Compliance Corporativo e a Proteção Efetiva de Dados das Empresas
Luiz Carlos Nacif Lagrotta
Procurador-Geral do Município de Taboão da Serra, Professor Universitário, Especialista em Direito Empresaria (Mackenzie) e em Compliance (FGV-SP)
Emily da Silva Pomin Selzelin
Graduanda pela Pontifícia Universidade Católica de São Paulo (PUC-SP). Especialista Junior na empresa Solutta Consultoria Empresarial.
RESUMO
A proteção de dados pessoais tornou-se prioridade no cenário corporativo global devido à digitalização dos negócios e ao aumento de dados coletados. Este artigo analisa a importância do compliance corporativo para a proteção de dados nas empresas, destacando desafios e melhores práticas para garantir a conformidade com a Lei Geral de Proteção de Dados (LGPD) no Brasil. No presente estudo enfatiza-se a necessidade de práticas que assegurem a conformidade com leis e normas éticas, promovendo uma cultura organizacional baseada na ética. Além disso, trata sobre elementos essenciais, importância para a LGPD, desafios de implementação, benefícios e estudos de casos bem-sucedidos no que tange ao compliance.
Palavras-chave: Compliance Corporativo; Proteção de Dados; LGPD; Governança Corporativa; Segurança da Informação.
ABSTRACT
The protection of personal data has become a priority in the global corporate landscape due to the digitalization of business and the growing amount of data collected. This article analyzes the importance of corporate compliance for data protection in companies, highlighting challenges and best practices to ensure compliance with the Brazilian General Data Protection Law (LGPD). The study emphasizes the need for practices that ensure conformity with legal and ethical standards, fostering an organizational culture based on ethics. In addition, it addresses essential elements, the importance of compliance for LGPD, implementation challenges, benefits, and successful case studies regarding compliance.
Keywords: Corporate Compliance; Data Protection; LGPD; Corporate Governance; Information Security.
Sumário: 1. Introdução. 2.Definição e Princípios do Compliance Corporativo. 3. Histórico e Evolução das Práticas de Compliance. 4. Importância do Compliance para a Governança Corporativa. 5. Panorama da Lei Geral de Proteção de Dados. 6. Impacto da Legislação na Gestão de Dados Empresariais 7. A Importância do Compliance para a Aplicação da Lei Geral de Proteção de Dados no Cenário Corporativo. 8. Componentes de um Programa de Compliance Eficaz. 9. Estratégias de Avaliação e Mitigação de Riscos. 10. Desafios na Implementação do Compliance Voltado à Proteção de Dados nas Empresas. 11. Benefícios do Compliance para a Proteção de Dados. 12. Estudos de Casos Práticos de Implementação do Programa de Compliance
Introdução
Nos últimos anos, a proteção de dados pessoais emergiu como uma das principais preocupações no cenário corporativo global. Com a crescente digitalização dos negócios e o aumento exponencial da quantidade de dados coletados, armazenados e processados pelas empresas, questões relacionadas à privacidade e segurança da informação ganharam visibilidade. A partir disso, foi necessário um movimento político-social, principalmente por parte do Poder Legislativo. A implementação de regulamentos como o Regulamento Geral de Proteção de Dados (GDPR) na União Europeia e a Lei Geral de Proteção de Dados (LGPD) no Brasil são exemplos desse processo recente, e ressaltam a necessidade de um robusto trabalho regulatório para garantir a proteção dos dados pessoais.
Neste contexto, o compliance corporativo, entendido como o conjunto de práticas e políticas adotadas pelas empresas para assegurar a conformidade com leis, regulamentos e normas éticas, destacou-se e tornou-se essencial para enfrentar esses desafios. Além de evitar sanções legais, um programa de compliance bem estruturado ajuda a mitigar riscos, preservar a reputação corporativa e promover uma cultura organizacional baseada na ética e na responsabilidade.
No cenário da proteção de dados, o compliance assume um papel ainda mais crucial, pois envolve a implementação de medidas técnicas e administrativas para garantir que os dados pessoais sejam tratados de forma segura e em conformidade com a legislação vigente.
A LGPD, sancionada em 2018 e em vigor desde 2020, estabeleceu um novo paradigma para a proteção de dados no Brasil. A lei impõe obrigações rigorosas às empresas, exigindo transparência, segurança e respeito aos direitos dos titulares dos dados. As organizações que não se adequarem às suas exigências estão sujeitas a penalidades severas, que incluem multas significativas e até mesmo a suspensão das atividades relacionadas ao tratamento de dados.
No entanto, a implementação de um programa de compliance voltado para a proteção de dados não é uma tarefa simples. Envolve a superação de diversos desafios, como a resistência à mudança organizacional, a necessidade de investimentos em tecnologia e capacitação, e a constante adaptação às novas ameaças cibernéticas.
Este artigo tem como objetivo analisar a importância do compliance corporativo para a proteção efetiva de dados nas empresas, destacando os elementos essenciais de um programa de compliance, os desafios na sua implementação e os benefícios que podem ser obtidos. Também serão apresentados estudos de caso e exemplos práticos de empresas que implementaram programas de compliance bem-sucedidos, buscando esclarecer melhores práticas que podem ser adotadas por outras organizações, a partir do estudo e compreensão do conceitos expostos a seguir.
Definição e Princípios do Compliance Corporativo
O Compliance corporativo refere-se à conformidade das empresas com leis, regulamentos e normas éticas. Pode ser descrito também como um conjunto de práticas que visam assegurar que as corporações e aqueles que se relacionam com elas, sejam funcionários, sócios, entre outros, cumpram todas as obrigações legais e regulamentares, bem como normas internas e padrões éticos. Logo, o compliance é crucial para evitar práticas ilícitas, como corrupção, fraudes e violações de privacidade.
Segundo Helton Júnio da Silva, a prática do compliance envolve a adesão a normas e procedimentos específicos do setor, com o objetivo primordial de combater a corrupção e assegurar uma postura ética no ambiente corporativo. A implementação de um programa de compliance eficaz é crucial para a mitigação de riscos e a promoção de uma cultura de integridade dentro das organizações.
Para isso é necessário se atentar aos princípios fundamentais do compliance corporativo, que incluem a transparência, a integridade e a responsabilidade. A transparência refere-se à clareza nas operações e comunicações da empresa, mas respeitando os limites da privacidade, permitindo que as partes interessadas internas e externas tenham acesso apenas às informações relevantes.
O que nos leva a integridade, a qual implica em atuar em conformidade com a legislação e regulamentos vigentes, além de uma conduta honesta e ética por parte de todos os membros da organização. Enquanto a responsabilidade, envolve a garantia do cumprimento das normas e diretrizes estabelecidas, sendo que aqueles que descumpram as regras determinadas pelo programa de compliance, estarão sujeitos às sanções impostas.
A conformidade com esses princípios não só evita penalidades legais, mas também protege a reputação da empresa e fortalece a confiança dos clientes e parceiros de negócios.
Histórico e Evolução das Práticas de Compliance
Para compreender como as práticas de compliance corporativo alcançaram os patamares atuais, é necessário compreender o histórico e a evolução dessa área.
O compliance tem evoluído significativamente nas últimas décadas, impulsionado pelo aumento das regulamentações internacionais e locais que visam fortalecer a governança corporativa e combater práticas ilícitas. Nos Estados Unidos, a introdução da Lei Sarbanes-Oxley em 2002 marcou um ponto crucial nessa evolução, estabelecendo novos padrões para a transparência financeira e a responsabilidade das empresas.
Esta legislação foi uma resposta direta aos escândalos corporativos de grande repercussão, como os casos da Enron e WorldCom, e visou restaurar a confiança dos investidores através de medidas rigorosas de auditoria e controle interno. A Sarbanes-Oxley não só reformulou a governança corporativa nos Estados Unidos, mas também influenciou significativamente as práticas de compliance globalmente.
Ainda neste contexto, a Foreign Corrupt Practices Act (FCPA), também nos Estados Unidos, foi outro marco na evolução das práticas de compliance, enfatizando a necessidade de prevenir e combater a corrupção em transações comerciais internacionais. Promulgada em 1977, mas ganhando maior destaque nos últimos anos, a FCPA impõe penalidades severas para empresas envolvidas em suborno de oficiais estrangeiros.
A aplicação rigorosa desta lei incentivou empresas multinacionais a adotarem programas de compliance robustos para evitar sanções. Este movimento se espalhou globalmente, levando outras nações a implementarem suas próprias regulamentações anticorrupção, criando um ambiente internacional mais rigoroso e padronizado em relação à ética nos negócios.
No Brasil, a Lei Anticorrupção (Lei 12.846/2013) e a Lei Geral de Proteção de Dados (LGPD, Lei 13.709/2018) são exemplos claros de como o país tem seguido essa tendência global. A Lei Anticorrupção, inspirada em parte pela FCPA, introduziu a responsabilidade objetiva das empresas por atos de corrupção cometidos por seus funcionários, incentivando a criação de programas internos de compliance para mitigar riscos.
Já a LGPD, estabelece diretrizes claras para o tratamento de dados pessoais, exigindo das empresas um nível elevado de transparência e segurança no manuseio dessas informações. Conforme destacado por Silva (2022, p.128-138), essas legislações reforçaram a importância do compliance no Brasil, obrigando as empresas a adotarem práticas mais rigorosas de governança e proteção de dados, e promovendo uma cultura organizacional de ética e conformidade.
Importância do Compliance para a Governança Corporativa
Posto o contexto histórico, é possível reconhecer que o compliance é um componente fundamental da boa governança corporativa, instituto essencial para a estruturação empresarial, definida pelo Instituto Brasileiro de Governança Corporativa da seguinte forma:
Governança corporativa é o sistema pelo qual as empresas e demais organizações são dirigidas, monitoradas e incentivadas, envolvendo os relacionamentos entre sócios, conselho de administração, diretoria, órgãos de fiscalização e controle e demais partes interessadas. As boas práticas de governança corporativa convertem princípios básicos em recomendações objetivas, alinhando interesses com a finalidade de preservar e otimizar o valor econômico de longo prazo da organização, facilitando seu acesso a recursos e contribuindo para a qualidade da gestão da organização, sua longevidade e o bem comum. (Consulta realizada no portal do Instituto Brasileiro de Governança Corporativa. Disponível em: https://www.ibgc.org.br/ conhecimento/governanca-corporativa.)
Visto isto, fica claro que assim como a governança corporativa tem um papel fundamental na implantação das práticas de Compliance e na cultura da integridade (Silva, 2022, p.134), sem o compliance também não é possível que haja uma boa governança, pois é ele quem promove a transparência, ética e responsabilidade em todas as operações empresariais.
Ao garantir que as empresas estejam em conformidade com leis, regulamentos e normas internas, o compliance cria uma interdependência e um sistema que se retroalimenta junto a governança, favorecendo um ambiente de negócios mais previsível e confiável.
Ademais, a presença de um programa de compliance robusto demonstra o compromisso da empresa com a integridade, o que é essencial para construir e manter a confiança entre investidores, clientes e outras partes interessadas.
A transparência gerada por práticas de compliance eficazes também facilita a detecção e prevenção de práticas ilícitas, como fraudes e corrupção, que podem comprometer a reputação e a sustentabilidade da organização.
A implementação de programas de compliance é vital para a proteção da empresa contra riscos legais e reputacionais. Empresas que negligenciam a conformidade estão mais suscetíveis a enfrentar sanções legais, que podem incluir multas pesadas, restrições operacionais e até a suspensão de atividades. Além disso, a falta de compliance pode resultar em danos irreparáveis à reputação da empresa, afetando sua posição no mercado e a confiança dos consumidores.
Silva (2022, p.134-135) destaca que a governança corporativa eficiente, sustentada por práticas sólidas de compliance, não apenas previne perdas financeiras, mas também fortalece a resiliência da empresa diante de crises e desafios regulatórios. Dessa forma, o compliance atua como uma barreira protetora que salvaguarda os interesses da empresa.
Por fim, o compliance contribui para a melhoria contínua dos processos internos e da cultura organizacional. Programas de compliance bem implementados incentivam uma cultura de responsabilidade e ética, onde todos os funcionários, desde a alta administração até o nível operacional, estão cientes de suas responsabilidades e aderem aos padrões estabelecidos. Essa cultura organizacional de conformidade e ética não só melhora o desempenho corporativo, mas também promove um ambiente de trabalho positivo e alinhado com os valores da empresa.
Panorama da Lei Geral de Proteção de Dados
A Lei Geral de Proteção de Dados (LGPD), sancionada em agosto de 2018 e em vigor desde setembro de 2020, estabelece um marco regulatório robusto para o tratamento de dados pessoais no Brasil. A LGPD foi criada para proteger os direitos fundamentais de privacidade e liberdade dos indivíduos, regulando de forma abrangente como os dados pessoais devem ser coletados, armazenados, utilizados e compartilhados, principalmente, por empresas e organizações.
A lei aplica-se a qualquer operação de tratamento de dados realizada no território nacional, independentemente do meio, do país de sede da empresa ou do país onde os dados estão localizados, desde que a atividade de tratamento tenha como objetivo a oferta ou fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no Brasil.
A LGPD introduz em seu artigo 6º uma série de princípios que devem ser seguidos no tratamento de dados pessoais, incluindo a necessidade de consentimento explícito do titular dos dados, a finalidade específica para a qual os dados são coletados, e a garantia de que os dados sejam utilizados de maneira adequada e segura.
Um dos principais aspectos da LGPD é a transparência, que exige que as empresas informem claramente aos titulares dos dados sobre quais informações estão sendo coletadas, a finalidade da coleta, e como essas informações serão utilizadas e compartilhadas. Além disso, a LGPD garante aos titulares dos dados uma série de direitos, como o acesso, correção, exclusão e portabilidade dos seus dados pessoais, aumentando o controle dos indivíduos sobre suas próprias informações.
Visto isso, para assegurar a conformidade com a LGPD, as empresas devem implementar uma série de medidas técnicas e administrativas. Estas incluem a nomeação de um Encarregado de Proteção de Dados (DPO), a realização de avaliações de impacto à proteção de dados, e a adoção de políticas de segurança da informação robustas. A lei também estabelece que, em caso de violação de dados, as empresas devem notificar as autoridades competentes e os titulares dos dados em tempo hábil.
Dentre elas a Autoridade Nacional de Proteção de Dados (ANPD), o órgão responsável por garantir a aplicação da Lei Geral de Proteção de Dados no Brasil. Criada para regular, fiscalizar e orientar o tratamento de dados pessoais no país, a ANPD tem o poder de aplicar sanções administrativas a empresas e organizações que violam as disposições da LGPD, tais sanções podem incluir multas significativas de até 2% do faturamento da empresa, limitadas a R$ 50 milhões por infração.
Devido a essas particularidades, a aparente complexidade, ao pouco tempo de vigência da Lei, e ainda ao desconhecimento por grande parte da população, a implementação da LGPD pode representar um desafio significativo para muitas empresas, especialmente aquelas que ainda não possuem uma cultura consolidada de proteção de dados.
No entanto, a conformidade com a LGPD não deve ser vista apenas como uma obrigação legal, mas também como uma oportunidade para fortalecer a confiança dos consumidores, melhorar a gestão de dados e aumentar a competitividade no mercado.
A LGPD não só promove uma maior proteção aos dados pessoais, mas também incentiva práticas empresariais mais éticas e transparentes. A adequação à LGPD é, portanto, um passo crucial para as empresas que desejam operar de maneira sustentável e responsável no mundo atual.
Impacto da Legislação na Gestão de Dados Empresariais
A implementação da Lei Geral de Proteção de Dados e de outras legislações internacionais de proteção de dados, trouxeram novas responsabilidades para as empresas. Estas regulamentações exigem que as empresas invistam em tecnologias avançadas de segurança e em processos internos rigorosos para garantir a conformidade.
A adequação à LGPD implica a adoção de medidas como criptografia, controle de acesso, e monitoramento contínuo de sistemas, bem como a revisão e atualização de políticas de privacidade e contratos com fornecedores. Esse investimento é essencial para proteger os dados pessoais contra acessos não autorizados, perdas acidentais e ataques cibernéticos, minimizando riscos e fortalecendo a confiança dos clientes.
Além dos investimentos em tecnologia, a LGPD requer que as empresas adotem processos claros e eficientes para a coleta, armazenamento, uso e compartilhamento de dados pessoais. Isso inclui a necessidade de obter consentimento explícito dos titulares dos dados e garantir que os dados sejam tratados de acordo com os princípios de finalidade específica e minimização.
Logo, as corporações devem revisar suas práticas de coleta de dados e garantir que estejam em conformidade com as novas exigências, o que pode incluir a renegociação de contratos com fornecedores para assegurar que eles também cumpram as normas da LGPD, evitando assim que sejam responsabilizados solidariamente.
A conformidade com a Lei de Dados também exige um investimento significativo em treinamento e capacitação contínua dos funcionários. Programas de treinamento regulares são essenciais para criar uma cultura de privacidade dentro da organização, onde todos os funcionários, desde a alta administração até os operadores de dados, estejam cientes de suas responsabilidades e saibam como proteger os dados pessoais. Essa capacitação contínua ajuda a evitar violações de dados e garante que a empresa esteja preparada para responder de forma eficaz a qualquer incidente, reduzindo os riscos de sanções legais e danos à reputação.
Assim sendo, as organizações devem se socorrer de conjuntos de práticas e regras que regulamentem internamente a postura de todas as partes interessadas, a fim de assegurar que todos os requisitos legais e de segurança estão sendo atendidos, bem como garantir que aqueles que descumpram tais disposicões sejam punidos, evitando que as consequências recaiam sobre a estrutura da pessoa jurídica e preservar a sua integridade. É neste contexto que se encontram os dois conceitos aqui trabalhados.
A Importância do Compliance para a Aplicação da Lei Geral de Proteção de Dados no Cenário Corporativo
A relação entre compliance corporativo e a Lei Geral de Proteção de Dados no Brasil é intrínseca e essencial para a conformidade corporativa no tratamento de dados pessoais, como visto acima.
A LGPD, sancionada em 2018, estabelece diretrizes rigorosas para a coleta, armazenamento, processamento e compartilhamento de dados, impondo às empresas a responsabilidade de garantir a segurança e a privacidade das informações pessoais dos cidadãos. O compliance, neste contexto, emerge como um conjunto de práticas e políticas corporativas que asseguram a aderência a essas normas legais e éticas, essencial para mitigar os riscos e promover o desenvolvimento da corporação.
Para isso, segundo Gabriela Nunes (2019, p.57), é necessário que o compliance quando tratar da proteção de dados implemente medidas administrativas e técnicas adequadas, como a criptografia e controle de acessos, para evitar violações e garantir a integridade dos dados.
Além disso, a capacitação contínua dos funcionários, destacada por Giovana Magalhães (2019, p.51), é crucial para que todos estejam cientes das suas responsabilidades e dos procedimentos corretos a seguir, minimizando assim os riscos de incidentes de segurança.
Além disso, a integração do compliance com as operações diárias da empresa não apenas assegura a conformidade com a LGPD, mas também fortalece a confiança do mercado, como apontado por Ribeiro e Diniz (2015, p.97). Dessa forma, o compliance não é apenas um requisito legal, mas também um diferencial competitivo, promovendo a sustentabilidade e a reputação positiva da empresa diante dos seus concorrentes.
Componentes de um Programa de Compliance Eficaz
Um programa de compliance eficaz deve começar com uma estrutura organizacional clara, onde as responsabilidades e funções são bem definidas e distribuídas. De acordo com o artigo 41 da LGPD é necessária a presença de um Encarregado de Proteção de Dados, também conhecido pelo termo em inglês Data Protection Officer (DPO) é essencial, pois esses profissionais são responsáveis por supervisionar a conformidade e implementar as políticas de compliance, além de atuar como porta voz e intermediador entre o controlador, os titulares de dados e a Autoridade Nacional de Proteção de Dados (ANPD), vide artigo 5º, VIII, da Lei Geral de Proteção de Dados.
Ainda, deve garantir, a partir da formação da estrutura de compliance, que todos os níveis da organização compreendam suas obrigações e que exista uma linha direta de comunicação entre a equipe de compliance e a alta administração, promovendo uma governança sólida e integrada.
Também são fundamentais, políticas e procedimentos específicos que orientem o comportamento dos funcionários e assegurar a conformidade com as leis e regulamentos aplicáveis. Essas políticas devem abordar questões como proteção de dados, combate à corrupção, conduta ética e gerenciamento de riscos. É essencial que essas políticas sejam documentadas de forma clara e acessível, e que sejam regularmente revisadas e atualizadas para refletir mudanças nas regulamentações ou nas operações da empresa, assegurando que a empresa esteja sempre alinhada com os requisitos legais vigentes.
Vale reiterar que o treinamento contínuo é outro componente crucial de um programa de compliance eficaz. Todos os funcionários, desde a alta administração até os níveis operacionais, devem receber treinamento regular sobre as políticas de compliance da empresa, os requisitos legais relevantes e as melhores práticas de segurança da informação. Este treinamento ajuda a criar uma cultura de conformidade dentro da organização, onde todos entendem a importância de seguir as normas e sabem como identificar e responder a potenciais problemas de compliance.
A realização de auditorias regulares é essencial para monitorar a eficácia do programa de compliance e identificar áreas que necessitam de melhorias. Estas auditorias devem ser conduzidas de maneira independente e objetiva, avaliando a conformidade com as políticas internas e as regulamentações externas. Silva (2022, p.134) destaca a importância de tais auditorias, as quais podem conduzir a descobertas relevantes, e que devem ser comunicadas à alta administração e às partes relevantes, juntamente com recomendações para ações corretivas, garantindo assim um ciclo contínuo de melhoria e conformidade.
Por fim, um programa de compliance eficaz deve incluir canais de denúncia seguros e confidenciais, que permitam aos funcionários reportar suspeitas de violações de conformidade sem medo de retaliação. Esses canais podem incluir linhas diretas, e-mails dedicados ou plataformas de denúncia online.
A existência de canais de denúncia eficazes é vital para detectar e resolver problemas de compliance rapidamente, promovendo uma cultura de transparência e responsabilidade dentro da organização, como traz Nunes (2019, p.48).
Por fim, A alta administração deve demonstrar um forte compromisso com o programa de compliance, incentivando a adesão às políticas e liderando pelo exemplo, para garantir a eficácia e a sustentabilidade do programa.
Estratégias de Avaliação e Mitigação de Riscos
Para assegurar a proteção eficaz dos dados, as empresas devem realizar avaliações periódicas de risco que permitam identificar e mitigar potenciais ameaças. De acordo com Magalhães (2019, p.50) essas avaliações são fundamentais para mapear vulnerabilidades nos processos internos, nos sistemas de TI e na cadeia de fornecimento. A identificação dessas vulnerabilidades é o primeiro passo para implementar medidas preventivas que minimizem a exposição a riscos de segurança e conformidade. Tossati e Casado (2018, p.94) complementam que a mitigação de riscos através de sistemas de compliance é crucial para a integridade e segurança das operações empresariais.
A análise de processos internos é essencial para identificar áreas onde os dados podem estar em risco. Isso envolve a revisão de procedimentos de coleta, armazenamento, processamento e descarte de dados. As empresas devem assegurar que todas as práticas estejam alinhadas com as normas de proteção de dados, adotando tecnologias como criptografia e controles de acesso para proteger informações sensíveis. Antonik (2016, p. 20) reforça a importância das auditorias regulares para garantir a conformidade contínua e a eficácia das medidas de proteção de dados implementadas.
Além dos processos internos, é crucial avaliar os riscos associados a fornecedores e parceiros de negócios. Uma vez que, a responsabilidade pela proteção de dados se estende a todos os entes da cadeia de fornecimento, exigindo que as empresas verifiquem a conformidade dos parceiros com a LGPD e outras regulamentações relevantes.
Contratos robustos com cláusulas específicas de proteção de dados e auditorias regulares são medidas eficazes para garantir que os fornecedores mantenham padrões elevados de segurança. Tossati e Casado (2018, p. 93) destacam que a avaliação de riscos externos é tão importante quanto a interna para assegurar uma proteção abrangente dos dados.
Em suma, a implementação de medidas preventivas e corretivas é vital para mitigar riscos identificados nas avaliações. Isso inclui a criação de planos de resposta a incidentes, treinamentos regulares para funcionários e a adoção de tecnologias avançadas de segurança.
Desafios na Implementação do Compliance Voltado à Proteção de Dados nas Empresas
A implementação de programas de compliance enfrenta diversos desafios, entre os quais se destacam a resistência à mudança organizacional, a falta de recursos e a complexidade das regulamentações. Segundo Nunes (2019, p.62), muitas empresas encontram dificuldades em adaptar suas estruturas e processos internos para atender às novas exigências legais. Essa resistência muitas vezes provém de uma cultura organizacional que não valoriza a conformidade e a ética, tornando o processo de implementação de compliance ainda mais desafiador.
Além da resistência interna, a falta de recursos financeiros e humanos é outro obstáculo significativo. Magalhães (2019, p. 52) observa que pequenas e médias empresas, em particular, frequentemente lutam para alocar os recursos necessários para desenvolver e manter programas de compliance eficazes. A escassez de especialistas em compliance e proteção de dados no mercado de trabalho também contribui para essa dificuldade, limitando a capacidade das empresas de implementar e supervisionar adequadamente as políticas de conformidade.
Dentro do cenário econômico, a necessidade de investimentos em tecnologia também representa um desafio substancial. A conformidade com a LGPD e outras regulamentações de proteção de dados têm exigido investimentos significativos em tecnologia, como sistemas de gestão de dados, criptografia e firewalls. Esses sistemas são essenciais para proteger informações sensíveis contra acessos não autorizados e ataques cibernéticos. No entanto, o custo associado a essas tecnologias pode ser proibitivo para muitas empresas, especialmente aquelas com recursos limitados.
A complexidade das regulamentações é um desafio adicional que as empresas precisam superar. Nunes (2019, p. 60) aponta que a conformidade com a LGPD, GDPR e outras legislações internacionais exige um entendimento profundo das normas e uma capacidade de interpretar e aplicar esses regulamentos de maneira eficaz. Essa complexidade pode ser muito ofensiva, especialmente para empresas que operam em múltiplas jurisdições, onde as leis de proteção de dados podem variar significativamente.
Ademais, é preciso capacitar a administração e colaboradores, pois, é importante que todas entendam as políticas de proteção de dados, os riscos associados ao tratamento inadequado de informações pessoais e as melhores práticas para garantir a segurança dos dados. Sem essa capacitação, as medidas de compliance são menos eficazes e a empresa fica vulnerável a violações de dados e sanções legais.
Ao superar tais desafios, e corrigir possíveis vulnerabilidades, as corporações se colocam um passo a frente no cenário corporativo atual, uma vez que, como observaremos ainda neste artigo, quando nos dedicarmos aos estudos de casos de grandes corporações, um programa de compliance bem estruturado não apenas protege contra práticas ilícitas, mas também contribui para o desenvolvimento sustentável e a longevidade da empresa no mercado.
Benefícios do Compliance para a Proteção de Dados
A implementação de um programa de compliance robusto é crucial para reduzir os riscos de sanções legais e financeiras. Empresas que seguem regulamentações de proteção de dados, como a LGPD, estão menos propensas a enfrentar multas e processos judiciais, além de proteger sua reputação. Segundo Ribeiro e Diniz (2015), a conformidade com essas normas ajuda a evitar penalidades severas que podem comprometer a viabilidade financeira da empresa, permitindo uma gestão proativa dos riscos legais.
A conformidade com a LGPD e a implementação do compliance também salvaguarda a reputação corporativa, segundo Helton Silva (2022, p.142,. Empresas que demonstram responsabilidade e transparência na gestão de dados são vistas como mais confiáveis, o que atrai clientes, investidores e parceiros de negócios. Uma boa reputação é um ativo intangível valioso para o sucesso a longo prazo, pois reforça a fidelidade do cliente e fortalece as relações comerciais.
Além de proteger contra riscos, um programa de compliance eficaz pode servir como um diferencial competitivo significativo. Empresas que adotam práticas éticas e transparentes na proteção de dados destacam-se no mercado, atraindo consumidores conscientes sobre a importância da privacidade. Essa postura ética contribui para a criação de uma cultura organizacional baseada em princípios de responsabilidade, melhorando a eficiência operacional e a resiliência frente aos desafios regulatórios e de mercado.
Estudos de Casos Práticos de Implementação do Programa de Compliance
Os casos da Embraer e da Braskem oferecem exemplos importantes de como a implementação de programas de compliance podem ser essenciais para a recuperação e fortalecimento da governança corporativa, especialmente em situações de crises de integridade.
A Embraer, envolvida em acusações de suborno internacional, adotou medidas rigorosas para melhorar suas práticas de compliance. Como parte de acordos com as autoridades, como o Ministério Público Federal no Brasil, a empresa submeteu-se a uma monitoria externa e reforçou suas políticas de conformidade. A criação de um departamento específico de compliance e a nomeação de um Diretor de Compliance, com reporte direto ao Comitê de Auditoria e Riscos, foram passos fundamentais para alinhar a empresa às melhores práticas internacionais de governança e transparência, conforme o estudo realizado por Carolina Aguilar (2021, p.163).
No caso da Braskem, associada ao grupo Odebrecht, o envolvimento em esquemas de suborno levou a empresa a celebrar um Acordo de Leniência com o Ministério Público Federal. Entre 2006 e 2014, a empresa realizou pagamentos ilícitos para garantir vantagens indevidas, comprometendo sua reputação e operações. De acordo com Aguilar (2021, p.166) como umas das práticas de reestruturação, a Braskem implementou um robusto programa de compliance que incluiu a criação de um comitê dedicado, responsável por supervisionar todas as práticas de conformidade e reportar diretamente ao Conselho de Administração. Esse programa foi estruturado com base nos pilares de prevenção, detecção e correção de irregularidades, reforçando a cultura de ética e transparência dentro da organização.
As lições que podem ser retiradas das análises dos casos acima se mostram relevantes para o contexto atual, em que está em vigor da Lei Geral de Proteção de Dados. Ambas as empresas, ao fortalecerem seus programas de compliance, demonstraram a importância de adaptar suas práticas às novas exigências legais, incluindo a proteção de dados pessoais. A LGPD impõe obrigações rigorosas em relação ao tratamento de dados, exigindo que as empresas implementem políticas claras de proteção de dados e garantam a segurança das informações pessoais de seus clientes e funcionários. Assim, a experiência da Embraer e da Braskem com compliance pode servir de guia para a implementação de políticas de proteção de dados, mostrando que a adaptação às exigências legais é crucial não apenas para evitar sanções, mas também para preservar, ou, como nos casos, recuperar a reputação corporativa.
A integração dos princípios da LGPD aos programas de compliance de empresas como Embraer e Braskem reforça a necessidade de uma abordagem proativa e contínua em relação à conformidade regulatória. O foco na proteção de dados pessoais deve ser visto como uma extensão natural das políticas de integridade e ética empresarial, promovendo um ambiente de negócios mais seguro e transparente. Dessa forma, as empresas podem não apenas mitigar riscos legais e financeiros, mas também demonstrar um compromisso sólido com a privacidade e os direitos dos indivíduos, criando valor a longo prazo para todas as partes interessadas.
13. Conclusão
A crescente digitalização dos processos empresariais e o aumento exponencial da coleta de dados pessoais demandam que as empresas adotem medidas robustas para proteger essas informações. O compliance corporativo surge como uma ferramenta essencial para garantir a conformidade com legislações como a LGPD no Brasil, promovendo a segurança e a privacidade dos dados. A implementação de programas de compliance eficazes não é apenas uma exigência legal, mas também uma estratégia vital para mitigar riscos e fortalecer sua reputação enquanto corporações integras.
As empresas que investem em programas de compliance robustos colhem benefícios significativos, como a redução de riscos legais e financeiros, a melhoria da reputação corporativa e a obtenção de vantagens competitivas no mercado. No entanto, os desafios para a implementação de tais programas são numerosos e incluem a necessidade de investimentos significativos em tecnologia e capacitação, bem como a superação da resistência à mudança organizacional. A alta administração desempenha um papel crucial nesse processo, sendo responsável por promover uma cultura de compliance e garantir que todos os níveis da organização estejam alinhados com as práticas de proteção de dados.
Estudos de caso de empresas como Embraer e Brasken demonstram que a adoção de programas de compliance pode ser altamente eficaz na recuperação da empresa, restabelecendo sua imagem, ao demonstrar interesse na mitigação de riscos e na promoção de uma nova cultura organizacional, baseada na ética e na responsabilidade. Essas empresas servem como exemplos positivos de como um compromisso firme com a conformidade pode resultar em uma gestão de dados mais segura e eficiente. As melhores práticas identificadas nesses casos incluem a realização de avaliações contínuas de riscos, a implementação de políticas claras de proteção de dados, e o investimento em treinamento e capacitação dos funcionários.
Portanto, a proteção efetiva de dados nas empresas por meio do compliance corporativo é uma necessidade presente no atual ambiente de negócios. Este artigo buscou fornecer uma análise abrangente sobre a importância do compliance, os desafios enfrentados na sua implementação, e os benefícios que podem ser obtidos. Espera-se que este estudo contribua para o entendimento das melhores práticas de compliance e inspire outras empresas a adotarem medidas eficazes para a proteção de dados pessoais, garantindo não apenas a conformidade legal, mas também a confiança e a satisfação de todas as partes envolvidas.
Referências
AGUILAR, Carolina de Oliveira; PROCKNOW, Ritchelle; NUNES, Rodolfo Vieira; SALES, George André Willrich. A adequação do programa de compliance nas empresas – casos múltiplos da Embraer e Braskem. Volume 12, nº 3. Riberão Preto: RACEF - Revista de Administração, Contabilidade e Economia da Fundace, 2021, p. 154-173. Disponível em: https://racef.fundace.org.br/index.php/racef/article/view/817. Acesso em 24 jul. 2024.
ANTONIK, Luis Roberto. Compliance, Ética e Responsabilidade Social Empresarial: Uma Visão Prática. Edição nº 1. Rio de Janeiro: Alta Books, 2016.
BRASIL. Lei Geral de Proteção de Dados Pessoais (LGPD), Lei nº 13.709, de 14 de agosto de 2018. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em 22 jul. 2024.
MAGALHÃES, Melissa Giovana Ananias. A Importância da Capacitação em Compliance para a Efetiva Proteção de Dados: Tese de Mestrado, Universidade de São Paulo. Taubaté. 2019. Disponível em:https://repositorio.unitau.br/jspui/handle/20.500.11874/6738. Acesso em 22 jul. 2024.
NUNES, Gabriela Victória Miranda. Governança e Boas Práticas na Lei Geral de Proteção de Dados Pessoais: dos programas de compliance: Trabalho de Conclusão de Curso, Universidade Federal de Minas Gerais. Brasília. 2019. Disponível em https://bdm.unb.br/bitstream/10483/25080/1/2019_GabrielaVictoriaMirandaNunes_tcc.pdf . Acesso em 16 jul. 2024.
RIBEIRO, Maria Clara Pereira, & DINIZ, Patricia Dittrich Ferreira. Compliance e Lei Anticorrupção nas Empresas. Nº 205. Brasília: Revista de Informação Legislativa, Jan-Mar 2015, p. 87-106. Disponível em: https://www12.senado.leg.br/ril/edicoes/52/205/ril_v52_n205. Acesso em 16 jul.2024.
SILVA, Helton Júnio. Compliance e Integridade Empresarial - A Valoração Ética na Governança Corporativa. Volume 17. Belo Horizonte: Revista Meritum, Jan-Abr 2022, p. 129-145. Disponível em: http://revista.fumec.br/index.php/meritum/issue/view/432. Acesso em: 16 jul. 2024.
TOSATTI, Tatiana, & Guilherme CASADO. A Mitigação de Riscos por Meio dos Sistemas de Compliance. Volume, 03, nº 03. São Paulo: Revista de Direito Internacional e Globalização Econômica (DIGE), 2018, p.91-107. Disponível em: https://revistas.pucsp.br/index.php/DIGE/issue/view/1982. Acesso em 18 jul. 2024.
