Numa era de big data e internet das coisas, proteger dados pessoais por meio de controles de segurança e do incentivo a uma consciência legal representa um desafio crescente. Nesse cenário, a coleta de dados pode significar tanto um valor quanto um risco. Diz a Constituição Federal brasileira que a privacidade e a proteção de dados são direitos fundamentais. O Código Civil, o Código de Defesa do Consumidor e a Lei da Internet completam o rol dos estatutos mais proeminentes a reger a questão no País. A tão aguardada aprovação do anteprojeto de lei de proteção de dados pessoais, debatido no Congresso há pelo menos oito anos, enfim dá fortes sinais de que o tema recebe a merecida importância — ganhou o aval dos deputados e da Comissão de Assuntos Econômicos do Senado, seguiu para apreciação do plenário do Senado em regime de urgência e pode ser votado ainda neste início de julho. A mudança é impulsionada pela nova regra europeia de proteção de dados, a GDPR (General Data Protection Regulation), que se tornou efetiva no último mês de maio.
A GDPR prevê novas obrigações para as empresas que coletam ou processam dados pessoais, estejam ou não sediadas em território europeu. Fica proibida a transferência de dados entre sociedades europeias e estrangeiras, salvo se atendidas condições da nova regulamentação. O alcance internacional foi uma das diretrizes fundamentais para a elaboração da lei europeia.
Para os auditores internos, o tema proteção de dados pessoais deve ser incorporado ao cotidiano — e com grandes chances de entrar no planejamento anual, dado o aumento dos riscos a ele relacionados. Se a empresa auditada estiver no escopo da GDPR, tem-se um caráter de urgência. Mas, independentemente do tipo de negócio sob auditoria, sempre haverá dados pessoais em posse da empresa, clientes sedentos por privacidade e ameaça de vazamento de dados, que tem consequências às vezes tão impactantes que se tornam imensuráveis.
A auditoria deve deixar o cliente ciente de que, dentro ou fora da Europa, pode estar sujeito a multa que pode atingir 4% do volume de negócios global anual da empresa ou 20 milhões de euros, o que for maior. Assim, cabem dicas práticas, como verificar se o negócio auditado está sob as regras da GDPR (talvez com ajuda jurídica especializada) e analisar o compliance sob a luz dos itens mandatórios e recomendáveis das legislações local e internacional.
Se a operação estiver sujeita à nova lei europeia, um data protection officer (DPO) deve estar nomeado no Brasil, para ser o contato da auditoria interna para muitas questões. Além disso, é necessário que a empresa tenha um procedimento para regrar princípios básicos de dados pessoais: proporcionalidade, finalidade, transparência, necessidade, qualidade de dados, confidencialidade e segurança. Todos devem ser explorados e permeados na rotina da empresa. Vale lembrar que dados secretos — como os relacionados a saúde, a biometria e a menores de idade — requerem proteção extra.
O privacy impact assessment (PIA), ferramenta aplicável em qualquer organização, permite identificação, análise e mitigação dos riscos de privacidade em processos, políticas e até mesmo em novos projetos. Esse certamente é um instrumento que os auditores devem conhecer. Pode ser o caminho para identificação de pontos críticos dentro da empresa, por mostrar que além das áreas típicas de folha de pagamento e pós-vendas, novos processos, como o marketing digital, requerem um novo olhar sob a perspectiva de proteção de dados. É também recomendável a criação de canal para que os empregados esclareçam dúvidas e informem tratamentos indevidos ou vazamentos.
Mesmo para quem estiver fora do alcance da GDPR, um alerta: o Ministério Público está cada vez mais atuante. Muitos escândalos de tratamento indevido de dados pessoais já são destaques na mídia, e as empresas que não investirem em medidas de controle não devem ter suas punições atenuadas. Ainda cabe lembrar que existe a expectativa de que a lei nacional de proteção de dados passe a vigorar já em 2020, com exigências, princípios e sanções semelhantes às da GDPR. O novo contexto demanda investimentos em controles e capacitação de profissionais, que devem ser acompanhados de perto pelos departamentos de auditoria interna.
*Nancy Bittar ([email protected]) é presidente do comitê de ética do Instituto dos Auditores Internos do Brasil e data protection officer da Volkswagen no País
Leia também
Facebook e GDPR inflamam debate sobre privacidade de dados
Para continuar lendo, cadastre-se!
E ganhe acesso gratuito
a 3 conteúdos mensalmente.
Ou assine a partir de R$ 34,40/mês!
Você terá acesso permanente
e ilimitado ao portal, além de descontos
especiais em cursos e webinars.
User Login!
Você atingiu o limite de {{limit_online}} matérias gratuitas por mês.
Faça agora uma assinatura e tenha acesso ao melhor conteúdo sobre mercado de capitais
Ja é assinante? Clique aqui