Compliance e políticas de proteção de dados: por que sua empresa precisa saber disso?

Compliance
Escrito por Thiago Andrade

Em 2023 completam-se cinco anos da elaboração da Lei Geral de Proteção de Dados, normativa criada para garantir aos cidadãos brasileiros mais controle sobre suas informações pessoais e determinar regras para que instituições públicas e privadas usem, transmitam e armazenem dados sensíveis de forma segura e transparente.

O texto da LGPD prevê medidas enérgicas contra as empresas que não adotam políticas de proteção de dados efetivas, tais como suspensão das atividades e multas que podem atingir R$50 milhões

Durante os primeiros anos de vigência, a Autoridade Nacional de Proteção de Dados (ANPD) atuou dando suporte para a adequação à LGPD. Contudo, o período de adaptação se encerrou e o órgão já aplicou a primeira multa por descumprimento das diretrizes. 

Para evitar transtornos e prejuízos envolvendo a política de proteção de dados, é essencial que o setor de Compliance revisite os processos com base nas leis vigentes e conheça a fundo quais são os riscos financeiros de não cumprir as obrigações determinadas pela LGPD. 

Neste artigo, iremos apresentar para você os principais dispositivos legais que definem as regras para uso e armazenamento de informações pessoais e as consequências de não atuar em compliance com a Lei Geral de Proteção de Dados. 

 
 
 
 

Compliance e políticas de proteção de dados: quais legislações devem fazer parte do dia a dia do setor?

O manejo de informações pessoais sensíveis e dados estratégicos é uma responsabilidade compartilhada entre os setores de TI e Compliance. 

Enquanto o primeiro cuida da infraestrutura e dos protocolos de segurança, o segundo deve mapear riscos e garantir que a empresa atue em conformidade com as leis que regulamentam as políticas de proteção de dados. 

Para te auxiliar com essa tarefa, vamos enumerar os dispositivos legais que abordam este tema e traçar a evolução das normas brasileiras até a criação da LGPD.

Constituição de 1988: o primeiro passo

Apesar de existirem leis mais antigas que lidam com o direito à privacidade das pessoas, vamos tomar a Constituição de 1988 como marco zero. No artigo 5º está previsto que a intimidade, a vida privada, a honra e a imagem são direitos invioláveis. 

O texto garantiu o direito à indenização por danos materiais ou morais que sejam decorrentes de violações dos direitos listados acima. 

Como impacta o Compliance: setor precisa conhecer os direitos individuais das pessoas colaboradoras e compreender como eles devem ser respeitados no ambiente de trabalho.

Código de Defesa do Consumidor

Anos mais tarde, em 1993, o Código de Defesa do Consumidor começa a atrelar dados pessoais às atividades corporativas. Surgem normas para garantir às pessoas o direito de acesso e alteração das informações sensíveis que estão em posse de uma empresa.

Como impacta o Compliance: determina deveres empresariais em relação aos seus clientes, o setor precisa assegurar que a atividade corporativa é pautada pelas normas que protegem os consumidores. 

Lei nº9.296/1996

Conhecida como Lei da Escuta Telefônica, este dispositivo legal determinou sigilo inviolável às seguintes formas de comunicação:

  1. Correspondências e mensagens telegráficas;

  2. Comunicações telefônicas.

Todos os dados transmitidos por esses meios só podem ser acessados em caso de medidas legais. Ou seja, a quebra de sigilo telefônico e de correspondência só é tolerado em casos de investigação criminal ou decisão processual.

Como impacta o Compliance: a normativa deixa clara que escutas ilegais ou violação de correspondências pessoais geram punições, portanto, esses métodos não podem ser adotados em uma investigação sobre má conduta, salvo a existência de medidas judiciais.  

Lei nº 12.737/2012

Um vazamento de fotos íntimas da atriz Carolina Dieckmann movimentou a criação de uma lei para responsabilizar criminalmente pessoas e empresas pela invasão de dispositivos eletrônicos (como celulares e notebooks) com o objetivo de roubar conteúdo pessoal e dados sensíveis. 

Como impacta o Compliance: o setor deve educar as pessoas colaboradoras sobre as implicações jurídicas de acessar e compartilhar dados e conteúdos pessoais dos clientes (e também de colegas). 

Marco civil da internet

A implementação do Marco Civil em 2013 foi importantíssimo para definir aspectos como limites para a liberdade de expressão e a neutralidade das redes. 

Sua promulgação implicou em atualizações nos conceitos de privacidade, mas não definiu normas claras em relação às políticas de proteção de dados.

Como impacta o Compliance: o refino nas definições de privacidade implicou na necessidade de revisitar processos e mapear riscos para assegurar que a atividade da empresa respeita as normativas.  

Decreto 7.962/2013

O decreto atualizou o Código de Defesa do Consumidor e obrigou empresas que atuam com vendas online a adotarem mecanismos de segurança para garantir a integridade dos dados bancários e pessoais dos clientes.

Como impacta o Compliance: empresas com atuação na internet precisam verificar se suas ferramentas de vendas são seguras e a infraestrutura digital possui mecanismos que impedem a ação de cibercriminosos.

LGPD

Em 2018 é sancionada a Lei nº13.709, que ficou conhecida como LGPD. A normativa surge na esteira da GDPR, dispositivo legal adotado na comunidade europeia.

Sua promulgação regulamentou o uso e a transferência de dados e determinou medidas punitivas para instituições - públicas e privadas - que descumprirem as regras. 

A Lei Geral de Proteção de Dados passou por mudanças desde que foi criada. No fim de 2018, o Governo Federal autorizou a criação da ANPD e determinou prazo de 2 anos para adequação das empresas e início da fiscalização.

Por conta da pandemia, surgiram alguns projetos de lei com objetivo de adiar a vigência da LGPD, contudo, eles não foram acatados.

 A única mudança aplicada foi a dilatação para o prazo de aplicação de multas. O prazo inicial (agosto de 2020) foi dilatado em um ano.

Como impacta o Compliance: a LGPD exige a formulação de políticas de proteção de dados para assegurar a integridade e uso correto das informações pessoais dos clientes, fornecedores, parceiros e pessoas colaboradoras. 

Quais as consequências de não se adequar às normas de segurança dos dados?

 A Lei Geral de Proteção de Dados estabeleceu seis tipos de punição para empresas que infringem as medidas:

  1. Advertência e determinação de um prazo limite para adequação à LGPD;

  2. Multa de até 2% sobre o faturamento anual da organização, com valor máximo de R$50 milhões;

  3. Multa diária (também limitada ao teto de R$50 milhões);

  4. Bloqueio de dados pessoais, o que impede a instituição de utilizar essas informações até que adeque suas operações;

  5. Eliminação por completo dos dados coletados;

  6. Publicização da infração, ou seja, a penalidade imposta à empresa é tornada pública.

Em relação a este último ponto, é importante ressaltar que a divulgação pode gerar prejuízos de reputação significativos, como a perda de confiança por parte dos stakeholders e queda nos resultados financeiros decorridos pela rejeição do público e queda na credibilidade da marca. 

Contudo, a ANPD não classifica todas as infrações da mesma forma. Elas são categorizadas seguindo os princípios de dosimetria, que já são aplicadas em outras esferas jurídicas, como o direito penal. 

A dosimetria qualifica os desvios de conduta de acordo com:

  • Gravidade (leve, média ou grave) e grau do dano causado;

  • A natureza da infração e quais direitos pessoais foram violados;

  • Se houve boa-fé, ou seja, se o deslize foi intencional ou não;

  • Qual foi a vantagem conquistada (ou pretendida);

  • A condição econômica do infrator;

  • Reincidência (já houve punição anterior);

  • A cooperação do infrator nos momentos de apuração e investigação do erro;

  • A existência de políticas de boas práticas de governança e compliance;

  • A adoção imediata de medidas corretivas;

  • Proporcionalidade entre a gravidade da infração e a intensidade da punição.

Vale lembrar que a fiscalização já está em andamento e que muitas empresas ainda não estão totalmente adequadas. De acordo com pesquisa divulgada pela FEBRABAN, apenas 20% das organizações brasileiras estão totalmente alinhadas às diretrizes da LGPD.

Portanto, se você atua no setor de Compliance, é importante colocar esse tema no seu radar e iniciar um processo de análise de riscos, revisão das políticas de proteção de dados e adoção de medidas para corrigir qualquer inconformidade. 

Lembre-se também que vazamentos de dados também geram custos para além das multas aplicadas pela ANPD. De acordo com o estudo “Cost of a Data Breach Report” elaborado pela IBM, o custo médio das violações de dados sensíveis no Brasil gira em torno de R$6, 45 milhões.

O relatório também aponta que o tempo médio para identificar e conter o vazamento é de cerca de 277 dias, período no qual os prejuízos podem se tornar ainda mais intensos.

O papel da tecnologia na adequação das empresas às políticas de proteção de dados

Apesar dos riscos da LGPD estarem atrelados ao uso de tecnologia, ela não é um problema, mas sim uma solução.

Existem diversas ferramentas digitais que podem ser implementadas em uma empresa para reduzir os riscos e assegurar que as operações estão em conformidade com as diretrizes da lei geral de proteção de dados.

Portanto, os setores de RH, TI e Compliance precisam avaliar quais recursos e inovações serão aplicados para monitorar a atividade das pessoas colaboradoras e proteger a base de dados. Dentre eles se destacam:

Sistema de controle de acesso e softwares de monitoramento

Definem quem pode acessar os dados e fazem registros de logins e movimentações de arquivos, o que amplia a qualidade da fiscalização e agiliza a identificação de infratores. 

Backup de documentos e bancos de dados

Este recurso é essencial em casos de ataques cibernéticos que visam destruir ou roubar as informações captadas pela empresa. 

Antivírus e firewalls

Ambos protegem os dispositivos com acesso à internet e impedem a instalação de arquivos maliciosos que servem para captação dos dados. 

O firewall também bloqueia o acesso à infraestrutura de redes da empresa, onde geralmente estão alocados os servidores que contém as informações sensíveis.

Criptografia

A criptografia também é um recurso importante para dificultar os cibercrimes. Ela cria protocolos de segurança da informação que impedem a leitura de informações estratégicas por pessoas não autorizadas. 

Treinamentos

Realizar treinamentos de segurança também contribui para reduzir episódios de roubos de dados, que muitas vezes ocorrem devido à falta de cuidado (ou conhecimentos) por parte das pessoas colaboradoras. 

Os programas de capacitação são excelentes formas para apresentar conceitos, informar sobre as consequências dos vazamentos de dados e ensinar boas práticas de proteção.

Além disso, eles contribuem para ampliar o conhecimento geral sobre as atividades do setor de Compliance e a importância delas para a integridade da organização. Ou seja, eles são etapas estratégicas para tornar este assunto mais acessível para todos.


Nós da SafeSpace acreditamos que ampliar a acessibilidade contribui para diminuir riscos e tornar as políticas de proteção mais eficazes. 

Portanto, se você sofre com esse desafio de desmistificar a complexidade do Compliance, não deixe de conferir o material rico que desenvolvemos em parceria com a Consultoria Gema. 

Nosso “Guia do Compliance Acessível” aborda temas como:

  1. O protagonismo do setor no combate aos desvios de conduta e construção de um ambiente corporativo saudável;

  2. Ferramentas e inovações tecnológicas que facilitam as atividades e acabam com a ideia de que o departamento é um “incômodo burocrático”;

  3. O impacto da cultura de Compliance nas relações comerciais;

  4. Formas de tornar os treinamentos mais efetivos.

Dê o primeiro passo para ampliar o conhecimento geral sobre os temas da sua área.

 
Thiago Andrade
Anterior

ISO 27001: como a certificação atesta segurança da informação nas empresas
Próximo

Como engajar pessoas colaboradoras a abraçar a diversidade e a inclusão?