Compliance nas Empresas e o LGPD
foto: https://antissuborno.com.br/a-lgpd-e-o-compliance-2/
SEMELHANÇAS NOS PROGRAMAS DE INTEGRIDADE E DE LGPD.
É muito interessante ver que a LGPD (lei 13.709/18) é bem semelhante, em alguns aspectos, com o decreto n° 8420/15 que regulamentou a Lei Anti-Corrupção (Lei 12.846/12). Vejamos:
Decreto n/8420/15 em seu artigo diz:
“Art. 42. Para fins do disposto no § 4º do art. 5º, o programa de integridade será avaliado, quanto a sua existência e aplicação, de acordo com os seguintes parâmetros:
I - comprometimento da alta direção da pessoa jurídica, incluídos os conselhos, evidenciado pelo apoio visível e inequívoco ao programa;
II - padrões de conduta, código de ética, políticas e procedimentos de integridade, aplicáveis a todos os empregados e administradores, independentemente de cargo ou função exercidos;
III - padrões de conduta, código de ética e políticas de integridade estendidas, quando necessário, a terceiros, tais como, fornecedores, prestadores de serviço, agentes intermediários e associados;
IV - treinamentos periódicos sobre o programa de integridade;
V - análise periódica de riscos para realizar adaptações necessárias ao programa de integridade;
VI - registros contábeis que reflitam de forma completa e precisa as transações da pessoa jurídica;
VII - controles internos que assegurem a pronta elaboração e confiabilidade de relatórios e demonstrações financeiros da pessoa jurídica;
VIII - procedimentos específicos para prevenir fraudes e ilícitos no âmbito de processos licitatórios, na execução de contratos administrativos ou em qualquer interação com o setor público, ainda que intermediada por terceiros, tal como pagamento de tributos, sujeição a fiscalizações, ou obtenção de autorizações, licenças, permissões e certidões;
IX - independência, estrutura e autoridade da instância interna responsável pela aplicação do programa de integridade e fiscalização de seu cumprimento;
X - canais de denúncia de irregularidades, abertos e amplamente divulgados a funcionários e terceiros, e de mecanismos destinados à proteção de denunciantes de boa-fé;
XI - medidas disciplinares em caso de violação do programa de integridade;
XII - procedimentos que assegurem a pronta interrupção de irregularidades ou infrações detectadas e a tempestiva remediação dos danos gerados;
XIII - diligências apropriadas para contratação e, conforme o caso, supervisão, de terceiros, tais como, fornecedores, prestadores de serviço, agentes intermediários e associados;
XIV - verificação, durante os processos de fusões, aquisições e reestruturações societárias, do cometimento de irregularidades ou ilícitos ou da existência de vulnerabilidades nas pessoas jurídicas envolvidas;
XV - monitoramento contínuo do programa de integridade visando seu aperfeiçoamento na prevenção, detecção e combate à ocorrência dos atos lesivos previstos no art. 5º da Lei nº 12.846, de 2013 ; e
XVI - transparência da pessoa jurídica quanto a doações para candidatos e partidos políticos. ”
Link para a Lei Geral de Proteção de Dados:
Enquanto na Lei Geral de Proteção de Dados em seu artigo 50, parágrafo 2°, inciso I, diz:
“I - implementar programa de governança em privacidade que, no mínimo:
a) demonstre o comprometimento do controlador em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais;
b) seja aplicável a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do modo como se realizou sua coleta;
c) seja adaptado à estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados tratados;
d) estabeleça políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade;
e) tenha o objetivo de estabelecer relação de confiança com o titular, por meio de atuação transparente e que assegure mecanismos de participação do titular;
f) esteja integrado a sua estrutura geral de governança e estabeleça e aplique mecanismos de supervisão internos e externos;
g) conte com planos de resposta a incidentes e remediação; e
h) seja atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas; ”
Link para o Decreto n° 8.420 de 2015:
Portanto, uma vez implantando o programa de compliance (Integridade) em sua empresa, siga os pilares do programa de compliance inserindo junto o programa de LGPD.
Apesar de alguns lugares resumirem em 4 pilares, podemos chegar a 9, sendo que pelo Decreto 8420/15, são 16 requerimentos de avaliação do programa de integridade efetivo. São eles:
I. Suporte da alta administração: Não haverá como implantar um programa efetivo, sem que a diretoria, o conselho e os proprietários se engajem no mesmo propósito;
II. Avaliação de Risco: deve-se conhecer bem a atividade da empresa para que se possa avaliar corretamente os riscos dessa atividade;
III. Código de Conduta e Políticas de Integridade: Deverá trazer todas as políticas a serem adotadas na empresa, de modo a uniformizar os valores éticos a serem disseminados pela empresa e seus colaboradores;
IV. Controles Internos: é necessário averiguar e garantir que os riscos sejam eliminados ou minimizados, tanto internamente quanto externamente;
V. Treinamento e Comunicação: É necessário criar a cultura de valores éticos na empresa disseminado por todos os colaboradores, desde a diretoria passando por todos os colaboradores e, muito importante, pelos fornecedores (de bens e de serviços);
VI. Canais de Denúncia: Essa é uma parte delicada do programa. Deve-se abrir um canal de comunicação com os colaboradores para que possam, de forma discreta, anônima e isenta de retaliação, denunciar práticas que estejam em desacordo com o Código de Conduta e as Políticas de Integridade.
VII. Due Diligence / Devida Diligência: Acontece que é necessário ter toda a cadeia de produção como expositora dos valores éticos de conduta da empresa e para isso é importante fazer uma avaliação do histórico de cada um dos fornecedores, representantes, distribuidores e outros parceiros que se pretende estabelecer uma relação contratual. Isso vale para a contratação de colaboradores também;
VIII. Monitoramento e Auditoria: Aqui temos a etapa de manutenção da eficiência do programa que deve ser contínuo, eficiente e dinâmico. Portanto é necessário avaliar periodicamente sobre mudanças na legislação, no objeto da atividade empresarial, nos meios de produção, estocagem e distribuição dos bens e serviços oferecidos pela atividade empresarial.
Portanto, Tanto no programa de Integridade quanto no programa de LGPD, teremos que seguir com pilares bem semelhantes e quando se tem um Programa de Compliance bem adaptado à atividade de sua empresa e efetivo, será difícil de ter um desvio de conduta, uma má utilização dos dados coletados, etc. Se mesmo assim houver um desvio de conduta, poderá ser rapidamente detectado, interrompido e sanado pelo departamento de compliance. Essa resposta aos atos delituosos, será muito importante para a eventual mitigação das sanções que poderão ser impostas pelo poder público.
A LGPD está com suas incertezas quanto à data em que entrará em vigor, mas o “precavido morre de velho”. Correr atrás do prejuízo sairá mais caro que a prevenção.
Procure um profissional de compliance, ele poderá preparar um programa correto para eliminar ou minimizar ao máximo os riscos de sua empresa.
Este Post eu fiz e coloquei em meu LinkedIn