O passo a passo para fazer um programa eficiente de compliance de acordo com a LGPD

Compliance digital é o conjunto de protocolos e práticas de segurança com que uma organização, pública ou privada, busca proteger dados e demais informações sigilosas de ataques ou de uso criminoso.

Se trata, primeiramente, de adequar o programa de compliance de uma empresa às legislações sobre direito digital. Por exemplo, caso a sua empresa adote teletrabalho ou home-office é essencial que tenha um guia de procedimentos de como esse sistema de trabalho será realizado, como será o banco de horas dos empregados, se os empregados consentem em oferecer alguns de seus dados para controle da empresa etc.

Outro fator seria a vantagem de criar procedimentos para proteger a empresa e tornar o seu tratamento de dados mais transparente e seguro. Para isso, é preciso que o profissional que atua com compliance digital conheça os marcos regulatórios de compliance geral, como a Lei Anticorrupção, cuja metodologia de operação é bastante presente na LGDP (não tão presente no Marco Civil da internet).

Antes de nos adentrarmos no passo-a-passo para um Programa de Integridade Digital de qualidade, iremos apresentar os principais fundamentos de um programa de Compliance, que fundamentam o programa. Eles são:

– Autorregulação Regulada

– Governança Corporativa

– Responsabilidade Social e Ética empresarial

Autorreguação Regulada

Na dou­trina majoritária, existe uma separação das definições sobre a autorregulação: a autorregulação no common law e a autorregulação no civil law. Ressalta-se que, no Brasil, é mais utilizado o sistema do civil law e esse será o que embasará a Autorregulação Regulada em terras tupiniquins.

Na common law: a autorregulação adquire um sentido abrangente: cobre diferentes estruturas que vão desde uma imposição voluntária de conduta por parte dos indivíduos e das organizações até a delegação da atribuição normativa pública em favor de associações de base privada, representativas dos sujeitos que desenvolvem uma determinada atividade.

Na civil law:  só se encontra caracterizada quando, em pri­meiro lugar, quem se autorregula assume como próprios os resultados da autorregulação e, de outro modo, quando a referida atribuição regulatória corresponde à consecução de um fim que deve ser alcançado mediante a autorregulação, e não através da regulação estatal.  

A Autorregulação representa um braço mais específi­co do Compliance e da gestão de riscos voltado às entidades privadas que exercem ativi­dades de interesse público – como as pertencentes aos setores financeiro, publicitário e farmacêutico, por exemplo.  Ela dispõe dos seguintes objetivos:

– comprometimento do corpo diretivo e da alta direção das empresas com os nor­mativos internos;

– alinhamento das regras às estratégias e aos objetivos de negócio da organização;

– alocação de recursos próprios para desenvolvimento, implementação, manuten­ção e melhoria do sistema; e

– mapeamento de riscos e antecipação de demandas para elevação da qualidade das práticas e serviços.

Governança Corporativa

A Governança Corporativa é o sistema que dirige, monitora e incen­tiva as empresas, abarca os relacionamentos entre os sócios, o conselho de administra­ção, a diretoria, os órgãos de fiscalização e de controle e as partes interessadas.

O Instituto Brasileiro de Governança Corporativa (IBGC) determina, em suas boas práticas, que a governança corporativa transforma os princípios básicos em recomenda­ções objetivas. Seu objetivo é preservar e otimizar o valor eco­nômico a longo prazo da organização, além de facilitar o a recursos e contribuir para a qualidade da gestão da organização, da longevidade e do bem comum.

Responsabilidade Social e Ética empresarial

As empresas não podem mais se preocupar apenas com a maximização de seus lucros. Hoje, para ter um programa de compliance eficiente, é necessário que as empresas tenham responsabilidade social e ética empresarial.  As organizações bem-sucedidas definem seus valores e estão continua­mente preocupadas em treinar seu pessoal para que este possa tomar de­cisões éticas.

Chiavenato (2005, p. 49) define a responsabilidade social das organiza­ções como: […] o grau de obrigações que uma organização assume por meio de ações que protejam e melhorem o bem-estar da sociedade à medida que procura atingir seus próprios interesses. Além disso, a empresa teria […] obrigação de adotar políticas e assumir decisões e ações que beneficiem a sociedade.” (Ibidem, p. 49), enfatizando que como um modelo de gestão “Os dirigentes de uma organização devem buscar alcançar simultaneamente objetivos organizacionais e societários. (Ibidem, p. 49)

Já a Ética Empresarial representa os valores que fazem parte da cultura organizacional da empresa. Possui os princípios que orientam as ações de todos que participam da organização, desde funcionários até as tomadas de decisões pela administração da organização e a sua relação com o público.

Para que a ética seja internalizada na empresa é preciso a criação de normas e condutas, como um código de ética, em que os funcionários da empresa devem se basear.

Esse código deve ter regras e linguagem claras, concisas e acessíveis sobre o relaciona­mento entre as partes da sua organização, além de ser um manual de conduta dentro da organização.

Programa de Integridade Digital

Conhecendo os princípios de um programa de compliance, pode-se pensar no Programa de Integridade Digital da empresa.  Esse programa deve servir não apenas para regulamentar relações econômicas e sociais mediante a área digital, mas também dar acesso à informação, garantir a segurança jurídica das partes, evitar golpes, fraudes e inadimplên­cia.

Os programas de integridade têm sua implementação objetivando obstruir riscos da atividade negocial desenvolvida pela empresa, independentemente do setor.

De acordo com a Lei Anticorrpução e em seu Decreto regula­mentador 8.420/2015, a criação de um “programa de integridade efetivo” dentro das empresas pode levar à significativa redução de penas em casos de corrupção, beneficiando assim a continuidade dos negócios.

O art. 50 da Lei Geral de Proteção de Dados também oferece um roll de ações que norteiam quais seriam as boas práticas do Programa de Integridade Digital.

Qualquer programa de compliance deve seguir os seguintes passos:
– mapeamento de riscos

–  qualificação de quem irá executar as tarefas designadas

– compromisso da alta administração

– Diligências Prévias

– Aplicação de sanções

Mapeamento de riscos

É o diagnóstico que identifica as áreas e processos expostos aos riscos de compliance.

São riscos de mercado, se este é regulado ou não; riscos de um modelo de negócio adotado ou não; riscos de quanto os colaboradores na cultura organizacional uti­lizam de mídias sociais ou não; quem tem a gestão dessas mídias sociais e entre outros. Um bom mapeamento de riscos leva em consideração o possível impacto do problema, sua frequência, probabilidade de ocorrência e magnitude sobre as atividades da empresa.

O resultado do processo de mapeamento será o de atribuir a cada risco identificado uma classificação, tanto para a probabilidade como para o impacto, cuja combinação determi­nará o nível do risco.

Qualificação de quem irá executar as tarefas designadas

Em um segundo ponto verifica-se qual a qualificação de quem vai executar tais ta­refas/ o programa. É uma questão importante é preciso que as tarefas sejam designadas para as pessoas corretas e que elas estejam, acima de tudo, conscientes de qual será o passo-a-passo dessas tarefas, que deverá ser claro e discriminado para fins de transparência.

Compromisso da alta administração

A alta administração de uma empresa é formada por quem tem o poder de deci­são, tais como os membros do conselho de Administração e/ou da Diretoria Executiva. É preciso que a administração esteja envolvida na execução desses traba­lhos, dando exemplos de qualificação ou integridade, conduzindo a seguir e respeitar os princípios éticos, caminhando em conformidade com as normas e com as boas práticas do mercado.

Sem o apoio da alta administração, é improvável que a área de compliance ou de prevenção à lavagem de dinheiro consiga contribuir de maneira eficiente com a cultura da empresa.

Dificilmente as ações de compliance irão se sobressair na instituição quando falta apoio financeiro, pessoal e, principalmente, incentivo por parte dos gestores. Conse­quentemente, não haverá independência e autonomia do setor responsável pelo programa, o que dificulta ainda mais a sua atuação.

Diligências Prévias

A due dilligence/ diligêcia prévia é utilizada, principalmente, no âmbito de aqui­sições corporativas, para se referir ao processo de busca de informações sobre uma em­presa.

Equivale a uma avalição de riscos prévia a uma contratação, uma aquisição, uma celebração de parceria, a formação de um consórcio de empresa, sempre que se tenha um relacionamento jurídico e comercial relevante entre partes.

No âmbito do Compliance, a Due Diligence figura como um dos pilares relevantes dentro de um programa interno de prevenção, consistindo em uma espécie de auditoria interna para identificar riscos e oportunidades, um diagnóstico sobre a saúde legal, financeira e reputacional da empresa. O resultado serve para comprovar a aderência ao cumprimento da legislação e qualidade dos serviços prestados.

Por exemplo, é preciso que antes de firmar uma parceria, a empresa pesquise sobre o parceiro e veja se ela está de acordo com os valores e a cultura de sua empresa. Atualmente, é difícil alegar falta de conhecimento da reputação de certas empresas, portanto, é preciso que haja essa diligência antes de associar a empresa a outra que não tenha os mesmos valores e cultura.

Aplicação de Sanções

Infelizmente, a ausência de sanções aplicáveis em programas de compliance enfraquece o programa por si só. É preciso que todas as partes envolvidas saberem que a organização preza por seu programa de compliance e que ele deve ser seguido, sob pena de sanção.

Tais sanções podem ser: advertências, sanções contratuais, cláusulas penais, justa causa etc. É preciso que seja discriminado quais condutas não serão aceitas e quais sanções se aplicam à qual conduta.

Em momentos de falha no programa de compliance é preciso que haja a devida correção e que essa falha seja apurada de forma imparcial, eficaz e transparente. Ou seja, deverá ter apresentações das provas e os procedimentos jurídi­cos de forma adequada, e, sobretudo, que não seja feita nenhuma distinção entre quem foi sancionado ou não a depender do cargo.

Compliance de Acordo com a LGPD

A LGPD determina em seu art. 50 quais são as melhores práticas para os programas de compliance/integridade digital. Ou seja, além dos já discriminados acima é preciso que o programa também:

a) demonstre o comprometimento do controlador em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais;

b) seja aplicável a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do modo como se realizou sua coleta;

c) seja adaptado à estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados tratados;

d) estabeleça políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade;

e) tenha o objetivo de estabelecer relação de confiança com o titular, por meio de atuação transparente e que assegure mecanismos de participação do titular;

f) esteja integrado a sua estrutura geral de governança e estabeleça e aplique mecanismos de supervisão internos e externos;

g) conte com planos de resposta a incidentes e remediação; e

h) seja atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas;

II – demonstre a efetividade de seu programa de governança em privacidade quando apropriado e, em especial, a pedido da autoridade nacional ou de outra entidade responsável por promover o cumprimento de boas práticas ou códigos de conduta, os quais, de forma independente, promovam o cumprimento desta Lei.