Pesquisar
cadastre-se

|

assine

|

UMA EMPRESA DO GRUPO
UMA EMPRESA DO GRUPO
Pesquisar
Close this search box.
GDPR terá impactos sobre auditorias brasileiras
Nova regulação europeia para proteção de dados exige importantes adaptações
GDPR, GDPR terá impactos sobre auditorias brasileiras, Capital Aberto

Nancy Bittar*/ Ilustração: Julia Padula

Numa era de big data e internet das coisas, proteger dados pessoais por meio de controles de segurança e do incentivo a uma consciência legal representa um desafio crescente. Nesse cenário, a coleta de dados pode significar tanto um valor quanto um risco. Diz a Constituição Federal brasileira que a privacidade e a proteção de dados são direitos fundamentais. O Código Civil, o Código de Defesa do Consumidor e a Lei da Internet completam o rol dos estatutos mais proeminentes a reger a questão no País. A tão aguardada aprovação do anteprojeto de lei de proteção de dados pessoais, debatido no Congresso há pelo menos oito anos, enfim dá fortes sinais de que o tema recebe a merecida importância — ganhou o aval dos deputados e da Comissão de Assuntos Econômicos do Senado, seguiu para apreciação do plenário do Senado em regime de urgência e pode ser votado ainda neste início de julho. A mudança é impulsionada pela nova regra europeia de proteção de dados, a GDPR (General Data Protection Regulation), que se tornou efetiva no último mês de maio.

A GDPR prevê novas obrigações para as empresas que coletam ou processam dados pessoais, estejam ou não sediadas em território europeu. Fica proibida a transferência de dados entre sociedades europeias e estrangeiras, salvo se atendidas condições da nova regulamentação. O alcance internacional foi uma das diretrizes fundamentais para a elaboração da lei europeia.

Para os auditores internos, o tema proteção de dados pessoais deve ser incorporado ao cotidiano — e com grandes chances de entrar no planejamento anual, dado o aumento dos riscos a ele relacionados. Se a empresa auditada estiver no escopo da GDPR, tem-se um caráter de urgência. Mas, independentemente do tipo de negócio sob auditoria, sempre haverá dados pessoais em posse da empresa, clientes sedentos por privacidade e ameaça de vazamento de dados, que tem consequências às vezes tão impactantes que se tornam imensuráveis.

A auditoria deve deixar o cliente ciente de que, dentro ou fora da Europa, pode estar sujeito a multa que pode atingir 4% do volume de negócios global anual da empresa ou 20 milhões de euros, o que for maior. Assim, cabem dicas práticas, como verificar se o negócio auditado está sob as regras da GDPR (talvez com ajuda jurídica especializada) e analisar o compliance sob a luz dos itens mandatórios e recomendáveis das legislações local e internacional.

Se a operação estiver sujeita à nova lei europeia, um data protection officer (DPO) deve estar nomeado no Brasil, para ser o contato da auditoria interna para muitas questões. Além disso, é necessário que a empresa tenha um procedimento para regrar princípios básicos de dados pessoais: proporcionalidade, finalidade, transparência, necessidade, qualidade de dados, confidencialidade e segurança. Todos devem ser explorados e permeados na rotina da empresa. Vale lembrar que dados secretos — como os relacionados a saúde, a biometria e a menores de idade — requerem proteção extra.

O privacy impact assessment (PIA), ferramenta aplicável em qualquer organização, permite identificação, análise e mitigação dos riscos de privacidade em processos, políticas e até mesmo em novos projetos. Esse certamente é um instrumento que os auditores devem conhecer. Pode ser o caminho para identificação de pontos críticos dentro da empresa, por mostrar que além das áreas típicas de folha de pagamento e pós-vendas, novos processos, como o marketing digital, requerem um novo olhar sob a perspectiva de proteção de dados. É também recomendável a criação de canal para que os empregados esclareçam dúvidas e informem tratamentos indevidos ou vazamentos.

Mesmo para quem estiver fora do alcance da GDPR, um alerta: o Ministério Público está cada vez mais atuante. Muitos escândalos de tratamento indevido de dados pessoais já são destaques na mídia, e as empresas que não investirem em medidas de controle não devem ter suas punições atenuadas. Ainda cabe lembrar que existe a expectativa de que a lei nacional de proteção de dados passe a vigorar já em 2020, com exigências, princípios e sanções semelhantes às da GDPR. O novo contexto demanda investimentos em controles e capacitação de profissionais, que devem ser acompanhados de perto pelos departamentos de auditoria interna.

*Nancy Bittar ([email protected]) é presidente do comitê de ética do Instituto dos Auditores Internos do Brasil e data protection officer da Volkswagen no País

Leia também

Facebook e GDPR inflamam debate sobre privacidade de dados

O impacto da GDPR nas empresas

Ressaca de dados e o relógio do juízo final


Para continuar lendo, cadastre-se!
E ganhe acesso gratuito
a 3 conteúdos mensalmente.

Quero me cadastrar!

Ou assine a partir de R$ 34,40/mês!
Você terá acesso permanente
e ilimitado ao portal, além de descontos
especiais em cursos e webinars.

Quero conhecer os planos
Você está lendo {{count_online}} de {{limit_online}} matérias gratuitas por mês

Você atingiu o limite de {{limit_online}} matérias gratuitas por mês.

Faça agora uma assinatura e tenha acesso ao melhor conteúdo sobre mercado de capitais

Quero conhecer os planos

Ja é assinante? Clique aqui

Acompanhe a newsletter

Leia também

mais
conteúdos

Cadastre-se
assine
Minha conta

Siga-nos

Twitter Facebook-f Youtube Instagram Linkedin Rss

APROVEITE!

Adquira a Assinatura Superior por apenas R$ 0,90 no primeiro mês e tenha acesso ilimitado aos conteúdos no portal e no App.

Use o cupom 90centavos no carrinho.

A partir do 2º mês a parcela será de R$ 48,00.
Você pode cancelar a sua assinatura a qualquer momento.

quero assinar