Com o aumento dos crimes cibernéticos, a Lei Geral de Proteção de Dados entrou em vigor no Brasil em 2020. Ela visa regulamentar e fiscalizar os dados que nós consumidores, oferecemos às empresas que nos prestam serviços.
Por sua vez, as empresas devem se adequar a essa legislação e implementar em sua estrutura terceirizados ou funcionários que soubessem regulamentar toda a área de dados do negócio.
Com isso, além de evitar uso indevido de informações, acaba-se evitando fraudes. E por isso, o conteúdo de hoje vai falar um pouco sobre a Compliance e a LGPD e como elas se relacionam.
O que é Compliance?
Compliance é uma palavra de origem inglesa, sendo um substantivo que se origina do verbo “to comply with”, e significa “ato de agir de acordo com” . Isto é, agir de acordo com uma lei, uma norma, um regulamento.
A Compliance existe dentro de uma empresa para que a mesma crie mecanismos capazes de evitar atos ilícitos ou fraude. Criando assim uma empresa bacana e segura de se trabalhar.
Com a Compliance você gerencia mais adequadamente os riscos da empresa, dando mais segurança aos processos internos gerando mais qualidade dos serviços prestados.
Para garantir que haja todos os esse benefícios, é importante que todos da empresa estejam em Compliance. Assim, o comprometimento deve vir de cima dos diretores, proprietários, gerentes, envolvendo todos os funcionários, terceirizados e fornecedores.
Outros fatores em que uma área de Compliance atua:
- elaborar o código de conduta que deve ser seguido por todos os trabalhadores da empresa;
- desenvolvimento de canais de denúncia para relatar desvios de normas;
- auditoria interna para a avaliação, conferência e mapeamento dos processos na empresa
O que é a LGPD?
Para que você entenda de maneira mais simples, a LGPD foi criada com a finalidade de prevenir o uso indevido de dados pessoais. Como base para a criação da LGPD, o Governo Brasileiro usou a General Data Protection Regulation (GDPR) – legislação para a proteção de dados dos países integrantes da União Europeia (UE).
Antes da aprovação da lei nacional, não era incomum, entre algumas empresas, a prática de utilizar informações de clientes – sem o consentimento e conhecimento deles. Após aprovada, a LGPD apresentou princípios importantes para que essa situação seja evitada.
Um deles é o princípio da segurança que significa utilizar medidas administrativas e técnicas para a proteção de dados pessoais, acessos não autorizados, situações ilícitas ou acidentais de perda, destruição, comunicação, difusão ou alteração.
Outros princípios importantes são:
Finalidade
As empresas precisam justificar a utilização de dados pessoais;
Adequação
Os dados coletados devem ser compatíveis com a finalidade informada ao titular;
Necessidade
As informações pessoais tratadas devem ser apenas as essenciais para o desenvolvimento do negócio;
Livre acesso
Os titulares precisam ter acesso fácil aos seus próprios dados;
Qualidade
Os dados pessoais devem ser atualizados, exatos e claros;
Transparência
Os titulares precisam saber quem são os responsáveis pelo tratamento dos dados (também chamados de agentes de tratamento);
Prevenção
As organizações devem planejar medidas preventivas para eventuais problemas na gestão dos dados (vazamentos, ataques cibernéticos e perdas);
Não discriminação
As informações pessoais não podem ser usadas para objetivos discriminatórios;
Responsabilização
Aplicabilidade das normas legais e dos mecanismos de segurança, visando a proteção dos dados.
Relação entre Compliance e LGPD
A relação entre Compliance e a LGPD se dá sobre as diversas atividades em comum. Segundo o art. 50 da LGPD deve, no mínimo:
- Demonstrar o comprometimento do controlador em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais;
- ser aplicável a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do modo como se realizou sua coleta;
- ser adaptado à estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados tratados;
- estabelecer políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade;
- ter o objetivo de estabelecer relação de confiança com o titular de dados, por meio de atuação transparente e que assegure mecanismos de participação do titular;
- estar integrado à estrutura geral de governança da instituição, além de estabelecer e aplicar mecanismos de supervisão internos e externos;
- contar com planos de resposta a incidentes e remediação;
- ser atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas.
Programa de Compliance
Já em um Programa de Compliance, podemos utilizar os seguintes parâmetros, segundo o art. 42 do Decreto n. 8.420 de 2015:
- Comprometimento da alta direção da pessoa jurídica, incluídos os conselhos, evidenciado pelo apoio visível e inequívoco ao programa;
- Padrões de conduta, código de ética, políticas e procedimentos de integridade, aplicáveis a todos os empregados e administradores, independentemente de cargo ou função exercidos;
- Padrões de conduta, código de ética e políticas de integridade estendidas, quando necessário, a terceiros, tais como, fornecedores, prestadores de serviço, agentes intermediários e associados;
- Treinamentos periódicos sobre o programa de integridade;
- Análise periódica de riscos para realizar adaptações necessárias ao programa de integridade;
- Registros contábeis que reflitam de forma completa e precisa as transações da pessoa jurídica;
- Controles internos que assegurem a pronta elaboração e confiabilidade de relatórios e demonstrações financeiros da pessoa jurídica;
- Procedimentos específicos para prevenir fraudes e ilícitos no âmbito de processos licitatórios, na execução de contratos administrativos ou em qualquer interação com o setor público, ainda que intermediada por terceiros;
- Independência, estrutura e autoridade da instância interna responsável pela aplicação do programa de integridade e fiscalização de seu cumprimento;
- Canais de denúncia de irregularidades, abertos e amplamente divulgados a funcionários e terceiros, e de mecanismos destinados à proteção de denunciantes de boa-fé;
- Medidas disciplinares em caso de violação do programa de integridade;
- Procedimentos que assegurem a pronta interrupção de irregularidades ou infrações detectadas e a tempestiva remediação dos danos gerados;
- Diligências apropriadas para contratação e, conforme o caso, supervisão, de terceiros, tais como, fornecedores, prestadores de serviço, agentes intermediários e associados;
- Verificação, durante os processos de fusões, aquisições e reestruturações societárias, do cometimento de irregularidades ou ilícitos ou da existência de vulnerabilidades nas pessoas jurídicas envolvidas;
- Monitoramento contínuo do programa de integridade visando seu aperfeiçoamento na prevenção, detecção e combate à ocorrência dos atos lesivos previstos no 5º da Lei nº 12.846, de 2013 ; e
- Transparência da pessoa jurídica quanto a doações para candidatos e partidos políticos.
Para se aprofundar mais sobre a LGPD, indicamos a leitura do conteúdo “LGPD na prática: como adequar sua empresa?”.
Conheça o curso de Introdução à Proteção de Dados da Doutorize!
A Doutorice está construindo uma nova forma de aprender Proteção de Dados e Tecnologia. Conteúdos altamente especializados explicados por quem entende, de forma simples e direta.
Atendemos estudantes e profissionais que sabem a importância da educação em suas vidas e que se encontram no momento de virada profissional, buscando iniciar de fato suas trajetórias, ou potencializá-las para um novo nível. Nossa principal oferta é educação de qualidade, desenvolvida junto a professores qualificados e com foco no resultado efetivo da formação.
O curso de Introdução à Proteção de Dados tem como objetivo ensinar os primeiros passos sobre a área de Proteção de Dados e a carreira de Data Protection Officer.
O que vou aprender?
- Introdução à Lei Geral de Proteção de Dados
- Como funciona a carreira de Data Protection Officer
- Requisitos para se tornar Data Protection Officer
Saiba mais sobre este curso.
Torne-se um DPO com a Doutorize!
Para conseguir a certificação DPO, Data Protection officer, da Doutorize o profissional terá 56 horas de atividades. As atividades estão divididas em videoaulas, leitura do material que é recebido, atividades práticas obrigatórias de desenvolvimento, além dos simulados. O curso é feito em 3 módulos principais:
- 1º módulo – Information Security Foundation (ISFS) – no primeiro módulo o objetivo é o conhecimento sobre a segurança da informação e tudo sobre esse universo.
- 2º módulo- Privacy & Data Protection Foundation (PDPF) – o segundo módulo tem como objetivo o conhecimento sobre a proteção de dados em que o profissional vai aprender muito sobre legislação e sobre a lei europeia GDPR que é a inspiração para a lei de proteção de dados aqui do Brasil.
- 3º módulo – Privacy & Data Protection Practitioner (PDPP) – o terceiro módulo tem como objetivo o conhecimento sobre a proteção de dados de modo prático, o profissional vai aprender as boas práticas da proteção de dados em qualquer organização que vá atuar.
Quer entender ainda mais sobre a LGPD e as profissões do futuro? Acesse outros conteúdos da Doutorize.