AULA 5

COMPLIANCE DIGITAL E
GOVERNANÇA CORPORATIVA

Prof. Felipe Santos Ribas

INTRODUÇÃO

A Lei n. 13.709 de 2018, denominada Lei Geral de Proteção de Dados

Pessoais (LGPD), que entrou em vigor no ano de 2020, é um tema de grande
relevância no Brasil, uma vez que vem acompanhado de preocupações ao redor
de adaptações das empresas que realizam tratamento de dados pessoais para
fins comerciais.
Devido às interconexões entre o Compliance e a Governança Corporativa,
será exposto como funciona a gestão de riscos de um programa efetivo de
Compliance Digital, procurando abordar questões práticas ligadas ao risco do
tratamento de dados pessoais, desde a coleta até a sua eliminação.

TEMA 1 – A RELAÇÃO ENTRE O COMPLIANCE E A PROTEÇÃO DE DADOS

PESSOAIS

Com a entrada em vigor da Lei n. 13.709, de 14 agosto de 2018, as

organizações se viram obrigadas a estruturar um programa de tratamento de
dados pessoais, com plano de gerenciamento de dados que possua regras de
boas práticas, mitigação de riscos das informações e normas de segurança
integrados a um programa de Compliance.
O Compliance relaciona-se com o cumprimento de leis e normas, mas
também corresponde aos esforços com intuito de fazer com que as empresas e
seus membros adotem comportamentos desejáveis e éticos (Carvalho et al.,
2019). Portanto, “estar em compliance” é estar em conformidade com o
ordenamento jurídico, é estar em conformidade com a Lei Geral de Proteção de
Dados Pessoais (LGPD).
Além dos prejuízos financeiros decorrentes das sanções administrativas
(ex: multas elevadas) e dos processos de indenizatórios, o descumprimento da
LGPD pode trazer riscos reputacionais para a organização que, ao fim e ao cabo,
terão reflexos patrimoniais.
De acordo com a Febraban, oito em cada dez empresas do país não estão
preparadas para cumprir com os requisitos da referida lei, o que causa grande
preocupação para os negócios, uma vez que as organizações podem perder a
sua credibilidade, somar prejuízos e consequentemente ter dificuldades de se
manter no mercado.
Alguns dos desafios para atender aos requisitos da lei são (Noomisblog,
2
2019):

• Custos e restrições orçamentárias;

• A criação de uma metodologia eficiente de gestão de riscos;
• A falta de integração entre as áreas de riscos, controles, compliance e
auditoria interna;
• A falta de prioridade da administração;
• A cultura da organização.

Compreende-se o compliance de dados pessoais como um sistema, um

processo para disciplinar as empresas que façam tratamento de dados a atuar
com ética e em conformidade com os limites legais, preservando a privacidade
dos cidadãos. Diante disso, as empresas possuem a responsabilidade de auferir
as informações recebidas exclusivamente para o seu objetivo singular e preservar
tão somente o necessário (razoável) para a prestação do serviço, por exemplo: a)
uma clínica odontológica, ao fazer o cadastro de um novo cliente/paciente, não
precisa conhecer a orientação sexual dele; b) uma operadora de telefonia celular,
ao celebrar a contratação de um serviço, não precisa saber ou exigir que o seu
cliente informe a cor da sua pele.
Como alguns dados podem ser repassados para terceiros, para fins
diversos que vão além de um marketing invasivo, a LGPD preocupa-se com o
grau de honestidade das organizações que recebem, cadastram e tratam dados
pessoais.
Luciana Bacci (2019), ao comentar a Lei Geral de Proteção de Dados
Pessoais, explica que:

O crescente uso e valor comercial dos dados pessoais sensíveis, seu

compartilhamento entre jurisdições legais e o aumento da complexidade
nos sistemas de informação e comunicação são fatores que podem
dificultar os processos das empresas na hora de garantir a privacidade
e alcançar a conformidade com as várias leis aplicáveis.
[...]
Neste sentido, a proteção de dados pessoais pode ser entendida como
o aspecto dos sistemas de tecnologia da informação e comunicação que
está relacionado com a habilidade de um indivíduo ter ciência e, em
alguns casos, controle sobre quais dados em um sistema
computadorizado são utilizados ou mesmo compartilhados com
terceiros.
Quando o assunto é proteção de dados pessoais, temos que reforçar
quem são os principais atores da privacidade: o titular do dado pessoal,
o controlador do dado pessoal e o operador do dado pessoal.

Com efeito, hoje vivemos na sociedade da informação e num contexto de

virtualização da informação. Antigamente, o acúmulo, a preservação e o

3
tratamento da informação aconteciam em meios físicos, materiais, como por
exemplo um caderno, um livro, um ficheiro etc. Hoje, os dados estão quase que
exclusivamente em meio digital, armazenado em computadores. Esse cenário cria
um leque de oportunidades para o armazenador de informações, que pode
realizar negócios com os dados pessoais de terceiros. É por isso que se diz que
hoje vivemos na era da informação e sob o manto da economia da informação.
Mas como dito acima, essas possibilidades também trazem malefícios para
os titulares dos dados, que têm a sua privacidade invadida e, em alguns casos, a
segurança comprometida. Aqui está o racional da LGPD ao impor uma série de
limites para as empresas e organizações (públicas e privadas) que fazem
tratamento de dados.
Além disso, segundo Bacci (2019), “o titular do dado pessoal deve conhecer
e exercer os seus direitos garantidos por lei aplicável com ênfase na consciência
ao fornecer seus dados pessoais a controladores e/ou operadores com diligência”.
Nesse sentido, deve haver transparência por parte do administrador dos dados e
liberdade de decisão por parte do titular. É dever do controlador possuir
“mecanismos para identificar, avaliar e mitigar os riscos associados à privacidade
do titular do dado pessoal, implementando controles que os protejam e assegurem
que o tratamento se dará em conformidade com a lei” (Bacci, 2019).
A existência de um canal de denúncias é um dos pilares fundamentais em
um programa de Compliance, pois este abrange o descumprimento de leis e
regras de condutas das organizações. Mas trata-se de um instrumento que
também pode auxiliar no tratamento de dados, como bem elucida Isabel Franco
(2019, p. 339):

Diante dos diferentes formatos para um canal de denúncias, diversas

serão, também, as abordagens dadas ao tratamento de dados e as
responsabilidades dos agentes envolvidos. Quando uma empresa
recebe as denúncias dentro de sua própria estrutura, por mecanismos
próprios, agirá como controladora (aquela a quem, nos termos do art. 5º,
VI, da LGPD, competem as decisões referentes ao tratamento dos
dados). Caso o processo de coleta das denúncias ocorra por intermédio
de uma consultoria externa, que trata os dados em nome da empresa,
estaremos diante de uma operadora. Neste ponto, importante consignar
que a LGPD estabelece que controladores e operadores serão
obrigados a reparar danos causados em razão da atividade de
tratamento, e que a responsabilidade será solidária não apenas quando
houver o descumprimento das obrigações da legislação de proteção de
dados, mas, também, quando o operador não seguir as instruções
determinadas pelo controlador. É dizer: caso a consultoria externa opte
por não seguir as recomendações dadas pela corporação no tocante à
implantação do canal de denúncias e a seu formato de operação, e em
se verificando um incidente de segurança oriundo daquele
descumprimento, a consultoria externa poderá ser responsabilizada.

4
 Além disso, as investigações corporativas dentro de um programa de
Compliance também devem estar alinhados às balizas e valores da LGPD, para
que os dados coletados nas organizações cumpram sua finalidade e sejam
mantidos em sigilos.
Dessa forma, em consonância com a Lei Geral de Proteção de Dados
Pessoais, toda empresa deve considerar as consequências e o riscos de uma má
proteção de dados, bem como da harmonização de procedimentos e políticas de
Compliance com base em avaliações transparentes e eficazes para garantir
confiança entre as partes.
Assim, o programa de Compliance e a LGPD são institutos comunicantes
e que merecem uma especial atenção da administração das organizações, pois
eles podem mitigar riscos financeiros, reputacionais e até mesmo criminais.

TEMA 2 – GESTÃO DE RISCOS: ABORDAGEM CONCEITUAL

Ao versar sobre riscos, estamos diante de variáveis que, para a atividade

empresarial, denotam de compreensão na gestão de negócios, para que as
empresas se mantenham no mercado. A competição é um exemplo de variável
que deve ser considerada. O ambiente público também não está imune a riscos.
Não é incomum vermos servidores e gestores públicos serem condenados por
ações de improbidade, ressarcimento de danos e até mesmo em processos
criminais.
Por isso, o planejamento é o momento em que se deve antecipar os riscos,
bem como estabelecer objetivos mensuráveis como também prazos e ações
definidos, para a estratégia que irão orientar a gestão de negócios.
Nesse sentido, Neves e Figueiroa, citados por Carvalho et al. (2018)
elucidam acerca da gestão de riscos que:

Como se sabe, toda empresa, associação, entidade, fundação, enfim,

toda organização é criada para atingir os objetivos estabelecidos em
seus atos constitutivos e que vão sendo aprimorados paulatinamente
junto ao desenvolvimento de suas atividades. Para alcançá-los de forma
mais eficiente, são feitos planejamentos mais simples ou mais
complexos, a depender da natureza da própria entidade.

Ainda, o mapeamento de riscos (risk assessment) é instrumento que auxilia

na tomada de decisão e em estratégias do negócio, com o objetivo de construir
um modelo pautado por balizas objetivas, que combinado com os programas de

5
Compliance, compreende a mitigação de riscos no negócio, resultando em
qualidade no tocante à finalidade e aos objetivos empresariais.
Fernando Borges Mânica (2017), ao tratar da avaliação de riscos, explica
que:

Deve dar-se de forma ampla, englobando todos os impactos negativos

vinculados à área de atuação e escalonando, objetivamente, prioridades
para, a partir destas, elencar condutas interventivas continuadas. É a
partir do sopesamento dos riscos inerentes à atividade exercida e da
definição de metas a serem alcançadas que o código de conduta e os
valores institucionais serão institucionalizados.

Assim, é comum que as atividades empresariais, aqui incluindo o

tratamento de dados, estejam evoluindo e se tornando cada vez mais complexas,
por vezes internacionalizadas, de modo que a implementação de programas de
compliance e mitigação de riscos tornam-se imprescindíveis.
Entretanto, esse gerenciamento de riscos deve ser feito de maneira
atrelada a um programa de integridade que, a rigor, é até mais amplo que a ideia
isolada de compliance. Embora os termos compliance (conformidade) e
integridade sejam tratados por alguns como sinônimos, aquele está contido neste.
De acordo com o Decreto n. 8.420/2015, que regulamenta a Lei n.
12.846/2013 (Lei Anticorrupção), o programa de integridade:

Consiste, no âmbito de uma pessoa jurídica, no conjunto de mecanismos

e procedimentos internos de integridade, auditoria e incentivo à denúncia
de irregularidades e na aplicação efetiva de códigos de ética e de
conduta, políticas e diretrizes com objetivo de detectar e sanar desvios,
fraudes, irregularidades e atos ilícitos praticados contra a administração
pública, nacional ou estrangeira.

Mas um dos principais instrumentos do programa de integridade é

justamente o gerenciamento de riscos, ou seja, a gestão de qualquer evento
(oportunidade ou ameaça) que possa ter impacto no cumprimento dos objetivos
da organização. E não são apenas riscos financeiros; sim, riscos reputacionais,
ambientais ou sociais também devem ser gerenciados. Por exemplo, uma startup
sofre um ataque hacker que expõe dezenas de milhares de dados dos seus
clientes.
De um modo geral, o gerenciamento de riscos é um processo que
compreende a identificação, avaliação e tratamento ou aceitação do risco pela alta
administração da organização. Com efeito, há alguns riscos que não podem ser
completamente isolados, exigindo que os administradores, em consonância com
o seu “apetite de risco”, decidam se vão aceitar ou não conviver com o evento.

6
TEMA 3 – MODELO COSO DE GERENCIAMENTO DE RISCOS CORPORATIVOS

O Committee of Sponsoring Organizations of the Treadway Commission

(COSO) possui projetos que buscam avaliar e melhorar o gerenciamento de riscos
nas empresas. A COSO é uma organização privada norte-americana, sem fins
lucrativos, que tem a finalidade estruturar métodos para prevenir fraudes internas.
Foi criada em 1985 como National Commission on Fraudulent Financial Reporting
(Comissão Nacional sobre Fraudes em Relatórios Financeiros) nos EUA, para
estudar fraudes contábeis, e somente na década de 90 se tornou a COSO.
Segundo a COSO (2013):

Ao avaliar riscos, a administração considera o composto dos futuros

eventos em potencial pertinentes à organização e às suas atividades no
contexto das questões que dão forma ao perfil de riscos, como tamanho
da organização, complexidade das operações e grau de regulamentação
de suas atividades.
Ao avaliar riscos, a administração leva em consideração eventos
previstos e imprevistos. Muitos eventos são rotineiros e recorrentes e já
foram abordados nos programas de gestão e orçamentos operacionais,
enquanto que outros são imprevistos. A administração avalia os riscos
em potencial de eventos imprevistos e, caso ainda não tenha feito essa
avaliação, até os previstos que podem causar um impacto significativo
na organização.
Embora o termo “avaliação de riscos” tenha sido usado em conexão com
uma atividade realizada, uma única vez, no contexto de “avaliação de
riscos corporativos”, o componente de “avaliação de riscos” é uma
interação contínua e repetida das ações que ocorrem em toda a
organização.

O modelo COSO sugere uma estrutura integrada de controles internos,

segregada em 8 componentes e 4 objetivos de controle, representada por um
Cubo, que ilustra todas as dimensões do controle.
Há uma interconexão entre os componentes e objetivos corporativos. Para
que a alta administração possa tomar decisões sobre questões que apresentem
elevados riscos, é preciso que o gerenciamento de riscos seja eficaz e que todos
esses elementos tenham sido profundamente avaliados pela área de gestão de
riscos.

TEMA 4 – PRINCIPAIS RISCOS CORPORATIVOS

A gestão de riscos não é gratuita. Tanto para o processamento e o

armazenamento de informações como para a estruturação de equipes
multidisciplinares, para analisar as informações corporativas e aprimorar e revisar

7
os programas de forma eficaz, evoluindo com o tempo, são necessários
investimentos. Mas é um custo positivo, pois serve para atenuar prejuízos.
Edmo Colnaghi Neves e Caio Cesar Figueiroa (citados por Carvalho et al.)
argumentam que a área de gestão de riscos pode surgir por solicitação do
conselho de administração, o mais comum, mas também como iniciativa de outros
departamentos, como o financeiro, por exemplo. A implementação da gestão de
riscos se dá de forma progressiva, com o empoderamento da área e o desenho
do processo.
Muitas empresas, após implementar a área de gestão de riscos, criam um
comitê executivo que fará os reportes junto à alta administração, que tem a palavra
final sobre os assuntos levados para deliberação. Nesse sentido, é bastante
comum que os administradores solicitem medidas complementares ao simples
tratamento do risco. Por exemplo: se a área de riscos identificar possíveis
prejuízos decorrentes de fraudes contratuais internas, os administradores podem
solicitar que a auditoria instaure uma investigação interna.
É preciso destacar, finalmente, que grande parte dos riscos são comuns
para qualquer empresa comercial, senão vejamos:

• Riscos operacionais: Risco de terceirização de serviços; Risco de

conformidade (fraude, desvio de dinheiro, descumprimento de regras e
protocolos internos etc.); Risco de mudança no ambiente tecnológico ou de
sistema; Risco de informação (falta) e de segurança da informação
(sigilo/restrição); Risco contratual ou de contencioso (judicialização de
demandas, ex.: trabalhistas, indenizatórias etc.); Risco de falha humana ou
de indisponibilidade de pessoal especializado;
• Riscos Financeiros: Risco de crédito e Risco de Liquidez (fluxo de caixa);
• Riscos Estratégicos: Risco regulatório; Risco de imagem ou
reputacionais;

Os litígios judiciais estão cada vez mais presentes na área corporativa,

sendo que as pessoas estão gradativamente mais conscientes da invasão da sua
privacidade e intimidade, o que exige uma cautela por parte das empresas que
fazem tratamento de dados.
Dessa forma, como cada organização possui várias áreas, a gestão de
riscos deve se comunicar com as demais áreas das empresas, para que todas
caminhem juntas com a mesma finalidade, planejamento e objetivo, fazendo

8
assim com que haja redução de custos, melhorias de qualidade na gestão das
empresas e incontáveis benefícios.
Para finalizar, cabe esclarecer que um programa de integridade existe
também para proteger a empresa e os funcionários de eventos imprevisíveis. A
aplicação eficaz de compliance pode evitar que as pessoas se envolvam em
condutas ilícitas e, na mesma medida, um tratamento sério de riscos, com
processos e metodologias bem definidas, pode mitigar riscos para essas pessoas.
Dessa forma, empregar um programa de integridade, com uma boa gestão
de riscos, é aspecto crucial para as organizações asseverarem lisura e segurança
nas relações com os clientes.

TEMA 5 – METODOLOGIA DE AVALIAÇÃO DE RISCOS

Tem-se que medidas exigentes e rigorosas não são, por si sós,

apropriadas, mas sim a padronização faz com que se busque melhores resultados
e melhor aproveitamento nas organizações, o que diminui os custos das
operações, bem como resulta em eficácia do controle dos riscos, evitando que
tanto os profissionais quanto os clientes não pratiquem ilícitos, que podem trazer
sérias consequências como o comprometimento de licença profissional ou até
mesmo responder processos administrativos e judiciais.
Edmo Colnaghi Neves e Caio Cesar Figueiroa (citados por Carvalho et
al.) assim ensinam:

Diante destas preocupações, já há diversas regras internacionais –

como o próprio FCPA e o UK Bribery Act – fixando regras para auditoria
de clientes que deverão ser previamente operacionalizadas à execução
dos serviços. Dentre elas, pode-se destacar a identificação completa do
cliente e dos serviços prestados, tudo com o objetivo de prevenir a
lavagem de dinheiro. A nova proposta do risk based approach, portanto,
aprimora as principais regulamentações internacionais observadas a
partir da ideia de ganhos de efetividade durante a gestão e controle de
riscos.

Ao identificar os riscos, estes são decorrentes de descumprimentos de

políticas de Compliance, regulamentos, leis e código de condutas, em que os
canais de denúncias são um dos mecanismos de prevenção, por meio do quais
tanto os funcionários quanto os clientes podem se valer dessa ferramenta.
Quando as empresas se valem de programas de Compliance, inúmeras
são as formas de mitigar possíveis riscos, como relatórios periódicos na empresa,
responsabilização, relatórios de processos judiciais, equipes multidisciplinares
para análise de informações, entre outras, que vão depender de cada empresa.
9
 O Committee of Sponsoring Organizations of the Treadway
Commission (COSO) apresenta alguns métodos para a avaliação de riscos, veja-
se:

A metodologia de avaliação de riscos de uma organização inclui uma

combinação de técnicas qualitativas e quantitativas. Geralmente, a
administração emprega técnicas qualitativas de avaliação se os riscos
não se prestam a quantificação, ou se não há dados em quantidade
suficiente para a realização das avaliações quantitativas, ou, ainda, se a
relação custo-benefício para obtenção e análise de dados não for viável.
Tipicamente, as técnicas quantitativas emprestam maior precisão e são
utilizadas em atividades mais complexas e sofisticadas para
suplementar as técnicas qualitativas. As técnicas quantitativas de
avaliação geralmente requerem mais esforço e rigor, muitas vezes
utilizando modelos matemáticos não triviais. As técnicas quantitativas
dependem sobremaneira da qualidade dos dados e das premissas
adotadas e são mais relevantes para exposições que apresentem um
histórico conhecido, uma freqüência de sua variabilidade e permitam
uma previsão confiável. (2013)

Dessa forma, para se ter uma gestão de riscos efetiva, necessária se faz
uma governança eficaz para prevenir as atividades de gestão de riscos, uma vez
que estas se complementam. Portanto, a gestão de riscos manifesta-se como um
plano para dirimir ilegalidades e conflitos que possam existir nas organizações.
Na prática, o gestor de riscos primeiramente identifica o evento incerto que,
se ocorrer, pode provocar um impacto negativo à empresa. Aproveitando a
oportunidade, deve-se destacar, também, que a situação incerta pode trazer um
impacto positivo para a organização, como, por exemplo, quando se está diante
de uma fusão com outra empresa.
Na sequência, esse risco deve ser tratado e monitorado. O gestor deve
sempre se esforçar para que os impactos negativos nunca ocorram e, por outro
lado, para que os impactos se realizem o quanto antes. Se conseguir atingir esses
objetivos, o gestor consegue proteger a empresa ou projeto, gerar valor para a
empresa ou projeto e facilitar a tomada de decisões pela alta administração.

CONCLUSÃO

Os padrões para a efetivação do Compliance consistem em valores,

culturas e em hábitos cotidianos, os quais serão viabilizados por meio da formação
de um programa efetivo, em que a meta é tolher atos ilícitos e corruptivos
preventivamente.
É fundamental a implementação de um programa de integridade, que crie
mecanismos de prevenção para um melhor desempenho das organizações,

10
evitando riscos de negócios e mecanismos para o fortalecimento desse sistema.
E, por óbvio, é essencial o comprometimento da alta gestão nas organizações
para que os empregados entendam a importância da proteção dos dados para a
organização como um todo.
Conquanto o Brasil possua diversas normas que cuidam parcialmente do
tema, a LGPD é a primeira lei federal inerente a proteção de dados pessoais. Os
administradores não estavam adaptados a trabalhar com esse tema. Por esse
motivo é que se deve construir uma cultura e difundir as boas práticas para que a
lei seja determinante. Toda a organização precisa ser treinada.
O controle de dados pessoais deve ser efetuado pelas organizações com
o escopo de preservar a privacidade de cada indivíduo, pois eventuais falhas na
garantia desses dados podem fomentar graves consequências financeiras e de
imagem para as empresas. Por conseguinte, um robusto programa de Compliance
Digital, com uma boa gestão de riscos, pode ser decisivo para a perenidade das
corporações.

11
REFERÊNCIAS

84% das Empresas não estão Prontas para Proteger Dados Pessoais.
Noomisblog, 25 nov. 2019. Disponível em:
<https://noomis.febraban.org.br/especialista/noomisblog/84-das-empresas-nao-
estao-prontas-para-proteger-dados-pessoais>. Acesso em: 29 jun. 2021.

BRASIL. Decreto n. 8.420, de 18 de março de 2015. Diário Oficial da União,

Brasília, DF, 19 mar. 2051.

BACCI, L. Boas práticas de proteção de dados pessoais e o pratique ou explique.

IBGC, 25 set. 2019. Disponível em: <https://www.ibgc.org.br/blog/artigo-luciana-
bacci> Acesso em: 29 jun. 2021.

COSO. Releases Internal Control – Integrated Framework (2013). Disponível

em: <https://assets.kpmg/content/dam/kpmg/pdf/2016/05/2750-New-COSO-
2013-Framework-WHITEPAPER-V4.pdf> Acesso em: 29 jun. 2021.

FRANCO, I. Guia Prático de Compliance. Rio de Janeiro: Editora Forense, 2019.

MÂNICA, F. Prestação de serviços de assistência à saúde pelos municípios.

Belo Horizonte: Editora Fórum, 2017.

MENDES, L. S. Privacidade, proteção de dados e defesa do consumidor. São

Paulo: Editora Saraiva, 2014.

NEVES, E. C.; FIGUEIROA, C. C. In: CARVALHO, A. C. et al. (Coord.). Manual

de Compliance. São Paulo: Editora Forense, 2018. p. 20-34.

PINHEIRO, P. P. Proteção de Dados Pessoais: Comentários à Lei n.

13.709/2018 (LGPD). São Paulo: Editora Saraiva, 2018

SCHREIBER, A. Direitos da personalidade. São Paulo: Editora Atlas, 2011.

12