Pilares de Programas de Compliance: a possibilidade de aproveitamento do programa anticorrupção na implementação de programas em proteção de dados

0
130
DOI: ESTE ARTIGO AINDA NÃO POSSUI DOI SOLICITAR AGORA!
PDF

ARTIGO ORIGINAL

RIBEIRO, Juliana da Gama [1]

RIBEIRO, Juliana da Gama. Pilares de programas de Compliance: a possibilidade de aproveitamento do programa anticorrupção na implementação de programas em proteção de dados. Revista Científica Multidisciplinar Núcleo do Conhecimento. Ano 06, Ed. 07, Vol. 10, pp. 57-81. Julho de 2021. ISSN: 2448-0959, Link de acesso: https://www.nucleodoconhecimento.com.br/lei/aproveitamento-do-programa

RESUMO

Este artigo tem como objetivo responder ao seguinte questionamento: Existe a possibilidade de aproveitamento de programas de compliance anticorrupção já implementados para a execução de programas de compliance em proteção de dados? Com base nos pilares de execução ambas as modalidades de programas apresentam pilares em comum, assim é possível fazer uma reflexão e salientar a necessidade de adaptação das empresas à Lei Geral de Proteção de Dados (LGPD). As informações para o desenvolvimento da pesquisa foram obtidas a partir de revisão bibliográfica, abrangendo os principais tópicos tais como: a LGPD, o Compliance e seus pilares para a implantação do programa. Diante disso, ao concluir a pesquisa é possível identificar que existem pilares de execução que são comuns em ambos os programas, e que, portanto, permitem o aproveitamento, assim como existem pilares específicos para a proteção de dados, mas que mesmo assim não inviabiliza o aproveitamento, devendo apenas ser observada a maior complexidade em relação a análise dos riscos de tratamento de dados pessoais para adotarem a privacidade de informações pessoais desde a origem.

Palavras-Chaves: Compliance, Proteção de Dados, Conformidade, Lei Geral de Proteção de Dados, Pilares de programas de Compliance.

1. INTRODUÇÃO

A referida pesquisa foi desenvolvida com o intuito de questionar: Existe a possibilidade de aproveitamento de programas de compliance anticorrupção já implementados para a execução de programas de compliance em proteção de dados de acordo com a Lei Geral de Proteção de Dados (LGPD), n°13.709/2018[2]? A referida Lei já se encontra em vigor, no entanto conforme foi instituído pela Lei n°14.058/2020[3], as sanções foram adiadas e estão previstas para serem aplicadas a partir de agosto de 2021, em consonância com a Lei n°14.010/2020[4].

Elegeu-se para tanto, o estudo comparativo sobre os princípios norteadores para a aplicação da lei a partir de seus princípios substanciais (pilares), e das bases legais que tem por finalidade disciplinar as hipóteses em que os dados podem ser tratados, para que se possa verificar a possibilidade de aproveitamento de programas de compliance já implementados, ou seja, focando na execução, seja atinente à anticorrupção ou especificamente, relacionados à proteção de dados.

Com base no exposto, e visando a questão da ética e transparência de forma a agregar às empresas e, consequentemente, aos gestores que as adotam, maior segurança nos trâmites de informação, buscou-se responder ao questionamento da possibilidade de aproveitamento de programas de Compliance já implementados, com base na análise dos pilares de execução em proteção de dados, ressaltando a importância da adequação com a lei e regulamentos para o tratamento de dados pessoais sejam eles de colaboradores, clientes, fornecedores ou parceiros.

Em face dessa realidade, objetivou-se evidenciar a possibilidade de se aproveitar programas de Compliance anticorrupção já implementados dentro das empresas, de forma a identificar que existe dentro das aplicações pontos em comum e pontos específicos de acordo com o objetivo almejado, de modo a aplicá-los aos programas de proteção de dados.

As informações para o desenvolvimento da pesquisa foram obtidas a partir de revisão bibliográfica, abrangendo os principais tópicos tais como: a LGPD, o Compliance e seus pilares para a implantação do programa, além de indicar o direito à privacidade de dados dos titulares de acordo com a legislação vigente, sendo feita uma análise dos pilares do programa de Compliance em proteção de dados.

Diante disso, ao concluir a pesquisa e analisarem-se os riscos de tratamento de dados pessoais, percebe-se que há necessidade de mapeamento do ciclo de vida dos mesmos, assim como adequação dos sistemas de segurança, produtos e serviços para adotarem a privacidade de informações pessoais desde a origem.

2. O COMPLIANCE E SEUS PILARES PARA IMPLANTAÇÃO DO PROGRAMA

Debate-se muito sobre o termo Compliance, que em português significa “conformidade”, no entanto segundo Serpa (2016), o termo torna-se deveras abrangente, visto que vem sendo utilizado há séculos de variáveis formas, mas para o autor, ele é utilizado de maneira vaga e incompleta.

Uma busca simples no Google mostra como o termo vem sendo, proporcionalmente, mais e mais utilizado desde os anos 1900: Em primeiro lugar é importante relembrar que Compliance é apenas um substantivo da língua inglesa que, de fato, além de ser deveras vago, nada explica e muito deixa aberto ao mau uso do termo. Não somente é um termo vago como também é um termo incompleto no sentido de que é uma apenas a simplificação do termo correto que é “Programa de Compliance“. (SERPA, 2016, p.107)

É relevante mencionar, que a palavra de origem inglesa significa estar em conformidade, no sentido de cumprir e fazer cumprir todos os normativos inerentes à atividade que esteja sendo desenvolvida, sejam eles leis, regulamentos, decretos, portarias enfim, todas as instruções legais cabíveis ao modelo de negócio em questão.

Compliance vem do verbo em inglês to comply, que nada mais é do que estar em conformidade com as leis, padrões éticos, regulamentos internos e externos. Sua função é minimizar riscos e guiar o comportamento de empresas diante do mercado em que atuam. (BOBSIN, 2020)

Após uma série de crimes de colarinho branco com o envolvimento de autoridades proeminentes de governos estrangeiros, o governo americano promulgou em 1977 a Lei Americana Anticorrupção, (FCPA – Foreign Corrupt Practices Act) que previa sanções cíveis, administrativas e penais para pessoas e empresas americanas que em atividade no exterior utilizassem a corrupção para obter benefícios em transações comerciais, buscando dessa forma, criar relações empresariais mais éticas e transparentes.

Na década de 70, também nos Estados Unidos, foi criada uma lei anticorrupção transnacional, a Foreign Corrupt Practices Act (FCPA). Tal norma endureceu as penas para organizações americanas envolvidas com corrupção no exterior.

Posteriormente, com os escândalos de corrupção envolvendo empresas privadas e governos, diversas companhias iniciaram, de maneira espontânea, a adoção de práticas de compliance e tiveram uma boa recepção pelo mercado. (BOBSIN, 2020)

No Brasil, o Compliance teve seus primórdios com a Lei sobre Lavagem de Dinheiro em 1998, Nº 9.613 (BRASIL, 1998) e depois com a Lei da Empresa Limpa, Nº 12.846 em 2013 (BRASIL, 2013) sendo ratificado pelo Decreto Nº 8420/2015 (BRASIL, 2015) com a previsão de responsabilização civil e administrativa de pessoas jurídicas pela prática de atos lesivos contra a Administração Pública, nacional ou estrangeira.

Ao refletirmos acerca do início da utilização de fato do Compliance no Brasil, percebe-se que ele só ganhou visibilidade após a implantação de um pacote anticorrupção em 2013, pelo governo vigente à época.

[…] “pacote anticorrupção”, instituindo novos procedimentos e normas, além do enrijecimento de penas antes estabelecidas, visando o combate a condutas ilícitas tanto por integrantes do setor público, quanto do setor privado que com aqueles se relacionam. Esse “pacote” normativo, preparado em meados de 2013, trouxe ao Brasil, de maneira mais enfática, uma ideia que no exterior já era de muito conhecida: o Compliance. (LOSINSKAS; FERRO, 2018, p. 667)

O programa de Compliance, segundo Vieira (2019), abrange o conjunto de estratégias e procedimentos visando garantir que as instituições estejam em conformidade com as legislações e normas que por sua vez são criadas através de mapeamento do sistema. Por se tratar de um programa harmonizável pode ser adaptado a realidade de cada etapa dentro de uma empresa de acordo com o funcionamento da mesma.

Assim sendo, “o programa será composto por diversas frentes e projetos, que tem como objetivo implementar: estratégia, governança, políticas e procedimentos, ferramentas, gestão da mudança com conscientização e treinamento”. (VIEIRA, 2019, p.39), funcionando dessa forma, exatamente como uma engrenagem que bem alinhada afasta o máximo de riscos possíveis, traz automatização e transparência, desde que tenha sido desenvolvida especificamente para aquela determinada empresa na qual está sendo implantado.

Salienta-se ainda que, com relação à aplicação da LGPD (BRASIL, 2018), conforme se pode verificar no desenvolvimento de seus artigos, as especificidades de cada modelo de negócio devem ser respeitadas, pois o Compliance, seja ele em proteção de dados ou focado em outra área, visa também elevar o ganho reputacional e jamais inviabilizar o negócio desenvolvido.

Os excelentes resultados do compliance, aplicado a tantos setores, demonstram a existência de um eixo central imutável em sua função, pois, além de favorecer o cumprimento de normas e regulamentos, influencia os procedimentos de identificação, administração e mitigação de riscos corporativos e institucionais, permitindo que a organização seja mais eficiente e rentável, e tudo isso de forma sustentável. (SILVA, 2015, p. 24)

Com efeito, conforme pode-se identificar em Silva (2015), o ganho reputacional é um dos diferenciais de empresas que adotam programas de Compliance bem estruturados, haja vista que o mesmo é baseado em ética e transparência, embasando-se na existência de políticas públicas de conduta corroborando dessa forma a eficiência do programa.

Ademais, a empresa ao implantar um programa de conformidade, de forma a adequar-se às normas, mapeiam todas as informações, podendo durante o processo identificar falhas que até então não haviam sido observadas, sendo assim, os mapeamentos podem gerar economia com a melhor alocação de recursos, identificação de eventuais desvios e refletir de forma mais fidedigna a forma de atuação da empresa se comparada a outras que não tenham programas de conformidade.

Em vista disso, as atividades desenvolvidas tanto no âmbito público quanto privado devem observar os regramentos jurídicos, bem como estabelecer dentro das organizações a forma que todo o processo acontecerá para que a implantação possa ser sólida, de maneira a envolver todos os stakeholders[5], para que englobe a participação efetiva de todos os colaboradores, evitando possíveis erros, uma vez que todos conhecem as normas e consequentemente evitando eventuais sanções para a empresa.

Nesse contexto, os programas de Compliance se desenvolvem baseados em 9 pilares básicos: Suporte da Alta Administração, Avaliação de Riscos, Código de Conduta e Políticas de Compliance, Controles Internos, Treinamento e Comunicação, Canais de Denúncia, Investigações Internas, Due Diligence, Monitoramento e Auditoria, conforme define Sibille et al. (2020), para que se possa entender melhor, será apresentado cada um deles:

a) Suporte da Alta Administração:

Um robusto programa de Compliance deve receber o aval explícito e apoio incondicional dos mais altos executivos da empresa. Além disso, as empresas que têm um programa de compliance efetivo devem nomear um profissional para o cargo de responsável pela área de Compliance, com autoridade e recursos suficientes, e com suficiente autonomia de gestão, para garantir que o programa seja eficaz para prevenir, detectar e punir as condutas empresariais antiéticas. (SIBILLE et al., 2020, p. 5)

Em outras palavras, faz-se necessário que o ocupante do mais alto cargo da empresa exerça o papel de líder, de maneira que através do exemplo seja capaz de fazer com que os demais colaboradores o sigam voluntariamente, desde a cúpula até o chão de fábrica, dessa forma não é apenas a empresa, mas também as atitudes que irão consolidar o apoio, desde a viabilização de recursos, nomeação de um profissional capacitado com autonomia e recursos suficientes para garantir que o programa atinja seu objetivo e seja eficaz para mapear, detectar, prevenir e punir as condutas empresariais antiéticas, assim como tenha um canal direto com a alta administração.

b) Avaliação de Riscos:

Riscos são eventos com impactos negativos no atingimento de um objetivo. Riscos são eventos potenciais, não certos. […] A efetiva condução de uma análise de riscos envolve uma fase de planejamento, entrevistas, documentação e catalogação de dados, análise de dados e estabelecimento de medidas de remediação necessárias. (SIBILLE et al., 2020, p. 6)

É importante frisar que, para avaliar os riscos é primordial que antes a empresa seja mapeada e os objetivos a serem alcançados pelo programa sejam todos identificados, pois é a partir desse levantamento que serão elaborados os documentos que darão continuidade a implantação.

Após esse processo devem ser levados em consideração todos os eventos que caso aconteçam poderão comprometer de forma negativa tanto a empresa quanto o programa, sejam eles riscos inerentes ou residuais. Identificar e rastrear a eventual ocorrência deles para que sejam traçadas e, desde já definidas, as medidas que serão adotadas caso aqueles eventos ocorram.

Nota-se que, quanto mais possibilidades forem mapeadas, maiores as chances de afastamento do risco, porém não se pode garantir plenamente que ele não ocorra. É por isso que ao mapeá-los algumas medidas devem ser adotadas de acordo com a enumeração e a estratégia a ser escolhida, como por exemplo: aceitar o risco esperando que ele se materialize, eliminá-lo assim como qualquer possibilidade de que ele venha a se consumar, controlar ou mitigá-lo com mecanismos que diminuam o risco inerente, ou ainda transferi-lo para um terceiro através de um seguro.

c) Código de Conduta e Políticas de Compliance:

Após a avaliação dos riscos e identificação das leis, regulamentações, códigos de indústria etc. aplicáveis a suas operações, inicia- -se a documentação do Programa de Compliance com a elaboração das políticas de compliance. Essa documentação serve como a formalização inicial daquilo que é a postura da empresa em relação aos diversos assuntos relacionados à suas práticas de negócios, e servirá como uma bússola que guiará – em conjunto com as ações e exemplos da alta administração que vimos há pouco – seus funcionários para o caminho de práticas éticas e legais (“compliant”) na condução de suas atividades. (SIBILLE et al., 2020, p. 7)

Com efeito, o Código de Conduta e Políticas de Compliance, é o documento inicial que padroniza a maneira como a empresa irá se posicionar diante dos assuntos inerentes ao seu modelo de negócio, ele será norteador das ações da alta administração e de todos os stakeholders na condução das atividades da empresa ou do órgão, no caso da administração pública, por isso deve estar redigido de forma clara e com linguagem acessível a todos. Além disso, servirá como balizador dos direitos e obrigações tanto dos diretores quanto gerentes, funcionários, agentes, parceiros, prestadores de serviços para todas as políticas e procedimentos.

d) Controles Internos:

Os controles internos são mecanismos, geralmente formalizados por escrito nas políticas e procedimentos da empresa, que, além de minimizar riscos operacionais e de compliance, asseguram que os livros e registros contábeis e financeiros reflitam completa e precisamente os negócios e operações da empresa […]. Entre outras coisas, os controles internos estabelecem as regras para revisão e aprovação de atividades (especialmente aquelas ligadas a compromissos contratuais e despesas), existência das atividades (para se evitar pagamentos por serviços não-prestados, por exemplo), documentação suporte, processamento e registro das transações. (SIBILLE et al., 2020, p. 10)

Por certo, é o aparato documental capaz de minimizar riscos e refletir completa e precisamente a saúde financeira e contábil da empresa, demonstrando o bom uso dos recursos, deve ainda ser capaz de demonstrar que os objetivos estão sendo alcançados, que os documentos são elaborados de maneira confiável e que os regulamentos aplicáveis estão sendo cumpridos.

e) Treinamento e Comunicação:

Após a identificação dos riscos, da definição dos responsáveis pelo Programa e da elaboração do Código de Conduta e das políticas de compliance, é de suma importância que tudo isso seja devidamente comunicado ao restante da Companhia. Cada funcionário da empresa, do chão de fábrica ao CEO, deverá entender os objetivos do Programa de Compliance, as regras e, talvez o mais importante, seu papel para garantir o sucesso do programa. (SIBILLE et al., 2020, p. 11)

Sendo assim, treinamento e comunicação visam dar publicidade à empresa ou órgão público como um todo, com relação às medidas e boas práticas que estão sendo adotadas, logo, deve ter um caráter participativo para que todos se sintam diretamente envolvidos e assim haja um maior engajamento da empresa com as políticas de Compliance.

Este é o momento de disseminar as condutas que devem ou não ser aceitas e como se comportar diante das situações inerentes ao modelo de negócio e em relação aos fornecedores e prestadores de serviços, buscando sempre a ética e transparência, indicando a forma de utilização dos canais de denúncia e encorajando para que em caso de necessidade sejam utilizados e orientando a forma de dar maior efetividade ao Programa de Compliance.

Os treinamentos devem ser periódicos visando a atualização e feedback mútuos, já que o Compliance é dinâmico, devendo ser sempre documentado para comprovação das boas práticas de atualização de todos os envolvidos.

f) Canais de Denúncia:

Os canais de comunicação do tipo “Canal de Denúncia” fornecem aos funcionários e parceiros comerciais uma forma de alertar a empresa para potenciais violações ao Código de Conduta, a outras políticas ou mesmo a respeito de condutas inadequadas de funcionários ou terceiros que agem em nome da empresa. (SIBILLE et al., 2020, p. 13)

Em resumo, é a forma que os funcionários e parceiros podem colaborar com a empresa para que o Programa de Compliance seja realmente efetivo, e atinja os objetivos de identificar e punir condutas dissonantes com os objetivos do Programa, ressaltando que o canal de denúncia deve garantir a confidencialidade e anonimato para que seja uma fonte efetiva de identificação de fraudes.

g) Investigações Internas:

As empresas devem possuir processos internos que permitam investigações para atender prontamente às denúncias de comportamentos ilícitos ou antiéticos. Tais processos devem garantir que os fatos sejam verificados, responsabilidades identificadas e, em sendo necessário, definir as sanções (medidas disciplinares, por exemplo) e ações corretivas mais apropriadas e consistentes a serem aplicadas, não importando o nível do agente, gerente ou funcionário que as causou. (SIBILLE et al., 2020, p. 14)

É com essa visão que, diante das denúncias feitas pelo canal, a empresa ou órgão público deve estar apta para realizar a devida investigação e averiguação dos fatos trazidos ao conhecimento do Compliance officer,[6] independentemente de quem se tratar o denunciado, fazendo assim cumprir o que deve estar previsto tanto no código de conduta, como nas políticas da empresa garantindo a credibilidade dos documentos do Programa de Compliance através da aplicação das medidas cabíveis ao fato apurado.

Outra consequência é o desencorajamento da prática de atitudes não toleradas pela empresa, sem fazer distinção ao nível hierárquico ocupado pelo infrator, devendo a punição ser rigorosa e adequada ao ato praticado, como por exemplo: advertência verbal, escrita ou até mesmo a demissão.

h) Due Diligence:

[…] É dividida em quatro princípios. […] A due diligence deve ser baseada no risco. Nem todos os terceiros exigem o mesmo nível de due diligence. […] A due diligence deve fazer sentido. O raciocínio por trás do processo de due diligence de terceiros de uma empresa deve passar por uma análise para garantir que ele faça sentido não somente do ponto de vista de compliance, mas também para aqueles encarregados em implementá-lo. […] A due diligence deve ser aplicada consistentemente. A due diligence deve ser registrada. (SIBILLE et al., 2020, p. 16)

Dessa maneira, é aplicável aos parceiros, revendedores ou representantes, pois, por muitas vezes por estarem fora da atmosfera da empresa podem não ter o mesmo comprometimento com o efetivo cumprimento do Programa, sendo assim eles devem ser muito bem selecionados e monitorados para que a empresa conheça a forma como agem e verifique se compartilham dos mesmos valores corporativos éticos que são adotados como padrão no processo de transparência e Compliance daquela empresa.

É ainda fundamental ressaltar que essa não é apenas uma preocupação com o programa, mas, além disso, com a própria conformidade diante da previsão legal trazida pela Lei nº12.846/2013 de responsabilização objetiva em relação a atos ilegais praticados por terceiros quando o benefício, ilicitamente obtido, alcança a empresa, por esse motivo tem-se a necessidade de preocupação com a conduta daqueles com quem a empresa se relaciona comercialmente.

Tendo em vista as especificidades, e conforme discorre Sibille et al. (2020), a due diligence é a busca de como os parceiros agem em seus negócios para saber se carregam os mesmos valores ou se transacionar com eles trará algum potencial risco para a empresa, indicando inclusive eventuais irregularidades cometidas por determinada empresa parceira que possa comprometer a reputação de quem com ela faça negócios, minimizando dessa maneira os riscos.

O nível de due diligence necessária estará diretamente relacionado ao grau de profundidade do relacionamento comercial, podendo e devendo quanto mais complexas forem, serem realizadas por especialistas na área.

i) Monitoramento e Auditoria:

[…] é necessário implementar um processo de avaliação constante, chamado monitoramento, bem como auditorias regulares, que visam identificar se os diversos pilares do Programa de Compliance estão funcionando conforme planejado, se os efeitos esperados da conscientização dos funcionários estão se materializando na Companhia e se os riscos identificados previamente estão sendo controlados como previsto (e, também, se novos riscos surgiram no decorrer das operações). (SIBILLE et al., 2020, p. 16)

Por conseguinte, todo o Programa de Compliance por ser gerido e composto por pessoas pode apresentar falhas, desta forma assim como uma engrenagem deve passar por constantes manutenções e atualizações em busca de maior efetividade, já que se trata de um processo dinâmico.

Deste modo, a auditoria será capaz de avaliar cada um dos pilares em busca de falhas ou melhoramentos necessários para que seja possível alcançar um resultado ainda melhor de afastamento e mitigação de riscos que possam surgir no transcurso das operações.

Elencados os pilares de um programa de Compliance, no próximo tópico será abordado um comparativo entre os pilares em proteção de dados.

3. O DIREITO DA PRIVACIDADE DOS DADOS DOS TITULARES E A LEGISLAÇÃO

Historicamente essa temática sobre a privacidade de dados dos titulares vem sendo abordada desde 1890, quando a Universidade de Harvard publicou um artigo intitulado “direito de estar só”, fazendo referência ao direito de ser deixado em paz, também conhecido como “direito ao esquecimento”.

Em termos doutrinários, o conceito de privacidade tem seu ponto de partida no emblemático ensaio denominado “The right to privacy”, de autoria de Samuel D. Warren e Louis D. Brandeis, publicado em Harvard Law Review, no ano de 1890.

[…] Waren e Bradeis, em referido trabalho, reconheceram o chamado “direito de estar só” e apontaram, desde logo, a existência de uma vasta gama de hipóteses que potencialmente poderiam infringir tal condição, à vista mesmo do já existente, àquela altura desenvolvimento de invenções capazes de invadir e malferir a esfera humana sob a ótica da privacidade. (MALDONADO, 2019, p. 12)

Nessa finalidade, de acordo com Ortega (2016), ele é classificado como o direito que uma pessoa possui de não permitir que um fato, ainda que verídico ocorrido em determinado momento de sua vida, seja exposto ao público em geral, causando-lhe sofrimento ou transtornos.

No Brasil, o direito ao esquecimento possui assento constitucional e legal, considerando que é uma consequência do direito à vida privada (privacidade), intimidade e honra, assegurados pela CF/88 (art. 5º, X) e pelo CC/02 (art. 21).

Alguns autores também afirmam que o direito ao esquecimento é uma decorrência da dignidade da pessoa humana (art. 1º, III, da CF/88). (ORTEGA, 2016, p.1)

Decerto, o assunto adquiriu maior maturidade no ano de 1975, quando no Estado de Hesse, na Alemanha, foi sancionada a primeira lei de proteção de dados do mundo e em 1983 também na Alemanha com o objetivo de processar e particularizar a forma como os dados seriam manipulados.

Em 1983, a Suprema Corte da Alemanha, no denominado Julgamento do Censo, estabeleceu uma verdadeira Magna Carta em termos de proteção de dados pessoais, pela primeira vez reconhecendo-o como direito fundamental, declarando que o cidadão tem direito à “autodeterminação informacional”, de modo que ele possa, em princípio, decidir sobre a coleta e o uso de seus dados pessoais. (VAINZOF, 2019, p.34)

Logo após, em 1995 foi adotada uma Diretiva europeia 1995/46/CE (proteção de dados), primeira norma que efetivamente regulou de forma expressa a proteção de dados pessoais e posteriormente a Diretiva 2002/58/CE (processamento de dados pessoais e proteção da privacidade por meio eletrônico).

Segundo Vainzof (2019, p.34-35), ambas seriam o embrião da General Data Protection Regulation – GDPR, que passou a vigorar em maio de 2018, atinente às pessoas naturais e a proteção aos seus dados pessoais e sua livre circulação. Com a entrada em vigor da GDPR todo o mercado internacional foi influenciado para que estabelecessem normas mais rígidas para a proteção de dados.

Essas leis são consideradas pontos de partida para todo o modelo europeu que se consolidou com a diretiva 95/46/CE, que em virtude da evolução tecnológica e da crescente monetização de dados pessoais, foi substituída pelo Regulamento Geral de Proteção de dados Pessoais da União Europeia de 2016/679, em vigor desde 25 de maio de 2018 e que serviu de ampla inspiração para a Lei Geral de Proteção de Dados (LGPD) brasileira. (PAMPLONA FILHO; CONI JUNIOR, 2020, p. 7).

A partir da análise deste núcleo de pensamento, percebe-se que o Brasil não poderia deixar de acompanhar esse movimento em prol do combate ao uso abusivo dos dados pessoais que prejudica a privacidade e o direito de escolha individual com relação a compartilhar seus dados ou não. Dessa forma, diante do cenário mundial, e seguindo o exemplo europeu, os países passaram a observar e implementar diretrizes sobre o respeito à privacidade dos titulares de dados e a forma com que os dados são tratados.

Assim, em setembro de 2020 a Lei Geral de Proteção de Dados Pessoais – LGPD (BRASIL, 2018) entrou parcialmente em vigor, já que as sanções nela prevista somente passarão a surtir efeitos em agosto de 2021, em consonância com a Lei n°14.010/2020, (BRASIL, 2020), esta decisão foi pautada na expectativa de que as empresas pudessem adequar-se neste período tendo em vista que o maior objetivo da Lei é incutir na sociedade a preocupação com a privacidade de dados e não propriamente punir sem que as sanções atinjam seu caráter pedagógico.

Vale ressaltar que o programa de Compliance direcionado para a adequação quanto à observância da LGPD, deve estar pautado não só nos pilares básicos do Compliance anteriormente apontados, mas também nos pilares específicos que esta lei impõe para uma adequação compatível com melhores práticas de governança. A diferença que imediatamente conseguimos apontar é que os pilares se desmembram em mais etapas, isto porque os dados são tratados em diversos setores da empresa e de acordo com a base legal em que se justifica a coleta, pode ou não ensejar uma ação diferente.

3.1 OS PILARES DO PROGRAMA DE COMPLIANCE EM PROTEÇÃO DE DADOS

Ao ponderar-se sobre os pilares do programa de Compliance em proteção de dados, percebe-se que alguns pilares são coincidentes com aqueles já mencionados para um programa de Compliance Anticorrupção, mas os desmembramentos são, obviamente, mais específicos e precisam estar relacionados principalmente com a segurança da informação e regulados em consonância com os princípios e finalidades trazidos pela LGPD.

Defronte a essa perspectiva, e do objetivo deste estudo que é discutir a possibilidade de aproveitamento de um programa de compliance anticorrupção que já esteja implementado para a execução de programas de compliance em proteção de dados de acordo com a Lei Geral de Proteção de Dados (LGPD), imperiosa se faz a menção dos princípios basilares da Lei Geral de Proteção de Dados assim como das bases legais ou finalidade para a coleta dos dados.

A necessidade de disciplinar a coleta está relacionada com a mudança de paradigma, haja vista a condição sine qua non[7] de fornecimento de dados para a participação na vida social, conforme cita Vainzof (2019).

Quanto aos princípios enumerados no art.6° da LGPD (BRASIL, 2020) tem-se:

  • Finalidade, motivo que justifica o tratamento com propósitos legítimos que devem estar explícitos e ser informado ao titular;
  • Adequação, compatibilidade do tratamento com a finalidade;
  • Necessidade, limitação do tratamento ao mínimo necessário para a realização da finalidade;
  • Livre Acesso, garantia aos titulares de consulta facilitada e gratuita sobre o tratamento de seus dados;
  • Qualidade dos Dados, que estejam sempre claros, exatos e atualizados para o atingimento da finalidade;
  • Transparência, garantia aos titulares de informações claras, precisas e facilmente acessíveis, observados os segredos comercial e industrial.

Acresce que, de acordo com Vainzof (2019), existem ainda os princípios de Segurança:

  • Rigorosa observância de medidas técnicas e administrativas capazes de proteger os dados, os acessos e situações acidentais;
  • Prevenção, da ocorrência de danos em virtude do tratamento dos dados; Não Discriminação, impossibilidade do uso dos dados para o fim discriminatório;
  • Responsabilização e prestação de contas, demonstração da adoção de medidas eficazes e o cumprimento das normas para a proteção dos dados pessoais.

Os princípios, como bem menciona Vainzof em seus comentários ao art. 6° da LGPD:

Conjunto de princípios a serem aplicados, principalmente com a Convenção 108 […]. Os princípios nela estabelecidos, como transparência, finalidade, necessidade, proporcionalidade, qualidade, livre acesso e segurança formam a espinha dorsal de inúmeras normas existentes atualmente, como o GDPR, que sucedeu a Diretiva 95/46, e a LGPD, sendo importante ressaltar que os princípios deverão ser cumpridos, independentemente das bases legais para o tratamento de dados pessoais. (VAINZOF, 2019, p. 137-138)

Convém lembrar que as bases legais estão elencadas no art. 7° da LGPD (BRASIL, 2020) e são as hipóteses que a legislação traz para a o tratamento dos dados pessoais, quais sejam: consentimento pelo titular, cumprimento de obrigação legal ou regulatória, execução de políticas públicas, estudos por órgãos de pesquisa, execução de contrato ou seus procedimentos preliminares a pedido do titular de dados, exercício regular de direitos em processo judicial, proteção da vida e incolumidade física do titular ou de terceiros, tutela da saúde, interesse legítimo do controlador (indivíduo responsável pela determinação da coleta de um dado), proteção do crédito, conforme confere na referida Lei.

Consoante afirmado por Caio César Carvalho de Lima:

Podemos observar as dez hipóteses (bases legais) que legitimam o tratamento dos dados pessoais, as quais são taxativas (isto é, não existe nenhuma outra hipótese, além das expressamente descritas neste artigo). Ademais, deve-se destacar que basta o atendimento de uma das dez bases para o tratamento ser considerado legítimo (LIMA, 2019, p. 179).

Com base no exposto, pode-se perceber que diante de um cenário tão complexo de análise de informações para atendimento das exigências legais, imperiosa se faz a implantação de um programa de Compliance em proteção de dados bem estruturado, e na primeira fase tem-se a necessidade de se realizar um inventário das regulamentações, conforme explicita Vieira (2019).

Na primeira fase de implantação é necessário que se realize um inventário das regulamentações referentes à privacidade e proteção aplicadas a todos os países e setores onde a empresa e coligadas atuem, para que seja efetivo e traga todos os benefícios e seja capaz de afastar desagradáveis surpresas diante de uma fiscalização ou até mesmo de um incidente de segurança. (VIEIRA, 2019, p. 50).

A fim de compreender como o Programa de Compliance em Proteção de Dados funciona, elencou-se nessa pesquisa um estudo feito por Cortez (2020),

O Programa de Compliance em Proteção de Dados compreende as regras, procedimentos e diretrizes internas e externas relacionados ao cumprimento da LGPD, bem como outras legislações estrangeiras de proteção de dados que a empresa esteja obrigada a observar em decorrência dos dados pessoais (e sensíveis, a depender do caso) tratados pela organização. Os pilares do Programa de Compliance em Proteção de Dados são inspirados nos 4 grandes pilares sobre os quais o programa de Compliance da Controladoria Geral da União (CGU) está estruturado. (CORTEZ, 2020, p. 64)

A autora ressalta que, para um efetivo funcionamento o programa deve estar consubstanciado nos seguintes pilares:

a) Comprometimento e apoio da Alta Administração:

Para que o Programa seja efetivo e traga benefícios reais à empresa, a Alta administração, como órgão máximo de deliberação, deve firmar o compromisso em apoiar e obedecer a todas as regras, políticas e diretrizes instituídas pelo Programa de Compliance em Proteção de Dados. (CORTEZ, 2020, p. 65)

Isto posto, como já mencionado, nenhum tipo de programa de Compliance pode subsistir sem o apoio integral da alta administração e seu comprometimento com o sucesso da implantação e sua continuidade.

b) Instância responsável pelo programa:

Uma vez que a Alta Administração delibera sobre a necessidade de implementação de um Programa de Compliance em Proteção de Dados e destina recursos para a implementação do Programa, o próximo passo é a nomeação, pela Alta Administração. (CORTEZ, 2020, p. 65)

No caso da adequação motivada pelo tratamento de dados pessoais é necessário para o planejamento da implantação que se tenha um responsável, o Encarregado[8] que junto com gestores de cada uma das áreas da empresa, formam um grupo de trabalho e são capazes de identificar as melhores estratégias de implantação. Caso a empresa seja de grande porte, o ideal é que também tenha um comitê composto dos diretores das principais áreas para reportarem o andamento para o Conselho de Administração;

c) Análise e perfil de riscos:

“Uma vez que as instâncias responsáveis pela estruturação e implementação são formadas, deve-se iniciar a análise de perfil e riscos aos quais a empresa está sujeita no dia a dia dos seus negócios”. (CORTEZ, 2020, p. 65)

Semelhante ao do processo de Compliance já tratado com as seguintes especificidades, conforme explicita Cortez (2020), em sua pesquisa:

  • Mapeamento do fluxo e ciclo de vida dos dados na empresa para identificar quais os tipos de dados tratados, sua finalidade e forma de coleta;
  • Análise de risco em cada etapa do tratamento dos dados, de acordo com o mapeamento da etapa anterior;
  • Identificação da base legal para cada operação a fim de verificar a legalidade ou não do tratamento daquele determinado dado;
  • Medidas de mitigação de cada risco identificado;

d) Estruturação dos fluxos, procedimentos e políticas:

Segundo Cortez (2020, p.67) “Identificados os riscos aos quais a empresa está sujeita, passa-se à implementação do Programa de Compliance em Proteção de Dados”.

Deste modo, de acordo com Cortez (2020, p. 67-69) nesta etapa inicia-se “a implantação propriamente dita do Programa de Compliance em Proteção de Dados, usualmente composto por”:

  • Criação e/ou revisão de políticas, procedimentos, manuais e demais instrumentos de acordo com a conclusão das etapas anteriores. Importante ressaltar que assim como no código de conduta a linguagem deve ser clara, acessível a todos e os documentos públicos de fácil localização por todos os colaboradores;
  • Elaboração do relatório de impacto – é um documento de extrema importância pois relaciona todas as etapas anteriores com as medidas e salvaguardas e mecanismos de mitigação de riscos adotado;
  • Fluxos de Segurança da Informação – após o mapeamento do fluxo de dados, a segurança da informação precisa ser ajustada para seguir os padrões de Confidencialidade, Integridade e Disponibilidade dos dados;
  • Estruturação do plano de gestão de crise – para o caso de vazamento ou ataques externos as medidas a serem adotadas devem ter sido mapeadas previamente, eleitas as áreas que serão imediatamente acionadas e quem será o porta-voz desta notícia para o público, parceiros e para os órgãos competentes;
  • Implementação de canal de comunicação – de preferência exclusivo para tratar de assuntos relacionados aos dados pessoais e deve ser amplamente divulgado para todos os envolvidos;
  • Privacy by design[9] e Privacy by Default[10] em todos os sistemas, produtos e serviços da empresa – uma vez mapeados os dados que são manuseados, os riscos e as medidas para mitigá-los, agora é preciso desenvolver padrões tanto na origem (by design) quanto a reestruturação do que já era feito, mas agora seguindo a necessária proteção dos dados;
  • Gestão de Terceiros – corresponde a due diligence já mencionada nos programas de Compliance como um todo e que gera a mesma responsabilização para a empresa quando seus parceiros não são adeptos das mesmas boas práticas.
  • Comunicação e treinamentos – é importante que a comunicação seja clara e que todos os valores, políticas, procedimentos, manuais e demais instrumentos sejam de conhecimento de todos os envolvidos no processo, bem como atualizados constantemente para que estejam sempre em constante inovação.

e) Monitoramento contínuo:

Uma vez realizada toda a implementação, é necessário que o grupo de trabalho responsável pela implementação tenha um plano de monitoramento para verificar a efetiva implementação do Programa e identificar pontos falhos que precisem ser corrigidos e/ou aprimorados. Outro ponto importante do monitoramento contínuo é garantir que o Programa seja parte da rotina da empresa e que atue de maneira integrada com outras áreas correlacionadas, tais como recursos humanos, departamento jurídico, auditoria interna e departamento contábil-financeiro. (CORTEZ, 2020, p. 69)

À vista disso, por se tratar de um processo dinâmico de tratamento de dados pessoais há necessidade de monitoramento contínuo para que seja possível afastar todos os possíveis riscos que possam vir a se tornar incidentes.

Em síntese, faz-se necessário a colaboração de todos os participantes do processo produtivo da empresa para que haja o cumprimento das políticas e regras implementadas, de forma a penalizar aqueles que as desrespeitarem, mostrando assim, que elas são relevantes para o bom funcionamento e desenvolvimento da instituição.

4. CONCLUSÃO

Com base em tudo o que foi elucidado nesta pesquisa, e buscando discutir a possibilidade de aproveitamento de um programa de compliance anticorrupção já em execução para a implementação de um programa de compliance em proteção de dados, é possível identificar que diante de pilares comuns há possibilidade de aproveitamento, devendo, portanto, ser observada a especificidade da proteção de dados.

Quanto aos pontos em comum, identifica-se: o suporte da alta administração, a avaliação de riscos, treinamento/comunicação, canais de denúncia, due diligence e o monitoramento, que para o Compliance inclui a auditoria, mas em ambos os casos deve ser contínuo.

Sendo assim, entende-se a complexidade do programa de Compliance em proteção de dados, visto que o volume de informações que deve ser analisada é bem maior, assim como o processo de mapeamento dos dados e o caminho por eles percorrido dentro da empresa, visto que um mesmo tipo de dado pode ter entrada em diferentes setores e por finalidades e bases legais distintas e tudo isso deve constar no relatório de impacto[11] para que no caso de eventual acidente seja possível elencar a medida correta para saná-lo.

Já em relação aos pilares específicos se tem o estabelecimento de uma instância responsável pelo programa, que inclui um Encarregado de dados e os representantes de todos os setores da empresa, uma análise de riscos mais complexa em virtude da necessidade de mapeamento do fluxo dos dados e o ciclo de vida deles dentro da empresa, análise de risco em cada etapa do tratamento, identificação da base legal para cada dado coletado/ tratado, medidas de mitigação dos riscos.

Outro ponto que muda toda a cultura organizacional da empresa está relacionado ao privacy by design e privacy by default, (cujas definições já foram abordadas), por ser nesse momento que a empresa deverá mudar sua cultura organizacional e a maneira de pensar sobre a forma como conduz os negócios no sentido de trabalhar com a privacidade enraizada na empresa e em todos os produtos e serviços oferecidos.

Destacam-se também os Sistemas de Segurança, por possuírem extrema relevância nesse processo, pois, para que se busque alcançar o máximo de proteção possível, ainda que seja sabido que o afastamento integral do risco é algo praticamente impossível, há necessidade de treinamentos e conscientização contínua dos colaboradores envolvidos no processo, pois eles são vetores de risco para possíveis vazamentos, muitas vezes sem que tenham consciência disso.

Com efeito, os casos de vazamentos de informações são cada vez mais recorrentes mundialmente e a vultuosidade de dados é sempre enorme, trazendo para as empresas envolvidas uma grande instabilidade reputacional, daí a extrema importância de que esse tema seja amplamente debatido e os programas de Compliance em proteção de dados adotados por todas as empresas que tenham esse tipo de informações em seus bancos de dados.

Assim sendo, a presente pesquisa teve como finalidade discutir a possibilidade de aproveitamento dos programas de compliance anticorrupção já em efetivo funcionamento e com a devida adequação para um programa de compliance em proteção de dados, considerando a existência de pilares de implantação comuns entre ambos, bem como a preocupação mundial com a proteção de dados pessoais deve também ser observada pelas empresas brasileiras em cumprimento não só a Lei mas também as práticas de privacidade de dados já adotadas no cenário internacional.

REFERÊNCIAS

ADMFÁCIL. Compliance Officer: O que é? Funções, Salário, Significado, etc… Disponível em: <https://www.admfacil.com/compliance-officer/>. Acesso em: 16. jul. 2021.

BOBSIN, A. Entenda o que é o compliance e como colocar em prática. Blog da Aurum, 2020. Disponível em: <https://www.aurum.com.br/blog/o-que-e-compliance/>. Acesso em: 16. jul. 2021.

BRASIL. Decreto nº8.420 de 2015 – Regulamenta a Lei nº12.846 (Lei Anticorrupção). Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2013/lei/l12846.htm>. Acesso em: 10. mai. 2021.

BRASIL. Lei nº12.846 de 2013 – Lei Anticorrupção. Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2013/lei/l12846.htm>. Acesso em: 10. mai. 2021.

BRASIL. Lei nº13.709 de 2018 – Lei Geral de Proteção de Dados Pessoais. (LGPD). Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm>. Acesso em: 10. mai. 2021.

BRASIL. Lei nº14.010 de 2020 – Dispõe sobre o Regime Jurídico Emergencial e Transitório das relações jurídicas de Direito Privado (RJET) no período da pandemia do coronavírus (Covid-19). Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2019-2022/2020/lei/L14010.htm>. Acesso em: 10. mai. 2021.

BRASIL. Lei nº14.058 de 2020 – Estabelece a operacionalização do pagamento do Benefício Emergencial de Preservação do Emprego e da Renda e do benefício emergencial mensal de que trata a Lei nº 14.020 de 2020. Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2019-2022/2020/Lei/L14058.htm>. Acesso em: 10. mai. 2021.

BRASIL. Lei nº9.613 de 1998 – Dispõe sobre os crimes de “lavagem” ou ocultação de bens, direitos e valores; a prevenção da utilização do sistema financeiro para os ilícitos previstos nesta Lei. Cria o Conselho de controle de atividades financeiras – COAF, e dá outras providências. Disponível em: <http://www.planalto.gov.br/ccivil_03/leis/l9613.htm>. Acesso em: 10. mai. 2021.

CORTEZ, M. Direitos e Responsabilidades previstas na LGPD e Overview do Programa de Compliance em Proteção de Dados. São Paulo: Editora LEC, E-book, 2020.

DICIONÁRIO FINANCEIRO. O que são Stakeholders? Disponível em: <https://www.dicionariofinanceiro.com/o-que-sao-stakeholders/>. Acesso em: 16. jul. 2021.

GET PRIVACY. Entenda o conceito de Privacy by Design e sua relação com a LGPD. Paraná, Get Privacy, 2020. Disponível em: <https://getprivacy.com.br/privacy-by-design-lgpd/#:~:text=Confira!-,O%20que%20%C3%A9%20Privacy%20by%20Design,organiza%C3%A7%C3%A3o%2C%20desde%20a%20sua%20concep%C3%A7%C3%A3o>. Acesso em: 16. jul. 2021.

KAUER, G. Entenda as diferenças entre privacy by design e privacy by default. Revista digital online. Disponível em: <https://www.infranewstelecom.com.br/entenda-as-diferencas-entre-privacy-by-design-e-privacy-by-default/>. Acesso em: Acesso em: 16. jul. 2021.

LIMA, C. C. C. Do tratamento de dados pessoais. In: MALDONADO, V. N.; BLUM, R. O. Comentários ao GDPR Regulamento Geral de Proteção de Dados da União Europeia. São Paulo: Thomson Reuters Brasil, 2019.

LOSINSKAS, P. V. B.; FERRO, M. R. Compliance nas licitações e contratações públicas. In: CARVALHO, A. C.; et al. Manual de Compliance. Edição 1, Rio de Janeiro: Editora Forense, 2018.

MALDONADO, V. N.; BLUM, R. O. Comentários ao GDPR Regulamento Geral de Proteção de Dados da União Europeia. São Paulo: Thomson Reuters Brasil, 2019.

MALDONADO, V. N. LGPD: Lei Geral de Proteção de Dados pessoais: manual de implementação. São Paulo: Thomson Reuters Brasil, 2019.

NASCIMENTO, J. O.; CRESPO, L. I. A. C. Mulheres em Compliance: desde o programa de compliance até os seus impactos na sociedade. Curitiba: Íthala, 2020.

ORTEGA, F. T. O que consiste o direito ao esquecimento? JusBrasil. 2020. Disponível em: <https://draflaviaortega.jusbrasil.com.br/noticias/319988819/o-que-consiste-o-direito-ao-esquecimento>. Acesso em: 16. jul. 2021.

PAMPLONA FILHO, R.; CONI JÚNIOR, V. V. A lei geral de proteção de dados pessoais e seus impactos no direito do trabalho. Revista Direito UNIFACS. 2020. Disponível em: <https://revistas.unifacs.br/index.php/redu/article/view/7060>. Acesso em: 16. jul. 2021.

SERPA, A. da C. Compliance descomplicado – Um guia simples e direto sobre mecanismos de compliance. Disponível em: <https://ler.amazon.com.br/?asin=B01DH79EH2>. Edição 1, 2016. Acesso em: 28. mai. 2021.

SIBILLE, D.; et al. Os Pilares do Programa de Compliance. São Paulo: Editora LEC. 2020. Disponível em: <https://conteudo.lec.com.br/ebook-pilares-do-programa-de-compliance>. Acesso em: 28. mai. 2021.

SIGNIFICADOS. Significado de Sine Qua non. 2020. Disponível em: <https://www.significados.com.br/sine-qua-non>. Acesso em: 16. jul. 2021.

SILVA, D. C.; COVAC, J. R. Compliance como boa prática de gestão de ensino superior privado. São Paulo: Saraiva, 2015.

VAINZOF, R. Dados pessoais, tratamentos e princípios. In: MALDONADO, V. N. BLUM, R. O. Comentários ao GDPR Regulamento Geral de Proteção de Dados da União Europeia. São Paulo: Thomson Reuters Brasil, 2019.

VIEIRA, C. Fase 1: preparação. In: MALDONADO, V. N. LGPD: Lei Geral de Proteção de Dados pessoais: manual de implementação. São Paulo: Thomson Reuters Brasil, 2019.

APÊNDICE DE REFERÊNCIA DE NOTA DE RODAPÉ

2. Lei n°13.709/2018: É um marco legal que regulamenta o uso, a proteção e a transferência de dados pessoais no Brasil. […] garante maior controle dos cidadãos sobre suas informações pessoais, exigindo consentimento explícito para coleta e uso dos dados e obriga a oferta de opções para o usuário visualizar, corrigir e excluir esses dados. (BRASIL, 2018).

3. Lei n°14.058/2020: Originada da Medida Provisória (MP) 959/20, que trata da operacionalização do Benefício emergencial (BEm) pago a trabalhadores com redução de jornada e suspensão de contrato durante a pandemia do novo coronavírus. E prorroga a vacatio legis da Lei nº 13.709, de 14 de agosto de 2018, que estabelece a Lei Geral de Proteção de Dados Pessoais – LGPD. (BRASIL, 2020).

4. Lei n°14.010/2020: Dispõe sobre o Regime Jurídico Emergencial e Transitório das relações jurídicas de Direito Privado (RJET) no período da pandemia do coronavírus (Covid-19). (BRASIL, 2020).

5. Stakeholder: termo da língua inglesa que tem como significado “grupo de interesse”. Fazem parte deste grupo pessoas que possuem algum tipo de interesse nos processos e resultados da empresa. (DICIONÁRIO FINANCEIRO)

6. Compliance Officer ou ChiefCompliance Officer (CCO): é o profissional que tem a função de acompanhar se todas as atividades desempenhadas pelos funcionários de uma empresa estão dentro dos regulamentos e de acordo com a lei. (ADMFÁCIL, 2021).

7. Sine qua non: é uma locução adjetiva, do latim, que significa “sem a qual não”. É uma expressão frequentemente usada no nosso vocabulário e faz referência a uma ação ou condição que é indispensável, que é imprescindível ou que é essencial. (SIGNIFICADOS, 2020).

8. Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). (BRASIL. LGPD – art. 5°, VIII, 2018)

9. Privacy by Design: é um framework que tem como proposta central incorporar a privacidade e a proteção de dados pessoais em todos os projetos desenvolvidos por uma organização, desde a sua concepção. (GET PRIVACY, 2020).

10. Privacy by Default: diz respeito à adoção da proteção de dados pessoais como padrão em todos os processos e atividades desenvolvidos pela empresa, por meio da definição de medidas de segurança, técnicas e organizacionais que devem ser aplicadas de forma padronizada e constante, em todas as áreas, projetos, produtos. (KAUER, 2020).

11. Relatório de Impacto: Segundo o artigo 5º, inciso XVII, da LGPD, é a documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco. (BRASIL, 2020).

[1] Pós-Graduada em Direito Ambiental pela FMU; Pós-Graduada em Compliance pela Faculdade Farese; Bacharel em direito pelo Centro Universitário da Cidade do Rio de Janeiro – UNIVERCIDADE.

Enviado: Junho, 2021.

Aprovado: Julho, 2021.

DEIXE UMA RESPOSTA

Please enter your comment!
Please enter your name here