Artigo
Os impactos da não adequação e a necessidade do Compliance Digital
O especialista em Direito Digital Everton Lopes aborda o conceito de compliance e trata dos riscos que a não conformidade pode trazer para as organizações
30/09/2020
Uma boa parcela da população se vê obrigada a permanecer em suas casas em decorrência da pandemia, trabalhando em regime home office (teletrabalho) e realizando suas atividades diárias de maneiras inovadoras, desenvolvendo novos hobbies e criando trabalhos e soluções digitais, emergindo dúvidas e questionamentos em torno do Compliance Digital, suas aplicações práticas e consequências da não adequação.
Como exemplo, o home office traz vantagens e desvantagens para o empregador. Vejamos: vantagem de manter o trabalhador em sua casa; economia de transportes; economia com alimentação; economia com energia elétrica e manutenção do seu espaço laboral e eventual reestruturação e redução dos quadros de funcionários. Por outro lado: desvantagem em não ter controle sobre a produtividade efetiva; dificuldades quanto às regras de sigilo e confidencialidade; garantia de acesso à rede e servidores e controle de prazos.
Podemos listar e notar diversos riscos envolvidos num cenário de teletrabalho, desde os, já citados, problemas com sigilo e confidencialidade, a riscos mais simples, porém não menos importantes, relacionados à segurança da informação. O compliance digital abrange uma gama diversa de situações, muitas das quais só se evidenciam quando atingem o status de problema ou risco iminente, e nesse ponto a prevenção perde o foco e abre espaço para uma resolução imediata e mitigação dos possíveis danos.
Compliance, em tradução livre, é o mais próximo de "conformidade", assim, relaciona-se diretamente com a devida aplicação das normas, leis, regimentos e diretrizes, sejam internas (como um Regimento Interno ou Código de Conduta e Ética), sejam externas (com a devida aplicação das leis municipais, estaduais e federais), bem como a prevenção no caso de não aplicação destas, analisando seus riscos e impactos no ambiente. Nesse sentido, compliance digital tem como função a análise dos riscos e a criação de medidas de prevenção para conformidade com regras, condutas e ética aplicáveis à tecnologia de informação, o que podemos incluir desde proteção de dados, direito autorais, crimes cibernéticos e direito de privacidade em âmbito digital.
Com o surgimento de exigências, regulamentações e legislações do meio ambiente digital, incluindo a recente e bastante discutida Lei Geral de Proteção de Dados (LGPD), não só o interesse, mas a necessidade das empresas em se adequarem, aumentou consideravelmente. Condutas que antes passariam por "vista grossa", usando o termo mais popular, agora requerem uma atenção dedicada dos dirigentes e responsáveis. Se antes poderíamos coletar dados de clientes sem uma comprovação precisa do seu uso e necessidade, agora precisamos ter um cenário completo de sua utilização e estarmos prontos para apresentar relatórios de impacto, destinação e necessidade.
Ao observarmos grandes eventos, como vazamentos em massa de dados e grandes manipulações que influenciam governos e eleições, acabamos nos distanciando um pouco de problemas menores, porém não menos importantes, que devem ser observados em qualquer negócio. Mesmo que a sua empresa ou cliente não seja uma grande corporação, os riscos da não adequação e implementação de um programa de compliance digital continuam bastante presentes e podem arruinar um negócio consolidado, seja pelos impactos financeiros de um vazamento de dados, quebra de sigilo ou mesmo dano a um banco de dados essencial, seja pelo impacto negativo na confiança dos clientes, fornecedores e parceiros.
Entre os riscos frequentes que precisam ser mitigados, podemos citar:
I. Uso indevido de ferramentas e programas digitais: como utilização incorreta das mídias digitais, postagens de caráter ofensivo e/ou enganoso, ou mesmo a utilização de programas pirateados no computador;
II. Uso de conteúdo protegido: como imagens, textos, artigos, entre outras fontes e mídias que estão disponíveis na internet e aparentam não possuir direitos autorais e, por sua, vez, estampam sites, blogs, divulgação de produtos e mídias digitais de empresas desavisadas;
III. Malwares: todo e qualquer arquivo ou aplicativo que possui comportamento malicioso e nocivo para o usuário (como vírus, ransomwares e worms);
IV. Phishing: sites e aplicativos falsos que tem por objetivo enganar os usuários para coletarem informações importantes, como senhas ou arquivos confidenciais;
V. Crimes cibernéticos: que podem ser cometidos por funcionários, dirigentes ou mesmo prestadores de serviços, ou contra eles e a empresa;
VI. Perfis falsos em redes sociais: que podem, ilegal e injustamente, difamar pessoas ou empresas;
VII. Domínios similares: cópias do site ou domínios com grande semelhança ao original que possam ser utilizados com o intuito de enganar usuários;
VIII. Vendas não autorizadas, entre outras situações recorrentes no dia a dia de uma empresa que possui o mínimo de acesso a um sistema digital.
A quantidade de riscos existentes e futuros são incalculáveis em extensão e complexidade, uma vez que evoluem tão rapidamente quanto ao desenvolvimento tecnológico, e os exemplos citados refletem apenas uma parcela das situações mais comuns pelas quais uma empresa ou cliente possam se expor.
Cabe, portanto, considerando as possibilidades de danos, ponderar algumas atitudes que podem mitigar ou mesmo eliminar determinados riscos, como:
I. Conhecer e reconhecer os riscos existentes no meio ambiente digital;
II. Desenvolver um programa de compliance digital, estabelecendo políticas de utilização e monitoramento do meio digital e o controle das ferramentas de comunicação e dados coletados e armazenados;
III. Adotar um sistema de Gestão de Riscos; e
IV. Implementar uma cultura de boa utilização do meio digital.
E neste ponto vale destacarmos a grande importância do último item, a implementação completa de um programa de compliance, incluindo o digital, com um sistema complexo de gestão de riscos, utilizando das melhores ferramentas disponíveis, acaba sendo inútil se a cultura interna continuar desalinhada com os objetivos de conformidade almejados. É necessário um alinhamento entre a prática e a teoria, possuindo um profissional e uma equipe qualificada, não apenas para garantir que o ambiente esteja em conformidade, criando os mecanismos adequados de controle e acompanhamento, mas também ajudando com estratégias de conscientização e modificação de cultura.
Os benefícios do compliance digital não se limitam a "entender e reduzir os riscos" em um meio ambiente digital, mas em trazer confiança e transparência à empresa e à marca, demonstrando verdadeira preocupação com sua imagem, de seus clientes e terceiros, bem como com a segurança de todos.
Por fim, vale lembrar, a imagem da sua empresa ou de cliente pode valer mais que o produto ou serviço oferecido. Como bem comenta Paul McNulty, se você acha que o Compliance é caro, experimente o não-Compliance.
Everton Lopes
É bacharel em Direito e especialista em Direito Digital e Compliance. Atualmente, é diretor de Compliance Digital e Proteção de Dados da VMA Advocacia. Atua como consultor e professor de Compliance e como coordenador de Cursos da MGP Educação. É profissional e membro da Associação Nacional dos Profissionais de Proteção de Dados (ANPPD).
____________________________________________
Também quer colaborar?
A expectativa deste portal, colaborativo e dinâmico, é integrar opiniões divergentes e convergentes sobre a LGPD, desafios e conquistas da lei. É um ambiente aberto ao debate plural e com a vocação de serviço público: precisa da sociedade civil, governo, setor privado, academia e imprensa para crescer e alcançar o objetivo, comum a todos, de ajudar a zelar pela privacidade e proteção dos dados dos cidadãos do país. Se você também tem algum conteúdo recente - ou mesmo exclusivo - autoral ou autorizado relacionado à LGPD, e que seja de interesse público, clique aqui e veja como contribuir.