Português
  • Português
Your address will show here +12 34 56 78
Canal de Denúncias, Governança de Documentos, Legislação, LGPD, Programa de Integridade
O aumento das interações no ambiente on-line evidenciou a necessidade de segurança dos dados pessoais. Redes sociais, aplicativos e sites recebem diariamente um grande volume de informações de seus usuários.

O tratamento inadequado pode implicar no vazamento deste tipo de conteúdo, trazendo riscos para as pessoas e perda de credibilidade para as empresas.

Neste contexto, o Brasil instituiu a lei nº 13.709/2018, conhecida como Lei Geral de Proteção de Dados (LGPD), que “dispõe sobre o tratamento dos dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural”, como informa o texto da legislação.

Desta forma, as empresas precisam comprovar o comprometimento com a segurança e a integridade dos dados de clientes, funcionários e parceiros. Essas informações podem constar em cadastros, mailings, pesquisas, relatórios, contratos e outros meios.

Entendendo a relação entre LGPD e compliance

A LGPD é apontada por especialistas como um marco para o desenvolvimento de uma nova cultura nas organizações, pautada na segurança digital.

Considerando que o trabalho do compliance consiste em garantir que as empresas estejam em conformidade com as leis e regulamentações vigentes, ambos estão diretamente relacionados.

Estar em compliance com a LGPD significa adequar a rotina e os processos ao texto da lei e, assim, inserir a empresa nessa nova cultura organizacional. Essa adequação garante maior segurança aos clientes, funcionários e parceiros, além de benefícios para as empresas, como veremos adiante.

O que diz a LGPD

A LGPD é dividida em dez capítulos e 65 artigos. O texto tem entre seus principais fundamentos o respeito à privacidade; a inviolabilidade da intimidade, da honra e da imagem; o desenvolvimento econômico, tecnológico e a inovação; a livre iniciativa, a livre concorrência e a defesa do consumidor; os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania.

Dentre as suas determinações, está a obrigatoriedade da criação de um programa de governança em privacidade. Mas não basta apenas instituí-lo, é preciso comprovar o comprometimento com boas práticas para o tratamento e a segurança de dados pessoais. 

Além disso, o texto pontua que a Autoridade Nacional de Proteção de Dados (ANPD) e outras entidades podem solicitar essas comprovações quando acharem necessário. Este é um dos apontamentos da legislação que mostra a necessidade de esse trabalho ser contínuo e eficiente.

Ainda nesse mesmo sentido, outro aspecto descrito na lei é a determinação de que o programa de governança em privacidade seja atualizado frequentemente a partir das informações obtidas pelo trabalho de monitoramento e avaliação periódica das ações estabelecidas dentro da empresa.

Como estar em conformidade com a LGPD

A adequação à LGPD ainda tem desafiado muitas empresas, afinal, trata-se de uma legislação recente. Sancionada em agosto de 2018, ela entrou em vigor dois anos depois, em agosto de 2020. No entanto, as multas e sanções passaram a ser aplicadas desde o dia 1º de agosto de 2021. Veja como se adaptar:

  • Faça um mapeamento dos fluxos de dados: identifique as operações internas que estão relacionadas à captação e ao tratamento de dados pessoais de clientes, funcionários e parceiros.
  • Organize os dados que foram levantados: após mapear as operações que envolvem dados pessoais, é preciso analisar esse material e classificá-lo de acordo com a relevância e a finalidade. Aproveite para eliminar informações duplicadas, inválidas ou que não são usadas pela empresa.
  • Tenha políticas de proteção: para estar de acordo com a LGPD, também é imprescindível que a empresa estabeleça políticas de proteção de dados pessoais para manter as informações seguras. Essas diretrizes devem ser informadas tanto para o público interno (funcionários) quanto para o externo (clientes e parceiros).
  • Revise os termos e políticas: caso a empresa tenha elaborado termos de uso, políticas de privacidade e contratos antes da LGPD, será necessário revisar esse material para adaptá-lo às novas regras.
  • Envolva a equipe: para uma empresa estar em compliance com uma determinada legislação, é preciso que todos os funcionários sigam as diretrizes criadas. Divulgue as informações sobre a LGPD e as ações da empresa para se adequar à lei nos canais de comunicação interno e realize treinamentos que permitam fixar essas regras e engajar os profissionais.
  • Escolha as ferramentas corretas: verifique se as ferramentas que a empresa dispõe para o tratamento de dados pessoais estão em conformidade com a LGPD. Há muitas soluções tecnológicas disponíveis que podem ajudar nessa adaptação. Uma recomendação é a implantação de um canal de denúncias, mecanismo que contribui para identificar, investigar e combater possíveis irregularidades.
  • Faça monitoramentos periódicos: o trabalho do compliance é contínuo, feito no dia a dia da empresa. Por isso, é fundamental acompanhar o andamento das ações que foram implantadas. Isso, inclusive, é uma exigência da LGPD.
  • Lembre-se de comprovar as boas práticas: adote ferramentas que possibilitem o registro das ações internas que foram criadas, do repasse das informações aos funcionários e do trabalho de avaliação periódica.

Vantagens de adaptar-se à LGPD

Adequar a rotina e os processos à LGPD garante muitos benefícios para a empresa. O primeiro deles é a segurança jurídica de estar em conformidade com a lei. Outro aspecto positivo é evitar sanções e o prejuízo financeiro. A multa pelo descumprimento da legislação pode chegar a R$ 50 milhões.

Outra vantagem é o fortalecimento da credibilidade no mercado, uma vez que estar de acordo com a lei oferece maior segurança para clientes, funcionários e parceiros. Os casos de vazamentos de dados pessoais são responsáveis por danos à imagem e à reputação de empresas.

Todas as empresas, independente do porte ou do setor de atuação, devem estar em conformidade com a LGPD. Em caso de dúvidas, busque auxílio de profissionais que possam orientar sobre a adequação prática aos termos da lei. 

O clickCompliance é um software de compliance que realiza a gestão do programa de integridade por meio da gestão e automação de processos. A ferramenta possui várias funções que contribuem para o atendimento à LGPD.

Para mais informações, entre em contato com a gente!
0

Anticorrupção, Como fazer, LGPD
O monitoramento é uma das principais ações de um programa de compliance bancário. Realizado de forma contínua, é o mecanismo para verificar se o que foi planejado tem sido colocado em prática de forma eficiente, alcançando os resultados esperados.

Trata-se, portanto, de uma etapa-chave para a avaliação e, também, para o aperfeiçoamento dos processos de prevenção, detecção e combate às irregularidades.

Nos últimos anos, o Brasil acompanhou mudanças no ambiente regulatório com a criação de legislações que exigem maior transparência e ética por parte das empresas e instituições. O setor financeiro foi impactado por essas novas regras e precisou adaptar-se. 

Na prática, os bancos instituíram programas de compliance e passaram a monitorar de forma contínua as diversas transações realizadas a fim de identificar com mais rapidez os sinais de alerta – red flags – para o risco de fraude.

O que diz a Lei Anticorrupção e a LGPD?

Considerada a principal legislação para o setor de compliance, a Lei Anticorrupção (Lei nº 12.846/13) responsabiliza pessoas jurídicas por atos ilícitos contra a administração pública nacional ou estrangeira.

O Artigo 42 do Decreto 8.420/15, que regulamentou a lei, determina que o monitoramento do programa de integridade seja realizado de forma contínua, com o objetivo de garantir o seu aperfeiçoamento.

Já a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018) dispõe sobre o tratamento de dados pessoais, inclusive em meio digital. O texto estabelece a criação de um sistema de governança de privacidade que precisa ser constantemente atualizado, com base nas informações obtidas a partir de monitoramento e de avaliações periódicas.

Nota-se, portanto, que o monitoramento é uma etapa obrigatória dos programas de compliance, assegurada pelas legislações vigentes. 

Como realizar o monitoramento

O trabalho deve ser feito diariamente pela equipe responsável pelo setor de compliance. O foco é analisar os resultados alcançados com os procedimentos e as ferramentas adotadas para a implantação das políticas de compliance. 

Neste processo, os dados têm um papel fundamental. Uma recomendação é definir quais deles serão analisados, isto é, quais são os indicadores chaves de performance ou Key Performance Indicators (KPIs)

Frentes de atuação do compliance bancário

Mas antes de definir os KPIs, é preciso compreender quais tipos de dados o compliance bancário é capaz de produzir. Para isso, é necessário saber em quais frentes ele atua:

  • Prevenção à lavagem de dinheiro;
  • Identificação de fraudes e sonegações;
  • Proteção de dados;
  • Redução de riscos para a proteção patrimonial do banco e dos clientes.

Para atingir esses objetivos, há adoção de estratégias e procedimentos específicos, tais como implantação de canal de denúncias, uso de Big Data, biometria, softwares personalizados e ferramentas analíticas que geram dados e relatórios, a partir dos quais é mais fácil definir quais KPIs são mais relevantes e deverão ser monitorados.

Avaliação de riscos e linhas de defesa

O Guia “Boas Práticas de Compliance”, realizado pela Federação Brasileira dos Bancos (Febraban), explica que o compliance bancário deve promover “a identificação, a mensuração e priorização, o monitoramento e o reporte dos riscos, levando em consideração a abordagem baseada em risco e o modelo de linhas de defesa”.

A abordagem baseada em riscos da Febraban consiste em avaliações periódicas que propiciem a criação de medidas práticas de controle e mitigação desses riscos. Nesse sentido, é importante que os bancos estejam atentos aos sinais de alerta, também chamados de red flags, que falaremos mais adiante. 

Já o modelo de linhas de defesa proposto pela Febraban divide as atribuições dos programas de compliance em três áreas, de forma que todos os setores da instituição estejam envolvidos, mas também possam atuar de forma independente. 

A primeira dessas linhas contempla a gestão de negócios, suporte e operacionais, enquanto a segunda é direcionada às atividades de compliance, controle interno e gerenciamento de riscos. Por fim, a terceira linha de defesa tem foco nos trabalhos de auditoria interna.

De olho nas red flags

Há alguns sinais de alerta que os bancos devem ter atenção redobrada para garantir o trabalho de prevenção, detecção e combate às irregularidades. Dentre os principais, podemos citar:

  • Acordos com pagamentos vultuosos;
  • Ausência de transparência dos sócios de uma empresa;
  • Reputação ou alegação de fraude/corrupção;
  • Informação limitada;
  • Relações com pessoas que já foram expostas por fraude/corrupção.

Orientações:

Com relação à etapa de monitoramento, a Febraban orienta instituir critérios e metodologias para o acompanhamento periódico das práticas de compliance através dos uso de indicadores.

Também é aconselhável acompanhar multas e passivos relativos à não conformidade, bem como situações que possam afetar a reputação da instituição.

Por fim, destaca a necessidade de “Relatar sistemática e periodicamente os resultados das atividades de compliance ao Conselho de Administração, à Alta Administração e aos demais níveis organizacionais”.

Estabelecer o monitoramento criterioso e contínuo é um trabalho desafiador, que exige tempo, preparo e conhecimento para a avaliação de dados. O uso de software especializado ajuda a otimizar este processo.

O clickCompliance oferece a solução para a gestão de todas as etapas do programa de compliance. Além de automatizar os processos internos, reduz custos e o trabalho manual da equipe.

Agende uma demonstração!
0

LGPD, Treinamento de Compliance
Você já ouviu falar em DPO? A sigla significa Data Protection Officer e pode ser traduzida para Profissional de Proteção de Dados. É uma profissão criada recentemente e que vem ganhando destaque no mercado.

O DPO é o responsável por proteger as informações das empresas, função ainda mais necessária após a implementação Lei Geral de Proteção de Dados (LGPD, Lei 13.709/2018).

A LGPD obriga as empresas a criarem mecanismos de proteção de dados pessoais que são coletados e mantidos por elas, independentemente de seu ramo de atuação. O objetivo é garantir mais privacidade das informações pessoais que circulam na Internet, indo ao encontro dos direitos fundamentais de liberdade. 

Quando falamos em proteção de dados, imagine as seguintes situações: você começa a receber e-mails, SMS e ligações de empresas com as quais nunca se relacionou. Ou, no pior dos casos, seu nome, seu CPF e até o seu salário podem ser consultados por qualquer pessoa na internet.

Para evitar problemas como esse, a LGPD está sendo implementada. E, neste processo, entra o profissional de DPO. Ele é contratado pelas empresas para garantir que os dados não sejam vazados e a lei não seja infringida.

Um dos mecanismos para evitar problemas relacionados ao uso de dados é informar aos funcionários e aos clientes de uma empresa sobre a finalidade da coleta daquele dado. Essa ação é definida como “manifestação do consentimento”.

Ou seja, a pessoa precisa saber para quê está informando seu nome, e-mail ou telefone, por exemplo. Neste ponto, vale ressaltar que é proibido o armazenamento de informações que não sejam compatíveis com o motivo previamente informado. Os dados também não devem ser usados para outros fins diferentes do que foi divulgado.

A LGPD, no entanto, não se aplica a dados corporativos e de negócios; a dados para fins particulares e não econômicos; e a dados para fins jornalísticos, artísticos, acadêmicos, penais, investigativos e de segurança pública.

Quais profissionais podem exercer o cargo de DPO?

O DPO é uma pessoa nomeada pela empresa que tem acesso aos dados que serão protegidos. Tal função pode ser exercida por alguma prestadora de serviços especializada, mas em geral, o cargo é ocupado por um colaborador da empresa.

Esse funcionário será o elo entre a organização, as pessoas às quais os dados pertencem e ao órgão regulador, que é a Autoridade Nacional de Proteção de Dados (ANPD).

O Data Protection Officer é o profissional que precisa não só ter conhecimentos sobre dados, como também sobre processos de Governança Corporativa, já que ele deve ser o responsável por fazer a fiscalização e a governança conforme a Lei Geral de Proteção de Dados.

Cabe ao DPO, ainda, orientar funcionários e terceirizados da empresa sobre a forma como os dados devem ser manuseados e protegidos, assim como atender demandas de clientes e fornecedores que surjam a respeito do tema.

Além disso, esse profissional precisa estar preparado para ouvir e atender queixas, denúncias e reclamações, de modo a responder questionamentos sobre o uso de dados na empresa.

E quais as qualificações necessárias para o profissional que assume esse cargo? É recomendado que seja alguém com formação jurídica e com conhecimento em segurança de informação e privacidade.

Por isso, advogados e profissionais de TI comumente se qualificam para a função. Em geral, especialistas nas duas áreas largam em vantagem na hora da disputa pela vaga.

O artigo 38 da LGPD estabelece que o DPO precisa estar envolvido com a proteção de dados em todas as áreas e contar com apoio dos seus superiores para que as suas funções possam ser desempenhadas de maneira correta e assertiva.

A legislação ainda determina que o DPO deve conscientizar os colaboradores sobre a importância do que é feito, mas não detalha a obrigatoriedade quanto à formação do profissional.

O ideal é que o colaborador consiga atuar de forma independente, podendo exercer suas atividades sem restrições por parte da empresa. É preciso ter em mente que, sem essa liberdade de atuação, o serviço pode ficar comprometido.

Assim, funcionários e clientes podem fazer questionamentos, tirar dúvidas e conferir se os dados estão sendo protegidos conforme o previsto em lei.

Quem precisa de um DPO?

Nem todas as empresas são obrigadas a ter um DPO, mas ainda há muitas dúvidas sobre isso. A LGPD especifica que empresas que possuam alto volume de dados pessoais precisam investir na proteção dos dados.

Dessa forma, quem armazena, coleta ou processa esses dados tem que ter um DPO. É importante reforçar que o descumprimento às determinações da LGPD implica em multa que varia de 2% do faturamento até R$ 50 milhões.

Treinamento de DPO

Para que as empresas possam estar alinhadas ao que diz a LGPD é necessário que todos os colaboradores e parceiros tenham conhecimento sobre a lei e seus benefícios. Treinamentos desenvolvidos em plataformas virtuais podem ajudar neste processo.

Quem qualifica a equipe, ganha no maior dinamismo ao repassar as informações, no aumento da participação e da responsabilidade dos funcionários, na ajuda em fixar os detalhes fundamentais da lei, contribuindo também para o objetivo de se adequar à legislação.

O clickCompliance disponibiliza um treinamento sobre proteção de dados e LGPD que pode ser aplicado tanto no ambiente digital, quanto no não digital. O software traz vídeos em animação, perguntas customizáveis e espaço para inserir conteúdo próprio.

Agende uma demonstração e tire suas dúvidas.
0

LGPD, Treinamento de Compliance
Criada em 2018, a Lei Geral de Proteção de Dados (Nº 13.709/2018) marca o início de uma nova cultura sobre a privacidade dos cidadãos e a segurança às informações pessoais. O dispositivo legal estabelece parâmetros que regulamentam a forma que as empresas públicas e privadas devem tratar os dados de clientes e funcionários. Estar em conformidade com essa legislação é assegurar a responsabilidade e a ética empresarial. 

Para que as empresas possam estar alinhadas com o que diz a LGPD é necessário que todos os colaboradores e, também terceiros que estejam envolvidos em projetos corporativos, tomem conhecimento das informações. Isso pode ser feito por meio de treinamentos desenvolvidos em plataformas virtuais.

Compreenda a LGPD na prática

O texto da LGPD traz novas determinações para as empresas no que diz respeito à coleta, ao armazenamento e aos cuidados com os dados pessoais. Dentre essas mudanças está o fato de que é necessária a manifestação do consentimento do cliente para o uso de seus dados. Assim, é preciso maior transparência sobre o tratamento que será oferecido a essas informações.

As empresas também precisam informar com qual finalidade irão realizar a coleta de dados, sendo proibido o armazenamento de informações que não sejam compatíveis com a motivação informada. Também não se deve usar os dados coletados para outros fins.

A LGPD estabelece, ainda, a necessidade de implantação de um programa de governança em privacidade que assegure o comprometimento com a segurança de dados. A comprovação da efetividade desse programa pode ser exigida pela Autoridade Nacional de Proteção dos Dados (ANPD). Outra questão pontuada pela lei é a necessidade de aprimoramento contínuo do programa.

É importante destacar que o descumprimento às determinações da LGPD implica em multa que varia de 2% do faturamento até R$ 50 milhões.

Compliance bancário

Investir na segurança de dados é primordial para todas as organizações. Para aquelas que lidam diretamente com grande volume de informações pessoais, como o setor bancário e de finanças, trata-se de uma necessidade ainda mais urgente.

Nesse sentido, é preciso destacar a relevância do compliance bancário para que estas instituições estejam em conformidade com as leis, as diretrizes e os regulamentos que abordam o tratamento de informações, a segurança de dados, o gerenciamento de riscos e os demais controles de ética.

Sua equipe está preparada?

Após compreender alguns dos apontamentos práticos da LGPD e a importância para todas as empresas, sobretudo aquelas que lidam com grande volume de informações pessoais, é preciso se questionar sobre a preparação da sua equipe. 

Seus funcionários estão bem informados sobre o que diz a LGPD? No dia a dia da empresa são adotadas práticas de prevenção e combate a possíveis desvios de conduta? Como eles lidariam em uma situação de violação?

Pesquisa realizada pela consultoria Deloitte, mostrou que 80% das empresas brasileiras identificaram desvios de conduta nos últimos quatro anos. Isto significa que profissionais ou agentes dessas organizações adotaram um comportamento divergente da cultura ética corporativa, o que resulta em prejuízo aos clientes, aos profissionais e à marca. O estudo foi realizado em outubro de 2020, por meio de entrevistas aplicadas em 125 empresas de diferentes setores.

O resultado demonstra a necessidade do envolvimento de todos os funcionários nos programas de compliance e integridade. É assim que as empresas podem garantir não só a adequação às leis e normas vigentes, mas também, o combate efetivo às irregularidades, como fraudes e corrupção.

Canal de denúncias

Ainda de acordo com a pesquisa, 85% das empresas brasileiras usam o canal de denúncias como mecanismo para a identificação de irregularidades. O treinamento da equipe sobre o uso correto dessa ferramenta é uma maneira de tornar mais eficiente o trabalho de prevenção e coibição de possíveis desvios de conduta.

Motivos para realizar um treinamento

É possível treinar a equipe por meio de plataformas virtuais que oferecem capacitações sobre temas que são fundamentais para a empresa e o seu setor de atuação. No caso da LGPD, é um assunto de interesse de qualquer organização, independente do porte ou segmento.

Para escolher a melhor plataforma é preciso observar questões como acessibilidade, ferramentas utilizadas, oferta de métricas e relatórios, além da própria dinâmica de ensino.

Treinar a equipe confere vantagens como:

  • Maior dinamismo no repasse de informações;
  • Fixar as informações;
  • Aumentar a participação e a responsabilidade do funcionário;
  • Produzir indicadores e relatórios sobre desempenho;
  • Contribuir para a empresa alcançar o objetivo de se adequar à legislação. 

Novo treinamento clickCompliance

O clickCompliance está com um novo treinamento sobre proteção de dados que ajuda na compreensão da LGPD a partir da aplicação em situações do dia a dia. A aplicação é tanto para o ambiente digital, quanto o não digital. 

Esse novo treinamento pode ser incorporado como um módulo da plataforma clickCompliance, que pode ser acessada pelo navegador ou pelo aplicativo. Agende uma demonstração para conhecer esse e mais treinamentos no nosso site! 

Nossas capacitações oferecem conteúdos multimídias customizáveis, promovem o engajamento dos participantes por meio de storytelling e garantem indicadores e relatórios de desempenho.

 
0

Como fazer, LGPD
Existem muitas frentes que o compliance precisa abordar quanto à Lei Geral de Proteção de Dados (LGPD). No entanto, uma que é fundamental para o sucesso do seu programa de proteção de dados é a proteção dos direitos dos titulares dos dados.

Muitas vezes o compliance toma uma estratégia mais passiva em relação ao contato com funcionários e o público, investigando denúncias que chegam no canal de denúncias, fazendo uma gestão de riscos interna, etc.

E quando há uma comunicação ativa, geralmente é para cobrar assinaturas em políticas ou a realização de treinamentos dos funcionários da organização. Mas com a LGPD, empresas estão sendo orientadas cada vez mais a educar o público externo sobre a importância de cobrar os seus direitos.

Quais são os direitos do titular dos dados?

O compliance deve ter um meio fácil e acessível para que funcionários cobrem os seus direitos da empresa. São estes direitos:

  • Compartilhamento de informações sobre as entidades públicas e privadas com as quais os seus dados pessoais são compartilhados
  • Confirmação e acesso
  • Correção
  • Eliminação
  • Anonimização, bloqueio ou eliminação
  • Portabilidade
  • Oposição ao tratamento de seus dados pessoais quando em descumprimento à LGPD
  • Solicitar informações claras a respeito dos critérios e dos procedimentos utilizados para a tomada de decisão com base em tratamento automatizado de dados pessoais
  • Explicação sobre a possibilidade e as consequências de não fornecer o seu consentimento
  • Revogação de consentimento

Como garantir esses direitos?

Uma boa estratégia para garantir os direitos do titular dos dados tem duas etapas: comunicação com o público, e implementação de ferramentas.

Comunicando com os titulares

No entanto, como explicamos anteriormente, empresas estão sendo orientadas a não esperarem passivamente que o público solicite as informações, e sim incentivá-lo a ir atrás dessas informações. Afinal, um programa de compliance no papel, que não é usado, pode ser visto por autoridades como um programa ineficaz.

Por isso, é preciso unir o compliance às estratégias de comunicação e marketing para fazer campanhas e montar estratégias que demonstrem a importância da solicitação dos seus direitos, e ainda a boa vontade da empresa em sustentá-los.

Como no canal de denúncias, o compliance depende de as pessoas entrarem em contato com ele. Por isso, é preciso incentivar esse contato.

Dica: Veja nosso artigo sobre estratégias de marketing para compliance

Ferramentas e aplicação prática

A outra parte da estratégia é efetivamente entregar as informações solicitadas ao titular dos dados. Antes de qualquer coisa é preciso se fazer essas perguntas:

  • Como o titular vai entrar em contato para pedir essas informações?
  • Quem vai receber a solicitação?
  • Aonde e como você vai conseguir a informação?

Para isso, você pode utilizar a ouvidoria da empresa (apesar de que é recomendado ter um canal especificamente para esse tipo de solicitação), um endereço de e-mail, página de contato, chatbot, ou uma ferramenta específica para isso.

Dica: Agende uma demonstração e peça para ver o Canal de Privacidade que o clickCompliance oferece

Por exemplo, uma pessoa pode querer solicitar que a sua empresa elimine os dados pessoais sobre ela da base. O compliance precisa determinar:

  • Como ela vai entrar em contato
  • Com quem ela vai entrar em contato
  • Onde esses dados estão (para isso, veja mais sobre relatórios e mapeamento de dados pessoais)
  • Quem pode eliminar os dados
  • Quem e como vão confirmar o titular de que a eliminação foi feita

Para conseguir fazer tudo isso de forma organizada, e de forma que o titular consiga acompanhar o andamento de sua solicitação, é preciso ter alguma ferramenta que centralize as etapas. Ou, tenha um processo muito bem documentado e organizado.


 
0

Canal de Denúncias, Como fazer, Governança de Documentos, LGPD, Treinamento de Compliance
2020 foi um ano com muitas novidades e complicações. Para as equipes de compliance não foi diferente, e 2021 vai ser mostrar um ano agitado e cheio de novos planos e inovações baseado nas mudanças do último ano. Mas de todas essas novidades, tem uma que vai dominar o compliance em 2021: o compliance digital.

O principal motivo para essa novidade é o disparo na quantidade de fraudes digitais no último ano, causado por dois fatores: o aumento do home office e a passagem de muitos processos do dia a dia para o ambiente digital (como compras online).

O aumento de fraudes em 2020

Diversas pesquisas demonstram que 2020 foi um ano de aumento de fraudes digitais. Por exemplo, de acordo com o a Federação Brasileira de Bancos (FEBRABAN), as fraudes e tentativas de golpes em instituições bancárias tiveram alta de 80% durante a pandemia COVID-19.

Já a revista Exame divulgou em junho que São Paulo fechou mais de 1.500 empresas por suspeitas de fraudes na pandemia. Além disso, um levantamento realizado pela Check Point, indicou que os crimes cibernéticos aumentaram em 60% no primeiro semestre de 2020, um ponto crítico da pandemia.

E os crimes desse tipo não são só prejudiciais a indivíduos. Também são muito prejudiciais às corporações. Tanto que, segundo a McAfee, só no Brasil as empresas perdem cerca de US$ 10 bilhões anualmente por conta de cibercrimes.

Se pessoas e empresas não se atentarem a aprender mais sobre segurança digital e de dados, a previsão é de que os crimes cibernéticos gerem um prejuízo de US$ 6 trilhões à economia global em 2021.

Compliance digital e proteção de dados: aprendendo com casos reais

Além de tudo isso, 2020 foi palco de alguns dos maiores e mais surpreendentes casos de fraude digital. Por um lado, é uma previsão do que está por vir em relação à maior criatividade dos riscos de fraude e roubo de dados. Por outro, é uma oportunidade de aprendermos e nos prepararmos melhor para as possibilidades.

Os dados sensíveis do ex-primeiro-ministro australiano

Um caso de fraude ou roubo de dados pode ser extremamente simples, como o que aconteceu em 2020 com o ex-primeiro-ministro australiano Tony Abbott. Um cidadão (bem intencionado, felizmente) descobriu o número de passaporte, telefone e outros dados sensíveis do político usando apenas as informações do cartão de bordo de um voo que ele postou na rede social Instagram.

O caso evidenciou as fragilidades e buracos em toda a estrutura do site da companhia aérea que permitiu que isso acontecesse. Se o objetivo fosse malicioso, poderia ainda acarretar em sérios problemas para a empresa que não identificou essa possibilidade de vazamento de dados em seu site tão facilmente.

O Twitter hackeado por um adolescente

O exemplo acima foi um caso inofensivo que foi uma lição de análise de riscos digitais. No entanto, esse tipo de insegurança de dados pode levar a consequências mais sérias, como um adolescente de 17 anos hackeando a conta do Twitter do homem mais rico do mundo.

Para conseguir o acesso à conta do CEO da Amazon, Jeff Bezos, o hacker utilizou técnicas como engenharia social para alcançar o painel de administradores do Twitter. Isso em si já é sério, no entanto foi agravado por uma falha na segurança digital da rede social: até funcionários de baixo escalão tinham direitos de acesso a todos os usuários da rede.

Com esse acesso, o hacker fez um post na conta do Jeff Bezos com um link para fazer depósito em uma conta de Bitcoin, alegando que retribuiriam o valor dobrado como ação filantrópica. Com isso, arrecadaram mais de $100 mil.

O que fazer?

Felizmente, vários conceitos básicos do programa de compliance podem ser replicados em uma estratégia de compliance digital. A seguir, mostramos como isso pode ser feito.

Parceria entre compliance e TI

O primeiro passo para garantir segurança de dados na sua empresa é formar uma parceria entre a equipe de compliance e a TI da empresa. Os exemplos que citamos eram vulnerabilidades na forma como os sites foram construídos (mas podem ser em produtos digitais e outros meios), e tradicionalmente fora do escopo de análise e especialidade do compliance.

O compliance precisa usar casos como esses que contamos como exemplo para as equipes de tecnologia. Além disso, deve explicar leis referentes à proteção de dados, para que desenvolvedores fiquem de olho para possíveis falhas, e também para que saibam o que procurar na hora de fazer análises de riscos.

Políticas corporativas

Políticas corporativas boas e bem distribuídas são um instrumento fundamental para ajudar funcionários de todos os tipos saberem como agir em relação a segurança de dados.

Por exemplo, funcionários não devem clicar em links suspeitos ou fazer compras pessoais utilizando o computador da empresa ou no e-mail corporativo, não devem discutir informações sensíveis de clientes em canais não seguros, produtos devem ser construídos conforme o Privacy by Design, etc.

Treinamentos de compliance

Depois das políticas, os treinamentos de compliance são a principal ferramenta para consolidar o conteúdo das políticas. É possível mostrar exemplos de situações do dia a dia em que funcionários poderiam se encontrar.

Através de storytelling e treinamentos engajadores, funcionários aprendem como eles devem agir nessas situações apresentadas.

Canal de denúncias

O canal de denúncias também pode ser utilizado especificamente na sua estratégia de compliance digital. Por exemplo, no caso do ex-primeiro-ministro australiano, o cidadão que encontrou a falha de segurança levou vários meses para conseguir compartilhar o que descobriu com a empresa aérea e com a vítima.

Em vez de perder tempo com diversas ligações telefônicas e e-mails com diversas organizações, se tivesse um canal de denúncias funcional e a fácil acesso, tudo poderia ter sido investigado e resolvido em bem menos tempo.


 
0