lei nº 13.709, de 14 de agosto de 2018, norma brasileira que dispõe sobre o uso, proteção, coleta e tratamento de dados pessoais, a qual foi alterada no final do ano passado com a edição da Medida Provisória nº 869, de 28 de dezembro, que ampliou o prazo legal para o dia 16 de agosto de 2020 para para que as empresas se ajustem às novas obrigações.
Não pretendo neste breve artigo avaliar a norma sob o ponto de vista jurídico, mas sim esclarecer desde logo dois pontos que saltam aos olhos já num primeiro momento:
1. Que empresas são afetadas com a edição dessa nova regulamentação? e
2. Quais são os direitos dos usuários?
Para responder a primeira pergunta, é necessário compreender que a norma: (i) define como dado pessoal qualquer informação que identifique diretamente ou torne identificável uma pessoa natural; e (ii) designa como tratamento qualquer operação de coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração deste dado.
Ou seja, se sua empresa de alguma forma trata dados pessoais de titulares localizados em território nacional, diretamente ou através de terceiros, com o objetivo de obter vantagem econômica, a lei lhe é aplicável. Por consequência, todas as operações de tratamento de dados deverão ser devidamente registradas em um Relatório de Impacto à Proteção de Dados Pessoais e um monitor e disseminador das boas práticas, pessoa física ou jurídica, denominado Encarregado de Proteção de Dados (DPO – Data Protection Officer) deverá ser nomeado para ser a interface da sua organização com a Agência Nacional de Proteção de Dados (ANPD), em especial naquelas empresas que tratem dados pessoais sensíveis, assim considerados aqueles relacionados à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico. E não pára por aí: a empresa deverá adotar medidas de segurança efetivas para evitar que os dados pessoais sejam acessados indevidamente, destruídos, perdidos ou alterados e todo e qualquer incidente deverá ser reportado de forma clara à ANPD e aos próprios usuários em prazo razoável (seja lá o que isso signifique).
Quanto ao segundo questionamento, os usuários, por sua vez, têm direito de: (a) acesso aos dados pessoais que porventura sejam tratados e, consequentemente, garantia da retificação e atualização destes; (b) tratamento de suas informações pessoais somente mediante expresso consentimento, sendo realizada de maneira fácil e gratuita a exclusão dos dados do respectivo banco; e (c) portabilidade, permitindo que referidos dados possam ser encaminhados a outras empresas que também performem o seu tratamento.
Com base nas duas respostas acima, tem-se plena certeza de que a nova norma impactará as operações de inúmeras empresas, nacionais e multinacionais, o que leva ao terceiro e mais importante questionamento, cuja resposta é o objeto da presente série de pequenos artigos:
3. O que as empresas devem fazer para se adequar à Lei Geral de Proteção de Dados (LGPD) dentro do prazo legal?
Para responder a este terceiro questionamento, elenco a seguir 13 situações a serem observadas por qualquer organização que esteja submetida à Lei Geral de Proteção de Dados, com base no Framework Nymity*, as quais serão analisadas individualmente nos próximos capítulos desta série:
I – MANTER UMA ESTRUTURA DE GOVERNANÇA DE DADOS: Certificar de que existem na organização pessoas responsáveis pela privacidade e gestão dos dados e procedimentos para reporte de incidentes;
II – PRESERVAR UM INVENTÁRIO DE DADOS PESSOAIS E MECANISMOS DE TRANSFERÊNCIA DE DADOS: Atestar a existência e manutenção de um inventário da localização do armazenamento de dados pessoais ou fluxo de dados, com suas classes devidamente definidas;
III – IMPLEMENTAR UMA POLÍTICA DE PRIVACIDADE DE DADOS: Redigir e executar normas relacionadas à privacidade de dados que atenda aos requisitos legais e mitigue riscos operacionais e de danos a indivíduos;
IV – INCORPORAR A PRIVACIDADE DE DADOS À SUAS OPERAÇÕES: Sustentar procedimentos operacionais consistentes com as normas internas e externas relacionadas à privacidade de dados e aos objetivos de gerenciamento de riscos;
V – CUMPRIR UM CRONOGRAMA INTERNO DE TREINAMENTO E COMUNICAÇÃO: Fornecer treinamento e comunicação contínuos para promover a conformidade com as normas internas e externas relacionadas à privacidade de dados e a mitigação de riscos operacionais;
VI – GERENCIAR OS RISCOS RELACIONADOS À SEGURANÇA DA INFORMAÇÃO: Manter um Sistema de Segurança da Informação baseado nos requisitos legais e nos riscos a que a organização está submetida;
VII – ADMINISTRAR RISCOS DE TERCEIROS: Atestar que as contratações com terceiros e parceiros de negócio estão de acordo com as normas internas e externas de privacidade de dados e dentro dos limites de tolerância ao risco estabelecidos previamente;
VIII – PROVER AVISOS LEGAIS: Preparar avisos para usuários em consonância com a política de privacidade de dados, os requisitos legais e análise prévia de riscos;
IX – RESPONDER TEMPESTIVAMENTE ÀS SOLICITAÇÕES E RECLAMAÇÕES DE USUÁRIOS: Estabelecer procedimentos eficazes para interagir com os indivíduos acerca de seus dados pessoais;
X – MONITORAR NOVAS PRÁTICAS OPERACIONAIS: Observar novas práticas organizacionais para identificar eventuais novos processos ou mudanças nos processos existentes que estejam relacionados ao tratamento de dados, e garantir a implementação dos princípios de Privacidade por Design (Privacy by Design);
XI – CONDUZIR DE FORMA ESTRUTURADA A APURAÇÃO E CORREÇÃO DE VIOLAÇÕES DE PRIVACIDADE: Manter um efetivo sistema de averiguação e reparação de transgressões às normas e controles e incidentes relacionados à privacidade de dados;
XII – MENSURAR A EFETIVIDADE DOS PROCESSOS E CONTROLES INTERNOS: Verificar se as práticas operacionais estão em conformidade com a política de privacidade de dados, medir e relatar a eficiência dos processos e controles internos;
XIII – ACOMPANHAR A EDIÇÃO DE NOVAS REGULAMENTAÇÕES E AS MELHORES PRÁTICAS DE MERCADO: Rastrear novos requisitos de conformidade, expectativas e as melhores práticas de mercado.
Fique atento! Acompanhe periodicamente a publicação de novos capítulos da série no website da CódigoConduta.com.
Para acessar o próximo capítulo, clique aqui.
* Para informações mais detalhadas, acesse www.nymity.com.
por Fernando Henrique Zanoni | 7 jan 2019 | Artigos
Ano novo, novos desafios.
2019 será, definitivamente, o ano do Compliance e dos Programas de Integridade.
Se em 2018 vivenciamos um boom de congressos, seminários, palestras, cursos e livros tratando sobre conformidade e integridade corporativa, chegou a hora de aplicar os conhecimentos adquiridos com as melhores práticas de mercado, sempre de olho nas particularidades de cada organização. Para tanto, deve-se ir muito além dos debates em salas de aula, Conselhos de Administração e reuniões de Diretoria e entender, efetivamente, quais são as implicações concretas do Compliance (e, principalmente, do não-Compliance) nas operações.
Programas de Integridade “para inglês ver” não terão lugar neste novo ambiente de negócios que está sendo institucionalizado nacional e globalmente.
A mudança de panorama, iniciada com a entrada em vigor da Lei Anticorrupção, que prevê a responsabilização objetiva das pessoas jurídicas por atos lesivos praticados em seu benefício, e que já teve um novo capítulo com as mudanças político-estruturais do início do ano, em especial no Ministério da Justiça, alcançará novo patamar com a possível aprovação, pelo renovado Congresso Nacional, de alguns projetos de lei relacionados à transparência e a práticas anticorrupção, como por exemplo, aquele que criminaliza a corrupção privada (entre particulares). Em paralelo, cada vez mais Estados estão sancionando Leis próprias dispondo sobre a obrigatoriedade da implantação de Programa se Integridade para empresas que contratarem com a Administração Pública local.
Isso significa que o Compliance deve estar enraizado em todos os níveis de qualquer organização, pois qualquer deslize de um colaborador ou stakeholder pode dar ensejo a graves impactos de ordem reputacional.
Diante desse novo cenário, visando dar um breve norte para o aperfeiçoamento de estruturas de Compliance, destacamos 5 pontos de atenção para seu Programa de Integridade em 2019:
1. “CONDUCT AT THE TOP“
Nessa nova conjuntura, com a iminente necessidade de se instaurar um Compliance efetivo, deve-se superar a ideia de “tom do topo”. As ações da Alta Direção de qualquer organização ressoam muito mais do que qualquer discurso ou norma escrita. Assim, é fundamental repensar algumas questões, em particular: (i) se e como os líderes estão desencorajando os desvios de conduta; (ii) que ações de remediação foram tomadas para demonstrar o empenho da alta direção para com o Programa de Integridade; e (iii) como é monitorado o comportamento da própria liderança da organização. A construção de uma cultura ética resulta das ações praticadas pelos líderes da organização e das práticas adotadas, por exemplo, em relação a temas como interação com fornecedores e colaboradores, remuneração e comissionamento, comunicação corporativa, promoção e demissão.
2. CANAIS DE REPORTE
Entre os Projetos de Lei que se encontram em trâmite no Congresso Nacional alguns deles incentivam que empregados ou terceiros que tomem conhecimento de desvios de conduta graves denunciem estes mal feitos diretamente às autoridades. Algo semelhante já ocorre nos Estados Unidos há alguns anos, motivo pelo qual não é de se duvidar que um destes projetos torne-se lei já no ano de 2019. Por esse motivo, é fundamental que as organizações aperfeiçoem seus canais de reporte e os respectivos procedimentos para apuração de fraudes e desvios de conduta. Nesse sentido, todos os colaboradores e stakeholders devem saber que caminho seguir para fazer um relato, terem plena confiança de que toda e qualquer situação será devidamente apurada e de que não haverá qualquer tipo de retaliação contra o denunciante de boa fé. A confidencialidade do processo é imprescindível, razão pela qual recomenda-se a adoção de ferramentas que propiciem a preservação do anonimato do denunciante. Ainda, todos devem ter plena ciência que o silêncio traduz concordância, razão pela qual omissões devem ser punidas tanto quanto os desvios de conduta.
3. COMUNICAÇÃO
Estudos comprovam que o contexto imediato (o dia a dia no ambiente de trabalho), o contexto organizacional (a cultura e as práticas da organização) e o contexto institucional (o ambiente de negócio em que a empresa está inserida) podem prejudicar o julgamento ético das pessoas. Por essa razão, manter o discurso ético vivo, em todas as camadas da organização e entre todos os seus profissionais, é fundamental e a melhor forma para tanto é criar um cronograma anual de comunicação, tanto interna quanto externa, enfatizando os principais pilares do Programa de Integridade e das normas de conduta da organização. E, aqui, é necessário entender que a comunicação relacionada a um Programa de Integridade vai das peças de endomarketing e informes na intranet, voltados para o público interno, posts em redes sociais, voltados ao público em geral, até memorandos, ofícios e outros documentos que o apresentem para seus clientes, fornecedores, distribuidores e parceiros de negócio.
4. TREINAMENTO
O treinamento dos colaboradores e fornecedores, seja ele presencial ou online, deve ter a linguagem adaptada aos diferentes públicos. Neste sentido, deve-se pensar “fora da caixa” e adotar sistemáticas inovadoras, que incentivem a interação entre o comunicador e a audiência, de modo a aproximar as mensagens das normas de conduta ao dia a dia das áreas de operação. Trazer à tona desvios de conduta vivenciados anteriormente dentro da organização e as ações de remediação que foram tomadas são conteúdos interessantes a serem incluídos em treinamentos, pois além de demonstrarem a importância do comportamento ético, dão mais credibilidade aos canais de reporte. Por fim, não custa lembrar que a participação pública dos principais líderes da organização nos treinamentos e a utilização de uma comunicação personalizada, em que se evidencie a chancela da alta direção às ações da função Compliance é passo importante na construção de uma cultura ética.
5. MONITORAMENTO
O monitoramento constante do Programa de Integridade e dos controles internos é a ferramenta mais eficaz para se avaliar os aspectos operacionais do Compliance, ou seja, se as políticas e procedimentos são devidamente observados na rotina da organização. Sem o aspecto formal que reveste um processo de auditoria, o monitoramento é uma forma efetiva de mensurar a maturidade do Programa de Integridade. Para tanto, é necessário criar um cronograma de monitoramento que envolva, por exemplo, a análise (i) dos documentos de integridade e dos controles internos (formulários, relatórios, etc.), (ii) da periodicidade e efetividade dos treinamentos; (iii) das transações financeiras mais relevantes, processos de cadastro, aprovação e pagamentos de fornecedores, política de alçadas e reportes contábeis; (iv) dos métodos de interação com clientes e da medição de sua satisfação; (v) de potenciais conflitos de interesse; e (vi) de sistemas de informação, recebimento, tratamento e conservação de dados próprios e de terceiros.
por Fernando Henrique Zanoni | 24 abr 2018 | Artigos
O Sócio-Diretor da CódigoConduta.com, Fernando Henrique Zanoni, escreveu um breve artigo sobre inovação, integridade e sustentabilidade para o BioBlog, mantido pela Novozymes Brasil.
“Inovação, integridade e sustentabilidade andam juntas e são uma janela para o futuro, como bem aponta a Agenda 2030 da Organização das Nações Unidas, especialmente em seus objetivos 9, 12 e 16.”
Leia o artigo completo clicando aqui.
por Fernando Henrique Zanoni | 3 abr 2018 | Artigos
Dialogando com colegas do Comitê de Compliance do Instituto Brasileiro de Governança Trabalhista (IBGTR), o Sócio-Diretor da CódigoConduta.com, Fernando Henrique Zanoni, respondeu às seguintes perguntas:
É possível que o Compliance seja efetivo na “conscientização” e mudança de conduta dos funcionários no que se refere a questões rotineiras do ambiente de trabalho? Que iniciativas específicas são necessárias em um país de cultura latina para coibir esse comportamento?
“Creio ser possível, sim. Como profissional de conformidade e integridade, se não acreditar nisso, como vou vender o meu produto? Obviamente que a pura implementação de ferramentas tais como Código de Conduta, Canais de Ética, Políticas e Procedimentos não são suficientes, muito menos trazem resultados imediatos no que tange à mudança de comportamento dos colaboradores de determinada Companhia. É importante entender que a legislação pátria não fala em Compliance, mas sim em “mecanismos de integridade”, algo muito maior do que tão somente o cumprimento de leis. Para mudar uma cultura é preciso entender o contexto institucional e as pressões do ambiente organizacional de cada instituição para implementar as ferramentas corretas. Talvez a mudança de cultura venha com a aplicação de severas sanções aos colaboradores, talvez venha através do diálogo. Cada caso é um caso. De todo modo, a Comunicação e o Treinamento devem ser regulares para que o Programa seja efetivo e que para que se atinja este resultado (conscientização dos colaboradores).”
Para acessar a íntegra da publicação, clique aqui.
Para saber mais sobre o Instituto Brasileiro de Governança Trabalhista (IBGTR), clique aqui.
por Fernando Henrique Zanoni | 27 mar 2018 | Artigos
Dialogando com colegas do Comitê de Compliance do Instituto Brasileiro de Governança Trabalhista (IBGTR), o Sócio-Diretor da CódigoConduta.com, Fernando Henrique Zanoni, respondeu às seguintes perguntas:
Em modelos de negócios C2C, quais podem ser as atribuições e responsabilidades do compliance trabalhista? Ele é necessário e efetivo para a empresa?
“O Compliance Trabalhista é importante em todas as organizações, independente de seu porte ou estrutura organizacional. Não obstante estas novas empresas prezem por operações rápidas, com baixo custo e, geralmente, descentralizadas, as normas trabalhistas dos países onde atua devem ser respeitadas. Nesse sentido, é importante observar as regras locais quanto a remuneração, condições de terceirização de mão de obra, discriminação e assédio, etc. e, ainda, estabelecer e, principalmente, cumprir políticas de Recursos Humanos. Por mais difusa e enxuta que seja a operação de uma empresa, e por mais informal que seja o ambiente de trabalho, nenhuma empresa está imune à lei, vide recentes escândalos em startups relacionados a este tema (Ex: https://www.bloomberg.com/news/articles/2018-02-12/here-s-what-happens-to-a-startup-after-a-sexual-harassment-scandal). Creio ser fundamental, no mínimo, instituir um manual do colaborador e/ou um Código de Conduta logo nos inícios das operações, monitorar o cumprimento dessas regras e atualiza-las periodicamente, acompanhando o crescimento do negócio.”
Para acessar a íntegra da publicação, clique aqui.
Para saber mais sobre o Instituto Brasileiro de Governança Trabalhista (IBGTR), clique aqui.
Comentários