Compliance no setor de tecnologia e telecomunicações

As empresas do setor de tecnologia e telecomunicações enfrentam uma série de desafios de compliance, devido, principalmente, à natureza regulada de suas operações e ao grande volume de dados pessoais tratados no dia a dia de suas atividades, o que inevitavelmente acarreta, não somente riscos regulatórios, como também riscos de eventuais incidentes de segurança nas organizações. Adicionalmente, essas empresas, muitas vezes, para a garantia de uma maior eficiência e otimização dos seus serviços, terceirizam parte de suas operações, o que deve pressupor a necessidade de uma avaliação importante do terceiro contratado, uma vez que, é também fundamental garantir que os fornecedores e parceiros também estejam em conformidade com as melhores práticas de compliance. Além de todos estes desafios inerentes às atividades das empresas do setor de tecnologia e telecomunicações, em regra, estamos falando de operações de caráter transfronteiriço, o que quer dizer que, são de observância obrigatória, as regulamentações dos diferentes países envolvidos nas operações, direcionando, inclusive, à gestão de uma régua de compliance, sempre nos patamares mais altos de conformidade, o que não deixa de ser um desafio significativo.

As empresas devem cumprir as regras de compliance no ambiente digital, visando, principalmente, a garantia e a proteção de direitos dos titulares e de seus dados pessoais. Nesse sentido, as empresas que não estiverem em conformidade, poderão enfrentar uma série de sanções e ações judiciais de indivíduos ou grupos afetados, que buscam a indenização pelos danos causados. As autoridades também poderão sancionar as empresas com a aplicação de multas expressivas, proibições e restrições operacionais, dentre outras sanções administrativas, causando prejuízos incontáveis, ou ainda, abalos significativos e irreversíveis à reputação e à marca da organização.

Desenvolver e implementar programas de compliance eficazes em um ambiente digital em constante evolução é crucial para garantir que as empresas atendam aos requisitos regulatórios e éticos, fundamentais para a sustentabilidade dos negócios corporativos. O primeiro grande passo para garantir o sucesso de um programa de compliance é o comprometimento da liderança, isto quer dizer que, a liderança deverá, genuinamente, compreender a relevância do tema, para que possa efetivamente implementar uma cultura de conformidade, fornecendo os recursos adequados para a manutenção de um programa de compliance robusto e eficaz. O desenvolvimento de políticas e procedimentos de governança são essenciais dentro de um programa de compliance. Estes documentos devem ser amplamente divulgados, a fim de serem efetivamente implementados, no dia a dia das atividades empresariais, de forma precisa e adequada pelos responsáveis e demais envolvidos.

Nesse contexto, não há como se falar em conformidade em um ambiente digital, sem trazer o devido destaque para a importância da educação digital. Educar também os usuários, não somente sobre os seus direitos, mas também sobre as práticas de segurança para a proteção dos seus dados pessoais e a garantia da privacidade é fundamental. Hoje podemos dizer que a educação digital também é uma obrigação da empresa, que deverá promover de forma transparente, orientações claras aos usuários sobre como poderão proteger suas informações pessoais e garantir os seus direitos enquanto usam os serviços da empresa. Todo esse movimento envolve uma governança corporativa responsável, levando em conta não apenas os interesses empresariais, mas também o impacto de suas atividades na sociedade como um todo.

Ademais é necessário que a empresa esteja ciente e atenta aos riscos de eventual violação à privacidade dos titulares de dados. Dessa forma, a organização deverá realizar avaliações periódicas acerca dos riscos inerentes às suas atividades, bem como, dos possíveis impactos, a fim de identificar vulnerabilidades e ameaças à segurança no tratamento dos dados pessoais. Nesse sentido, medidas técnicas e organizacionais devem ser implementadas, tais como, controles de acesso,  implementação da autenticação de múltiplos fatores, gerenciamento de privilégios, monitoramento das atividades de usuários, utilização de criptografia para proteger dados confidenciais durante a transmissão e armazenamento, sistemas de monitoramento e detecção de ameaças para identificar atividades suspeitas ou não autorizadas em tempo real, realização de testes e desenvolvimento de planos de resposta a incidentes para lidar com as violações de segurança de dados de forma eficaz e rápida, inclusive com a notificação adequada às autoridades competentes e aos indivíduos afetados, conforme exigido pela recente regulamentação da ANPD - Autoridade Nacional da Proteção de Dados Pessoais.

No caso de transferências internacionais de dados pessoais, medidas apropriadas devem garantir que os dados sejam protegidos de acordo com os padrões de proteção adequados e estejam em conformidade com as exigências regulatórias de cada localidade. Por fim, as cláusulas contratuais para a proteção de dados também devem incluir salvaguardas robustas para o seu devido tratamento, além de disposições que permitam ao controlador de dados auditar as práticas de segurança e conformidade do operador, bem como monitorar o cumprimento das obrigações contratuais ao longo do tempo.

As novas tecnologias, sem dúvida, são ferramentas fundamentais para a inovação nos processos de compliance do setor tecnologia e telecomunicações, uma vez que auxiliam nas análises preditivas e podem ser utilizadas para examinar grandes conjuntos de dados, identificando padrões ou tendências, que muitas vezes irão, eventualmente, indicar também possíveis violações de compliance. Adicionalmente, com o avanço tecnológico será possível facilitar e tornar mais ágil a realização dos processos de auditorias, inclusive digitais, como em casos de incidentes de segurança, permitindo que as empresas coletem, analisem e registrem as evidências de forma mais eficaz, mitigando ou eliminando potenciais danos aos titulares, e ao mesmo tempo, atendendo às exigências regulatórias, como por exemplo, ao princípio da responsabilização e prestação de contas, previsto expressamente na LGPD - Lei Geral de Proteção de Dados.