por Fernando Henrique Zanoni | 18 jan 2019 | Artigos
Nos quatro primeiros capítulos da Série “LGPD na Prática” foi possível identificar quais são as empresas afetadas pela Lei Geral de Proteção de Dados (LGDP), como manter uma estrutura de governança de dados dentro da organização, como preservar um inventário de dados pessoais e mecanismos de transferência e como implementar uma política de privacidade de dados.
Continuando com a proposta de esclarecer como a nova regulamentação influenciará nas rotinas da organização e a melhor forma de se preparar para cumprir com as novas obrigações legais, passo a exemplificar em que rotinas será necessário incorporar a privacidade de dados, sustentando procedimentos operacionais consistentes com as normas internas e externas e aos objetivos de gerenciamento de riscos:
1. Mapear os processos internos e aprimorar os controles de acesso. Conforme visto no capítulo anterior, deve-se revisitar ou implementar políticas e normas de conduta relacionadas à coleta, tratamento e guarda de dados pessoais, contudo a redação de documentos de nada adiantará se os processos e controles internos não respeitarem as regras criadas internamente e as regulamentações tais como a LGPD ou a GPDR. O mapeamento de todos os processos internos permitirá identificar com maior precisão quais são as áreas mais sensíveis da organização e, consequentemente, onde estão os maiores riscos, no que concerne à proteção de dados, seja de clientes, colaboradores, usuários de sistemas de informação ou aplicações, etc, permitindo que sejam aplicadas restrições ou implementadas melhorias nos controles de acesso a determinadas informações, por exemplo.
2. Integrar as normas de coleta, tratamento e guarda de dados às rotinas internas, como por exemplo:
2.1 No uso de cookies e mecanismos de rastreamento. No caso dos websites de organizações que processam dados pessoais ou que possam ser combinados ou selecionados para identificar determinada pessoa, será necessário revisar os termos de consentimento, possibilitando ao usuário de maneira ativa aceitar ou recusar os vários tipos de cookies antes de prévia configuração, informando de maneira clara por que, como e com que finalidade os dados serão utilizados e permitindo que, a qualquer momento, seja possível ter uma visão completa de todos os cookies ativos e que o consentimento possa ser revogado. Também deve restar devidamente identificado quais dados do usuário são compartilhados com terceiros em razão de aplicações que porventura estejam incorporadas ao seu website. Sob o ponto de vista das obrigações legais, as organizações devem registrar todos os consentimentos dos usuários, armazenando-os de forma segura para que possam ser utilizados como eventual prova. Já existem no mercado soluções que integram a política de cookies ao monitoramento da atividade de cookies em websites, gerando inclusive relatórios mensais sobre o processamento de dados.
2.2 Na retenção de dados. Conforme mencionado anteriormente, o inventário de dados permitirá que a organização livre-se de dados obsoletos, imprecisos e que eventualmente tenham sido processados sem o consentimento dos titulares evitando sua exposição às penalidades previstas pela LGPD. No entanto, com relação aos dados que permanecerão sendo processados é interessante que sejam implementados processos de categorização destes dividindo-os em categorias quanto ao tempo de retenção (curta, média ou longa, por exemplo). Importante salientar que o direito à revogação do consentimento de processamento de dados, por parte de qualquer titular, não pode se sobrepor ou contrariar outras legislações que versem sobre a obrigatoriedade de manutenção de determinados registros.
2.3 Nas práticas de marketing e publicidade digital. A LGPD impactará no engajamento e na relação entre as organizações e seus atuais, potenciais e ex-clientes. A fase de prospecção de vendas, em especial os formulários online e offline e as práticas de e-mail marketing deverão ser revisitados para estarem em conformidade com a nova regulamentação. No caso de aquisição das famosas “listas” com dados pessoais, a organização deverá obter junto ao terceiro coletor, de quem eventualmente as adquiriu, as informações de consentimento adequadas. Até mesmo no mundo B2B, ações simples de networking como a troca de cartões de visita e inclusão das respectivas informações em banco de dados das organizações deverá passar por um processo de revisão e readequação às normas. A coleta de dados comportamentais para potencializar a segmentação de anúncios também passará, fatalmente, por uma reformulação e segundo recente reportagem da Harvard Business Review*, a resposta está na publicidade contextual, ou seja, anúncios serão exibidos não com base no perfil de um consumidor, mas no conteúdo que está sendo visualizado em tempo real.
2.4 Na contratação de empregados e manutenção dos seus dados pessoais. Conforme verificado anteriormente, a LGPD não diz respeito somente à garantia de conformidade para com os dados de clientes e usuários de sistemas de informação de determinadas organizações. Uma área que não deve ser menosprezada na aplicação da nova regulamentação é o Departamento de Recursos Humanos, que coleta e processa dados pessoais de colaboradores (efetivos e potenciais) e terceiros, seja para selecionar, contratar, demitir, pagar, fornecer benefícios, inscrever o profissional em cadastros de órgãos públicos, etc. Neste particular, inclusive, o conceito de consentimento para tratamento e retenção dos dados se confunde com obrigações legais da organização para execução do contrato de trabalho e para cumprir com obrigações legais de ordem trabalhista e previdenciária, por exemplo, motivo pelo qual deve-se encontrar o equilíbrio entre os direitos de privacidade dos colaboradores e a promoção de interesses legítimos da organização no papel de empregadora. Ou seja, é fundamental que os empregados não só tenham plena consciência de suas obrigações, como colaboradores de organizações que processam dados, mas também de seus direitos, como titulares de dados que são processados por seus empregadores.
2.5 Na segurança patrimonial, em especial no uso de câmeras de vigilância. Dado pessoal é uma informação relacionada a pessoa natural identificada ou identificável, portanto vai muito além do nome, endereço, número de telefone, data de nascimento, contas bancárias, registros médicos, etc, de modo que imagens também devem ser tratadas com o mesmo cuidado, mormente se considerado o potencial que câmeras de vigilância conectadas à internet têm de ameaçar as liberdades individuais. Por essa razão, para reduzir significativamente as chances de violação, sugere-se que a empresas invistam em softwares e hardwares seguros para sua vigilância e conectividade de vídeo e que transfiram esse tipo de preocupação a eventuais terceiros fornecedores, operadores de sistemas de alarme, por exemplo.
No próximo capítulo, irei discorrer sobre como cumprir um cronograma interno de treinamento e comunicação.
Para acessar o primeiro capítulo da Série, clique aqui.
Para acessar o próximo capítulo, clique aqui.
* “How GDPR Will Transform Digital Marketing“. Disponível em: https://hbr.org/2018/05/how-gdpr-will-transform-digital-marketing. Acesso em 17. jan. 2019.
por Fernando Henrique Zanoni | 17 jan 2019 | Artigos
Nos três primeiros capítulos da Série “LGPD na Prática”, esclareci quais são as empresas afetadas pela Lei Geral de Proteção de Dados (LGDP), como manter uma estrutura de governança de dados dentro da organização e como preservar um inventário de dados pessoais e mecanismos de transferência.
No quarto capítulo, irei discorrer acerca de como implementar uma política de privacidade de dados e, mais precisamente, como integrar este tema ao seu Programa de Integridade, redigindo e executando normas que atendam aos requisitos legais e mitiguem riscos operacionais e de danos aos titulares dos dados. Nesta etapa, alguns passos devem ser seguidos:
1. Elaborar ou atualizar a Política de Privacidade de Dados, utilizando linguagem simples e de fácil compreensão, evitando linguagem técnica ou jurídica, considerando seus públicos-alvo, quais sejam, os titulares dos dados e os colaboradores da organização. Em resumo, a Política deve especificar: (i) quais são os dados pessoais coletados pela organização, e quais as suas finalidades; (ii) se são processados dados sensíveis; (iii) como as informações são utilizadas; (iv) qual o sistema de segurança para proteção dos dados; (v) quanto tempo os dados são mantidos em seu banco; (vi) se as informações fornecidas à organização são compartilhadas ou não com terceiros e, em caso positivo, quem seriam essas outras partes; (vii) quem é o Data Protection Officer (DPO), no caso daquelas organizações obrigadas a manter esta função; quem tem acesso e quais processos utilizam-se de tais informações; (viii) de que forma é coletado o consentimento do titular; (ix) como o titular pode ter acesso aos seus dados pessoais para atualiza-los ou corrigi-los; (x) qual o processo para remoção dos dados de sua base ou para promover sua portabilidade; (xi) se os websites e aplicações da organização utilizam cookies; e (xii) se é processada a transferência internacional de dados. No caso de organizações que já possuem uma Política de Privacidade de Dados esta poderá somente ser atualizada, pois muitos aspectos mencionados já são tratados no texto atual, contudo, é uma boa oportunidade para reescrevê-la completamente de modo a melhorar sua comunicabilidade.
2. Redigir ou revisar o Código de Conduta, a Política de Segurança da Informação e outras normas internas, de modo a criar uma maior conscientização entre os colaboradores acerca de questões relacionadas ao processamento e tratamento de dados e alinhar todas as normas com o mesmo discurso e as novas obrigações legais. Avaliar, ainda, a necessidade de criar normas mais específicas diretamente ligadas às novas regulamentações, tais como uma Política de Retenção de Dados.
3. Manter um cronograma de revisão periódica dos principais documentos de integridade. Como o tema da governança de dados ainda é novo, a entrada em vigor da LGPD e a prática diária, especialmente na interação entre as partes envolvidas fatalmente trará a tona a necessidade de atualização das principais normas internas da organização. Nesse sentido, sugere-se que um cronograma de revisão periódica dos principais documentos (Código de Conduta, Políticas e Procedimentos) seja adotado, envolvendo não só o Encarregado de Proteção de Dados, mas também o responsável pela função compliance.
No próximo capítulo, irei discorrer sobre como incorporar uma política de privacidade de dados às suas operações.
Para acessar o primeiro capítulo da Série, clique aqui.
Para acessar o próximo capítulo, clique aqui.
por Fernando Henrique Zanoni | 15 jan 2019 | Artigos
Após verificar quais são as empresas afetadas pela Lei Geral de Proteção de Dados (LGDP) e como manter uma estrutura de governança de dados dentro da organização, temas que foram trabalhados nos dos dois primeiros capítulos dessa série, passo a abordar como preservar um inventário de dados pessoais e mecanismos de transferência de dados.
Neste particular, sugere-se que as seguintes etapas sejam observadas:
1. Manter um inventário de dados pessoais e das atividades de processamento. Primeiramente, é necessário saber onde estão os dados pessoais. Para tanto, realiza-se uma auditoria (discovery), na qual é identificado como são coletados e onde são armazenados os dados (se em bancos estruturados ou não-estruturados), para onde estão sendo enviados, quanto tempo são retidos e em que formatos, quem tem acesso e está os utilizando, quem é o responsável e qual a sua relevância. Esta, certamente, será a etapa mais trabalhosa e demorada de todo o processo de adequação da organização à LGPD, pois devem ser considerados não só os servidores locais e de terceiros, mas também as nuvens públicas e privadas, mídias sociais e sites de compartilhamento, além de soluções híbridas que agregam todas as anteriores. Após este estágio, é provável que a organização verifique que detém dados pessoais irrelevantes, obsoletos ou redundantes, momento em que, sugere-se, sejam estes removidos de sua base, de modo a reduzir custos com o armazenamento, melhorar a indexação, dar mais rapidez ao acesso e ao tempo de recuperação na eventualidade de algum infortúnio e, sobretudo, diminuir os riscos.
2. Classificar os dados pessoais por tipo, de acordo com o seu conteúdo, preferencialmente utilizando, num primeiro momento, a categorização proposta pela própria LGPD (dado pessoal, dado pessoal sensível, e dado anonimizado). Isso ajudará a empresa a criar as políticas de armazenamento, garantir que os dados só sejam efetivamente acessados e compartilhados por pessoas com as devidas permissões e propor soluções de proteção, como criptografia e data loss prevention (DLP), e contra vazamento, dando mais controle sobre as informações que circulam no ambiente da organização e fora dele. Quando possível, a classificação de dados será inserida em metadados de arquivos, permitindo que essa informação trafegue com eles, informando automaticamente a aplicativos de terceiros e usuários como os dados devem ser manipulados.
3. Reter registros dos mecanismos de transferência de dados entre servidores localizados em diferentes países, nos casos de empresas que operam globalmente, distribuem seu armazenamento em nuvem ou utilizam-se de tecnologias como a blockchain, por exemplo, respeitando as previsões legais do Capítulo V da LGPD, em especial seu artigo 33. Nesse sentido, a título de salvaguarda, recomenda-se sejam revistos : (i) os contratos firmados entre organizações controladoras e processadoras de dados de modo que as obrigações de ambas estejam em consonância com as normas internacionais, ou seja, que sejam dadas garantias de que o tratamento dos dados e o nível de proteção respeitarão o disposto na LGPD e em outras leis aplicáveis; (ii) no caso de multinacionais, as regras corporativas globais gerais, tais como código de conduta e outras políticas, e específicas, que regulamentem a transferência e processamento de dados pessoais entre empresas do mesmo grupo econômico; (iii) os termos de consentimento firmados pelos titulares dos dados. Recomenda-se que empresas que trabalhem com um volume muito grande de dados e processos complexos de tratamento e, principalmente, transferência, busquem certificações ou selos de modo a demonstrar seu compromisso para com as principais normas internacionais.
No próximo capítulo, irei discorrer sobre como implementar uma política de privacidade de dados.
Para acessar o primeiro capítulo da Série, clique aqui.
Para acessar o próximo capítulo, clique aqui.
por Fernando Henrique Zanoni | 11 jan 2019 | Artigos
No primeiro Capítulo da Série “LGPD na Prática” ficou claro que a grande maioria das empresas será afetada, direta ou indiretamente, pela nova regulamentação brasileira em virtude dos novos direitos dos usuários titulares de dados, o que fez surgir, por conseguinte, inúmeras obrigações legais a serem respeitadas por essas organizações dentro do prazo estabelecido, ou seja, até 15 de agosto de 2020.
À primeira vista, o prazo legal para adequação à norma pode até parecer elastecido, contudo uma análise mais apurada não só dos encargos legais, mas, principalmente, da realidade das organizações, mostra a necessidade de se iniciar imediatamente um projeto estruturado para harmonização de suas operações às novas regras.
Por tais motivos, destaquei primeiramente a necessidade das empresas de manter uma estrutura de governança de dados, ou seja, certificar de que existem na organização pessoas responsáveis pela privacidade e gestão dos dados e procedimentos para reporte de incidentes.
Para tanto, sugere-se sejam seguidos os seguintes passos:
1. Nomear um Encarregado de Proteção de Dados (DPO – Data Protection Officer), responsável por supervisionar a estratégia e a implementação da proteção de dados para garantir a conformidade com os requisitos não só da LGPD, mas de outras normas internacionais as quais a empresa eventualmente esteja submetida, recebendo, processando e solucionando as reclamações e comunicações dos titulares de dados e da autoridade nacional e orientando colaboradores e terceiros a respeito das melhores práticas no que tange ao tratamento e processamento de dados pessoais. Ou seja, sua função será a de educar sobre os requisitos de conformidade, treinar todos os envolvidos, realizar auditorias regulares de segurança, manter registros abrangentes de todas as atividades e atuar como interface entre a organização, os titulares dos dados e a Agência Nacional de Proteção de Dados (ANPD). A norma não inclui uma lista de credenciais para o DPO, mas recomenda-se fortemente que seja um profissional, ou uma empresa, que tenha conhecimento especializado de leis e práticas de proteção de dados, que esteja alinhado com as operações , a infraestrutura e os sistemas de tecnologia da informação da organização e, principalmente, que conheça os riscos envolvidos neste particular, considerando as especificidades do negócio e da empresa. Idealmente, o DPO deve ter habilidades de gerenciamento e capacidade de interagir com a equipe interna, terceiros, titulares de dados e órgãos oficiais. É necessário que as informações do DPO sejam públicas e fornecidas a todas as agências de supervisão regulatória.
2. Envolver a Alta Administração e a Gerência Sênior da organização, pois assim como em um Programa de Integridade, a adequação à LGPD exige buy-in do corpo diretivo e dos principais líderes, de modo que todos devem compreender os riscos cibernéticos a que qualquer empresa está exposta, além de estarem alinhados às estratégias e objetivos das normas internas relacionadas ao processamento e tratamento de dados . Nesse sentido, recursos suficientes devem ser alocados para desenvolver, implementar, manter e melhorar os respectivos controles internos e sistemas de segurança da informação. A apresentação de reportes periódicos às partes interessadas sobre o status do processo de adequação a LGPD, neste particular, é fundamental. Nesse sentido, sugere-se que o tema seja debatido de forma recorrente em fóruns da alta direção, tais como reuniões do Conselho de Administração ou Diretoria para que se garanta que o órgãos máximos de gestão mantenham supervisão suficiente com linhas de subordinação e prestação de contas clara, a fim de demonstrar conformidade com as normas.
3. Atribuir responsabilidades pela privacidade dos dados em toda a organização. A nomeação de um Encarregado de Dados não o transforma no único responsável pelo tema dentro de uma corporação. É importante entender que existem departamentos que colhem e tratam dados pessoais periodicamente, tais como recursos humanos e marketing, para citar dois dos principais. Deste modo, os gestores dessas áreas devem estar amplamente envolvidos com o cumprimento da política de privacidade de dados e das obrigações legais advindas da LGPD. Recomenda-se, neste particular, que no próprio job description de profissionais dessas e de outras áreas que tenham contato direto com dados pessoais sejam incluídas obrigações relacionadas à observância das normas internas e externas.
4. Implementar processos de comunicação regular entre todos os envolvidos, pois uma das mudanças mais importantes que a LGPD trouxe é a obrigação das organizações de relatar em tempo razoável toda violação de dados. Procedimentos bem definidos de interação entre o Encarregado de Dados e os colaboradores, terceiros que eventualmente prestem serviços de processamento ou tratamento de dados, titulares e autoridades regulatórias devem ser sistematizados em um plano de comunicação de crise, tendo em vista o exíguo tempo para apuração e remediação de tais situações e, principalmente, os riscos reputacionais de vazamento da informação dessa , o que acarreta na imperiosa necessidade de preparar declarações reativas para tratar o assunto, em especial no caso de marcas e empresas conhecidas.
5. Realizar periódicas avaliações de riscos, de modo a criar uma conscientização quanto às possíveis consequências de uma violação e a importância de aprimorar os controles e sistemas de segurança cibernética, políticas e procedimentos de governança de dados. É importante verificar se as medidas técnicas e organizacionais adotadas pela empresa e por terceiros que eventualmente processem ou tratem dados para esta, são suficientes para proteger a confidencialidade, integridade e disponibilidade dos dados. Por isso, testes de penetração regulares de sistemas de TI e de restauração do acesso a dados pessoais no caso de violações, além da revisões das melhores práticas e de novas tecnologias para mitigar o impacto de potenciais problemas, são interessantes ferramentas de auxílio ao aperfeiçoamento das estruturas de salvaguarda. E, se num primeiro momento, as organizações possam vir a assumir que os únicos riscos que enfrentam são de invasões ou roubo de dados, é importante ressaltar a responsabilização das empresas no caso de destruição, perda ou divulgação acidental ou ilegal dos dados o que vai muito além de simples ataques de hackers.
No próximo capítulo, irei analisar a importância de se preservar um inventário de dados pessoais e definir os mecanismos de transferência de dados.
Para acessar o primeiro capítulo da Série, clique aqui.
Para acessar o próximo capítulo, clique aqui.
por Fernando Henrique Zanoni | 9 jan 2019 | Artigos
Como já é notório, recentes escândalos de vazamentos de dados deram vazão a uma onda global de edição de normas, dentre elas a tão famigerada General Data Protection Regulation (GDPR), aplicável a todos os cidadãos europeus.
Referidas regulamentações, sem sombra de dúvidas, contribuem para melhorar os mecanismos de segurança e processamento de dados com o objetivo de impedir que terceiros não autorizados tenham acesso a informações pessoais sem o consentimento do usuário. E isso acaba por afetar as empresas de modo positivo, haja vista que faz com que estas, obrigatoriamente, implementem uma cultura de respeito pela privacidade dos dados pessoais de seus usuários, clientes e colaboradores.
O fenômeno chegou ao Brasil com a promulgação da Lei nº 13.709, de 14 de agosto de 2018, norma brasileira que dispõe sobre o uso, proteção, coleta e tratamento de dados pessoais, a qual foi alterada no final do ano passado com a edição da Medida Provisória nº 869, de 28 de dezembro, que ampliou o prazo legal para o dia 16 de agosto de 2020 para para que as empresas se ajustem às novas obrigações.
Não pretendo neste breve artigo avaliar a norma sob o ponto de vista jurídico, mas sim esclarecer desde logo dois pontos que saltam aos olhos já num primeiro momento:
1. Que empresas são afetadas com a edição dessa nova regulamentação? e
2. Quais são os direitos dos usuários?
Para responder a primeira pergunta, é necessário compreender que a norma: (i) define como dado pessoal qualquer informação que identifique diretamente ou torne identificável uma pessoa natural; e (ii) designa como tratamento qualquer operação de coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração deste dado.
Ou seja, se sua empresa de alguma forma trata dados pessoais de titulares localizados em território nacional, diretamente ou através de terceiros, com o objetivo de obter vantagem econômica, a lei lhe é aplicável. Por consequência, todas as operações de tratamento de dados deverão ser devidamente registradas em um Relatório de Impacto à Proteção de Dados Pessoais e um monitor e disseminador das boas práticas, pessoa física ou jurídica, denominado Encarregado de Proteção de Dados (DPO – Data Protection Officer) deverá ser nomeado para ser a interface da sua organização com a Agência Nacional de Proteção de Dados (ANPD), em especial naquelas empresas que tratem dados pessoais sensíveis, assim considerados aqueles relacionados à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico. E não pára por aí: a empresa deverá adotar medidas de segurança efetivas para evitar que os dados pessoais sejam acessados indevidamente, destruídos, perdidos ou alterados e todo e qualquer incidente deverá ser reportado de forma clara à ANPD e aos próprios usuários em prazo razoável (seja lá o que isso signifique).
Quanto ao segundo questionamento, os usuários, por sua vez, têm direito de: (a) acesso aos dados pessoais que porventura sejam tratados e, consequentemente, garantia da retificação e atualização destes; (b) tratamento de suas informações pessoais somente mediante expresso consentimento, sendo realizada de maneira fácil e gratuita a exclusão dos dados do respectivo banco; e (c) portabilidade, permitindo que referidos dados possam ser encaminhados a outras empresas que também performem o seu tratamento.
Com base nas duas respostas acima, tem-se plena certeza de que a nova norma impactará as operações de inúmeras empresas, nacionais e multinacionais, o que leva ao terceiro e mais importante questionamento, cuja resposta é o objeto da presente série de pequenos artigos:
3. O que as empresas devem fazer para se adequar à Lei Geral de Proteção de Dados (LGPD) dentro do prazo legal?
Para responder a este terceiro questionamento, elenco a seguir 13 situações a serem observadas por qualquer organização que esteja submetida à Lei Geral de Proteção de Dados, com base no Framework Nymity*, as quais serão analisadas individualmente nos próximos capítulos desta série:
I – MANTER UMA ESTRUTURA DE GOVERNANÇA DE DADOS: Certificar de que existem na organização pessoas responsáveis pela privacidade e gestão dos dados e procedimentos para reporte de incidentes;
II – PRESERVAR UM INVENTÁRIO DE DADOS PESSOAIS E MECANISMOS DE TRANSFERÊNCIA DE DADOS: Atestar a existência e manutenção de um inventário da localização do armazenamento de dados pessoais ou fluxo de dados, com suas classes devidamente definidas;
III – IMPLEMENTAR UMA POLÍTICA DE PRIVACIDADE DE DADOS: Redigir e executar normas relacionadas à privacidade de dados que atenda aos requisitos legais e mitigue riscos operacionais e de danos a indivíduos;
IV – INCORPORAR A PRIVACIDADE DE DADOS À SUAS OPERAÇÕES: Sustentar procedimentos operacionais consistentes com as normas internas e externas relacionadas à privacidade de dados e aos objetivos de gerenciamento de riscos;
V – CUMPRIR UM CRONOGRAMA INTERNO DE TREINAMENTO E COMUNICAÇÃO: Fornecer treinamento e comunicação contínuos para promover a conformidade com as normas internas e externas relacionadas à privacidade de dados e a mitigação de riscos operacionais;
VI – GERENCIAR OS RISCOS RELACIONADOS À SEGURANÇA DA INFORMAÇÃO: Manter um Sistema de Segurança da Informação baseado nos requisitos legais e nos riscos a que a organização está submetida;
VII – ADMINISTRAR RISCOS DE TERCEIROS: Atestar que as contratações com terceiros e parceiros de negócio estão de acordo com as normas internas e externas de privacidade de dados e dentro dos limites de tolerância ao risco estabelecidos previamente;
VIII – PROVER AVISOS LEGAIS: Preparar avisos para usuários em consonância com a política de privacidade de dados, os requisitos legais e análise prévia de riscos;
IX – RESPONDER TEMPESTIVAMENTE ÀS SOLICITAÇÕES E RECLAMAÇÕES DE USUÁRIOS: Estabelecer procedimentos eficazes para interagir com os indivíduos acerca de seus dados pessoais;
X – MONITORAR NOVAS PRÁTICAS OPERACIONAIS: Observar novas práticas organizacionais para identificar eventuais novos processos ou mudanças nos processos existentes que estejam relacionados ao tratamento de dados, e garantir a implementação dos princípios de Privacidade por Design (Privacy by Design);
XI – CONDUZIR DE FORMA ESTRUTURADA A APURAÇÃO E CORREÇÃO DE VIOLAÇÕES DE PRIVACIDADE: Manter um efetivo sistema de averiguação e reparação de transgressões às normas e controles e incidentes relacionados à privacidade de dados;
XII – MENSURAR A EFETIVIDADE DOS PROCESSOS E CONTROLES INTERNOS: Verificar se as práticas operacionais estão em conformidade com a política de privacidade de dados, medir e relatar a eficiência dos processos e controles internos;
XIII – ACOMPANHAR A EDIÇÃO DE NOVAS REGULAMENTAÇÕES E AS MELHORES PRÁTICAS DE MERCADO: Rastrear novos requisitos de conformidade, expectativas e as melhores práticas de mercado.
Fique atento! Acompanhe periodicamente a publicação de novos capítulos da série no website da CódigoConduta.com.
Para acessar o próximo capítulo, clique aqui.
* Para informações mais detalhadas, acesse www.nymity.com.
por Fernando Henrique Zanoni | 7 jan 2019 | Artigos
Ano novo, novos desafios.
2019 será, definitivamente, o ano do Compliance e dos Programas de Integridade.
Se em 2018 vivenciamos um boom de congressos, seminários, palestras, cursos e livros tratando sobre conformidade e integridade corporativa, chegou a hora de aplicar os conhecimentos adquiridos com as melhores práticas de mercado, sempre de olho nas particularidades de cada organização. Para tanto, deve-se ir muito além dos debates em salas de aula, Conselhos de Administração e reuniões de Diretoria e entender, efetivamente, quais são as implicações concretas do Compliance (e, principalmente, do não-Compliance) nas operações.
Programas de Integridade “para inglês ver” não terão lugar neste novo ambiente de negócios que está sendo institucionalizado nacional e globalmente.
A mudança de panorama, iniciada com a entrada em vigor da Lei Anticorrupção, que prevê a responsabilização objetiva das pessoas jurídicas por atos lesivos praticados em seu benefício, e que já teve um novo capítulo com as mudanças político-estruturais do início do ano, em especial no Ministério da Justiça, alcançará novo patamar com a possível aprovação, pelo renovado Congresso Nacional, de alguns projetos de lei relacionados à transparência e a práticas anticorrupção, como por exemplo, aquele que criminaliza a corrupção privada (entre particulares). Em paralelo, cada vez mais Estados estão sancionando Leis próprias dispondo sobre a obrigatoriedade da implantação de Programa se Integridade para empresas que contratarem com a Administração Pública local.
Isso significa que o Compliance deve estar enraizado em todos os níveis de qualquer organização, pois qualquer deslize de um colaborador ou stakeholder pode dar ensejo a graves impactos de ordem reputacional.
Diante desse novo cenário, visando dar um breve norte para o aperfeiçoamento de estruturas de Compliance, destacamos 5 pontos de atenção para seu Programa de Integridade em 2019:
1. “CONDUCT AT THE TOP“
Nessa nova conjuntura, com a iminente necessidade de se instaurar um Compliance efetivo, deve-se superar a ideia de “tom do topo”. As ações da Alta Direção de qualquer organização ressoam muito mais do que qualquer discurso ou norma escrita. Assim, é fundamental repensar algumas questões, em particular: (i) se e como os líderes estão desencorajando os desvios de conduta; (ii) que ações de remediação foram tomadas para demonstrar o empenho da alta direção para com o Programa de Integridade; e (iii) como é monitorado o comportamento da própria liderança da organização. A construção de uma cultura ética resulta das ações praticadas pelos líderes da organização e das práticas adotadas, por exemplo, em relação a temas como interação com fornecedores e colaboradores, remuneração e comissionamento, comunicação corporativa, promoção e demissão.
2. CANAIS DE REPORTE
Entre os Projetos de Lei que se encontram em trâmite no Congresso Nacional alguns deles incentivam que empregados ou terceiros que tomem conhecimento de desvios de conduta graves denunciem estes mal feitos diretamente às autoridades. Algo semelhante já ocorre nos Estados Unidos há alguns anos, motivo pelo qual não é de se duvidar que um destes projetos torne-se lei já no ano de 2019. Por esse motivo, é fundamental que as organizações aperfeiçoem seus canais de reporte e os respectivos procedimentos para apuração de fraudes e desvios de conduta. Nesse sentido, todos os colaboradores e stakeholders devem saber que caminho seguir para fazer um relato, terem plena confiança de que toda e qualquer situação será devidamente apurada e de que não haverá qualquer tipo de retaliação contra o denunciante de boa fé. A confidencialidade do processo é imprescindível, razão pela qual recomenda-se a adoção de ferramentas que propiciem a preservação do anonimato do denunciante. Ainda, todos devem ter plena ciência que o silêncio traduz concordância, razão pela qual omissões devem ser punidas tanto quanto os desvios de conduta.
3. COMUNICAÇÃO
Estudos comprovam que o contexto imediato (o dia a dia no ambiente de trabalho), o contexto organizacional (a cultura e as práticas da organização) e o contexto institucional (o ambiente de negócio em que a empresa está inserida) podem prejudicar o julgamento ético das pessoas. Por essa razão, manter o discurso ético vivo, em todas as camadas da organização e entre todos os seus profissionais, é fundamental e a melhor forma para tanto é criar um cronograma anual de comunicação, tanto interna quanto externa, enfatizando os principais pilares do Programa de Integridade e das normas de conduta da organização. E, aqui, é necessário entender que a comunicação relacionada a um Programa de Integridade vai das peças de endomarketing e informes na intranet, voltados para o público interno, posts em redes sociais, voltados ao público em geral, até memorandos, ofícios e outros documentos que o apresentem para seus clientes, fornecedores, distribuidores e parceiros de negócio.
4. TREINAMENTO
O treinamento dos colaboradores e fornecedores, seja ele presencial ou online, deve ter a linguagem adaptada aos diferentes públicos. Neste sentido, deve-se pensar “fora da caixa” e adotar sistemáticas inovadoras, que incentivem a interação entre o comunicador e a audiência, de modo a aproximar as mensagens das normas de conduta ao dia a dia das áreas de operação. Trazer à tona desvios de conduta vivenciados anteriormente dentro da organização e as ações de remediação que foram tomadas são conteúdos interessantes a serem incluídos em treinamentos, pois além de demonstrarem a importância do comportamento ético, dão mais credibilidade aos canais de reporte. Por fim, não custa lembrar que a participação pública dos principais líderes da organização nos treinamentos e a utilização de uma comunicação personalizada, em que se evidencie a chancela da alta direção às ações da função Compliance é passo importante na construção de uma cultura ética.
5. MONITORAMENTO
O monitoramento constante do Programa de Integridade e dos controles internos é a ferramenta mais eficaz para se avaliar os aspectos operacionais do Compliance, ou seja, se as políticas e procedimentos são devidamente observados na rotina da organização. Sem o aspecto formal que reveste um processo de auditoria, o monitoramento é uma forma efetiva de mensurar a maturidade do Programa de Integridade. Para tanto, é necessário criar um cronograma de monitoramento que envolva, por exemplo, a análise (i) dos documentos de integridade e dos controles internos (formulários, relatórios, etc.), (ii) da periodicidade e efetividade dos treinamentos; (iii) das transações financeiras mais relevantes, processos de cadastro, aprovação e pagamentos de fornecedores, política de alçadas e reportes contábeis; (iv) dos métodos de interação com clientes e da medição de sua satisfação; (v) de potenciais conflitos de interesse; e (vi) de sistemas de informação, recebimento, tratamento e conservação de dados próprios e de terceiros.
Comentários