A sigla GRC trata de uma integração entre gestão de governança, riscos e compliance. Essa designação serve para garantir a otimização dos controles e processos seguros nas normas de um setor em uma empresa, uma designação na qual é possível enquadrar a LGPD.
Aprendemos ainda no ensino médio que, quando se deseja aumentar a velocidade de uma reação química, é preciso utilizar-se de elementos catalisadores. Como exemplo temos o nosso organismo, a saliva e o suco gástrico são enzimas que exercem esta função aumentando a velocidade da nossa digestão.
Paralelamente, trazendo o conceito para o mundo jurídico, a Lei Geral de Proteção de Dados (Lei nº 13.708/19), mais conhecida como LGPD, se caracteriza como uma verdadeira enzima catalisadora da governança, da gestão de riscos e do compliance (GRC), acelerando a implantação de boas práticas nas organizações, sobretudo as empresariais.
A LGPD e o tratamento de dados pessoais dentro das empresas
Com o advento da LGPD, passou a existir, no Brasil, um remédio jurídico para assegurar às pessoas físicas meios para se exigir uma conduta responsável das organizações no que diz respeito ao trato de dados pessoais, principalmente os dados sensíveis. Essa legislação traz a previsão de sanções severas na hipótese de desobediência e inconformidades.
Em caso de descumprimento das obrigações previstas na Lei poderá ser aplicada multa simples ou diária, de até 2% do faturamento da empresa até o limite de R$ 50 milhões por infração. Além de advertência; publicização da infração; bloqueio dos dados pessoais; eliminação dos dados pessoais e suspensão parcial ou total do exercício de atividades relacionadas ao tratamento de dados, por até seis meses, prorrogável por igual período.
Tais obrigações envolvem o sigilo para com dados cadastrais básicos, como nome, endereço, telefone e identificação pública (CPF, identidade, estado civil etc.), bem como elementos biométricos, genéticos, econômicos, culturais, sociais, entre outros que venham a surgir. É determinado a guarda, rastreamento e exclusão, além do monitoramento de acesso para segurança jurídica da organização.
Para que as empresas estejam adequadas e em conformidade com a LGPD é necessário a revisão de hábitos, políticas e procedimentos internos, os quais precisarão ser periodicamente verificados ou auditados, a fim de evitar que possam ensejar descumprimentos e eventuais penalidades à organização.
Como enquadrar a GRC à LGPD?
A ideia principal do GRC é combinar diferentes frentes em uma única aplicação. Assim, a manutenção de diversos aspectos dentro de uma organização, a governança, gestão de riscos e compliance passam a ser feitas como uma única regra.
Essa aplicação como um conjunto de boas práticas que garantem a segurança, colabora com mais eficiência e diminuição de riscos. Dessa forma, as organizações são levadas a questionar como são governados os dados dentro das empresas.
Até mesmo, constrói-se o questionamento de como são gerenciadas as falhas dentro dos tratamentos de dados em que, o vazamento de dados é apenas uma delas.
Devido a isso, é construído uma relação de um sistema menos amplo (LGPD) com um sistema de regras de atuação e gerenciamento mais amplo (GRC). Tornando-se uma estratégia útil para as empresas que precisam se manter em conformidade com a legislação e com os clientes, ao enquadrar a GRC à LGPD.
Como cada organização deve tratar seus riscos e cumprir as normas da LGPD?
Enquadrar a GRC à LGPD deve considerar que em cada setor responsável por tratamento de dados é necessário a nomeação de um responsável pelo processo de gestão tecnológica. Ou seja, a partir da LGPD a organização deve se movimentar em busca de um alinhamento de responsabilidades jurídicas, além da busca pelo estabelecimento da cultura de proteção de dados, que se torna essencial.
O marketing é necessário, assim como a inclusão de cláusulas contratuais afirmando a adoção de tais práticas, mas não o suficiente. Em uma eventual autuação pelo órgão fiscalizador (ANPD), ou eventual notificação de esclarecimentos por um determinado cliente será necessário evidenciar a adequação em todas as suas esferas.
Além do mais, restando comprovado que foi divulgada uma atitude que na prática não é cumprida, este fato poderá ser utilizado como agravante de conduta e comprovação da negligência, imperícia ou imprudência na gestão de suas obrigações contratuais ou legais.
Diante deste cenário, algumas atitudes básicas são fundamentais para enquadrar GRC à LGPD com eficiência da execução, senão vejamos:
- Diagnóstico: a partir da compreensão da legislação, eleger os processos da organização que precisarão ser objeto de atenção e prioridade;
- Revisão de processos: a partir do diagnóstico, revisitar os fluxos de trabalho que precisarão de reformulação para que se possa buscar a conformidade com as exigências da lei na realidade prática;
- Capacitação e Treinamento: após serem definidos os novos procedimentos, é necessário o treinamento de todos envolvidos nos processos sensíveis de tratamento de dados, de modo a criar uma cultura de conformidade com a LGPD;
- Eleição ou contratação do DPO (Encarregado): essencial ao processo de monitoramento dos dados, será o líder interno responsável pelo programa e pela comunicação com cliente e com a ANPD se necessário;
- Tone from the top: o exemplo arrasta, então para que as coisas aconteçam de forma correta e ágil é preciso que os líderes sejam os primeiros a mostrar o caminho, determinando, defendendo e praticando o que está sendo divulgado internamente e ao mercado;
- Vivência e comunicação: Na sequência é hora da prática, prática e mais prática, gerando a experiência da implantação no caso concreto para a criação de um ciclo de melhoria contínua, sempre de forma transparente, comunicando os resultados, aprendendo com os erros, e em busca de evolução.
Assim, percebe-se que a LGPD trás um novo marco legal para as organizações. Trás a possibilidade de sensibilidade dos atores internos, os levando a naturalmente agirem em prol da adoção de procedimentos de governança, gestão de riscos e compliance (GRC), considerando os direitos individuais de cada um e os deveres enquanto agentes de tratamento de dados.
A LGPD se torna uma grande oportunidade para as empresas buscarem uma gestão mais ética e transparente, além da busca pela excelência e diferencial no mercado. E o exemplo dos líderes, se torna fundamental para criação de uma cultura organizacional e um ambiente propício à conformidade.
A equipe do Portugal Vilela – Direito de Negócios conta com um time de especialistas em Governança Corporativa, Compliance e LGPD. Em caso de dúvidas, estamos à disposição!
