A publicação da Lei Geral de Proteção de Dados Pessoais (LGPD), qual seja, a lei 13.709 de 14 de agosto de 2018, representa um marco ao dispor sobre o seu tratamento por pessoas jurídicas e físicas que tratam os dados com finalidade lucrativa, ao apresentar conceitos e ao buscar estruturar nacionalmente um sistema efetivo de proteção de dados pessoais.
Ao mesmo tempo, a LGPD deixa espaços para interpretações e regulamentação pela Autoridade Nacional de Proteção de Dados (ANPD), a quem incumbe zelar pelos dados pessoais, bem como regulamentar a LGPD e o seu enforcement.
Nessa linha a lei surgiu para trazer um equilíbrio nas relações, evitar abusos e manipulações, atender uma tendência mundial.
Demora vinte anos para construir uma reputação e cinco minutos para arruiná-la. Você vai mudar sua atitude, se você pensar seriamente nisso. (Warren Buffett).
Possuir uma certificação LGPD é transmitir confiança, integridade e credibilidade para os consumidores. A governança corporativa é importante, em razão dos conflitos de interesses, limitações técnicas individuais e vieses cognitivos, sendo que seus principais fundamentos são: transparência (disclosure); equidade (fairness); prestação de contas (accountability); cumprimento das leis (compliance).
Conjunto de mecanismos que visam a fazer com que as decisões corporativas sejam sempre tomadas com a finalidade de maximizar a perspectiva de geração de valor de longo prazo para o negócio (Silveira, 2010).
O compliance é uma área que cuida de risco de conformidade, operacional e reputacional da empresa, então para adequar a empresa a LGPD, se faz necessário a implementação do compliance, e a não observância disso tudo pode virar risco financeiro em potencial.
O primeiro passo para a implementação do compliance é escrever um código de ética e conduta, ou seja, criar uma norma interna para a empresa. A ANPD (Autoridade Nacional de Proteção dos Dados) é o órgão responsável por fiscalizar e regulamentar os critérios da LGPD.
E quais os benefícios que minha empresa teria com isso?
- Melhora o desempenho do empregado e o compromisso com a organização a que pertence;
- Direciona a performance do negócio;
- Protege o valor da marca;
- Reduz custos e despesas da organização;
- Protege os Diretores e demais dirigentes da empresa;
- Serve como um fator atenuante em situações de não conformidade.
O compliance pode ser entendido como:
Relacionado à longevidade da organização, e deve permear o processo de tomada de decisão e as avaliações das ações empresariais. Ao adotar tal princípio a empresa avalia a diminuição de externalidades negativas, levando em consideração que suas escolhas afetam diversos recursos da organização tais como: capital humano, social, ambiental, digital, entre outros. (IBCG, 2015).
Fazendo um comparativo, se tiver um vazamento de dados por não ter implementado um compliance e ter conseguido verificar antes o risco operacional, a empresa poderá ter um prejuízo financeiro.
O dado tem valor econômico, mesmo antes da internet e por este motivo, a lei não trata apenas dos dados na internet, e sim a coleta e tratamento de dados pessoais, onde deverão ser cumpridas diversas obrigações legais, além de procedimentos preliminares de segurança e governança. Considerando que, os dados pessoais sempre foram coletados a exemplo: cadastro na academia, realização de comprar etc.
A coleta desses dados sempre gerou um mercado paralelo de comercialização dos dados, a tecnologia e telefonia que permite essa rapidez dessa troca de dados e assim, o Brasil pode vivenciar escândalos que ocasionaram a produção da lei. Isso inclui dados como nome, e-mail, número do RG e do CPF, origem racial ou étnica, convicções religiosas e opiniões políticas.
Exemplo 1:
Google em 2013 para selecionar os empregados para trabalhar, colocou um robô que selecionava os currículos dos candidatos e traçavam os perfis dos profissionais ideias para fazer entregas, empacotar rapidamente, etiquetar dentre outras atividades e a inteligência artificial reproduz um comportamento humano e por conseguinte seus preconceitos, falhas e erros.
Logo, em 2015 teve o primeiro grande escândalo por não selecionar mulheres e negros, porque, os seres humanos que contratavam achavam que mulheres e negros não eram capazes.
Exemplo 2:
Amazon fotos, identificava imagens da família até que identificou dois negros como dois gurilas e gerou um novo escândalo. O recurso utiliza um sistema de reconhecimento de imagens para qualificar cada fotografia. Entretanto, apesar de prática e interessante.
O dado pessoal é do titular àquele que se refere, não a empresa que captura e está não pode utilizar os dados, sem que a lei ampare essa autorização para tratar. ARMEZENAR também é tratamento. A lei não foi destinada a pessoa jurídica no que se refere a proteção de dados na LGPD, ou seja, é a pessoa natural que é a protegida pela lei.
A LGPD no art. 5º conceitua dado pessoal é CPF, RG, e dado sensível que é tudo relacionado a étnica, religião, vida sexual, genético, biométrico. Então é importante pontuar os 10 (dez) princípios que regem a LGPD, um dos mais importantes é a finalidade, por exemplo, quando realiza a compra numa loja e o atendente pede o CPF e o cliente pergunta, pra que? O Funcionário da loja responde para cadastro e recebe a negativa que não autoriza pois o pagamento é no cartão.
Autodeterminação informativa é o poder de determinar o que você quer fazer com seus dados ou o que será feito.
- Finalidade é toda coleta de dado tem uma finalidade determinada;
- Necessidade, os dados coletados devem ser necessários para atingir aquela finalidade;
- Transparência é preciso deixar claro com o titular o que será feito com seus dados;
- Adequação é necessário usar o meio e o momento adequado para coletar dados;
- Qualidade de dados é necessário ter um cadastro que devem está exatos e preciso, tem que atualizar;
- Livre acesso, ou seja, acesso gratuito e livre aos seus dados que a empresa detém. A empresa deve ter um canal de atendimento para isso;
- Segurança é preciso garantir a segurança do processo;
- Prevenção são os meios de evitar, prevenir a ocorrência de perdas;
- Da não discriminação não pode tratar com fins discriminatórios, ex. conforme a religião que pratica;
- Prestação a empresa tem que comprovar que está adequada, as medidas tomadas pela empresa que cumpre a lei, estão todos os processos de adequação tem que ser documentado.
Com o fito de estabelecer normas para garantir a privacidade e o uso de dados pessoais na internet, a LGPD também impulsionou a criação de toda uma infraestrutura de segurança. Prova disso é a instituição, em 2019, da Autoridade Nacional de Proteção de Dados (ANPD) pela lei 13.853, de 2019. Como diz o texto de lei, trata-se do “órgão da administração pública federal, integrante da Presidência da República”, cuja função é justamente garantir a observância à LGPD.
Optar por obter custos com a adequação à lei de Proteção de Dados e não com as multas pelo descumprimento da lei que, pois o Brasil é o país que mais vaza dados, logo é melhor investir numa base de dados segura.
No Brasil é necessário conduta afirmativa e os requisitos estão na LGPD. As sanções estão expressas no art. 11 do MCI e art. 52 da LGPD, sendo que no MCI é aplicável a qualquer operação de guarda ou tratamento de dados pessoais, a LGPD as sanções são aplicadas aos sujeitos de tratamento que seria o controlador e estas são aplicadas pela ANPD
A LGPD foi mais branda quanto a multa e é mais favorável ao devedor, porém, em ambos os casos é preciso observar o limite de R$ 50 milhões por infração e até 2% do faturamento da pessoa jurídica.
Observa-se, o liame temporal do cometimento da infração, se foi cometida antes da entrada em vigor da lei ou não, e se o julgamento foi após a entrada em vigor da lei. Desta maneira, o STJ aplica a retroatividade in bonam partem do Direito Penal.
Todo negócio tem risco, os sistemas de controles das empresas irão direcionar a empresa para uma conformidade legal e regulatória.
“Quando investidores compram ações, cirurgiões realizam operações, engenheiros projetam pontes, empresários abrem seus negócios e políticos concorrem a cargos eletivos, o risco é um parceiro inevitável. Contudo, suas ações revelam que o risco não precisa ser hoje tão temido: administrá-lo tornou-se sinônimo de desafio e oportunidade.” (BERNSTEIN, 1996)
Garantir ao cliente/consumidor que os dados coletados por sua empresa, seja no cadastro do CPF para desconto no restaurante por exemplo, ou qualquer outro dado necessário para uma finalidade específica do seu negócio, que estes sejam protegidos e que sua empresa adotou mecanismos para evitar esse vazamento, como por ex. o programa de integridade será levado em consideração quando dá aplicação da penalidade pelo vazamento.
É necessário identificar a probabilidade de riscos e priorizar os ricos atuais e potenciais. Assim é preciso decidir sobre a estrutura e o método de identificação de risco, determinar quem precisa estar envolvido nesta etapa, identificar as dimensões de risco que serão examinadas, decidir sobre quais informações (dados) são necessários para auxiliar na identificação de riscos (reativo ou proativo), registrar adequadamente os riscos identificados.
Fonte: Manual de Gestão para Relações com Investidores
Confiança e credibilidade são bases para o sucesso da empresa, então a gestão a estrutura de gestão de riscos fornece as bases a serem implantadas pelo seu negócio, então a melhor maneira é definir o contexto operacional e estratégico da instituição de acordo com a cultura da empresa.
A cultura da empresa se muda de forma gradativa, com constância e consistência em parceria com o RH da empresa, com o apoio da alta administração atingindo o objetivo para disseminar o programa de conformidade.
Não estamos aqui tratando de placa:
Disseminar a cultura de compliance é quando o treinamento realizado por quem ficou responsável pela implementação é eficaz, a ponto de os próprios funcionários comprarem a ideia, de que o fazer certo é o melhor caminho, pois vê como parceiro que irá levá-los a frutos ainda não alcançados.
É preciso verificar os critérios para determinar se um risco é aceitável ou não. E por fim, o planejamento quanto ao tipo e o nível de risco clínico de gestão, bem como controle e opções de gestão.
Cenário do Compliance em termos gerais e o compliance digital; - Entendemos o contexto da organização; - Alinhamos as expectativas das partes interessadas e limitamos o escopo do SGC; - Identificamos as obrigações de compliance; - Mapeamos os processos; - Realizamos a matriz de risco; - Conhecemos os códigos e políticas de compliance; - Estudamos os principais controles e boas práticas de governança de dados aliados a gestão de risco; - Estudamos os controles aplicáveis a privacidade de dados;
Embora a tendência do mercado de compliance seja a implementação da LGPD, não é essa a única atuação do compliance digital:
- Marco Civil da Internet
- Lei 12.737/12 – C.Penal Invasão de dispositivo informático.
- Regulamentação do e-comerce – Decreto 7962/2013
- Cadastro Base de Cidadão
- Prevenção à Lavagem de dinheiro – Circular 3978/2020
- Código Penal – Segredo de negócio
- Engenharia social
- Resolução 740/2020 – ANATEL - Regulamento Seg. Cibernética para o setor de telecomunicações.
- Resolução 4.893/2021 – BACEN – Requisitos para contratação de processamento de dados.
- Impactos no risco concorrencial – caso Drogaria Raia.
- Descarte de informações de forma indevida.
- Compartilhamento de informações com o e-mail pessoal.
- BYOD, COP, CYOD.
- Trabalho por acesso remoto.
O mercado já entendeu que uma empresa que conhece os seus riscos, mas não faz nada sobre ele, ela vive numa “corda bamba”, mas ela sabe do risco que corre. Uma empresa no mínimo deve conhecer os ricos que corre, pois assim, terá condições para tomar decisão sobre ele e nem sempre a decisão da alta administração será de eliminar o risco. O compliance tem a missão de dar VISIBILIDADE DOS RISCOS e sugerir como tratar, monitorar e reportar os resultados de acordo com a decisão da alta administração tomou e pode decidir por assumir esse risco.
As empresas e os profissionais liberais devem se adequar a LGPD, primeiro porque é uma obrigação estabelecida na lei 13.709/18 para todas as empresas, e ela se aplica a todos os seguimentos e tamanho para empresas que coletam ou processam dados. A lei não é opcional, logo ignorar a necessidade, sua empresa pode ficar ilegal, e poderá ser multado em até 2% do seu último exercício fiscal, com o teto de 50 milhões por infração como já informado anteriormente.
Empresas que não demonstraram essa preocupação com os dados dos clientes, perdem competitividade no mercado, os negócios de setor de alimentação são afetados, por ex. os envios promocionais ou e-mais de martketing por mailing de clientes já construído, cadastro de acesso ao wifi é necessário tomar alguns cuidados para elaborar o termo de uso de consentimento, informando a finalidade do uso e as exigências e que este esteja disponível para acesso em seus canais de contato.
___________________________
Fonte: https://olhardigital.com.br/2021/09/12/seguranca/brasil-e-o-5o-pais-em-ataques-de-hackers-contra-empresas/
Fonte: https://canaltech.com.br/seguranca/banco-pan-confirma-e-detalha-vazamento-de-dados-pessoais-de-milhares-de-clientes-214176/