Compliance e políticas de proteção de dados: por que sua empresa precisa saber disso?
Em 2023 completam-se cinco anos da elaboração da Lei Geral de Proteção de Dados, normativa criada para garantir aos cidadãos brasileiros mais controle sobre suas informações pessoais e determinar regras para que instituições públicas e privadas usem, transmitam e armazenem dados sensíveis de forma segura e transparente.
O texto da LGPD prevê medidas enérgicas contra as empresas que não adotam políticas de proteção de dados efetivas, tais como suspensão das atividades e multas que podem atingir R$50 milhões.
Durante os primeiros anos de vigência, a Autoridade Nacional de Proteção de Dados (ANPD) atuou dando suporte para a adequação à LGPD. Contudo, o período de adaptação se encerrou e o órgão já aplicou a primeira multa por descumprimento das diretrizes.
Para evitar transtornos e prejuízos envolvendo a política de proteção de dados, é essencial que o setor de Compliance revisite os processos com base nas leis vigentes e conheça a fundo quais são os riscos financeiros de não cumprir as obrigações determinadas pela LGPD.
Neste artigo, iremos apresentar para você os principais dispositivos legais que definem as regras para uso e armazenamento de informações pessoais e as consequências de não atuar em compliance com a Lei Geral de Proteção de Dados.
Compliance e políticas de proteção de dados: quais legislações devem fazer parte do dia a dia do setor?
O manejo de informações pessoais sensíveis e dados estratégicos é uma responsabilidade compartilhada entre os setores de TI e Compliance.
Enquanto o primeiro cuida da infraestrutura e dos protocolos de segurança, o segundo deve mapear riscos e garantir que a empresa atue em conformidade com as leis que regulamentam as políticas de proteção de dados.
Para te auxiliar com essa tarefa, vamos enumerar os dispositivos legais que abordam este tema e traçar a evolução das normas brasileiras até a criação da LGPD.
Constituição de 1988: o primeiro passo
Apesar de existirem leis mais antigas que lidam com o direito à privacidade das pessoas, vamos tomar a Constituição de 1988 como marco zero. No artigo 5º está previsto que a intimidade, a vida privada, a honra e a imagem são direitos invioláveis.
O texto garantiu o direito à indenização por danos materiais ou morais que sejam decorrentes de violações dos direitos listados acima.
Como impacta o Compliance: setor precisa conhecer os direitos individuais das pessoas colaboradoras e compreender como eles devem ser respeitados no ambiente de trabalho.
Código de Defesa do Consumidor
Anos mais tarde, em 1993, o Código de Defesa do Consumidor começa a atrelar dados pessoais às atividades corporativas. Surgem normas para garantir às pessoas o direito de acesso e alteração das informações sensíveis que estão em posse de uma empresa.
Como impacta o Compliance: determina deveres empresariais em relação aos seus clientes, o setor precisa assegurar que a atividade corporativa é pautada pelas normas que protegem os consumidores.
Lei nº9.296/1996
Conhecida como Lei da Escuta Telefônica, este dispositivo legal determinou sigilo inviolável às seguintes formas de comunicação:
Correspondências e mensagens telegráficas;
Comunicações telefônicas.
Todos os dados transmitidos por esses meios só podem ser acessados em caso de medidas legais. Ou seja, a quebra de sigilo telefônico e de correspondência só é tolerado em casos de investigação criminal ou decisão processual.
Como impacta o Compliance: a normativa deixa clara que escutas ilegais ou violação de correspondências pessoais geram punições, portanto, esses métodos não podem ser adotados em uma investigação sobre má conduta, salvo a existência de medidas judiciais.
Lei nº 12.737/2012
Um vazamento de fotos íntimas da atriz Carolina Dieckmann movimentou a criação de uma lei para responsabilizar criminalmente pessoas e empresas pela invasão de dispositivos eletrônicos (como celulares e notebooks) com o objetivo de roubar conteúdo pessoal e dados sensíveis.
Como impacta o Compliance: o setor deve educar as pessoas colaboradoras sobre as implicações jurídicas de acessar e compartilhar dados e conteúdos pessoais dos clientes (e também de colegas).
Marco civil da internet
A implementação do Marco Civil em 2013 foi importantíssimo para definir aspectos como limites para a liberdade de expressão e a neutralidade das redes.
Sua promulgação implicou em atualizações nos conceitos de privacidade, mas não definiu normas claras em relação às políticas de proteção de dados.
Como impacta o Compliance: o refino nas definições de privacidade implicou na necessidade de revisitar processos e mapear riscos para assegurar que a atividade da empresa respeita as normativas.
Decreto 7.962/2013
O decreto atualizou o Código de Defesa do Consumidor e obrigou empresas que atuam com vendas online a adotarem mecanismos de segurança para garantir a integridade dos dados bancários e pessoais dos clientes.
Como impacta o Compliance: empresas com atuação na internet precisam verificar se suas ferramentas de vendas são seguras e a infraestrutura digital possui mecanismos que impedem a ação de cibercriminosos.
LGPD
Em 2018 é sancionada a Lei nº13.709, que ficou conhecida como LGPD. A normativa surge na esteira da GDPR, dispositivo legal adotado na comunidade europeia.
Sua promulgação regulamentou o uso e a transferência de dados e determinou medidas punitivas para instituições - públicas e privadas - que descumprirem as regras.
A Lei Geral de Proteção de Dados passou por mudanças desde que foi criada. No fim de 2018, o Governo Federal autorizou a criação da ANPD e determinou prazo de 2 anos para adequação das empresas e início da fiscalização.
Por conta da pandemia, surgiram alguns projetos de lei com objetivo de adiar a vigência da LGPD, contudo, eles não foram acatados.
A única mudança aplicada foi a dilatação para o prazo de aplicação de multas. O prazo inicial (agosto de 2020) foi dilatado em um ano.
Como impacta o Compliance: a LGPD exige a formulação de políticas de proteção de dados para assegurar a integridade e uso correto das informações pessoais dos clientes, fornecedores, parceiros e pessoas colaboradoras.
Quais as consequências de não se adequar às normas de segurança dos dados?
A Lei Geral de Proteção de Dados estabeleceu seis tipos de punição para empresas que infringem as medidas:
Advertência e determinação de um prazo limite para adequação à LGPD;
Multa de até 2% sobre o faturamento anual da organização, com valor máximo de R$50 milhões;
Multa diária (também limitada ao teto de R$50 milhões);
Bloqueio de dados pessoais, o que impede a instituição de utilizar essas informações até que adeque suas operações;
Eliminação por completo dos dados coletados;
Publicização da infração, ou seja, a penalidade imposta à empresa é tornada pública.
Em relação a este último ponto, é importante ressaltar que a divulgação pode gerar prejuízos de reputação significativos, como a perda de confiança por parte dos stakeholders e queda nos resultados financeiros decorridos pela rejeição do público e queda na credibilidade da marca.
Contudo, a ANPD não classifica todas as infrações da mesma forma. Elas são categorizadas seguindo os princípios de dosimetria, que já são aplicadas em outras esferas jurídicas, como o direito penal.
A dosimetria qualifica os desvios de conduta de acordo com:
Gravidade (leve, média ou grave) e grau do dano causado;
A natureza da infração e quais direitos pessoais foram violados;
Se houve boa-fé, ou seja, se o deslize foi intencional ou não;
Qual foi a vantagem conquistada (ou pretendida);
A condição econômica do infrator;
Reincidência (já houve punição anterior);
A cooperação do infrator nos momentos de apuração e investigação do erro;
A existência de políticas de boas práticas de governança e compliance;
A adoção imediata de medidas corretivas;
Proporcionalidade entre a gravidade da infração e a intensidade da punição.
Vale lembrar que a fiscalização já está em andamento e que muitas empresas ainda não estão totalmente adequadas. De acordo com pesquisa divulgada pela FEBRABAN, apenas 20% das organizações brasileiras estão totalmente alinhadas às diretrizes da LGPD.
Portanto, se você atua no setor de Compliance, é importante colocar esse tema no seu radar e iniciar um processo de análise de riscos, revisão das políticas de proteção de dados e adoção de medidas para corrigir qualquer inconformidade.
Lembre-se também que vazamentos de dados também geram custos para além das multas aplicadas pela ANPD. De acordo com o estudo “Cost of a Data Breach Report” elaborado pela IBM, o custo médio das violações de dados sensíveis no Brasil gira em torno de R$6, 45 milhões.
O relatório também aponta que o tempo médio para identificar e conter o vazamento é de cerca de 277 dias, período no qual os prejuízos podem se tornar ainda mais intensos.
O papel da tecnologia na adequação das empresas às políticas de proteção de dados
Apesar dos riscos da LGPD estarem atrelados ao uso de tecnologia, ela não é um problema, mas sim uma solução.
Existem diversas ferramentas digitais que podem ser implementadas em uma empresa para reduzir os riscos e assegurar que as operações estão em conformidade com as diretrizes da lei geral de proteção de dados.
Portanto, os setores de RH, TI e Compliance precisam avaliar quais recursos e inovações serão aplicados para monitorar a atividade das pessoas colaboradoras e proteger a base de dados. Dentre eles se destacam:
Sistema de controle de acesso e softwares de monitoramento
Definem quem pode acessar os dados e fazem registros de logins e movimentações de arquivos, o que amplia a qualidade da fiscalização e agiliza a identificação de infratores.
Backup de documentos e bancos de dados
Este recurso é essencial em casos de ataques cibernéticos que visam destruir ou roubar as informações captadas pela empresa.
Antivírus e firewalls
Ambos protegem os dispositivos com acesso à internet e impedem a instalação de arquivos maliciosos que servem para captação dos dados.
O firewall também bloqueia o acesso à infraestrutura de redes da empresa, onde geralmente estão alocados os servidores que contém as informações sensíveis.
Criptografia
A criptografia também é um recurso importante para dificultar os cibercrimes. Ela cria protocolos de segurança da informação que impedem a leitura de informações estratégicas por pessoas não autorizadas.
Treinamentos
Realizar treinamentos de segurança também contribui para reduzir episódios de roubos de dados, que muitas vezes ocorrem devido à falta de cuidado (ou conhecimentos) por parte das pessoas colaboradoras.
Os programas de capacitação são excelentes formas para apresentar conceitos, informar sobre as consequências dos vazamentos de dados e ensinar boas práticas de proteção.
Além disso, eles contribuem para ampliar o conhecimento geral sobre as atividades do setor de Compliance e a importância delas para a integridade da organização. Ou seja, eles são etapas estratégicas para tornar este assunto mais acessível para todos.
Nós da SafeSpace acreditamos que ampliar a acessibilidade contribui para diminuir riscos e tornar as políticas de proteção mais eficazes.
Portanto, se você sofre com esse desafio de desmistificar a complexidade do Compliance, não deixe de conferir o material rico que desenvolvemos em parceria com a Consultoria Gema.
Nosso “Guia do Compliance Acessível” aborda temas como:
O protagonismo do setor no combate aos desvios de conduta e construção de um ambiente corporativo saudável;
Ferramentas e inovações tecnológicas que facilitam as atividades e acabam com a ideia de que o departamento é um “incômodo burocrático”;
O impacto da cultura de Compliance nas relações comerciais;
Formas de tornar os treinamentos mais efetivos.
Dê o primeiro passo para ampliar o conhecimento geral sobre os temas da sua área.