compliance digital - clickCompliance
Your address will show here +12 34 56 78

Ao longo dos anos, as marcas passaram a entender a importância de estarem presentes na internet e nas redes sociais, ambientes que se tornaram fundamentais para a relação com os consumidores e para o crescimento das vendas.  

O comércio eletrônico, mais conhecido como e-commerce, é uma modalidade de negócio em que toda a jornada de compra e venda é realizada no ambiente virtual. Com isso, a divulgação do produto ou serviço, a escolha do produto pelo cliente, o processo de pagamento e o pós-venda acontecem estritamente de forma online.   

Assim como em outros segmentos, o compliance também é uma área fundamental para o e-commerce, já que a adoção de políticas corporativas, a adequação às leis e normas regulatórias, assim como a elaboração de códigos de ética não são práticas exclusivas das “empresas físicas”. Existem diversos benefícios em investir em um programa de integridade e no artigo de hoje, vamos falar sobre como o compliance digital pode ser aplicado no comércio eletrônico.   

Boa leitura!  

 

  

O panorama do e-commerce no Brasil e tendências de comércio eletrônico  

A história do comércio eletrônico no Brasil coincide com a chegada da própria internet no país, na década de 1990. Em 1995, foi fundada a Booknet – loja pioneira que vendia livros pela internet e recebia os pagamentos pelas obras no momento da entrega.   

Hoje, quase 30 anos depois, o e-commerce brasileiro tem o maior crescimento da América Latina, com receita de US$ 49,2 bilhões, segundo o levantamento Latin America 2022 – Ecommerce Region Report, feito pela Retail X. De acordo com a pesquisa, esse valor representa crescimento de US$ 8,1 bilhões no ano de 2022 em relação ao ano anterior.   

Embora a primeira coisa que venha na nossa mente quando pensamos em e-commerce seja um site com o catálogo de produtos e serviços, atualmente a tecnologia e a transformação digital proporcionam ainda mais inovação no comércio eletrônico e, consequentemente, diferentes formas de venda.   

Confira abaixo as principais tendências de e-commerce:   

Social commerce   

Nesta modalidade, conhecida como s-commerce, as marcas usam seus perfis nas redes sociais não apenas para se relacionar com os clientes, como também para disponibilizar uma loja virtual com seus produtos e preços. Dessa forma, o consumidor não precisa entrar no site da marca e pode efetuar a compra diretamente na rede social.   

De acordo com o NuvemCommerce, um levantamento realizado anualmente pela plataforma Nuvemshop, 87% das vendas feitas pelas redes sociais são através do Instagram. Além disso, o Facebook ainda tem destaque no ramo e o TikTok, rede querida pelas gerações mais novas, tem um potencial cada vez maior para ser explorado. 

 
 

Mobile commerce  

Como o próprio nome sugere, o mobile commerce, ou simplesmente m-commerce, refere-se às transações comerciais feitas pelos smartphones ou tablets. De acordo com a We Are Social, uma das principais agências de marketing digital do mundo, o Brasil ocupa o 3º lugar no ranking de países mais conectados. Os brasileiros passam 10 horas navegando na internet por dia e mais da metade desse tempo, a conexão acontece pelos smartphones.   

O relatório Latin America 2022, citado anteriormente, também mostra a preferência pelo mobile: enquanto 48% dos brasileiros escolhem comprar pelo smartphone, apenas 19% dos consumidores peruanos utilizam o mobile para efetivar a transação.   

Com isso, muitas marcas passaram a investir em sites responsivos, ou seja, que adaptam a disposição dos elementos da página conforme o tamanho da tela do usuário ou, ainda, em aplicativos próprios.   


Live commerce  

O live commerce é uma das principais e mais atuais tendências de comércio eletrônico, pois integra marcas e consumidores, oferecendo uma experiência de compra mais interativa. Se você ainda não conhece essa modalidade, trata-se de um evento virtual em que os produtos são apresentados nos máximos detalhes e o cliente pode tirar dúvidas ao vivo.   

Além de saber mais informações sobre o que está sendo ofertado, o consumidor pode comprar de maneira instantânea, com apenas um clique. Outro diferencial do live commerce é a possibilidade de unir o entretenimento às vendas, já que é possível convidar artistas e influencers para apresentar a transmissão ao vivo, gerando maior engajamento por parte do usuário.   

 

Quais são os principais riscos envolvidos no e-commerce?  

Com o avanço da tecnologia, muitos consumidores optam por fazer compras online por sua conveniência e facilidade. No entanto, apesar desses e outros benefícios, como as oportunidades de crescimento das empresas, as transações comerciais que acontecem no ambiente digital ainda são cercadas de alguns riscos, como:   

  • Desconhecimento sobre a legislação vigente;  
  • Questões relacionadas aos dados dos clientes;   
  • Possibilidade de ataques de hackers, phishing e malware;  
  • Transações fraudulentas;  
  • Falta de credibilidade e alta concorrência.   


Além das soluções tecnológicas que podem ajudar a organização a combater essas ameaças, investir em um bom programa de compliance é um dos principais passos para prevenir os riscos inerentes ao e-commerce. E é isso o que veremos a seguir! 
 

  

Como o compliance digital pode ajudar a mitigar os riscos do e-commerce?  

É inegável que o compliance tem conquistado cada vez mais espaço no mercado, mas você realmente sabe do que se trata o termo?   

A palavra tem origem no verbo inglês “to comply”, que significa cumprir ou obedecer. Assim, é função da área garantir que o negócio esteja em conformidade com a legislação vigente, além de criar os códigos de conduta e ética que todos os colaboradores devem seguir.   

No caso do e-commerce, a equipe deve aplicar o compliance digital e o primeiro passo é conhecer as leis e normas que regulam as práticas no ambiente virtual. Confira as principais delas abaixo:   


 

Lei do E-commerce  

O Decreto n° 7.962, sancionado em 2013, regula o comércio eletrônico no Brasil, como a venda de produtos e as estratégias de marketing. Existem texto três tópicos principais que as lojas virtuais devem se atentar: informações claras sobre os produtos, serviços e fornecedores; atendimento ao cliente facilitado e, por último, o direito ao arrependimento.   

Marco Civil da Internet   

A Lei n° 12.965/2014 tem objetivo de regulamentar o uso da Internet no país e determina os princípios, garantias, direitos e deveres para quem utiliza a rede, além de estabelecer diretrizes para a atuação do Estado.   

Lei Geral de Proteção de Dados (LGPD)  

Já a Lei n° 13.709, de 2018, estabelece como as empresas devem tratar os tratar os dados pessoais das pessoas com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade. Uma das principais preocupações dos usuários atualmente é em relação à privacidade dos dados.

No comércio eletrônico, uma série de informações sensíveis, como CPF, endereço e dados bancários são solicitados e, por isso, as empresas devem se atentar à LGPD e ao que deve ser feito em caso de
vazamento de dados.   



  

Benefícios do compliance digital  

Atualmente, a transparência é um valor cada vez mais prezado pelos consumidores e uma das formas de consegui-la é aderir ao programa de integridade. Além da segurança jurídica, ao implantar um sistema inteligente de gestão de compliance, seu negócio garante uma série de outros benefícios, como:   

  • Grau mais alto de satisfação e fidelização dos clientes;   
  • Mais credibilidade perante o mercado;   
  • Atração de novos clientes;   
  • Fortalecimento da imagem corporativa;  
  • Proteção contra casos de fraudes.  


O clickCompliance é um software especializado em programas de compliance e integridade. Com a ferramenta, sua empresa pode automatizar e tornar a gestão do compliance mais inteligente. Caso você tenha interesse em saber mais, agende uma demonstração com o nosso time agora mesmo
clicando aqui! 

0

Legislação

A Lei Geral de Proteção de Dados – LGPD ( Lei nº 13.709/2018) é uma realidade no Brasil. No momento em que a sociedade está cada vez mais digital, ela atribui responsabilidades às empresas e garante mais segurança aos cidadãos.

A LGPD determina como devem ser tratados os dados pessoais de consumidores, funcionários e parceiros coletados pelas empresas. A lei foi criada em 2018, mas garantiu o prazo de dois anos para que as organizações pudessem se adaptar.

As empresas que prezam pela conformidade à legislação já vivem esse processo, afinal, a relação entre o compliance e a LGPD é intrínseca. Hoje, todas as ações de uma empresa devem considerar a proteção de dados.

Portanto, vivemos agora uma fase de consolidação. É o momento de aprimorar as técnicas e garantir que a lei seja colocada em prática com eficiência. E, para isso, mais do que nunca, as empresas precisam investir em tecnologia.

A anonimização dos dados é uma estratégia que vem sendo cada vez mais utilizada por empresas do exterior para aumentar a segurança no tratamento dos dados. Mas será que essa técnica pode contribuir para a eficiência da LGPD no Brasil?

Reunimos as principais informações sobre a anonimização de dados nesse post. Confira!

Quais são os dados pessoais recolhidos por empresas?

A LGPD define como dado pessoal qualquer “informação relacionada à pessoa natural identificada ou identificável”.

Portanto, o dado pessoal é aquele que permite identificar diretamente o titular ou, em conjunto com outras informações, torna o indivíduo identificável.

Dentre eles, podemos citar:

  • Nome;
  • Data de nascimento;
  • Gênero;
  • Filiação;
  • Endereço;
  • E-mail;
  • Telefone;
  • RG, CPF e outros documentos;
  • Dados bancários (Agência, conta, número do cartão e outras informações).


 

Por que as empresas coletam dados pessoais?

Para as empresas, esse tipo de informação é fundamental para:

  1. entender o comportamento do público-alvo e traçar estratégias de marketing;
  2. ter o feedback sobre como foi a experiência do consumidor após uma compra ou prestação de serviços;
  3. realizar operações do dia a dia, como pagamento e entrega de produtos.
  4. quando integram o setor financeiro: os bancos e instituições financeiras lidam com uma quantidade de informações pessoais ainda maior e mais sensíveis. Isto porque para a abertura de uma conta bancária, a aprovação de crédito – seja empréstimo, financiamentos ou cartões – e outras ações, é necessária a apresentação de diferentes documentos.

O que é a anonimização de dados

De acordo com a LGPD, a anonimização pode ser compreendida como a “utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo.”

Na prática, isto significa que o dado não permite mais a identificação do titular. Desta forma, ele deixa, inclusive, de receber a aplicação da LGPD.

O artigo 12 diz que “os dados anonimizados não serão considerados dados pessoais para o fim desta lei, salvo quando o processo de anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios, ou quando com esforços razoáveis puder ser revertido”.

A anonimização é um processo que garante a segurança necessária para o uso dos dados. É uma estratégia recomendada pela LGPD, embora a lei não detalhe quais ferramentas devem ser utilizadas ou os padrões a serem seguidos para realizá-la.

Como a anonimização pode ser feita?

A LGPD estabelece que a Autoridade Nacional de Proteção de Dados (ANPD) dê as definições sobre o assunto. No entanto, é fato que as técnicas para a anonimização estão atreladas à tecnologia.

Tomando como exemplo a experiência do regulamento europeu sobre proteção de dados, há três técnicas que vem sendo mais utilizada por empresas no exterior:

  1. Supressão de dados: exclui dígitos das informações numéricas e nomes para que não seja possível a identificação;
  2. Encobrimento de caracteres: É usada quando parte da informação tem relevância para a empresa;
  3. Generalização: há a substituição do dado pessoal por uma informação mais genérica como, por exemplo, em vez da idade, inclui-se a faixa etária; em vez do endereço, coloca-se apenas a cidade.

anonimização lgpd dados compliance

Motivos para se adequar à LGPD

A conformidade à LGPD é uma forma das empresas garantirem:

  • Maior segurança para a coleta e o uso de dados pessoais de terceiros;
  • Respaldo jurídico;
  • Evita o prejuízo financeiro por conta de multa, sanção e processos;
  • Reduz o risco de fraudes;
  • Aumenta a credibilidade no mercado;






Então, por que optar pela anonimização dos dados?

A resposta é simples: a anonimização de dados diminui os riscos de não conformidade à LGPD. Então, ao investir nesta técnica, as empresas já garantem todas as vantagens mencionadas anteriormente de forma mais tranquila.

A clickCompliance oferece soluções tecnológicas para os programas de compliance e integridade, o que permite a automatização dos processos internos e facilita a conformidade à LGPD, à Lei Anticorrupção e outros textos.

Para saber mais informações sobre as ferramentas disponíveis, agende uma demonstração!
0

Legislação, LGPD

Em meio ao processo de digitalização vivido pela sociedade, as empresas precisaram se adaptar.

As marcas compreenderam a importância de estarem presentes na internet para serem lembradas, de otimizarem os processos por meio da tecnologia para ganharem agilidade, de oferecerem canais on-line para facilitar o contato com o consumidor.

Durante a pandemia da Covid-19, o processo de digitalização ganhou mais um viés. Com a necessidade de isolamento social para frear a disseminação da doença, o home office foi a solução para muitas empresas. Em alguns casos, esse formato de trabalho será mantido mesmo após o controle epidemiológico.

É neste contexto que o compliance digital mostra-se uma ferramenta de extrema relevância. Mas o que este termo significa exatamente?

Para ajudar no entendimento sobre o assunto, reunimos cinco dicas. Confira!


Compreenda o conceito de compliance

Para entender o que é o compliance digital, antes de tudo, é preciso retomar o conceito de compliance, que pode ser compreendido como um conjunto de normas e procedimentos adotados por uma organização com a finalidade de garantir a conformidade com a legislação que abrange o negócio.

O compliance possui várias vertentes, sendo uma delas o compliance digital. Confira:

  • Compliance fiscal: garante que os processos fiscais e contábeis estejam de acordo com a legislação. Inclui tarefas como avaliar os contratos para a compra de insumos e assegurar o envio das informações à Receita Federal dentro dos prazos estipulados.
  • Compliance tributário: assegura o cumprimento das obrigações tributárias. O trabalho engloba a organização, a execução e o registro dessas ações.
  • Compliance trabalhista: tem como função assegurar a ética nas relações e a conformidade às leis trabalhistas, desde a contratação até o desligamento do funcionário. Também tem a responsabilidade de fiscalizar as condições de trabalho no dia a dia da empresa.
  • Compliance ambiental: tem como propósito promover boas práticas ambientais e o respeito às leis dessa área, tanto no dia a dia da empresa quanto na execução de projetos externos.
  • Programa de integridade: atua diretamente na prevenção, identificação e combate de atos ilícitos e comportamentos antiéticos, como fraudes, corrupção e assédio.
  • Compliance digital: assegura a conformidade da empresa com as leis que regem o ambiente digital. O trabalho pode ser realizado em diferentes setores da empresa, desde que envolvam a tecnologia em seus procedimentos.

compliance digital


Saiba como é a aplicação do compliance digital

Depois de compreender o conceito de compliance digital, é importante saber como é a sua aplicação prática.
A proposta é assegurar que o uso da tecnologia esteja alinhado com a legislação vigente, evitando que irregularidades possam acontecer no ambiente corporativo.

Para isso, o primeiro passo é fazer um diagnóstico da empresa. Nesta etapa serão identificados os setores que envolvem mais processos digitais e, portanto, precisam se adequar às leis sobre o tema.

Após esta análise, serão criadas normas e procedimentos internos que garantam a conformidade no dia a dia de trabalho, além de estratégias de monitoramento e fiscalização.

Informe-se sobre a LGPD e as outras leis do ambiente digital

Para a implantação do compliance digital, é necessário conhecer a legislação que aborda o uso da tecnologia.

A Lei Geral de Proteção de Dados – LGPD ( Lei nº 13.709/2018) é um dos principais textos sobre o assunto, uma vez que dispõe sobre o tratamento que deve ser dado pelas empresas às informações pessoas de clientes, funcionários e parceiros, inclusive no ambiente digital.

O Marco Civil da Internet (Lei nº 12.695/2014) é outro texto que deve ser considerado pelo compliance digital, pois estabelece os princípios, as garantias, os direitos e os deveres para o uso da internet no Brasil.

O Código de Defesa do Consumidor – CDC (Lei nº 8.078/1990) é responsável por regulamentar as relações de consumo. O documento traz informações não apenas para as compras e a prestação de serviços em estabelecimentos físicos, mas também no ambiente on-line.

O Decreto nº 7.962/2013, popularmente conhecido como Lei do E-commerce, complementa as informações do CDC, trazendo detalhes como as políticas para sites e recomendações para o marketing digital, dentre outras informações.

O Marco Legal das Startups (Lei Complementar nº 182/2021) é um texto direcionado às empresas de base tecnológica que aborda questões tributárias e outras especificidades.

É necessário que o setor de compliance realize o filtro sobre quais leis, decretos e resoluções atravessam a realidade do negócio.

compliance digital


Analise as tecnologias utilizadas pela sua empresa

Uma dúvida comum é se o compliance digital é restrito ao e-commerce ou às empresas que estão em home office. A resposta é não.

Hoje, qualquer empresa, independente do porte ou setor de atuação, utiliza alguma tecnologia e, portanto, precisa estar de acordo com a legislação.

Se a empresa tem apenas um site, por exemplo, é necessário assegurar o compliance com relação às políticas estabelecidas pelo Decreto nº 7.962/2013.

Se realiza vendas pela internet, precisa ter conhecimento sobre a política de troca, o direito ao arrependimento do consumidor, dentre outras informações descritas no CDC.

Se disponibiliza um formulário para algum tipo de cadastro que solicita dados pessoais, deve estar em conformidade com a LGPD.

Neste sentido, é importante mapear quais são as tecnologias usadas pela empresa antes de imaginar que o compliance digital não se aplica ao seu negócio.






Conheça os benefícios do compliance para o seu negócio

Estar em conformidade garante muitos benefícios para qualquer empresa. Confira:

  • Evita prejuízos financeiros por conta de multas, sanções e processos devido ao descumprimento de leis;
  • Protege a reputação da empresa contra fraudes, escândalos de corrupção e outras irregularidades;
  • Garante segurança jurídica;
  • Promove o engajamento dos funcionários;
  • Cria um diferencial competitivo no mercado;
  • Aumenta a satisfação e atrai mais clientes;
  • Fortalece a imagem institucional;
  • Promove relações duradouras de parceria;
  • Aumenta o interesse dos investidores;
  • Garante o crescimento sustentável;
  • Constrói e consolida uma cultura organizacional ética, responsável e transparente.

A tecnologia e o compliance caminham juntos para a otimização de processos e a realização do trabalho de prevenção, identificação e combate de irregularidades.

A clickCompliance oferece soluções digitais para os programas de compliance e integridade. Para saber mais, agende uma demonstração!
0

Canal de Denúncias, Como fazer, Governança de Documentos, Treinamento de Compliance

2020 foi um ano com muitas novidades e complicações. Para as equipes de compliance não foi diferente, e 2021 vai ser mostrar um ano agitado e cheio de novos planos e inovações baseado nas mudanças do último ano. Mas de todas essas novidades, tem uma que vai dominar o compliance em 2021: o compliance digital.

O principal motivo para essa novidade é o disparo na quantidade de fraudes digitais no último ano, causado por dois fatores: o aumento do home office e a passagem de muitos processos do dia a dia para o ambiente digital (como compras online).

O aumento de fraudes em 2020

Diversas pesquisas demonstram que 2020 foi um ano de aumento de fraudes digitais. Por exemplo, de acordo com o a Federação Brasileira de Bancos (FEBRABAN), as fraudes e tentativas de golpes em instituições bancárias tiveram alta de 80% durante a pandemia COVID-19.

Já a revista Exame divulgou em junho que São Paulo fechou mais de 1.500 empresas por suspeitas de fraudes na pandemia. Além disso, um levantamento realizado pela Check Point, indicou que os crimes cibernéticos aumentaram em 60% no primeiro semestre de 2020, um ponto crítico da pandemia.

E os crimes desse tipo não são só prejudiciais a indivíduos. Também são muito prejudiciais às corporações. Tanto que, segundo a McAfee, só no Brasil as empresas perdem cerca de US$ 10 bilhões anualmente por conta de cibercrimes.

Se pessoas e empresas não se atentarem a aprender mais sobre segurança digital e de dados, a previsão é de que os crimes cibernéticos gerem um prejuízo de US$ 6 trilhões à economia global em 2021.

Compliance digital e proteção de dados: aprendendo com casos reais

Além de tudo isso, 2020 foi palco de alguns dos maiores e mais surpreendentes casos de fraude digital. Por um lado, é uma previsão do que está por vir em relação à maior criatividade dos riscos de fraude e roubo de dados. Por outro, é uma oportunidade de aprendermos e nos prepararmos melhor para as possibilidades.

Os dados sensíveis do ex-primeiro-ministro australiano

Um caso de fraude ou roubo de dados pode ser extremamente simples, como o que aconteceu em 2020 com o ex-primeiro-ministro australiano Tony Abbott. Um cidadão (bem intencionado, felizmente) descobriu o número de passaporte, telefone e outros dados sensíveis do político usando apenas as informações do cartão de bordo de um voo que ele postou na rede social Instagram.

O caso evidenciou as fragilidades e buracos em toda a estrutura do site da companhia aérea que permitiu que isso acontecesse. Se o objetivo fosse malicioso, poderia ainda acarretar em sérios problemas para a empresa que não identificou essa possibilidade de vazamento de dados em seu site tão facilmente.

O Twitter hackeado por um adolescente

O exemplo acima foi um caso inofensivo que foi uma lição de análise de riscos digitais. No entanto, esse tipo de insegurança de dados pode levar a consequências mais sérias, como um adolescente de 17 anos hackeando a conta do Twitter do homem mais rico do mundo.

Para conseguir o acesso à conta do CEO da Amazon, Jeff Bezos, o hacker utilizou técnicas como engenharia social para alcançar o painel de administradores do Twitter. Isso em si já é sério, no entanto foi agravado por uma falha na segurança digital da rede social: até funcionários de baixo escalão tinham direitos de acesso a todos os usuários da rede.

Com esse acesso, o hacker fez um post na conta do Jeff Bezos com um link para fazer depósito em uma conta de Bitcoin, alegando que retribuiriam o valor dobrado como ação filantrópica. Com isso, arrecadaram mais de $100 mil.

O que fazer?

Felizmente, vários conceitos básicos do programa de compliance podem ser replicados em uma estratégia de compliance digital. A seguir, mostramos como isso pode ser feito.

Parceria entre compliance e TI

O primeiro passo para garantir segurança de dados na sua empresa é formar uma parceria entre a equipe de compliance e a TI da empresa. Os exemplos que citamos eram vulnerabilidades na forma como os sites foram construídos (mas podem ser em produtos digitais e outros meios), e tradicionalmente fora do escopo de análise e especialidade do compliance.

O compliance precisa usar casos como esses que contamos como exemplo para as equipes de tecnologia. Além disso, deve explicar leis referentes à proteção de dados, para que desenvolvedores fiquem de olho para possíveis falhas, e também para que saibam o que procurar na hora de fazer análises de riscos.

Políticas corporativas

Políticas corporativas boas e bem distribuídas são um instrumento fundamental para ajudar funcionários de todos os tipos saberem como agir em relação a segurança de dados.

Por exemplo, funcionários não devem clicar em links suspeitos ou fazer compras pessoais utilizando o computador da empresa ou no e-mail corporativo, não devem discutir informações sensíveis de clientes em canais não seguros, produtos devem ser construídos conforme o Privacy by Design, etc.

Treinamentos de compliance

Depois das políticas, os treinamentos de compliance são a principal ferramenta para consolidar o conteúdo das políticas. É possível mostrar exemplos de situações do dia a dia em que funcionários poderiam se encontrar.

Através de storytelling e treinamentos engajadores, funcionários aprendem como eles devem agir nessas situações apresentadas.

Canal de denúncias

O canal de denúncias também pode ser utilizado especificamente na sua estratégia de compliance digital. Por exemplo, no caso do ex-primeiro-ministro australiano, o cidadão que encontrou a falha de segurança levou vários meses para conseguir compartilhar o que descobriu com a empresa aérea e com a vítima.

Em vez de perder tempo com diversas ligações telefônicas e e-mails com diversas organizações, se tivesse um canal de denúncias funcional e a fácil acesso, tudo poderia ter sido investigado e resolvido em bem menos tempo.
0

Como fazer, Fique por Dentro, LGPD, LGPD, LGPD, Programa de Integridade

Com a nossa própria lei de proteção de dados entrando em vigor no início de 2021, se preocupar com a GDPR pode parecer um passo desnecessário. Afinal, é uma lei que diz respeito a empresas da União Europeia, e é mais complexa e de difícil aplicação.

Muitas empresas brasileiras podem cair nessa armadilha de que ela só vale ou só precisa ser olhada com atenção se a empresa for da UE. No entanto, o caso é muito mais perigoso. Basta que a sua empresa (grande ou pequena) processe os dados pessoais de cidadãos ou residentes da UE ou oferecer produtos ou serviços a essas pessoas para que a GDPR se aplique a você.

Por exemplo, se você tem algum cliente de e-commerce que por acaso mora na UE, se você envia e-mail marketing para alguém que mora na UE, ou mesmo que você tenha acesso a dados de um cidadão da UE que por acaso está no Brasil no momento.

Além disso, por ser um texto em que a LGPD foi baseada, porém mais rígido, ao estar em compliance com ela você estará preparando sua empresa para futuras mudanças na lei brasileira. O cenário que envolve a LGPD ainda é nebuloso, e por isso precisamos estar preparados para os cenários mais complexos.

A seguir, segue um resumo dos princípios, termos e pontos-chave da GDPR para que você profissional de compliance saiba com o que está lidando. Você também pode ler a lei completa.

Termos de destaque

Alguns termos novos foram colocados em destaque para que a GDPR seja mais bem compreendida. No entanto, este tópico é muito parecido com a LGPD, e nós fizemos uma lista completa com novos termos que o profissional de compliance precisa entender.

  • Data processing (Tratamento de dados): Qualquer ação executada nos dados, seja automática ou manual. Alguns exemplos são coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão e distribuição.
  • Personal data (Dados pessoais): qualquer informação relacionada a um indivíduo que permita a identificação direta ou indireta. Exemplos são nomes, endereços de e-mail, informações de localização, etnia, gênero, dados biométricos, crenças religiosas, cookies da web e opiniões políticas. Os dados pseudônimos também podem se enquadrar na definição se for relativamente fácil identificar alguém a partir dele.
  • Data subject (Titular dos dados): A pessoa cujos dados são processados, como clientes ou visitantes do site.
  • Data controller (Controlador dos dados): A pessoa que decide por que e como os dados pessoais serão processados. Por exemplo, proprietário ou funcionário da organização que lida com dados.
  • Data processor (Operador dos dados): Um terceiro que processa dados pessoais em nome de um controlador de dados. A GDPR possui regras especiais para esses indivíduos e organizações, que podem ser servidores em nuvem ou provedores de serviços de e-mail, por exemplo.

Efeitos da GDPR

Um motivo para se preocupar com o compliance à GDPR é o fato de a multa dela ser mais pesada que a da LGPD. De acordo com a lei brasileira, a multa pode chegar a 2% do faturamento, limitada a R$ 50 milhões. Empresas também podem ter suas atividades suspensas, parcial ou totalmente.

Já de acordo com a GDPR, a multa pode chegar até 4% da receita global ou €20 milhões (cerca de R$126 milhões). Outro fator de risco é que o(s) titular(es) afetado(s) podem buscar reparações pelos danos causados. Se forem muitos, pode acumular um valor alto com reparações e gastos jurídicos.

No entanto, antes de enfrentar essas multas e penalizações, você tem 72 horas para avisar aos titulares a respeito da falha na segurança. Esse requisito de notificação poderá ser dispensado se você usar salvaguardas tecnológicas, como criptografia, para tornar os dados inúteis para um invasor.

Princípios da GDPR

  • Legalidade, justiça e transparência: O processamento deve ser legal, justo e transparente para o titular dos dados.
  • Limitação de finalidade: Você deve processar os dados para os fins legítimos especificados explicitamente para o titular dos dados ao coletá-los.
  • Minimização de dados: Você deve coletar e processar apenas os dados absolutamente necessários para os fins especificados.
  • Precisão: Você deve manter os dados pessoais precisos e atualizados.
  • Limitação de armazenamento: Você só pode armazenar dados de identificação pessoal pelo tempo necessário para a finalidade especificada.
  • Integridade e confidencialidade (segurança): O processamento deve ser feito de forma a garantir segurança, integridade e confidencialidade adequadas (por exemplo, usando criptografia).
  • Prestação de contas: O controlador de dados é responsável por demonstrar a conformidade do GDPR com todos esses princípios.


O Data Protection Officer

O DPO é um profissional que também é recomendado na LGPD. Sua adoção não é totalmente obrigatória em nenhuma das duas. De acordo com a GDPR, os 3 casos em que a empresa precisa contratar este profissional são:

  • Se você é uma autoridade pública que não seja um tribunal que atue em capacidade judicial.
  • Quando suas atividades principais exigem que você monitore as pessoas sistematicamente e regularmente em larga escala (Ex: Google).
  • Quando suas atividades principais são o processamento em larga escala de categorias especiais de dados listadas no Artigo 9 do RGPD ou dados relacionados a condenações e ofensas criminais mencionados no Artigo 10 (Ex: consultório médico).

Em um blogpost nosso sobre o Data Protection Officer explicamos em quais casos a LGPD obriga empresas a contratarem este profissional.

Se você acha que está em compliance com a GDPR, mas não consegue mostrar como, você não está em compliance com a GDPR

Esta frase é extremamente importante, e foi retirada do próprio site da União Europeia sobre a nova lei. Ela mostra que não importa o quanto você se esforce para implementar processos e campanhas para melhorar sua proteção de dados se você não tem como mostrar isso ao público e às autoridades.

Ou seja, se você não consegue apresentar evidências da existência do seu programa de compliance digital, ele não será verdadeiramente eficaz. Existem algumas formas que você pode fazer isso.

Uma das principais formas é ter uma plataforma ou alguma ferramenta que você usa no seu programa de compliance que registra dados. Assim você terá acesso a planilhas, relatórios e gráficos sobre algumas ou todas as vertentes do seu programa para apresentar facilmente.

Outra forma é ter uma boa estrutura de políticas e relatórios (como o DPIA ou ROPA). Estes documentos também são provas tangíveis do trabalho do compliance.
0

No geral, a Lei Geral de Proteção de Dados Pessoais (LGPD) e a General Data Protection Regulation (GDPR) são muito próximas. Afinal, a lei brasileira foi baseada na europeia. No entanto, existem algumas diferenças e considerações importantes para profissionais do compliance entenderem.

Abrangência


O principal fator, e o mais óbvio, é que, por ser uma legislação europeia, a princípio é referente a mais países. No entanto, a LGPD também foi razoavelmente abrangente no que diz respeito a quem pode ser afetado por ela.

Essa lei afeta todos aqueles que possuam alguma etapa do processo de tratamento de dados no Brasil. Ou seja, mesmo que a empresa seja do exterior, se o titular dos dados for brasileiro, a Lei se aplica a ela.

Já a GDPR é semelhante. Todas as empresas que tenham alguma parte do processo de tratamento dos dados na União Europeia terão que se adequar às normas dela. Ou seja, empresas brasileiras agora precisam se preocupar com a LGPD, e a GDPR se eles forem o detentor dos dados, o controlador ou o titular.

O texto

O texto das leis também é muito parecido. A grande diferença é que a LGPD é muito mais curta e muito menos específica. Por exemplo, a GDPR usa exemplos para explicar situações enquanto a LGPD deixa cenários mais abertos.

Outra coisa deixada em aberto pela lei brasileira é o prazo para entregar solicitações à autoridade competente (no nosso caso, a ANPD, provavelmente). Ela simplesmente diz “em um prazo razoável”. Já a Lei Europeia especifica que a entrega deve ser feita em, no máximo, 72 horas.

Quando o tratamento de dados é considerado legal?

Outra diferença importante que costuma ser citada é as hipóteses de legalidade. São os momentos em que é considerado legal fazer o tratamento de dados, independente das considerações da lei. 

Hipóteses de legalidade LGPD:

  • Mediante o fornecimento de consentimento pelo titular (deve atender a uma finalidade específica e pode ser retirado a qualquer momento).
  • Para o cumprimento de obrigação legal ou regulatória pelo controlador.
  • Pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas (por meio da previsão legal ou contratual).
  • Para a realização de estudos por órgão de pesquisa (garantida, sempre que possível, a anonimização dos dados pessoais).
  • Quando necessário para a execução de contrato ou de procedimentos relacionados a contrato do qual o titular seja parte (caso solicitado).
  • No exercício regular de direitos em processo judicial, administrativo ou arbitral.
  • Para a proteção da vida ou da integridade física (do titular ou de terceiro).
  • Para a tutela da saúde (em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias).
  • Quando necessário para atender aos interesses legítimos do controlador ou de terceiro (devendo observar se os interesses são razoáveis e como eles afetam os direitos e liberdades fundamentais do titular).
  • Para a proteção do crédito.

Na GDPR, as hipóteses de legalidade são as mesmas, tirando a última, em situações de proteção de crédito.

Faço meu programa de compliance digital baseado na GDPR ou na LGPD?

Como vimos, a GDPR é mais rígida e bem detalhada do que a LGPD. Além disso, empresas brasileiras em muitos casos terão que estar em compliance com a GDPR também. Por isso, recomendamos basear a atuação e os processos da sua empresa na legislação europeia.
No entanto, não deixe de conhecer bem a brasileira, porque ela pode conter algumas pequenas particularidades.
0