Entenda a relação entre compliance e LGPD

Você pode estar se perguntado o que é compliance, o que é LGPD e qual a relação entre eles. Pensando nisso, resolvemos escrever este post. Então vem com agente!

Saiba o que é compliance

A expressão compliance, que é originada do verbo em inglês “to comply”, significa agir de acordo com o que é ordenado, ou seja, obedecer a algo. Pode ser interpretada, também, como o cumprimento a todas as obrigações que uma organização, obrigatoriamente, tem que cumprir ou que, voluntariamente, escolhe cumprir.

Em outras palavras, pode-se afirmar que o compliance é um importante mecanismo de promoção da cultura organizacional responsável por estimular a conduta ética e o compromisso com o cumprimento das leis e demais normas internas da empresa.

Nesse contexto, é possível afirmar que o compliance não deve ser visto como uma simples atividade operacional, mas, sim, como um direcionador estratégico essencial para todas as organizações, independentemente do seu porte ou modelo de negócio.

O compliance, portanto, diz respeito não apenas ao cumprimento obrigatório da legislação e das normas internas as quais a empresa encontra-se submetida, como, também, à necessidade voluntária de observá-las, sempre guiado pela cultura e pelos princípios e valores que compõem a identidade da organização.

Entenda o que é e para que serve a LGPD

A Lei Geral de Proteção de Dados Pessoais (LGPD) estabelece diretrizes importantes e obrigatórias para o tratamento de dados pessoais. Por meio dela, passamos a ter uma série de obrigações e deveres ao realizar a coleta, o processamento e o armazenamento de dados pessoais.

No Brasil, a LGPD foi promulgada no dia 14 de agosto de 2018, por meio da Lei n. 13.709, tendo entrado plenamente em vigor apenas no dia 1º de agosto de 2021. Seu principal objetivo é o de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.

A LGPD tem como fundamento o respeito à privacidade, a autodeterminação informativa, a liberdade de expressão, de informação, de comunicação e de opinião, a inviolabilidade da intimidade, da honra e da imagem, o desenvolvimento econômico e tecnológico e a inovação, a livre iniciativa, a livre concorrência e a defesa do consumidor, os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.

A LGPD traz, ainda, algumas definições muito importantes, tais como a de dado pessoal, que nada mais é do que a informação relacionada a pessoa natural identificada ou identificável, a de titular, que é considerado a pessoa natural a quem se referem os dados pessoais que são objeto de tratamento, e a de controlador, que é a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.

A LGPD, portanto, serve não apenas para proteger e resguardar os direitos dos titulares de dados, como, também, para delimitar os parâmetros e os limites legais para a realização do tratamento dos dados pessoais.

A LGPD no contexto de um sistema de gestão de compliance

Um sistema de gestão de compliance, segundo a norma ISO 37301 nada mais é do que um conjunto de elementos inter-relacionados ou interativos de uma organização, por meio do estabelecimento de políticas, objetivos e processos, com o objetivo de demonstrar o atendimento aos requisitos que a sua empresa, mandatoriamente ou voluntariamente, tem que cumprir.

Um sistema de gestão de compliance eficaz permite que a sua empresa demonstre, por meio de evidências objetivas, seu real comprometimento em não apenas dar cumprimento às leis pertinentes, como também, às normas organizacionais, aos princípios da governança corporativa, assim como com melhores práticas de mercado.

Cuida-se, assim, da adoção de práticas integradas, com o objetivo de assegurar o bom funcionamento do ambiente corporativo à luz não apenas das normas legais em vigor, como também das políticas internas de cada organização.

É, justamente, nesse contexto que a LGPD deve ser inserida, uma vez que se trata de práticas voltadas à implementação permanente de um programa de governança em privacidade, com foco na adequação de controles e na transformação da cultura organizacional.

É que, de fato, não há como se pensar em gerar valor a longo prazo sem se estabelecer e manter uma cultura de compliance, considerando as necessidades e expectativas das partes interessadas, e, notadamente, as obrigações de compliance.

Como relacionar, na prática, compliance e LGPD

É preciso relacionar, na prática, compliance e LGPD! E, acredite, isso é possível.

Como se sabe, a sua empresa deve implementar um Programa de Governança em Privacidade de Dados, que segundo o art. 50 da LGPD deve, no mínimo:

• demonstrar o comprometimento do controlador em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais;
• ser aplicável a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do modo como se realizou sua coleta;
• ser adaptado à estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados tratados;
• estabelecer políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade;
• ter o objetivo de estabelecer relação de confiança com o titular de dados, por meio de atuação transparente e que assegure mecanismos de participação do titular;
• estar integrado à estrutura geral de governança da instituição, além de estabelecer e aplicar mecanismos de supervisão internos e externos;
• contar com planos de resposta a incidentes e remediação;
• ser atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas.

Por sua vez, quando pensamos em um Programa de Compliance, podemos utilizar os seguintes parâmetros, segundo o art. 42 do Decreto n. 8.420 de 2015:

• comprometimento da alta direção da pessoa jurídica, incluídos os conselhos, evidenciado pelo apoio visível e inequívoco ao programa;
• padrões de conduta, código de ética, políticas e procedimentos de integridade, aplicáveis a todos os empregados e administradores, independentemente de cargo ou função exercidos;
• padrões de conduta, código de ética e políticas de integridade estendidas, quando necessário, a terceiros, tais como, fornecedores, prestadores de serviço, agentes intermediários e associados;
• treinamentos periódicos sobre o programa de integridade;
• análise periódica de riscos para realizar adaptações necessárias ao programa de integridade;
• registros contábeis que reflitam de forma completa e precisa as transações da pessoa jurídica;
• controles internos que assegurem a pronta elaboração e confiabilidade de relatórios e demonstrações financeiros da pessoa jurídica;
• procedimentos específicos para prevenir fraudes e ilícitos no âmbito de processos licitatórios, na execução de contratos administrativos ou em qualquer interação com o setor público, ainda que intermediada por terceiros, tal como pagamento de tributos, sujeição a fiscalizações, ou obtenção de autorizações, licenças, permissões e certidões;
• independência, estrutura e autoridade da instância interna responsável pela aplicação do programa de integridade e fiscalização de seu cumprimento;
• canais de denúncia de irregularidades, abertos e amplamente divulgados a funcionários e terceiros, e de mecanismos destinados à proteção de denunciantes de boa-fé;
• medidas disciplinares em caso de violação do programa de integridade;
• procedimentos que assegurem a pronta interrupção de irregularidades ou infrações detectadas e a tempestiva remediação dos danos gerados;
• diligências apropriadas para contratação e, conforme o caso, supervisão, de terceiros, tais como, fornecedores, prestadores de serviço, agentes intermediários e associados;
• verificação, durante os processos de fusões, aquisições e reestruturações societárias, do cometimento de irregularidades ou ilícitos ou da existência de vulnerabilidades nas pessoas jurídicas envolvidas;
• monitoramento contínuo do programa de integridade visando seu aperfeiçoamento na prevenção, detecção e combate à ocorrência dos atos lesivos previstos no  5º da Lei nº 12.846, de 2013 ; e
• transparência da pessoa jurídica quanto a doações para candidatos e partidos políticos.

Nesse contexto, percebe-se que há diversas atividades que são semelhantes entre ambos os programas (ex: comprometimento da alta direção, análise de riscos, capacitação, treinamento, monitoramento contínuo, etc), o que, por certo, pode ser considerado no momento da adequação da sua empresa.

Assim, o que, em um primeiro momento, poderia representar um grande desafio, ao final, poderá vir a ser uma grande oportunidade de melhoria e implementação integrada de um sistema de gestão de compliance.

Essa, portanto, é uma forma muito eficiente de se relacionar compliance e LGPD!

Conclusão: como devemos relacionar compliance e LGPD no dia a dia da nossa organização

Não há dúvidas de que o compliance e a LGPD possuem uma relação íntima, uma vez que o atendimento às exigências da lei de proteção de dados é essencial para que a sua organização esteja em conformidade e demonstre, efetivamente, o cumprimento a uma das suas obrigações de compliance.

Contudo, a relação entre compliance e LGPD deve se mostrar eficiente no dia a dia da nossa organização. É que, na verdade, essa relação só será eficaz se, de fato, fizer sentido para todas as partes interessadas da sua empresa e estiver incorporada à cultura organizacional.

É preciso, portanto, colocar essa relação em prática, como, por exemplo, por meio do comprometimento da Alta Direção, capacitação e treinamento dos colaboradores, bem como pela utilização de indicadores-chave sobre os temas. É que sem esse engajamento cotidiano de pouco ou nada adiantará esse grande esforço por parte da sua organização.