compliance, ciberseguranca

Compliance e LGPD: guia completo para conformidade

Publicado em 13 de Maio de 2022

Tudo o que você precisa saber sobre a relação entre Compliance e LGPD. Tudo o que você precisa saber sobre a relação entre Compliance e LGPD.

A internet transformou a sociedade em inúmeros aspectos, tanto para o mal quanto para o bem. Ao mesmo tempo em que compensou as distâncias geográficas, conectando pessoas de diferentes hemisférios do planeta Terra, também viabilizou novas formas de atitudes criminosas: os ciberataques.

O que você precisa saber sobre Compliance e LGPD?

 

Diante dos riscos do mundo digital, a conformidade à Lei Geral de Proteção de Dados (LGPD) pode ser vista como aliada à prevenção de incidentes decorrentes de cibercrimes e, por isso, ganhou espaço na área de Compliance empresarial.

À primeira vista, você pode pensar que Compliance e LGPD não possuem nenhuma relação entre si. Porém, esses termos têm muito a ver um com o outro. Para entender o porquê disso, antes é necessário compreendê-los separadamente.

Leia este artigo e entenda como esses conceitos se relacionam.

O que é compliance?

 

O verbo inglês “to comply” (cumprir) deu origem ao termo Compliance, frequentemente traduzido como “conformidade”. Mas o que é conformidade? Tal conceito se refere ao ato de estar de acordo com as normas, leis, regulamentos etc. Porém, de acordo com Livia Cuiabano, Head de Risk & Compliance na Atlas Governance, uma das formas de se entender didaticamente o conceito de Compliance empresarial é enxergá-lo pelas duas facetas pelas quais ele atua no dia a dia da organização: a repressiva e a preventiva

A área de Compliance, na primeira compreensão, é o guardião que observa se as regras estão sendo devidamente cumpridas — o que remonta a etimologia do termo (de se fazer cumprir). Na segunda, entende-se que o setor elimina, mitiga ou previne a ocorrência de problemas por meio da gestão de riscos de compliance

O que é LGPD? 

 

Aprovada em agosto de 2018 e com vigência a partir de agosto de 2020, a Lei Geral de Proteção de Dados (Lei nº 13.709/2018) foi uma importante mudança para o contexto empresarial brasileiro. Nos termos da Constituição Federal, ela “dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural”. 

A legislação promove um cenário de maior transparência sobre as atividades que envolvam dados pessoais e a observância de princípios-chave para a conformidade, com especial atenção à finalidade legítima da operação, à compatibilidade do contexto da atividade com a informação repassada ao titular e à limitação do tratamento aos dados pessoais necessários para o cumprimento da finalidade.

Imagem com frase ao fundo branco dizendo: "Uma empresa só pode utilizar os dados mediante a concessão do proprietário das informações. O titular do dado tem que gerar o consentimento para o tratamento."

Além disso, a LGPD atribui à empresa a responsabilidade pela proteção da segurança e garantia da privacidade dos dados pessoais, exigindo atenção aos riscos e vulnerabilidades da organização e a adoção de medidas preventivas. A adoção dessas medidas visa impactar nas seguintes questões: 

Segurança da informação 

 

A lei prevê que organizações sejam totalmente responsáveis pela proteção das informações dos usuários, o que demanda uma gestão mais sólida em relação a riscos de vazamentos, violações, roubo e sequestro de dados. À medida em que sua empresa cresce em evidência na mídia e nas redes sociais, os indicadores de tentativas de ciberataques tendem a crescer também. Como a sua organização lida com os riscos de ataques cibernéticos? 

Transparência 

 

Dentre as obrigações previstas na LGPD, uma das principais mudanças se trata do dever de informação por parte das empresas para transparecer aos titulares as suas práticas em relação aos dados pessoais. Ao titular devem ser garantidas as informações não só sobre as práticas da empresa, como também possibilitado acesso aos seus dados pessoais armazenados pela empresa e demais agentes envolvidos nas operações. 

É dever também das empresas apresentar políticas claras de privacidade para os usuários, esclarecendo o uso, tratamento e armazenamento dos seus dados pessoais e sensíveis, para que todos tenham pleno entendimento do que será feito com suas informações sigilosas. Os treinamentos periódicos nesse sentido, trazendo o assunto para o cotidiano de forma simples de entender e sempre dando reforço à sua importância, são igualmente relevantes. 

Privacidade 

 

A privacidade do titular deve ser preservada pela empresa, mediante a adoção de mecanismos para restringir o acesso apenas a pessoas autorizadas de acordo com as suas atividades e responsabilidades. 

Há uma diferença, inclusive, a ser observada entre dados pessoais e dados pessoais sensíveis. A primeira categoria se refere aos dados pessoais “comuns”, como nascimento, idade, nome, contatos etc., enquanto a segunda categoria se refere a dados pessoais com maior grau de intimidade para o titular, apresentados pela LGPD como dados relacionados às seguintes informações: 

  • Origem racial ou étnica;
  • Convicção religiosa;
  • Opinião política;
  • Filiação a sindicato ou organização de caráter religioso, filosófico ou político;
  • Dado referente à saúde ou à vida sexual;
  • Dado genético ou biométrico. 

 

Caso a empresa realize o tratamento de dados pessoais sensíveis, deverá observar os requisitos autorizadores específicos da categoria, bem como reforçar a segurança dos processos relacionados. Isso porque, pela sua qualidade e maior possibilidade de uso para fins ilegítimos, a legislação confere maior grau de proteção à categoria. 

Punições e multas 

 

O não-cumprimento das regras poderá acarretar consequências rígidas, como a aplicação de sanções pela Autoridade Nacional de Proteção de Dados (ANPD), conforme previsão do art. 52 da LGPD: 

  • advertência, com indicação de prazo para adoção de medidas corretivas; 
  • multa simples, de até 2% (dois por cento) do faturamento, limitada a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
  • multa diária;
  • publicização da infração após devidamente apurada e confirmada a sua ocorrência;
  • bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
  • eliminação dos dados pessoais a que se refere a infração;
  • suspensão parcial do funcionamento do banco de dados por até 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento; 
  • suspensão do exercício da atividade de tratamento dos dados pessoais por até 6 (seis) meses, prorrogável por igual período;
  • proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.  

 

Relação entre Compliance e LGPD 

 

“Quando você quiser comer um elefante que está no seu caminho”, ensina um antigo provérbio africado, “faça-o fatia por fatia”. Isso quer dizer que, para superar um desafio, absorver um extenso conteúdo ou solucionar um grande problema, é preciso separá-lo em pequenas partes e “consumi-las” aos poucos. 

Pode-se dizer que o Compliance é um elefante. Não é algo que se entende da noite para o dia. Geralmente, ele é dividido em várias fatias, dentre as quais está a do Compliance na Segurança da Informação. É nessa fatia que se fala sobre a conformidade em relação à LGPD, uma regra que passou a valer para todas as empresas desde 2020. 

O Compliance empresarial, então, como guardião do cumprimento das normas e dificultador da ocorrência de riscos, aplica-se na Segurança da Informação à medida em que gerencia as ameaças do universo digital e tecnológico e promove conformidade na organização com as normas referentes aos tratamentos e obtenção de dados. 

Compliance e LGPD: um passo a passo para se conformar a lei geral de proteção de dados 

 

A partir de agora, fornecemos um guia de como deixar a sua empresa em conformidade com o checklist LGPD. Veja o passo a passo: 

Suporte da alta gestão 

 

O primeiro passo para elaborar um projeto de conformidade com a LGPD demanda o apoio da Alta Gestão. Por isso, a diretoria deve entender os impactos positivos e negativos da lei. E, para isso, é preciso apresentar à Alta Gestão as ameaças e oportunidades da LGPD para a organização. 

Inclusive, o suporte da Alta Gestão ou do Conselho de Administração da sua empresa é condição não só para o projeto de conformidade com a LGPD, mas, também, para a implementação efetiva do Compliance empresarial. Chamam esse requisito de “Tone of the Top” (“Tom do topo”, em português). Como a Alta Administração da sua organização dá suporte à proposta de conformidade com a LGPD? 

Além disso, nesta primeira fase, é importante incorporar a ameaça do cibercrime na estrutura da gestão de riscos. Esse risco não pode ficar de fora da Matriz de Risco ou até da Matriz de Materialidade da empresa. 

Escopo e planejamento do projeto 

 

Tendo obtido apoio da Alta Gestão para o projeto, agora é hora de identificar quais setores da sua empresa realizam atividades de tratamento de dados pessoais, os responsáveis pelas áreas e quem conduzirá o projeto de implementação. 

Mapear os dados e realizar uma auditoria de fluxo de dados 

 

Esta etapa se constitui pela averiguação e mapeamento das operações de tratamento de dados pessoais, identificando as finalidades de cada atividade, os dados pessoais processados, o fundamento legal, se há compartilhamento com terceiros e as medidas de segurança aplicadas.  

Realize uma análise detalhada de lacunas 

 

Realizado o inventário das operações de tratamento, é necessário auditar a conformidade atual em relação à LGPD, identificando as brechas de conformidade que devem ser corrigidas. Você sabe com quais requisitos da Lei a sua empresa ainda precisa estar em conformidade? 

A partir disso, você entenderá quais áreas e processos devem ser corrigidos para atender às exigências da LGPD. Assim, é momento de otimizar suas atividades operacionais internas para que todos os dados pessoais sejam coletados, tratados e usados conforme as políticas da empresa e a própria lei. 

Proteger os dados pessoais por meio de medidas técnicas

 

A sua organização também deve ter em vigor políticas rígidas de segurança da informação e de privacidade. Isso porque a LGPD estabelece que as empresas adotem “medidas técnicas e organizacionais apropriadas”, assegurando o processamento apropriado das informações pessoais. 

Comunicação e treinamentos

 

O trabalho realizado em prol da proteção de dados na sua empresa não será efetivo sem investimentos em comunicação interna e treinamentos. Além de assegurar a organização de possíveis ameaças, é importante também educar os colaboradores em relação aos riscos que existem no universo digital. Conscientizados, eles serão mais cautelosos em suas atividades, dificultando a possibilidade de eles mesmos serem porta de entrada para ciberataques de engenharia social

Monitoramento e auditoria

 

Por fim, para garantir a realização das normas, deve-se dispor de métodos e mecanismos de monitoramento e fiscalização das operações no cotidiano da empresa. 

Há uma diferença entre monitoramento e auditoria. O primeiro termo se refere a uma ação contínua exercida sobre procedimentos; o segundo, é mais pontual, relacionado ao papel da Auditoria e tende a vasculhar tudo que foi feito procurando por falhas técnicas, omissões ou violações. 

Este artigo lhe ajudou de alguma maneira? Se sim, compartilhe com seus colegas e continue navegando em nosso blog!

 

Publicado por Luiz Gustavo Anjos