Atualmente, todas as empresas estão, em maior ou menor nível, na internet. Seja por meio de sites, portais, marketplaces ou aplicativos, a presença digital traz riscos, tanto legais quanto de segurança da informação. Por isso, o compliance digital é fundamental.
Diz-se compliance a conformidade legal e governança de uma determinada empresa. No âmbito digital, isso se traduz com a elaboração e implementação de políticas, processos e procedimentos capazes de mitigar riscos no ambiente digital e minimizar os impactos de eventuais incidentes relacionados à tecnologia da informação.
Aqui estão os principais pontos a serem considerados quando falamos de compliance digital:
1. Proteção de Dados Pessoais:
É fundamental que a empresa esteja adequada à Lei Geral de Proteção de Dados (LGPD) e, quando aplicável, ao Regulamentação Geral de Proteção de Dados da União Europeia (GDPR). A adequação se dá através de mudanças no modo como os negócios são conduzidos, e essas mudanças incluem uma extensa documentação obrigatória. Desde políticas de privacidade e termos de uso até políticas setoriais e diretrizes contratuais, o compliance em proteção de dados pessoais é uma necessidade indispensável para todas as empresas
2. Segurança da Informação:
O compliance em Segurança Cibernética demanda a documentação das medidas para proteger os dados contra ameaças, como o funcionamento dos firewalls, as medidas de criptografia aplicadas na empresa e sistemas de detecção de intrusões.
Importante também, o desenvolvimento de planos para o contingenciamento de situações adversas, notadamente o plano de resposta a incidentes, que visa determinar os papéis, responsabilidade e ações necessárias para enfrentar rapidamente violações de segurança.
3. Governança de TI:
A governança de TI visa estabelecer controles para garantir que sistemas de TI estejam em conformidade com as políticas corporativas e as regulamentações aplicáveis. Esta faceta do compliance também deve estabelecer as regras e periodicidade das auditorias e do monitoramento dos sistemas de Tecnologia da Informação.
4. Conformidade Legal e Regulatória:
A conformidade legal e regulatória vem buscar a adequação documental dos serviços das empresas às regulações setoriais e específicas à sua atividade. Legislações como aquelas oriundas do BACEN, SUSEP, IBAMA e outras são verificadas e as atividades adequadas neste momento. Adicionalmente, é feita a verificação para que todos os contratos de licenças e permissões para uso dos mais diversos serviços estejam em conformidade.
5. Transparência e Ética:
O compliance digital engloba a existência de Códigos de Conduta e Ética, ainda que não obrigatoriamente requeridos por legislações setoriais. Devem ser objetos dos códigos de conduta as diretrizes de uso ético de tecnologias. No que toca à transparência das atividades, devem estar documentadas a capacitação quanto as melhores práticas de compliance digital e ética.
6. Gestão de Riscos:
O compliance digital deve contemplar as diretrizes para identificação e mitigação dos riscos decorrentes dos usos de tecnologias digitais, considerando a implementação de estratégia para a mitigação de riscos.
7. Governança de Dados:
A governança de dados visa garantir os aspectos fundamentais de confidencialidade, integridade e disponibilidade dos dados, considerando a aquisição, armazenamento, uso, compartilhamento e descarte desses dados, tudo executado conforme diretrizes estabelecidos pelo compliance.
8. Proteção de Propriedade Intelectual:
Diretrizes para a proteção de propriedade intelectual, tanto da empresa quando de terceiros, com a pormenorização das ferramentas e iniciativas necessárias para esta proteção. Inclui-se a definição de mecanismos para monitoração e resposta à possíveis infrações.
9. Conformidade com Normas Internacionais:
Normas internacionais, ainda que não tenham poder coercitivo, definem e demonstram a adoção das melhores práticas pela empresa. Podemos citar, entre elas a ISSO 27001, para adoção de gestão de segurança e NIST, diretrizes do National Institute of Standards and Technology (NIST) para a segurança cibernética.
10. Responsabilidade Social Corporativa:
Aplicação de diretrizes de ESG (meio-ambiente, social e governança), conjunto de padrões e boas práticas que visa definir se uma empresa é socialmente consciente, sustentável e corretamente gerenciada.
Implementar um programa robusto de compliance digital é essencial para minimizar riscos, proteger a reputação da empresa e garantir a confiança dos clientes e parceiros.
Por Thiago Bento dos Santos
Coordenador do Direito Digital