Da LGPD às ISOs: o mapa do compliance para segurança e privacidade no digital

A Política de Conformidade, também chamada de compliance, é o esforço que toda empresa, pública ou privada, realiza para adequar seus procedimentos às normas específicas de cada setor.

Naturalmente, há normas gerais, como as tributárias e trabalhistas, e há normas mais específicas, relacionadas às atividades especializadas de cada área. Assim, todas as empresas necessitam de compliance de forma transparente e clara para seus colaboradores, clientes e prestadores de serviços.

Ocorre que, em um mundo no qual as relações passaram a ser intermediadas por plataformas digitais — que hoje auxiliam e ampliam praticamente todas as atividades empresariais —, o esforço de compliance também se intensificou, pois passou a exigir atenção proporcional ao alcance dessas plataformas.

Cabe lembrar aos desatentos que, quando falamos em norma, não nos referimos apenas a leis, portarias e resoluções advindas do Estado, mas também a normas técnicas e de qualidade, como as ISO (da Organização Internacional para Padronização).

Para exemplificar, no universo digital da privacidade e da proteção de dados pessoais, além das normas legais — como a Lei Geral de Proteção de Dados (LGPD) e o Marco Civil da Internet —, temos também a família de normas técnicas, como as ISO 27001, 27002, 27005, 27017 e 27018:

ISO/IEC 27001 – Sistema de Gestão de Segurança da Informação (SGSI)

Define requisitos para estabelecer, implementar, manter e melhorar um SGSI.

É a norma mais conhecida em segurança da informação.

ISO/IEC 27002 – Código de práticas para controles de segurança da informação

Complementa a ISO 27001 com orientações práticas para a implementação de controles de segurança.

ISO/IEC 27005 – Gestão de riscos de segurança da informação

Trata da identificação, avaliação e tratamento de riscos relacionados à segurança da informação.

ISO/IEC 27017 – Boas práticas para segurança da informação na nuvem

Voltada a ambientes de computação em nuvem.

ISO/IEC 27018 – Proteção de dados pessoais na nuvem

Orienta provedores de serviços de nuvem sobre como proteger dados pessoais.

Portanto, adequar uma empresa a um campo normativo específico exige especialidade e compreensão dos processos e das arquiteturas inerentes àquele compliance. Assim, para adequar uma empresa ao compliance trabalhista, será necessário contratar um advogado especialista em regulamentação trabalhista; para proteção e governança de dados pessoais e empresariais, será necessário um especialista nessa área.

Com isso, compreendemos que cada segmento especializado de uma empresa deve se preocupar com as normas que lhe são próprias.

Porém, o maior desafio em tempos de adequação às normas — isto é, na implementação de um programa de compliance — é a capacidade das empresas de aderir ao programa, que, quando finalizado, será consolidado na Política de Conformidade.

Nesse caminho, surge outro elemento importante, ligado ao trabalho de consultoria: a capacidade de liderar mudanças e promover comunicação eficiente entre todos os atores envolvidos no programa. Isso significa ter habilidade de comunicação, poder de convencimento, liderança de pessoas e, sobretudo, competência para diagnosticar a necessidade real da empresa em cada processo de adequação.

Aqui cabe uma história inusitada. Em uma consultoria realizada em uma empresa que tratava dados sensíveis, chegamos ao processo de descarte — um ponto ao qual poucos dão atenção, mas que pode gerar vazamentos significativos. Para minha surpresa, a empresa literalmente queimava os impressos sem uso, com dados pessoais, na churrasqueira localizada ao fundo do prédio. Ou seja, usava a tecnologia “fogo” para descartar dados pessoais sensíveis impressos. Vi aquilo e aprovei: processo simples, eficiente e que inviabiliza qualquer vazamento. Isso mostra que nem sempre precisamos de soluções sofisticadas para atender a uma norma: às vezes, o método mais simples é o mais seguro.

Talvez esse seja um dos maiores desafios de quem atua com compliance: aproveitar a cultura da empresa e implementar normas legais e técnicas com o mínimo esforço possível, reduzindo impactos culturais e comportamentais dentro da instituição.

É importante destacar, também, que boa parte da população já começa a compreender a relevância do compliance, especialmente quando lemos notícias recentes em que a quebra do Banco Master evidenciou problemas de compliance interno e de órgãos de fiscalização. Foram diversas notícias alertando para falhas de conformidade, o que indica que a imprensa e o público vêm internalizando o conceito e passando a cobrar sua implementação e respeito.

Portanto, caros leitores, compliance se aplica a tudo. E vale lembrar que uma das primeiras “compliances” de convivência do mundo judaico-cristão são os Dez Mandamentos, que, ainda hoje, mostram eficácia quando pensamos em normas éticas de comportamento social.

Diante de tantas transformações no comportamento humano, impulsionadas pela enorme quantidade de informações, canais de entrega e reprodução em massa, vivemos uma era em que o compliance, em todas as suas dimensões, tende a ser um pilar de segurança para uma sociedade virtuosa. Afinal, toda norma, quando traz em seu conteúdo um propósito de proteção, segurança e benefício social, tende a produzir um bem maior para a coletividade.

Por fim, podemos compreender o compliance como uma “boa burocracia”, pois, em última análise, ele busca proteger processos empresariais contra riscos judiciais e extrajudiciais, além de alinhar equipes às boas práticas do dia a dia.

Cumpre destacar que muitas empresas, em seus processos especializados, criam normas técnicas e de processo, compliances internos únicos, sem perceber e raramente documentam esses procedimentos amadurecidos no cotidiano em normas e documentos internos. Com isso, perdem parte relevante de seu conhecimento corporativo quando um colaborador experiente é desligado ou se aposenta.

Já vi empresas perderem qualidade e relevância justamente por não documentarem o conhecimento de seus colaboradores mais criativos em documentos próprios, nem utilizarem metodologias de gestão do conhecimento. Assim, junto com o colaborador, vai o know-how da empresa e parte do seu patrimônio intangível.

Em contextos mais industrializados e tecnológicos, a política de gestão do conhecimento e, por consequência, de patentes, é fator determinante para criação e preservação de modelos inovadores.

No Brasil, porém, ainda é limitada a cultura de registrar o conhecimento das equipes e pessoas em nome da empresa; resultando em perda de receita pela perda de conhecimento e de potencial de patente de propriedade intelectual.

Para concluir, desenvolver uma cultura de políticas de conformidade (compliance) traz inúmeros benefícios, não apenas para a adequação às normas legais e técnicas, mas também para a proteção e a documentação de segredos industriais, digitais e comerciais exclusivos da empresa, através de documentações e patentes, que, muitas vezes, constituem seus ativos de maior valor.