Inicialmente, é importante conceituarmos o termo Compliance. A origem da palavra tem como definição a tradução do inglês do verbo “to comply”, que significa “estar em conformidade”, ou seja, agir de acordo com algo, fazer o que é certo, e isso inclui legislações. Com o passar do tempo, o Compliance passou a ter como definição a gestão dos riscos incorridos pelos negócios baseados na implementação dos controles preventivos e detectivos razoáveis ao nível de risco detectado pelas empresas por meio de um risk assessment.
O aumento das interações no ambiente on-line evidenciou a necessidade da proteção e privacidade dos dados pessoais. Redes sociais, aplicativos e sites recebem diariamente um grande volume de informações de seus usuários.
Em razão disse, Europa tomou a frente na proteção de dados e criou a GDPR (Regulamento Geral de Proteção de Dados – tradução para o português). Por uma exigência mercadológica, o Brasil publicou em 2018 a LGPD (Lei Geral de Proteção de Dados).
Tanto Compliance e LGPD (Lei Geral de Proteção de Dados) têm relação direta, já que as empresas precisam estar em conformidade para garantir a proteção de dados dos titulares dos dados, adotando medidas tecnológicas e organizacionais para o cumprimento da legislação.
O que diz a LGPD?
Resumidamente, a Lei Geral de Proteção de Dados regulamenta a utilização de dados de pessoas físicas vivas no Brasil por pessoas jurídicas ou físicas com o intuito comercial. Ela visa proteger os direitos fundamentais de liberdade, de privacidade e a livre formação da personalidade de cada pessoa física.
Dentre as suas determinações, está a obrigatoriedade da criação de um programa de governança em privacidade. Mas não basta apenas instituí-lo, é preciso comprovar o comprometimento da empresa com boas práticas para o tratamento e a segurança de dados pessoais através de um programa de governança que deve ser atualizado frequentemente a partir das informações obtidas pelo trabalho de monitoramento e avaliação periódica das ações estabelecidas dentro da empresa.
No mais, a LGPD oportuniza que a Autoridade Nacional de Proteção de Dados (ANPD) e outras entidades podem solicitar essas comprovações quando acharem necessário. Este é um dos apontamentos da legislação que mostra a necessidade de esse trabalho ser contínuo e eficiente.
Qual a relação entre Compliance e LGPD?
Com a entrada em vigor da LGPD em 2018, temos uma legislação que regula como devem ser coletados, tratados e armazenados os dados pessoais dos cidadãos brasileiros vivos por qualquer empresa, nacional ou internacional, grande, média ou pequena, que tenha acesso aos dados pessoais dos seus colaboradores, terceiros, clientes e fornecedores, ou ainda por pessoas físicas com finalidade comercial e por órgãos públicos.
Estar em conformidade com a LGPD não passa de uma obrigação atribuída pela lei e isso deveria bastar para que fosse cumprida. Além disso, nos últimos tempos tivemos conhecimento de inúmeros acontecimentos negativos relacionados à privacidade de dados, o que torna imprescindível a adequação das empresas à LGPD.
Quais as vantagens de se adaptar à LGPD?
Adequar a rotina e os processos à LGPD garante muitos benefícios para a empresa.
A primeira vantagem é a segurança jurídica de estar em conformidade com a lei, o que pode evitar sanções e o prejuízo financeiro. A multa pelo descumprimento da legislação pode chegar a R$ 50 milhões.
Outra vantagem que merece destaque é o fortalecimento da imagem da empresa com o aumento da credibilidade no mercado. A conformidade pode ser utilizada como “marketing positivo”, pois expressa o respeito que a empresa possui pela sociedade. Tal fato pode, inclusive, ser um fator responsável por incentivar novos investimentos externos para a empresa e o fechamento de novos negócios.
O que fazer para estar em conformidade com a LGPD?
Segundo estudos atuais, 85% das empresas ignoram normas da LGPD e 78% das empresas não conseguem se adaptar à lei.
A adequação à LGPD ainda tem desafiado muitas empresas, afinal, trata-se de uma legislação recente. Sancionada em agosto de 2018, ela entrou em vigor dois anos depois, em agosto de 2020. No entanto, as multas e sanções passaram a ser aplicadas desde o dia 1º de agosto de 2021. Abaixo seguem alguns passos necessários para a adequação:
– Conheça tudo sobre a lei: Este tópico parece óbvio, mas não é. Antes de começar efetivamente a aplicar a LGPD, conheça absolutamente tudo sobre ela. Caso tenha dúvidas, procure um especialista na área e tenha a certeza de que você entendeu tudo o que a lei determina.
– Faça um mapeamento do ciclo de vida dos dados tratados pela empresa e entenda os riscos: Depois de conhecer detalhes da LGPD, é o momento de reunir todas as fontes de dados que a sua empresa tem. Lembre-se de se cercar por todos os lados: veja quais são os dados de clientes, dos colaboradores e dos fornecedores. A partir disso, avalie qual o ciclo de vida de cada um deles, as falhas no processo de tratamento e os riscos de vazamento.
– Defina um comitê interno responsável pela implementação do projeto: Reúna os profissionais diretamente envolvidos com dados (Jurídico, TI, Comercial, Vendas, Financeiro etc.) e recomende que eles façam parte de um Comitê de Compliance. A sugestão é definir pontos focais, de cada área, que ficarão responsáveis pelo assunto. A atuação do comitê será, em linhas gerais, possibilitar que todos os processos da empresa estejam sendo realizados de acordo com a LGPD. Não se esqueça de indicar um Data Protection Officer (DPO), o profissional com conhecimento técnico (jurídico e regulatório) que poderá conduzir todas as definições. Ele será o intermediador entre os titulares dos dados, a ANPD e as empresas.
– Crie um plano de implementação: as áreas mais vulneráveis devem ser priorizadas.
– Valide as bases legais para o tratamento dos dados pessoais: É esse é o momento de criar justificativas legais de a empresa tratar os dados.
– Crie ou revise os documentos internos e externos: Os documentos oficiais da sua empresa devem ser criados ou revisados (de preferência por um advogado), garantindo que todos os tópicos estejam em conformidade com a nova lei. Não se esqueça de incluir nessa lista também os documentos digitais.
– Tenha um plano de segurança da informação: Sugere-se que haja um Plano de Segurança da Informação, voltado para a proteção de dados pessoais. Isso pode ser mais uma tarefa do comitê criado para trabalhar com as questões da LGPD. Evidentemente, este plano deve ser criado por um especialista na área.
– Ofereça treinamentos para toda a sua equipe: É imprescindível que todas as pessoas que trabalham em sua empresa conheçam integralmente as novas regras estabelecidas na LGPD – especialmente quem lida diretamente com dados pessoais, internos ou externos. Esse alinhamento vai garantir que todos estão a par das mudanças e evitar que possíveis desvios se deem.
– Lembre-se de comprovar as boas práticas: adote ferramentas que possibilitem o registro das ações internas que foram criadas, do repasse das informações aos funcionários e do trabalho de avaliação periódica.
Todas as empresas, independente do porte ou do setor de atuação, devem estar em conformidade com a LGPD.
Nós, da Legal Comply, temos as melhores soluções para a adequação da sua empresa à LGPD. Conte conosco.
Autor: Edgard Dolata