por Fernando Henrique Zanoni | 11 jan 2019 | Artigos
No primeiro Capítulo da Série “LGPD na Prática” ficou claro que a grande maioria das empresas será afetada, direta ou indiretamente, pela nova regulamentação brasileira em virtude dos novos direitos dos usuários titulares de dados, o que fez surgir, por conseguinte, inúmeras obrigações legais a serem respeitadas por essas organizações dentro do prazo estabelecido, ou seja, até 15 de agosto de 2020.
À primeira vista, o prazo legal para adequação à norma pode até parecer elastecido, contudo uma análise mais apurada não só dos encargos legais, mas, principalmente, da realidade das organizações, mostra a necessidade de se iniciar imediatamente um projeto estruturado para harmonização de suas operações às novas regras.
Por tais motivos, destaquei primeiramente a necessidade das empresas de manter uma estrutura de governança de dados, ou seja, certificar de que existem na organização pessoas responsáveis pela privacidade e gestão dos dados e procedimentos para reporte de incidentes.
Para tanto, sugere-se sejam seguidos os seguintes passos:
1. Nomear um Encarregado de Proteção de Dados (DPO – Data Protection Officer), responsável por supervisionar a estratégia e a implementação da proteção de dados para garantir a conformidade com os requisitos não só da LGPD, mas de outras normas internacionais as quais a empresa eventualmente esteja submetida, recebendo, processando e solucionando as reclamações e comunicações dos titulares de dados e da autoridade nacional e orientando colaboradores e terceiros a respeito das melhores práticas no que tange ao tratamento e processamento de dados pessoais. Ou seja, sua função será a de educar sobre os requisitos de conformidade, treinar todos os envolvidos, realizar auditorias regulares de segurança, manter registros abrangentes de todas as atividades e atuar como interface entre a organização, os titulares dos dados e a Agência Nacional de Proteção de Dados (ANPD). A norma não inclui uma lista de credenciais para o DPO, mas recomenda-se fortemente que seja um profissional, ou uma empresa, que tenha conhecimento especializado de leis e práticas de proteção de dados, que esteja alinhado com as operações , a infraestrutura e os sistemas de tecnologia da informação da organização e, principalmente, que conheça os riscos envolvidos neste particular, considerando as especificidades do negócio e da empresa. Idealmente, o DPO deve ter habilidades de gerenciamento e capacidade de interagir com a equipe interna, terceiros, titulares de dados e órgãos oficiais. É necessário que as informações do DPO sejam públicas e fornecidas a todas as agências de supervisão regulatória.
2. Envolver a Alta Administração e a Gerência Sênior da organização, pois assim como em um Programa de Integridade, a adequação à LGPD exige buy-in do corpo diretivo e dos principais líderes, de modo que todos devem compreender os riscos cibernéticos a que qualquer empresa está exposta, além de estarem alinhados às estratégias e objetivos das normas internas relacionadas ao processamento e tratamento de dados . Nesse sentido, recursos suficientes devem ser alocados para desenvolver, implementar, manter e melhorar os respectivos controles internos e sistemas de segurança da informação. A apresentação de reportes periódicos às partes interessadas sobre o status do processo de adequação a LGPD, neste particular, é fundamental. Nesse sentido, sugere-se que o tema seja debatido de forma recorrente em fóruns da alta direção, tais como reuniões do Conselho de Administração ou Diretoria para que se garanta que o órgãos máximos de gestão mantenham supervisão suficiente com linhas de subordinação e prestação de contas clara, a fim de demonstrar conformidade com as normas.
3. Atribuir responsabilidades pela privacidade dos dados em toda a organização. A nomeação de um Encarregado de Dados não o transforma no único responsável pelo tema dentro de uma corporação. É importante entender que existem departamentos que colhem e tratam dados pessoais periodicamente, tais como recursos humanos e marketing, para citar dois dos principais. Deste modo, os gestores dessas áreas devem estar amplamente envolvidos com o cumprimento da política de privacidade de dados e das obrigações legais advindas da LGPD. Recomenda-se, neste particular, que no próprio job description de profissionais dessas e de outras áreas que tenham contato direto com dados pessoais sejam incluídas obrigações relacionadas à observância das normas internas e externas.
4. Implementar processos de comunicação regular entre todos os envolvidos, pois uma das mudanças mais importantes que a LGPD trouxe é a obrigação das organizações de relatar em tempo razoável toda violação de dados. Procedimentos bem definidos de interação entre o Encarregado de Dados e os colaboradores, terceiros que eventualmente prestem serviços de processamento ou tratamento de dados, titulares e autoridades regulatórias devem ser sistematizados em um plano de comunicação de crise, tendo em vista o exíguo tempo para apuração e remediação de tais situações e, principalmente, os riscos reputacionais de vazamento da informação dessa , o que acarreta na imperiosa necessidade de preparar declarações reativas para tratar o assunto, em especial no caso de marcas e empresas conhecidas.
5. Realizar periódicas avaliações de riscos, de modo a criar uma conscientização quanto às possíveis consequências de uma violação e a importância de aprimorar os controles e sistemas de segurança cibernética, políticas e procedimentos de governança de dados. É importante verificar se as medidas técnicas e organizacionais adotadas pela empresa e por terceiros que eventualmente processem ou tratem dados para esta, são suficientes para proteger a confidencialidade, integridade e disponibilidade dos dados. Por isso, testes de penetração regulares de sistemas de TI e de restauração do acesso a dados pessoais no caso de violações, além da revisões das melhores práticas e de novas tecnologias para mitigar o impacto de potenciais problemas, são interessantes ferramentas de auxílio ao aperfeiçoamento das estruturas de salvaguarda. E, se num primeiro momento, as organizações possam vir a assumir que os únicos riscos que enfrentam são de invasões ou roubo de dados, é importante ressaltar a responsabilização das empresas no caso de destruição, perda ou divulgação acidental ou ilegal dos dados o que vai muito além de simples ataques de hackers.
No próximo capítulo, irei analisar a importância de se preservar um inventário de dados pessoais e definir os mecanismos de transferência de dados.
Para acessar o primeiro capítulo da Série, clique aqui.
Para acessar o próximo capítulo, clique aqui.
por Fernando Henrique Zanoni | 9 jan 2019 | Artigos
Como já é notório, recentes escândalos de vazamentos de dados deram vazão a uma onda global de edição de normas, dentre elas a tão famigerada General Data Protection Regulation (GDPR), aplicável a todos os cidadãos europeus.
Referidas regulamentações, sem sombra de dúvidas, contribuem para melhorar os mecanismos de segurança e processamento de dados com o objetivo de impedir que terceiros não autorizados tenham acesso a informações pessoais sem o consentimento do usuário. E isso acaba por afetar as empresas de modo positivo, haja vista que faz com que estas, obrigatoriamente, implementem uma cultura de respeito pela privacidade dos dados pessoais de seus usuários, clientes e colaboradores.
O fenômeno chegou ao Brasil com a promulgação da Lei nº 13.709, de 14 de agosto de 2018, norma brasileira que dispõe sobre o uso, proteção, coleta e tratamento de dados pessoais, a qual foi alterada no final do ano passado com a edição da Medida Provisória nº 869, de 28 de dezembro, que ampliou o prazo legal para o dia 16 de agosto de 2020 para para que as empresas se ajustem às novas obrigações.
Não pretendo neste breve artigo avaliar a norma sob o ponto de vista jurídico, mas sim esclarecer desde logo dois pontos que saltam aos olhos já num primeiro momento:
1. Que empresas são afetadas com a edição dessa nova regulamentação? e
2. Quais são os direitos dos usuários?
Para responder a primeira pergunta, é necessário compreender que a norma: (i) define como dado pessoal qualquer informação que identifique diretamente ou torne identificável uma pessoa natural; e (ii) designa como tratamento qualquer operação de coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração deste dado.
Ou seja, se sua empresa de alguma forma trata dados pessoais de titulares localizados em território nacional, diretamente ou através de terceiros, com o objetivo de obter vantagem econômica, a lei lhe é aplicável. Por consequência, todas as operações de tratamento de dados deverão ser devidamente registradas em um Relatório de Impacto à Proteção de Dados Pessoais e um monitor e disseminador das boas práticas, pessoa física ou jurídica, denominado Encarregado de Proteção de Dados (DPO – Data Protection Officer) deverá ser nomeado para ser a interface da sua organização com a Agência Nacional de Proteção de Dados (ANPD), em especial naquelas empresas que tratem dados pessoais sensíveis, assim considerados aqueles relacionados à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico. E não pára por aí: a empresa deverá adotar medidas de segurança efetivas para evitar que os dados pessoais sejam acessados indevidamente, destruídos, perdidos ou alterados e todo e qualquer incidente deverá ser reportado de forma clara à ANPD e aos próprios usuários em prazo razoável (seja lá o que isso signifique).
Quanto ao segundo questionamento, os usuários, por sua vez, têm direito de: (a) acesso aos dados pessoais que porventura sejam tratados e, consequentemente, garantia da retificação e atualização destes; (b) tratamento de suas informações pessoais somente mediante expresso consentimento, sendo realizada de maneira fácil e gratuita a exclusão dos dados do respectivo banco; e (c) portabilidade, permitindo que referidos dados possam ser encaminhados a outras empresas que também performem o seu tratamento.
Com base nas duas respostas acima, tem-se plena certeza de que a nova norma impactará as operações de inúmeras empresas, nacionais e multinacionais, o que leva ao terceiro e mais importante questionamento, cuja resposta é o objeto da presente série de pequenos artigos:
3. O que as empresas devem fazer para se adequar à Lei Geral de Proteção de Dados (LGPD) dentro do prazo legal?
Para responder a este terceiro questionamento, elenco a seguir 13 situações a serem observadas por qualquer organização que esteja submetida à Lei Geral de Proteção de Dados, com base no Framework Nymity*, as quais serão analisadas individualmente nos próximos capítulos desta série:
I – MANTER UMA ESTRUTURA DE GOVERNANÇA DE DADOS: Certificar de que existem na organização pessoas responsáveis pela privacidade e gestão dos dados e procedimentos para reporte de incidentes;
II – PRESERVAR UM INVENTÁRIO DE DADOS PESSOAIS E MECANISMOS DE TRANSFERÊNCIA DE DADOS: Atestar a existência e manutenção de um inventário da localização do armazenamento de dados pessoais ou fluxo de dados, com suas classes devidamente definidas;
III – IMPLEMENTAR UMA POLÍTICA DE PRIVACIDADE DE DADOS: Redigir e executar normas relacionadas à privacidade de dados que atenda aos requisitos legais e mitigue riscos operacionais e de danos a indivíduos;
IV – INCORPORAR A PRIVACIDADE DE DADOS À SUAS OPERAÇÕES: Sustentar procedimentos operacionais consistentes com as normas internas e externas relacionadas à privacidade de dados e aos objetivos de gerenciamento de riscos;
V – CUMPRIR UM CRONOGRAMA INTERNO DE TREINAMENTO E COMUNICAÇÃO: Fornecer treinamento e comunicação contínuos para promover a conformidade com as normas internas e externas relacionadas à privacidade de dados e a mitigação de riscos operacionais;
VI – GERENCIAR OS RISCOS RELACIONADOS À SEGURANÇA DA INFORMAÇÃO: Manter um Sistema de Segurança da Informação baseado nos requisitos legais e nos riscos a que a organização está submetida;
VII – ADMINISTRAR RISCOS DE TERCEIROS: Atestar que as contratações com terceiros e parceiros de negócio estão de acordo com as normas internas e externas de privacidade de dados e dentro dos limites de tolerância ao risco estabelecidos previamente;
VIII – PROVER AVISOS LEGAIS: Preparar avisos para usuários em consonância com a política de privacidade de dados, os requisitos legais e análise prévia de riscos;
IX – RESPONDER TEMPESTIVAMENTE ÀS SOLICITAÇÕES E RECLAMAÇÕES DE USUÁRIOS: Estabelecer procedimentos eficazes para interagir com os indivíduos acerca de seus dados pessoais;
X – MONITORAR NOVAS PRÁTICAS OPERACIONAIS: Observar novas práticas organizacionais para identificar eventuais novos processos ou mudanças nos processos existentes que estejam relacionados ao tratamento de dados, e garantir a implementação dos princípios de Privacidade por Design (Privacy by Design);
XI – CONDUZIR DE FORMA ESTRUTURADA A APURAÇÃO E CORREÇÃO DE VIOLAÇÕES DE PRIVACIDADE: Manter um efetivo sistema de averiguação e reparação de transgressões às normas e controles e incidentes relacionados à privacidade de dados;
XII – MENSURAR A EFETIVIDADE DOS PROCESSOS E CONTROLES INTERNOS: Verificar se as práticas operacionais estão em conformidade com a política de privacidade de dados, medir e relatar a eficiência dos processos e controles internos;
XIII – ACOMPANHAR A EDIÇÃO DE NOVAS REGULAMENTAÇÕES E AS MELHORES PRÁTICAS DE MERCADO: Rastrear novos requisitos de conformidade, expectativas e as melhores práticas de mercado.
Fique atento! Acompanhe periodicamente a publicação de novos capítulos da série no website da CódigoConduta.com.
Para acessar o próximo capítulo, clique aqui.
* Para informações mais detalhadas, acesse www.nymity.com.
por Fernando Henrique Zanoni | 7 jan 2019 | Artigos
Ano novo, novos desafios.
2019 será, definitivamente, o ano do Compliance e dos Programas de Integridade.
Se em 2018 vivenciamos um boom de congressos, seminários, palestras, cursos e livros tratando sobre conformidade e integridade corporativa, chegou a hora de aplicar os conhecimentos adquiridos com as melhores práticas de mercado, sempre de olho nas particularidades de cada organização. Para tanto, deve-se ir muito além dos debates em salas de aula, Conselhos de Administração e reuniões de Diretoria e entender, efetivamente, quais são as implicações concretas do Compliance (e, principalmente, do não-Compliance) nas operações.
Programas de Integridade “para inglês ver” não terão lugar neste novo ambiente de negócios que está sendo institucionalizado nacional e globalmente.
A mudança de panorama, iniciada com a entrada em vigor da Lei Anticorrupção, que prevê a responsabilização objetiva das pessoas jurídicas por atos lesivos praticados em seu benefício, e que já teve um novo capítulo com as mudanças político-estruturais do início do ano, em especial no Ministério da Justiça, alcançará novo patamar com a possível aprovação, pelo renovado Congresso Nacional, de alguns projetos de lei relacionados à transparência e a práticas anticorrupção, como por exemplo, aquele que criminaliza a corrupção privada (entre particulares). Em paralelo, cada vez mais Estados estão sancionando Leis próprias dispondo sobre a obrigatoriedade da implantação de Programa se Integridade para empresas que contratarem com a Administração Pública local.
Isso significa que o Compliance deve estar enraizado em todos os níveis de qualquer organização, pois qualquer deslize de um colaborador ou stakeholder pode dar ensejo a graves impactos de ordem reputacional.
Diante desse novo cenário, visando dar um breve norte para o aperfeiçoamento de estruturas de Compliance, destacamos 5 pontos de atenção para seu Programa de Integridade em 2019:
1. “CONDUCT AT THE TOP“
Nessa nova conjuntura, com a iminente necessidade de se instaurar um Compliance efetivo, deve-se superar a ideia de “tom do topo”. As ações da Alta Direção de qualquer organização ressoam muito mais do que qualquer discurso ou norma escrita. Assim, é fundamental repensar algumas questões, em particular: (i) se e como os líderes estão desencorajando os desvios de conduta; (ii) que ações de remediação foram tomadas para demonstrar o empenho da alta direção para com o Programa de Integridade; e (iii) como é monitorado o comportamento da própria liderança da organização. A construção de uma cultura ética resulta das ações praticadas pelos líderes da organização e das práticas adotadas, por exemplo, em relação a temas como interação com fornecedores e colaboradores, remuneração e comissionamento, comunicação corporativa, promoção e demissão.
2. CANAIS DE REPORTE
Entre os Projetos de Lei que se encontram em trâmite no Congresso Nacional alguns deles incentivam que empregados ou terceiros que tomem conhecimento de desvios de conduta graves denunciem estes mal feitos diretamente às autoridades. Algo semelhante já ocorre nos Estados Unidos há alguns anos, motivo pelo qual não é de se duvidar que um destes projetos torne-se lei já no ano de 2019. Por esse motivo, é fundamental que as organizações aperfeiçoem seus canais de reporte e os respectivos procedimentos para apuração de fraudes e desvios de conduta. Nesse sentido, todos os colaboradores e stakeholders devem saber que caminho seguir para fazer um relato, terem plena confiança de que toda e qualquer situação será devidamente apurada e de que não haverá qualquer tipo de retaliação contra o denunciante de boa fé. A confidencialidade do processo é imprescindível, razão pela qual recomenda-se a adoção de ferramentas que propiciem a preservação do anonimato do denunciante. Ainda, todos devem ter plena ciência que o silêncio traduz concordância, razão pela qual omissões devem ser punidas tanto quanto os desvios de conduta.
3. COMUNICAÇÃO
Estudos comprovam que o contexto imediato (o dia a dia no ambiente de trabalho), o contexto organizacional (a cultura e as práticas da organização) e o contexto institucional (o ambiente de negócio em que a empresa está inserida) podem prejudicar o julgamento ético das pessoas. Por essa razão, manter o discurso ético vivo, em todas as camadas da organização e entre todos os seus profissionais, é fundamental e a melhor forma para tanto é criar um cronograma anual de comunicação, tanto interna quanto externa, enfatizando os principais pilares do Programa de Integridade e das normas de conduta da organização. E, aqui, é necessário entender que a comunicação relacionada a um Programa de Integridade vai das peças de endomarketing e informes na intranet, voltados para o público interno, posts em redes sociais, voltados ao público em geral, até memorandos, ofícios e outros documentos que o apresentem para seus clientes, fornecedores, distribuidores e parceiros de negócio.
4. TREINAMENTO
O treinamento dos colaboradores e fornecedores, seja ele presencial ou online, deve ter a linguagem adaptada aos diferentes públicos. Neste sentido, deve-se pensar “fora da caixa” e adotar sistemáticas inovadoras, que incentivem a interação entre o comunicador e a audiência, de modo a aproximar as mensagens das normas de conduta ao dia a dia das áreas de operação. Trazer à tona desvios de conduta vivenciados anteriormente dentro da organização e as ações de remediação que foram tomadas são conteúdos interessantes a serem incluídos em treinamentos, pois além de demonstrarem a importância do comportamento ético, dão mais credibilidade aos canais de reporte. Por fim, não custa lembrar que a participação pública dos principais líderes da organização nos treinamentos e a utilização de uma comunicação personalizada, em que se evidencie a chancela da alta direção às ações da função Compliance é passo importante na construção de uma cultura ética.
5. MONITORAMENTO
O monitoramento constante do Programa de Integridade e dos controles internos é a ferramenta mais eficaz para se avaliar os aspectos operacionais do Compliance, ou seja, se as políticas e procedimentos são devidamente observados na rotina da organização. Sem o aspecto formal que reveste um processo de auditoria, o monitoramento é uma forma efetiva de mensurar a maturidade do Programa de Integridade. Para tanto, é necessário criar um cronograma de monitoramento que envolva, por exemplo, a análise (i) dos documentos de integridade e dos controles internos (formulários, relatórios, etc.), (ii) da periodicidade e efetividade dos treinamentos; (iii) das transações financeiras mais relevantes, processos de cadastro, aprovação e pagamentos de fornecedores, política de alçadas e reportes contábeis; (iv) dos métodos de interação com clientes e da medição de sua satisfação; (v) de potenciais conflitos de interesse; e (vi) de sistemas de informação, recebimento, tratamento e conservação de dados próprios e de terceiros.
por Fernando Henrique Zanoni | 1 nov 2018 | Oportunidade
A CódigoConduta.com busca um(a) profissional com perfil hands-on e experiência mínima de três anos nas áreas de Auditoria, Controles Internos, Gestão de Riscos, Compliance e/ou Controladoria.
Dentre as atividades, estão: (i) a elaboração, identificação e monitoramento de informações da matriz de riscos de Compliance; (ii) o auxílio no desenvolvimento de treinamentos e palestras em temas ligados a Conformidade e Integridade Corporativa, Gestão e Análise de Riscos; (iii) a elaboração de reports para clientes da CódigoConduta.com relacionados a auditorias (ISO 19600, ISO 37001, Selo Pró-Ética, Selo Agro Mais), com recomendações de ações corretivas de eventuais não-conformidades e sugestões de melhorias de controles e processos internos; (iv) a participação ativa na revisão e redação de políticas e procedimentos internos e no desenho e implantação de controles internos para mitigação de riscos; (v) o desenvolvimento, implementação e gerenciamento de Programas de Integridade; (vi) fazer a gestão de canais éticos de clientes da CódigoConduta.com, acompanhar o workflow de eventuais denúncias de conformidade com metodologia própria, apoiar, conduzir e/ou supervisionar investigações de supostas violações a Programas de Integridade e desvios de conduta
Procuramos alguém: (i) com excelentes habilidades interpessoais e de comunicação, capaz de conduzir sessões de treinamentos em temas relacionados a Compliance para uma variedade de audiências; (ii) diplomático e capaz de tomar decisões difíceis sem perder a objetividade; (iii) que dê o exemplo para fomentar um ambiente de trabalho em equipe; (iv) que desenvolva fortes relacionamentos internos e externos e interaja de forma positiva e efetiva com a liderança e com profissionais de todos os níveis hierárquicos, sem qualquer estrelismo; (v) que promova uma cultura de conformidade; (vi) que seja capaz de gerenciar mudanças organizacionais e identifique e implemente soluções/decisões apropriadas de alto impacto; (vii) que se comunique de maneira clara e eficaz pessoalmente e por escrito; (viii) que identifique erros, inconsistências e preste atenção aos detalhes; (ix) que trabalhe de forma independente, defina prioridades e organize o trabalho para realizar tarefas com eficiência e dentro dos prazos estipulados.
Mais do que tudo, procuramos alguém resiliente e flexível, com vontade de se juntar a um time com propósito para mudar o mundo e se tornar rapidamente uma empresa nacionalmente reconhecida por saber transformar preceitos éticos em soluções inteligentes e práticas, trabalhando o Compliance como verdadeira ferramenta de gestão.
Experiência em multinacionais e/ou instituições financeiras e inglês avançado é um diferencial.
Candidaturas por e-mail, para [email protected], com pretensão salarial.
por Fernando Henrique Zanoni | 25 out 2018 | Eventos, Notícias
Hoje pela manhã, o Sócio-Diretor da CódigoConduta.com, Fernando Henrique Zanoni, falou sobre Compliance para os colaboradores da planta de Curitiba da Essencis Soluções Ambientais, como parte da Semana de Integridade Sustentável da organização.
Para Zanoni, “conversar com colaboradores de empresas dos mais variados ramos e, principalmente, estar em contato direto com os profissionais que estão no dia a dia das operações, é bastante enriquecedor. Nessas ocasiões, procuramos apresentar exemplos próximos das diferentes realidades e da maneira mais prática possível. No caso da Essencis, por exemplo, fizemos uma analogia entre a ‘Empresa-Lixão’ (aquela que não tem controles internos ou normas de conduta) e o Modelo ‘Aterro Sanitário’, mostrando cada pilar do Programa de Integridade como uma camada de proteção da reputação da empresa (que tratamos como sendo o ‘lençol freático’). Com essa linguagem adaptada, ficou mais fácil fazer com que os colaboradores assimilassem a nossa mensagem.”
A CódigoConduta.com oferece soluções inteligentes em treinamentos corporativos relacionados à conformidade e integridade. Nossa essência é disseminar as boas práticas de Compliance em todos os níveis das organizações.
Comentários