LGPD, Compliance e Gestão de riscos na segurança de dados

Por: Antonio Araujo Júnior e Caio Godoy

LGPD chegou para aprimorar o compliance

A proteção informações corporativas perante ameaças externas e internas é essencial para uma organização, pois sabe-se que os dados de empresas, sejam de maior ou menor grau, possuem valor. Este sentido, entra a Segurança de Dados, que visa proteger os dados organizacionais e, para isso, é necessária uma série de ações de planejamento que envolvem uma boa performance no assunto de segurança de dados. Compliance e Gestão de Risco são estratégias e/ou ferramentas essenciais para uma boa atividade empresarial de segurança de dados.

Gestão de riscos é uma série de processos que tem por objetivo corrigir as deficiências para evitar falhas que possam ocorrer e comprometer a organização, e com isso gerar valor para a companhia. A ação de gerir riscos envolve uma série de atividades cognitivas de análise, interpretação e identificação de oportunidade que aumentam o valor de mercado da empresa e melhoram a infraestrutura do negócio.

O compliance advém do verbo em inglês “to comply” que significa ação em conformidade com novas regras. Neste sentido, o compliance se relaciona como um mecanismo de controle que tem como objetivo garantir que os processos de uma instituição sejam realizados de acordo com os requisitos jurídicos, ao mesmo tempo que estejam alinhados com os valores e missão da empresa. Envolve bom relacionamento com investidores, clientes e fornecedores.

A integração de ambos promove uma cultura de suporte a regra bem como identificação dos custos e das exigências normativas existentes, reduz ameaças e potencializa o número de oportunidades. Ser compliance é seguir as normas e agir com ética e idoneidade, enquanto gerir os riscos é essencial para assegurar a instituição.

Desta maneira, no âmbito de segurança de dados, é importante que ambas estejam afiadas e em comunicação, uma com a outra, agindo conjuntamente para assegurar uma segura vivência organizacional.

LGPD e as novas regras para o compliance

Com as novas legislações aparecendo (LGPD)¹ no Brasil, as empresas precisam se atentar mais do que nunca à segurança de dados. No entanto, dados sempre foram de vital importante para a estratégia empresarial, seja de origem própria (de ordem jurídica) ou de seus colaboradores, clientes ou outros com os quais se relacionem.

Informação e conhecimento são cada vez mais valiosos e necessários, e compreender as mudanças constantes que permeiam os dados é uma característica essencial para a empresa que quer crescer e não ficar para traz. O crescimento da tecnologia acaba por viabilizar ferramentas que facilitam o vazamento de informação, que podem prejudicar seriamente custodiantes e titulares.

O Compliance, neste sentido, aponta por três naturezas de riscos, dentre as várias existentes:

  • Risco legal, quando a empresa não está de acordo com a legislação e códigos de conduta do negócio;
  • Risco operacional, quando a empresa possui recursos ineficientes e possíveis de causar prejuízos a ela;
  • Risco de imagem, no qual um descuido de conduta da empresa pode ferir a reputação perante a sociedade.

O vazamento de dados pode acarretar diversas consequências severas. O risco apontado pelo Compliance, quando não tratado devidamente por uma boa Gestão de Riscos, pode causar danos até mesmo irreparáveis. Com as empresas de saúde, segundo a Lei Geral de Proteção de Dados, esta pode até mesmo ser impedida de coletar dados de seus clientes, correndo o risco de interromper permanentemente suas atividades.

As empresas no dia a dia tomam várias decisões que influenciam em maior ou menor grau o rumo de suas operações, até mesmo o lucro. Uma boa gestão de riscos, assim, cria uma matriz de risco, considerando a probabilidade deste existir, seus impactos e como a empresa pode sair deste problema. Não apenas isso, mas formas de assumir o risco de maneira segura, administrando-o. As informações são um risco a ser gerido, diante da sua importância.

DPO e Compliance anda juntos para Proteção de Dados e conformidade de metodologia

Dentro deste contexto, que se insere de forma importantíssima a figura do DPO ou encarregado pelo tratamento de dados pessoais, que nos moldes em que a LGPD determina, passa a exercer função extremamente relevante na atuação do compliance empresarial.

Em comparação ao contexto europeu, o Article 29 Working Party ², definiu o DPO como o coração desta nova estrutura legal que se amoldará ao dia a dia empresarial a partir de agosto de 2020, exercendo uma função facilitadora ao compliance com os provisionamentos necessários para adequação junto a LGPD.

Assim, mesmo com as recentes alterações, tanto na Europa quanto no Brasil, caberá ao DPO receber do controlador todas as informações que se relacionem ao tratamento de dados, entender o ciclo dos dados pessoais que circulam dentro do contexto em que se insere a empresa, sendo responsável por instruir e adequar os meios de tratamento em conformidade com a LGPD, tais informações devem ser levadas ao conhecimento daqueles que detenham o poder decisório e avaliem os riscos em caso de qualquer inadequação diagnosticada.

Este ainda funcionará como um elo entre a organização, a ANPD e os terceiros titulares dos dados coletados, devendo se demonstrar ativo na interlocução com estes, para o zelo e facilitação do acesso as informações, através dos meios de comunicação disponíveis pelo controlador.

Assim, diante deste cenário, o DPO se apresenta como figura principal na implementação e aplicação efetiva na adequação da LGPD, e em principal no estabelecimento das normas de compliance.

Gestão de Risco para segurança, controle e diminuição da vulnerabilidade

Na Gestão de Riscos para a segurança de informação e de dados, existe a norma ISO 27005 de Gestão de Riscos de Segurança de Informação. Nela é trazida os níveis de risco que existem, nos quais o dado pessoal ou informação na empresa estão submetidos.

  • O grau de vulnerabilidade existente;
  • A probabilidade da ocorrência de um incidente de segurança (concretização de uma ameaça);
  • O impacto resultante do mesmo.

Neste sentido, a gestão de risco deve entrar como a mão forte que previne o vazamento físico destas, bem como possua o planejamento para remediar algum vazamento de informações. E que gerir dados também exige sensibilidade e um alto grau de compliance por parte da empresa.

Os benefícios do compliance podem ser diversos, fazendo a empresa apenas ganhar. Estes podem ser:

  • Aumento da credibilidade no mercado;
  • Evita fraudes;
  • Reduz os custos;
  • Aumenta rentabilidade;
  • Aumenta a produtividade;
  • Aumenta a qualidade dos produtos e serviços;
  • Ajuda a difundir os bons valores e cultura organizacional da empresa.

Utilizando os conceitos trazidos pelo compliance, a empresa estimular seus funcionários de maneira positiva, através de preceitos éticos. Uma empresa que possui compliance efetivo tem maiores chances de ter um bom nome no mercado, seja como confiável, ou qualidade, ou possuidora de bons valores.

Um determinado nível de risco pode ser aceito, caso a organização determine que este não acarreta consequências significativas para concretização de suas atividades. No entanto, quando envolve a atividade de gerir dados ou informações pessoais, não devem ser poupados esforçados da organização para reduzi-lo até ser considerado aceitável para a organização.

Talvez, deve-se levar em consideração o investimento maior em sistemas que cuidam destes dados, pois as consequências de um vazamento de dados pessoais podem ser extremamente prejudiciais.

Stay in legal compliance and keep going

Gostou deste artigo? Compartilhe nas suas redes sociais, para que outras pessoas também possam conhecê-lo.

Por: Antonio Araujo Júnior e Caio Godoy

Referências

¹ BRASIL. Presidência da República. Lei nº 13.853, de 8 de julho de 2019. Altera a Lei nº 13.709, de 14 de agosto de 2018, para dispor sobre a proteção de dados pessoais e para criar a Autoridade Nacional de Proteção de Dados; e dá outras providências. Brasília, DF: Presidência da República, 2019. Disponível em: http://www.planalto.gov.br/ccivil_03/_Ato2019-2022/2019/Lei/L13853.htm#art2. Acesso em: 24 out. 2019.

² – “ARTICLE 29 DATA PROTECTION WORKING PARTY – Guidelines on Data Protection Officers (‘DPOs’)” Disponível em https://ec.europa.eu/newsroom/document.cfm?doc_id=44100 . Acesso em 18/09/2019.

Um comentário em “LGPD, Compliance e Gestão de riscos na segurança de dados

Deixe um comentário

Faça o login usando um destes métodos para comentar:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google

Você está comentando utilizando sua conta Google. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s