por CódigoConduta.com | 1 nov 2019 | Notícias
No último dia 31 de outubro o Sócio-Diretor da CódigoConduta.com, Fernando Henrique Zanoni falou sobre Compliance Digital no 2º Ciclo de Palestras sobre Privacidade e Proteção de Dados realizado na PUC/PR.
Em sua exposição, Fernando Zanoni destacou que é importante para as empresas reverem suas Políticas de Segurança da Informação antes de pensar em implementar controles internos relacionados à proteção e privacidade de dados.
“Temos verificado que headcount dedicado à cybersegurança nas empresas ainda é muito escasso e isso se dá por uma questão simples de governança: são pouquíssimas as organizações nas quais o Head de TI tem lugar na mesa da diretoria e participa da tomada de decisões como um business partner estratégico”, destacou Fernando Zanoni.
A apresentação destacou que o grau de maturidade de Compliance e Gestão de Riscos nas organizações ainda é muito baixo: “Quando se fala em riscos de tecnologia da informação temos que separá-los em riscos de governança, que dizem respeito à questões estratégicas, de gestão de mudanças e de crise, e os riscos tecnológicos, que estão relacionados à rede, sistemas operacionais, dispositivos e privacidade de dados. Não saber quais são os riscos aos quais a organização está sujeita é o primeiro passo para o fracasso”, complementou o Sócio-Diretor da CódigoConduta.com.
por CódigoConduta.com | 30 out 2019 | Notícias
O Sócio-Diretor da CódigoConduta.com, Fernando Henrique Zanoni concluiu no último mês de outubro o curso Certified Expert in Compliance do Instituto ARC.
Referido programa é considerado a mais conceituada certificação profissional de Compliance do Brasil, pois utiliza as melhores práticas acadêmicas em um cronograma de aulas e atividades práticas liderado por profissionais de altíssima reputação.
Para Fernando Zanoni, o que diferencia um excelente profissional de compliance dos demais é a vontade de se atualizar constantemente: “Nós que estamos à frente da CódigoConduta nos preocupamos em estar sempre atualizados e participando de eventos e cursos em instituições reconhecidas para trazer aos nossos clientes as melhores práticas de mercado no que concerne à conformidade e integridade corporativa”.
Além da referida Certificação, Fernando Zanoni também é Certified Compliance & Ethics Professional International (CCEP-I) pela Compliance Certification Board e Auditor Líder ISO 37001:2017.
Para mais informações sobre o curso do Instituto ARC acesse https://www.instituto-arc.com/cec/.
por Fernando Henrique Zanoni | 18 jan 2019 | Artigos
Nos quatro primeiros capítulos da Série “LGPD na Prática” foi possível identificar quais são as empresas afetadas pela Lei Geral de Proteção de Dados (LGDP), como manter uma estrutura de governança de dados dentro da organização, como preservar um inventário de dados pessoais e mecanismos de transferência e como implementar uma política de privacidade de dados.
Continuando com a proposta de esclarecer como a nova regulamentação influenciará nas rotinas da organização e a melhor forma de se preparar para cumprir com as novas obrigações legais, passo a exemplificar em que rotinas será necessário incorporar a privacidade de dados, sustentando procedimentos operacionais consistentes com as normas internas e externas e aos objetivos de gerenciamento de riscos:
1. Mapear os processos internos e aprimorar os controles de acesso. Conforme visto no capítulo anterior, deve-se revisitar ou implementar políticas e normas de conduta relacionadas à coleta, tratamento e guarda de dados pessoais, contudo a redação de documentos de nada adiantará se os processos e controles internos não respeitarem as regras criadas internamente e as regulamentações tais como a LGPD ou a GPDR. O mapeamento de todos os processos internos permitirá identificar com maior precisão quais são as áreas mais sensíveis da organização e, consequentemente, onde estão os maiores riscos, no que concerne à proteção de dados, seja de clientes, colaboradores, usuários de sistemas de informação ou aplicações, etc, permitindo que sejam aplicadas restrições ou implementadas melhorias nos controles de acesso a determinadas informações, por exemplo.
2. Integrar as normas de coleta, tratamento e guarda de dados às rotinas internas, como por exemplo:
2.1 No uso de cookies e mecanismos de rastreamento. No caso dos websites de organizações que processam dados pessoais ou que possam ser combinados ou selecionados para identificar determinada pessoa, será necessário revisar os termos de consentimento, possibilitando ao usuário de maneira ativa aceitar ou recusar os vários tipos de cookies antes de prévia configuração, informando de maneira clara por que, como e com que finalidade os dados serão utilizados e permitindo que, a qualquer momento, seja possível ter uma visão completa de todos os cookies ativos e que o consentimento possa ser revogado. Também deve restar devidamente identificado quais dados do usuário são compartilhados com terceiros em razão de aplicações que porventura estejam incorporadas ao seu website. Sob o ponto de vista das obrigações legais, as organizações devem registrar todos os consentimentos dos usuários, armazenando-os de forma segura para que possam ser utilizados como eventual prova. Já existem no mercado soluções que integram a política de cookies ao monitoramento da atividade de cookies em websites, gerando inclusive relatórios mensais sobre o processamento de dados.
2.2 Na retenção de dados. Conforme mencionado anteriormente, o inventário de dados permitirá que a organização livre-se de dados obsoletos, imprecisos e que eventualmente tenham sido processados sem o consentimento dos titulares evitando sua exposição às penalidades previstas pela LGPD. No entanto, com relação aos dados que permanecerão sendo processados é interessante que sejam implementados processos de categorização destes dividindo-os em categorias quanto ao tempo de retenção (curta, média ou longa, por exemplo). Importante salientar que o direito à revogação do consentimento de processamento de dados, por parte de qualquer titular, não pode se sobrepor ou contrariar outras legislações que versem sobre a obrigatoriedade de manutenção de determinados registros.
2.3 Nas práticas de marketing e publicidade digital. A LGPD impactará no engajamento e na relação entre as organizações e seus atuais, potenciais e ex-clientes. A fase de prospecção de vendas, em especial os formulários online e offline e as práticas de e-mail marketing deverão ser revisitados para estarem em conformidade com a nova regulamentação. No caso de aquisição das famosas “listas” com dados pessoais, a organização deverá obter junto ao terceiro coletor, de quem eventualmente as adquiriu, as informações de consentimento adequadas. Até mesmo no mundo B2B, ações simples de networking como a troca de cartões de visita e inclusão das respectivas informações em banco de dados das organizações deverá passar por um processo de revisão e readequação às normas. A coleta de dados comportamentais para potencializar a segmentação de anúncios também passará, fatalmente, por uma reformulação e segundo recente reportagem da Harvard Business Review*, a resposta está na publicidade contextual, ou seja, anúncios serão exibidos não com base no perfil de um consumidor, mas no conteúdo que está sendo visualizado em tempo real.
2.4 Na contratação de empregados e manutenção dos seus dados pessoais. Conforme verificado anteriormente, a LGPD não diz respeito somente à garantia de conformidade para com os dados de clientes e usuários de sistemas de informação de determinadas organizações. Uma área que não deve ser menosprezada na aplicação da nova regulamentação é o Departamento de Recursos Humanos, que coleta e processa dados pessoais de colaboradores (efetivos e potenciais) e terceiros, seja para selecionar, contratar, demitir, pagar, fornecer benefícios, inscrever o profissional em cadastros de órgãos públicos, etc. Neste particular, inclusive, o conceito de consentimento para tratamento e retenção dos dados se confunde com obrigações legais da organização para execução do contrato de trabalho e para cumprir com obrigações legais de ordem trabalhista e previdenciária, por exemplo, motivo pelo qual deve-se encontrar o equilíbrio entre os direitos de privacidade dos colaboradores e a promoção de interesses legítimos da organização no papel de empregadora. Ou seja, é fundamental que os empregados não só tenham plena consciência de suas obrigações, como colaboradores de organizações que processam dados, mas também de seus direitos, como titulares de dados que são processados por seus empregadores.
2.5 Na segurança patrimonial, em especial no uso de câmeras de vigilância. Dado pessoal é uma informação relacionada a pessoa natural identificada ou identificável, portanto vai muito além do nome, endereço, número de telefone, data de nascimento, contas bancárias, registros médicos, etc, de modo que imagens também devem ser tratadas com o mesmo cuidado, mormente se considerado o potencial que câmeras de vigilância conectadas à internet têm de ameaçar as liberdades individuais. Por essa razão, para reduzir significativamente as chances de violação, sugere-se que a empresas invistam em softwares e hardwares seguros para sua vigilância e conectividade de vídeo e que transfiram esse tipo de preocupação a eventuais terceiros fornecedores, operadores de sistemas de alarme, por exemplo.
No próximo capítulo, irei discorrer sobre como cumprir um cronograma interno de treinamento e comunicação.
Para acessar o primeiro capítulo da Série, clique aqui.
Para acessar o próximo capítulo, clique aqui.
* “How GDPR Will Transform Digital Marketing“. Disponível em: https://hbr.org/2018/05/how-gdpr-will-transform-digital-marketing. Acesso em 17. jan. 2019.
por CódigoConduta.com | 2 jan 2019 | Notícias
O Pacto Global, iniciativa proposta pela ONU no ano 2000 para encorajar empresas a adotar políticas de responsabilidade social e sustentabilidade, colocam as empresas como protagonistas no desenvolvimento social das nações, contribuindo para a criação de uma sociedade mais justa.
Nesse sentido, foram criados 10 Princípios e 17 Objetivos de Desenvolvimento Sustentável, com o objetivo de engajar as organizações para uma agenda de desenvolvimento.
A Rede Brasil do Pacto Global, grupo constituído por empresas brasileiras que aderem à iniciativa, divulgou relatório anual, denominado “Integração dos ODS na Estratégia Empresarial”, com interessantes insights relacionados ao Compliance para que as premissas da Agenda 2030 sejam atingidas.
Com relação à implementação de ações específicas relacionadas aos Objetivos de Desenvolvimento Sustentável (ODS), 53% das empresas afirmaram terem priorizado a criação ou revisão do Código de Ética da organização.
Para Fernando Henrique Zanoni, sócio-diretor da CódigoConduta, “ainda que o universo da pesquisa esteja limitado às empresas que de alguma forma já estão comprometidas e informadas a respeito do tema, não representando o ambiente corporativo como um todo, tem-se uma boa ideia da importância dos documentos de integridade para qualquer tipo de negócio que efetivamente se preocupa com sua perenidade“.
O relatório completo pode ser acessado clicando no link a seguir: https://codigoconduta.com/wp-content/uploads/2018/12/Integracao_ODS_Estrategia_2018.pdf
Comentários