Vazamento de dados é uma preocupação cada vez maior nos dias atuais. Muitas empresas e organizações têm suas informações sensíveis sob esse risco. A maior parte dos dados está armazenada de forma digital e hoje os crimes cibernéticos são cada vez mais comuns.
O Compliance, área do conhecimento também em crescimento, trata do cumprimento de normas e regulamentos, tanto externos (leis, normas e regulamentações), quanto dos internos (códigos, manuais e políticas da organização).
Extrapolando o simples “cumprir as regras”, o Sistema de Compliance busca conduzir as pessoas numa organização, em todos os níveis hierárquicos, para estarem em conformidade com os regulamentos, sempre com ética e a integridade.
Neste artigo, você verá como o Compliance pode auxiliar na prevenção do vazamento de dados nas empresas.
Boa leitura!
Lei Geral de Proteção de Dados Pessoais (LGPD)
Dados de uma organização podem ser internos ou externos.
Os dados internos são dos colaboradores, em geral, contratados pelo regime CLT, que exige diversas informações para a contratação e cadastro nos sistemas. Além disso, informações importantes para a organização, como as relacionadas a benefícios, alcance das metas, desempenho, códigos e senhas de acesso, etc.
Os dados externos são aqueles que mais comumente são associados a problemas de vazamento de dados. Nesse contexto, são basicamente os dados pessoais dos clientes e consumidores.
O uso da Internet em todo mundo, e também no Brasil, cresceu substancialmente nas últimas décadas. Segundo o IBGE, em 2017, 70,5% dos domicílios tinham acesso à rede, e em 92,7% das residências havia ao menos uma pessoa com celular.
Com o avanço da tecnologia, os smartphones permitem compras, pagamentos diversos e a navegação nas redes sociais. Além disso, depois da pandemia da Covid-19, as vendas digitais cresceram rapidamente — e todos esses processos envolvem dados de pessoas físicas e jurídicas.
Evidentemente, o vazamento de dados é crime, e ocorre quando uma informação considerada privada ou confidencial é exposta sem a devida autorização.
Em geral, para conseguir os dados, os infratores aplicam golpes ou invadem bancos de dados. Ou, é claro, um ou mais colaboradores podem articular ações para vazar dados sigilosos em troca de algum benefício.
A Lei Geral de Proteção de Dados Pessoais (LGPD), promulgada em agosto de 2018, foi idealizada para padronizar normas e práticas e promover a proteção igualitária de dados pessoais de cidadãos brasileiros, dentro ou fora do país.
No dispositivo legal, delimitam-se o que são dados pessoais, dados sensíveis e dados sobre crianças e adolescentes, dentre outros, que possuem tratamento específico, além de discernir a regulação dos dados tratados em meio físico e os de meios digitais.
Além disso, são estabelecidas, em relação aos dados pessoais, as questões do consentimento, automatização e as atribuições da Autoridade Nacional de Proteção de Dados Pessoais — instituição responsável por fazer valer as normativas vigentes.
A LGPD prevê multas e sanções para empresas que descumprirem os requisitos dessa lei e/ou não forem capazes de proteger os dados pessoais sob sua tutela, gerando impactos significativos sobre a vida financeira da organização, além de danos para sua reputação no mercado.
Portanto, a segurança de dados nas organizações é fundamental para manter uma empresa em bom funcionamento e com credibilidade suficiente para o seu exercício no mercado.
O que é Compliance
O Compliance é uma forma de gestão de uma organização com efeitos abrangentes em todas as suas áreas.
Adotar o Compliance como prática significa tomar todas as medidas possíveis para evitar, ao máximo, todo tipo de irregularidade e má conduta — fraudes, apropriação indevida de ativos, conflitos de interesses, corrupção, lavagem de dinheiro, problemas concorrenciais, assédios e outros tipos de violência no trabalho — o efeito benéfico do Compliance resulta em evitar desperdícios, reduzir custos e riscos, melhorar o ambiente de trabalho, aumentar a produtividade e prevenir acidentes e crises, incluindo vazamento de informações.
Dentre as atividades pertinentes ao Compliance dentro de uma organização, estão:
- identificação de riscos e implantação das medidas mitigadoras;
- elaboração de códigos de conduta e políticas internas;
- sensibilização, comunicação, treinamento e capacitação dos colaboradores;
- implementação do Canal de Denúncias e tratamento dos relatos recebidos.
O Compliance, além disso, inclui controles e monitoramento regulares para garantir que políticas e procedimentos estejam sendo realizados da forma correta.
Dessa forma, o Compliance tem grande utilidade para a questão do tratamento de dados para as empresas e, a seguir, vamos entender como.
Evitando o vazamento de dados com o Compliance
O capítulo VII da LGPD trata da Segurança e das Boas Práticas. Nessa parte, reitera-se que os agentes de tratamento (controlador e operador dos dados) devem:
“(…) adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.”
E, adicionalmente, dispõe que a Autoridade Nacional pode estabelecer padrões técnicos para aplicação dessas medidas, considerando as especificidades e o contexto de cada caso.
Portanto, fica fácil entender como o Compliance pode evitar o risco de vazamento de dados nas organizações:
- Identificação dos riscos relativos ao Compliance: o vazamento de dados é uma das matérias abordadas nesse processo, demandando assim, a definição de medidas mitigadoras para evitar que tais riscos se concretizem na prática.
- Documentação de Compliance (Código de Conduta, políticas e procedimentos): as informações advindas da identificação dos riscos devem ser consideradas e, dessa forma, as providências estabelecidas para o devido tratamento dos dados pessoais são parte integrante desse arcabouço.
- Treinamento e comunicação: em primeiro lugar, o Compliance funciona, principalmente, via prevenção — com treinamentos, capacitações e constantes reforços sobre a importância de se agir corretamente, atendo-se aos procedimentos corretos e evidenciando as consequências negativas das más condutas. O ideal do compliance é que o certo a se fazer se torne parte da cultura organizacional. Isso, por si só, já garante que os riscos de vazamento de dados sejam minimizados, pois com a conscientização e o entendimento das consequências, colaboradores e associados ficarão mais atentos para com os cuidados sobre os dados de pessoas físicas ou jurídicas.
- Controles e processos para mitigação dos riscos: a padronização dos controles e processos e seu monitoramento são atividades que, no âmbito da proteção dos dados pessoais, incluem a estruturação de sistemas para detecção de invasões, firewalls, atualizações de software e análise de vulnerabilidades. É estabelecida uma interface bastante produtiva entre Compliance, profissional responsável pela LGPD (normalmente chamado de DPO – Data Protection Officer) e responsáveis pela Segurança da Informação., dando à instituição a garantia necessária para prevenir vazamentos de dados. Inclusive, nesse processo, ocorre o planejamento de diversas medidas, que envolvem o uso de algoritmos criptográficos mais robustos para dados em repouso ou em trânsito, a estruturação e autenticação de dois fatores, controles de acesso, etc., para resguardar os dados pessoais acessíveis somente para os agentes de tratamento.
- Auditorias e monitoramento em conformidade com as regulamentações, incluindo a LGPD: assim, implementam-se processos de revisão de controles de segurança, testes e análises das atividades de segurança, visando identificar problemas e corrigir falhas e violações.
Conclusão
O Compliance tem fundamental importância para as empresas, com reflexos importantes na produtividade, reputação e longevidade e, além disso, no cenário da proteção de dados e da conformidade com a LGPD.
Por meio de práticas do Sistema de Compliance, garante-se a segurança e a privacidade dos dados pessoais, de funcionários, clientes, consumidores e terceiros em geral, diminuindo riscos de vazamentos desses dados e outros problemas correlatos.
Evita-se, dessa forma, sanções, crises e prejuízos financeiros, mantendo a organização com altos níveis de credibilidade e de segurança.
O Sistema de Compliance e o Programa de Governança em Privacidade são congruentes. Eles devem ser alinhados para conferir sinergia e dar à empresa a melhor condição de benefícios.
Conheça nossas plataformas: a Compliance Station e a LGPD Station. São duas plataformas 100% digital, fácil de operar e com a melhor relação custo-benefício para a sua empresa.
Fale com nossos especialistas!