CATEGORIA: Compliance

Entenda a relação entre compliance e LGPD

O compliance é essencial para a melhoria do sistema de controles da sua empresa e para o desenvolvimento da cultura organizacional. A Lei Geral de Proteção de Dados Pessoais (LGPD), por sua vez, estabelece diretrizes importantes e obrigatórias para o tratamento de dados pessoais dentro da sua empresa. Como relacioná-los? É o que você vai aprender neste post.

Sócio-Fundador
30 set | Leitura: 8 min

Você pode estar se perguntado o que é compliance, o que é LGPD e qual a relação entre eles. Pensando nisso, resolvemos escrever este post. Então vem com agente!

Saiba o que é compliance

Compliance empresarial - GEP Compliance

A expressão compliance, que é originada do verbo em inglês “to comply”, significa agir de acordo com o que é ordenado, ou seja, obedecer a algo. Pode ser interpretada, também, como o cumprimento a todas as obrigações que uma organização, obrigatoriamente, tem que cumprir ou que, voluntariamente, escolhe cumprir.

Em outras palavras, pode-se afirmar que o compliance é um importante mecanismo de promoção da cultura organizacional responsável por estimular a conduta ética e o compromisso com o cumprimento das leis e demais normas internas da empresa.

Nesse contexto, é possível afirmar que o compliance não deve ser visto como uma simples atividade operacional, mas, sim, como um direcionador estratégico essencial para todas as organizações, independentemente do seu porte ou modelo de negócio.

O compliance, portanto, diz respeito não apenas ao cumprimento obrigatório da legislação e das normas internas as quais a empresa encontra-se submetida, como, também, à necessidade voluntária de observá-las, sempre guiado pela cultura e pelos princípios e valores que compõem a identidade da organização.

Entenda o que é e para que serve a LGPD

A Lei Geral de Proteção de Dados Pessoais (LGPD) estabelece diretrizes importantes e obrigatórias para o tratamento de dados pessoais. Por meio dela, passamos a ter uma série de obrigações e deveres ao realizar a coleta, o processamento e o armazenamento de dados pessoais.

No Brasil, a LGPD foi promulgada no dia 14 de agosto de 2018, por meio da Lei n. 13.709, tendo entrado plenamente em vigor apenas no dia 1º de agosto de 2021. Seu principal objetivo é o de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.

A LGPD tem como fundamento o respeito à privacidade, a autodeterminação informativa, a liberdade de expressão, de informação, de comunicação e de opinião, a inviolabilidade da intimidade, da honra e da imagem, o desenvolvimento econômico e tecnológico e a inovação, a livre iniciativa, a livre concorrência e a defesa do consumidor, os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.

Para que serve a LGPD - GEP Compliance

A LGPD traz, ainda, algumas definições muito importantes, tais como a de dado pessoal, que nada mais é do que a informação relacionada a pessoa natural identificada ou identificável, a de titular, que é considerado a pessoa natural a quem se referem os dados pessoais que são objeto de tratamento, e a de controlador, que é a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.

A LGPD, portanto, serve não apenas para proteger e resguardar os direitos dos titulares de dados, como, também, para delimitar os parâmetros e os limites legais para a realização do tratamento dos dados pessoais.

A LGPD no contexto de um sistema de gestão de compliance

A LGPD no contexto de um sistema de gestão de complianceUm sistema de gestão de compliance, segundo a norma ISO 37301 nada mais é do que um conjunto de elementos inter-relacionados ou interativos de uma organização, por meio do estabelecimento de políticas, objetivos e processos, com o objetivo de demonstrar o atendimento aos requisitos que a sua empresa, mandatoriamente ou voluntariamente, tem que cumprir.

Um sistema de gestão de compliance eficaz permite que a sua empresa demonstre, por meio de evidências objetivas, seu real comprometimento em não apenas dar cumprimento às leis pertinentes, como também, às normas organizacionais, aos princípios da governança corporativa, assim como com melhores práticas de mercado.

Cuida-se, assim, da adoção de práticas integradas, com o objetivo de assegurar o bom funcionamento do ambiente corporativo à luz não apenas das normas legais em vigor, como também das políticas internas de cada organização.

É, justamente, nesse contexto que a LGPD deve ser inserida, uma vez que se trata de práticas voltadas à implementação permanente de um programa de governança em privacidade, com foco na adequação de controles e na transformação da cultura organizacional.

É que, de fato, não há como se pensar em gerar valor a longo prazo sem se estabelecer e manter uma cultura de compliance, considerando as necessidades e expectativas das partes interessadas, e, notadamente, as obrigações de compliance.

Como relacionar, na prática, compliance e LGPD

É preciso relacionar, na prática, compliance e LGPD! E, acredite, isso é possível.

Como se sabe, a sua empresa deve implementar um Programa de Governança em Privacidade de Dados, que segundo o art. 50 da LGPD deve, no mínimo:

  • demonstrar o comprometimento do controlador em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais;
  • ser aplicável a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do modo como se realizou sua coleta;
  • ser adaptado à estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados tratados;
  • estabelecer políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade;
  • ter o objetivo de estabelecer relação de confiança com o titular de dados, por meio de atuação transparente e que assegure mecanismos de participação do titular;
  • estar integrado à estrutura geral de governança da instituição, além de estabelecer e aplicar mecanismos de supervisão internos e externos;
  • contar com planos de resposta a incidentes e remediação;
  • ser atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas.

Por sua vez, quando pensamos em um Programa de Compliance, podemos utilizar os seguintes parâmetros, segundo o art. 42 do Decreto n. 8.420 de 2015:

  • comprometimento da alta direção da pessoa jurídica, incluídos os conselhos, evidenciado pelo apoio visível e inequívoco ao programa;
  • padrões de conduta, código de ética, políticas e procedimentos de integridade, aplicáveis a todos os empregados e administradores, independentemente de cargo ou função exercidos;
  • padrões de conduta, código de ética e políticas de integridade estendidas, quando necessário, a terceiros, tais como, fornecedores, prestadores de serviço, agentes intermediários e associados;
  • treinamentos periódicos sobre o programa de integridade;
  • análise periódica de riscos para realizar adaptações necessárias ao programa de integridade;
  • registros contábeis que reflitam de forma completa e precisa as transações da pessoa jurídica;
  • controles internos que assegurem a pronta elaboração e confiabilidade de relatórios e demonstrações financeiros da pessoa jurídica;
  • procedimentos específicos para prevenir fraudes e ilícitos no âmbito de processos licitatórios, na execução de contratos administrativos ou em qualquer interação com o setor público, ainda que intermediada por terceiros, tal como pagamento de tributos, sujeição a fiscalizações, ou obtenção de autorizações, licenças, permissões e certidões;
  • independência, estrutura e autoridade da instância interna responsável pela aplicação do programa de integridade e fiscalização de seu cumprimento;
  • canais de denúncia de irregularidades, abertos e amplamente divulgados a funcionários e terceiros, e de mecanismos destinados à proteção de denunciantes de boa-fé;
  • medidas disciplinares em caso de violação do programa de integridade;
  • procedimentos que assegurem a pronta interrupção de irregularidades ou infrações detectadas e a tempestiva remediação dos danos gerados;
  • diligências apropriadas para contratação e, conforme o caso, supervisão, de terceiros, tais como, fornecedores, prestadores de serviço, agentes intermediários e associados;
  • verificação, durante os processos de fusões, aquisições e reestruturações societárias, do cometimento de irregularidades ou ilícitos ou da existência de vulnerabilidades nas pessoas jurídicas envolvidas;
  • monitoramento contínuo do programa de integridade visando seu aperfeiçoamento na prevenção, detecção e combate à ocorrência dos atos lesivos previstos no  5º da Lei nº 12.846, de 2013 ; e
  • transparência da pessoa jurídica quanto a doações para candidatos e partidos políticos.

Nesse contexto, percebe-se que há diversas atividades que são semelhantes entre ambos os programas (ex: comprometimento da alta direção, análise de riscos, capacitação, treinamento, monitoramento contínuo, etc), o que, por certo, pode ser considerado no momento da adequação da sua empresa.

Assim, o que, em um primeiro momento, poderia representar um grande desafio, ao final, poderá vir a ser uma grande oportunidade de melhoria e implementação integrada de um sistema de gestão de compliance.

Essa, portanto, é uma forma muito eficiente de se relacionar compliance e LGPD!

Conclusão: como devemos relacionar compliance e LGPD no dia a dia da nossa organização

Não há dúvidas de que o compliance e a LGPD possuem uma relação íntima, uma vez que o atendimento às exigências da lei de proteção de dados é essencial para que a sua organização esteja em conformidade e demonstre, efetivamente, o cumprimento a uma das suas obrigações de compliance.

Contudo, a relação entre compliance e LGPD deve se mostrar eficiente no dia a dia da nossa organização. É que, na verdade, essa relação só será eficaz se, de fato, fizer sentido para todas as partes interessadas da sua empresa e estiver incorporada à cultura organizacional.

É preciso, portanto, colocar essa relação em prática, como, por exemplo, por meio do comprometimento da Alta Direção, capacitação e treinamento dos colaboradores, bem como pela utilização de indicadores-chave sobre os temas. É que sem esse engajamento cotidiano de pouco ou nada adiantará esse grande esforço por parte da sua organização.

Compartilhe
Bruno Basso
Bruno Basso É Sócio-Fundador da GEP Compliance e Procurador de carreira do Munícipio de Florianópolis. Possui especialidade em gestão de riscos e compliance, além de possuir certificações profissionais em Compliance Anticorrupção (CPC/A - LEC), Lead Implementer e Internal Auditor (ISO 37001, ISO 37301, ISO 27001, ISO 27701 – ABNT) e Information Privacy Professional (CIPP/E - IAPP).

Posts relacionados

mantenha-se atualizado

Entenda a importância da função de conformidade (compliance)
CATEGORIA: Compliance

Entenda a importância da função de conformidade (compliance)

Recentemente, a Resolução BCB n. 65/2021 possibilitou a terceirização da função de conformidade (compliance). Por esse motivo, vamos explorar um…

Sócio-Fundador
27 nov | 5 min
Conformidade legal para BETs no Brasil: saiba como se adequar
CATEGORIA: Compliance

Conformidade legal para BETs no Brasil: saiba como se adequar

Garantir conformidade legal (compliance) para sua BET no Brasil é um desafio para você? Então, não deixe de conferir esse…

Sócio-Fundador
20 nov | 3 min
Certificação ISO 37301: saiba como obter
CATEGORIA: Compliance

Certificação ISO 37301: saiba como obter

A ISO 37301 é uma importante ferramenta para a implementação de um sistema de gestão de compliance efetivo. Quer saber…

Sócio-Fundador
20 fev | 7 min
Certificação ISO 37301 e ISO 37001: descubra como se preparar
CATEGORIA: Compliance

Certificação ISO 37301 e ISO 37001: descubra como se preparar

Para sua empresa obter as certificações ISO 37301 e ISO 37001 é preciso percorrer um longo caminho. Neste post vamos…

Sócio-Fundador
29 set | 13 min

Deixe seu comentário

Atenção: Os comentários abaixo são de inteira responsabilidade de seus respectivos autores e não representam, necessariamente, a opinião da GEP

Inscreva-se em nossa newsletter

e receba conteúdos especiais da GEP


    Fale com um consultor