Compliance e LGPD: entenda a relação e o passo a passo

Compliance e LGPD

Com o aumento dos crimes cibernéticos, a Lei Geral de Proteção de Dados entrou em vigor no Brasil em 2020. Ela visa regulamentar e fiscalizar os dados que nós consumidores, oferecemos às empresas que nos prestam serviços. 

Por sua vez, as empresas devem se adequar a essa legislação e implementar em sua estrutura terceirizados ou funcionários que soubessem regulamentar toda a área de dados do negócio. 

Com isso, além de evitar uso indevido de informações, acaba-se evitando fraudes. E por isso, o conteúdo de hoje vai falar um pouco sobre a Compliance e a LGPD e como elas se relacionam. 

O que é Compliance? 

Compliance é uma palavra de origem inglesa, sendo um substantivo que se origina do verbo “to comply with”, e significa “ato de agir de acordo com” . Isto é, agir de acordo com uma lei, uma norma, um regulamento. 

A Compliance existe dentro de uma empresa para que a mesma crie mecanismos capazes de evitar atos ilícitos ou fraude. Criando assim uma empresa bacana e segura de se trabalhar. 

Com a Compliance você gerencia mais adequadamente os riscos da empresa, dando mais segurança aos processos internos gerando mais qualidade dos serviços prestados. 

Para garantir que haja todos os esse benefícios, é importante que todos da empresa estejam em Compliance. Assim, o comprometimento deve vir de cima dos diretores, proprietários, gerentes, envolvendo todos os funcionários, terceirizados e fornecedores. 

Outros fatores em que uma área de Compliance atua: 

  • elaborar o código de conduta que deve ser seguido por todos os trabalhadores da empresa; 
  • desenvolvimento de canais de denúncia para relatar desvios de normas;
  • auditoria interna para a avaliação, conferência e mapeamento dos processos na empresa

O que é a LGPD? 

Para que você entenda de maneira mais simples, a LGPD foi criada com a finalidade de prevenir o uso indevido de dados pessoais. Como base para a criação da LGPD, o Governo Brasileiro usou a General Data Protection Regulation (GDPR) – legislação para a proteção de dados dos países integrantes da União Europeia (UE).

Antes da aprovação da lei nacional, não era incomum, entre algumas empresas, a prática de utilizar informações de clientes – sem o consentimento e conhecimento deles. Após aprovada, a LGPD apresentou princípios importantes para que essa situação seja evitada.

Um deles é o princípio da segurança que significa utilizar medidas administrativas e técnicas para a proteção de dados pessoais, acessos não autorizados, situações ilícitas ou acidentais de perda, destruição, comunicação, difusão ou alteração. 

Outros princípios importantes são:

Finalidade

As empresas precisam justificar a utilização de dados pessoais;

Adequação

Os dados coletados devem ser compatíveis com a finalidade informada ao titular;

Necessidade

As informações pessoais tratadas devem ser apenas as essenciais para o desenvolvimento do negócio;

Livre acesso

Os titulares precisam ter acesso fácil aos seus próprios dados;

Qualidade

Os dados pessoais devem ser atualizados, exatos e claros;

Transparência

Os titulares precisam saber quem são os responsáveis pelo tratamento dos dados (também chamados de agentes de tratamento);

Prevenção

As organizações devem planejar medidas preventivas para eventuais problemas na gestão dos dados (vazamentos, ataques cibernéticos e perdas);

Não discriminação

As informações pessoais não podem ser usadas para objetivos discriminatórios;

Responsabilização

Aplicabilidade das normas legais e dos mecanismos de segurança, visando a proteção dos dados.

Relação entre Compliance e LGPD

A relação entre Compliance e a LGPD se dá sobre as diversas atividades em comum. Segundo o art. 50 da LGPD deve, no mínimo:

  • Demonstrar o comprometimento do controlador em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais;
  • ser aplicável a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do modo como se realizou sua coleta;
  • ser adaptado à estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados tratados;
  • estabelecer políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade;
  • ter o objetivo de estabelecer relação de confiança com o titular de dados, por meio de atuação transparente e que assegure mecanismos de participação do titular;
  • estar integrado à estrutura geral de governança da instituição, além de estabelecer e aplicar mecanismos de supervisão internos e externos;
  • contar com planos de resposta a incidentes e remediação;
  • ser atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas.

Programa de Compliance

Já em um  Programa de Compliance, podemos utilizar os seguintes parâmetros, segundo o art. 42 do Decreto n. 8.420 de 2015:

  • Comprometimento da alta direção da pessoa jurídica, incluídos os conselhos, evidenciado pelo apoio visível e inequívoco ao programa;
  • Padrões de conduta, código de ética, políticas e procedimentos de integridade, aplicáveis a todos os empregados e administradores, independentemente de cargo ou função exercidos;
  • Padrões de conduta, código de ética e políticas de integridade estendidas, quando necessário, a terceiros, tais como, fornecedores, prestadores de serviço, agentes intermediários e associados;
  • Treinamentos periódicos sobre o programa de integridade;
  • Análise periódica de riscos para realizar adaptações necessárias ao programa de integridade;
  • Registros contábeis que reflitam de forma completa e precisa as transações da pessoa jurídica;
  • Controles internos que assegurem a pronta elaboração e confiabilidade de relatórios e demonstrações financeiros da pessoa jurídica;
  • Procedimentos específicos para prevenir fraudes e ilícitos no âmbito de processos licitatórios, na execução de contratos administrativos ou em qualquer interação com o setor público, ainda que intermediada por terceiros;
  • Independência, estrutura e autoridade da instância interna responsável pela aplicação do programa de integridade e fiscalização de seu cumprimento;
  • Canais de denúncia de irregularidades, abertos e amplamente divulgados a funcionários e terceiros, e de mecanismos destinados à proteção de denunciantes de boa-fé;
  • Medidas disciplinares em caso de violação do programa de integridade;
  • Procedimentos que assegurem a pronta interrupção de irregularidades ou infrações detectadas e a tempestiva remediação dos danos gerados;
  • Diligências apropriadas para contratação e, conforme o caso, supervisão, de terceiros, tais como, fornecedores, prestadores de serviço, agentes intermediários e associados;
  • Verificação, durante os processos de fusões, aquisições e reestruturações societárias, do cometimento de irregularidades ou ilícitos ou da existência de vulnerabilidades nas pessoas jurídicas envolvidas;
  • Monitoramento contínuo do programa de integridade visando seu aperfeiçoamento na prevenção, detecção e combate à ocorrência dos atos lesivos previstos no 5º da Lei nº 12.846, de 2013 ; e
  • Transparência da pessoa jurídica quanto a doações para candidatos e partidos políticos.

Para se aprofundar mais sobre a LGPD, indicamos a leitura do conteúdo “LGPD na prática: como adequar sua empresa?”

Conheça o curso de Introdução à Proteção de Dados da Doutorize! 

A Doutorice está construindo uma nova forma de aprender Proteção de Dados e Tecnologia. Conteúdos altamente especializados explicados por quem entende, de forma simples e direta.

Atendemos estudantes e profissionais que sabem a importância da educação em suas vidas e que se encontram no momento de virada profissional, buscando iniciar de fato suas trajetórias, ou potencializá-las para um novo nível. Nossa principal oferta é educação de qualidade, desenvolvida junto a professores qualificados e com foco no resultado efetivo da formação.

O curso de Introdução à Proteção de Dados tem como objetivo ensinar os primeiros passos sobre a área de Proteção de Dados e a carreira de Data Protection Officer.

O que vou aprender?

  •  Introdução à Lei Geral de Proteção de Dados
  •  Como funciona a carreira de Data Protection Officer
  •  Requisitos para se tornar Data Protection Officer

Saiba mais sobre este curso.

Torne-se um DPO com a Doutorize! 

Para conseguir a certificação DPO, Data Protection officer, da Doutorize o profissional terá 56 horas de atividades. As atividades estão divididas em videoaulas, leitura do material que é recebido, atividades práticas obrigatórias de desenvolvimento, além dos simulados. O curso é feito em 3 módulos principais: 

  • 1º módulo – Information Security Foundation (ISFS) – no primeiro módulo o objetivo é o conhecimento sobre a segurança da informação e tudo sobre esse universo.  
  • 2º módulo- Privacy & Data Protection Foundation (PDPF) – o segundo módulo tem como objetivo o conhecimento sobre a proteção de dados em que o profissional vai aprender muito sobre legislação e sobre a lei europeia GDPR que é a inspiração para a lei de proteção de dados aqui do Brasil. 
  • 3º módulo – Privacy & Data Protection Practitioner (PDPP) – o terceiro módulo tem como objetivo o conhecimento sobre a proteção de dados de modo prático, o profissional vai aprender as boas práticas da proteção de dados em qualquer organização que vá atuar. 

Quer entender ainda mais sobre a LGPD e as profissões do futuro? Acesse outros conteúdos da Doutorize.  

Deixe um comentário