Rodrigo Carril, fundador do Instituto Compliance Brasil, participou do evento “Privacy and Cyber Risks” que aconteceu durante dois dias em São Paulo na sede da Febraban
Além da sócia-fundadora do escritório especializado em Direito Digital, Dra. Patrícia Peck Pinheiro, o último dia do evento de dois dias contou com a presença do advogado belga Dr. Davide Parrilli, do escritório time.lex, Luciano Albertini, líder de Governance, Risk & Compliance da EY, João Paulo Fontes, GRC Business Development Senior Specialist da SAP e Rodrigo Carril, fundador do Instituto Compliance Brasil e Chief Compliance Officer da Softline Brasil.
“O Instituto Compliance Brasil é uma instituição sem fins lucrativos, pautada pela transparência e independência, orientada ao desenvolvimento do compliance. O instituto foi fundado em 2014, tem como objetivo propiciar a difusão de informações adequadas, didáticas e de fácil acesso a todos os setores da sociedade. Reunimos especialistas em compliance e promovemos eventos, debates e montamos grupos de estudos específicos. Nesse momento, nossas atenções se voltam para a GDPR – General Data Protection Regulation, uma regulação europeia que entra em vigor dia 25 de maio de 2018 e que foi bastante discutida durante esses dois dias do “Privacy and Cyber Risks”, esclarece Carril.
A regulamentação europeia se aplica a todos os países e a todos ramos de atividades econômicas e coloca lado a lado as engenharias legal e técnica demostrando de forma definitiva que o domínio das questões que envolvem tecnologia é fundamental para consultores e advogados que se dedicam ao compliance.
A GDPR funciona como um verdadeiro guarda-chuva de proteção dos dados pessoais que vai desde a captação de informações, fluxos, processamentos, arquivamento até o compartilhamento interno ou externo dos dados quer sejam dados de clientes, funcionários, fornecedores, colaboradores, acionistas etc..
Resumidamente, as empresas, estejam elas onde estiverem localizadas no planeta, deverão preservar as informações dos cidadãos europeus.
“Não atender as regras da GDPR significa pagar multas e deixar de participar de um mercado de 500 milhões de europeus, o que em termos de negócios é muito ruim para a maioria das empresas”, diz Carril.
Segundo ainda Carril, as empresas brasileiras não se dedicaram a GDPR como deveriam e estão atrasadas tanto no entendimento quanto na aplicação de governança corporativa. Poucos são os consultores e escritórios de advocacia que estudaram a questão em profundidade e estão aptos, respectivamente, a se adequar a regulação ou orientar clientes.
“O mercado brasileiro precisará de softwares para conciliar as diversas regulamentações e leis a que estão sujeitas, como por exemplo: a americana Sarbanes-Oxley, a europeia GDPR e as leis brasileiras que tratam da proteção de dados pessoais e privacidade de dados. Existem, além disso, regulamentos específicos dos diversos setores econômicos em que a empresa atua e fazer a gestão de todos os controles manualmente, por planilhas, é um trabalho absurdo e com grande probabilidade de erros”, esclarece Carril
Carril responde pela área de Compliance na América Latina da empresa russa, fundada em 1993, presente em 30 países. E, de olho em mercados emergentes de alto crescimento, a empresa Softline iniciou sua operação no Brasil, em 2014. Eles fazem assessoramento técnico, serviços de consultoria e suporte e fornecem soluções de fabricantes como Adobe, Microsoft, Symantec, Corel entre outros. Atuam fortemente na área de governança sendo praticamente uma das únicas empresas provedoras de soluções de TI do Brasil com Programa de Compliance certificado por auditoria independente (DSC 10.000 – EBANC).
Recentemente, a Softline fechou uma parceria com a AvePoint para distribuição do software Guardian Compliance. O Guardian Compliance é uma solução em software que monitora leis e regulamentações nacionais e internacionais que implicam diretamente na Governança Corporativa.
“ Esse software contem embedded as regras a serem seguidas das principais leis e regulamentos nacionais e internacionais e podem adicionar as regras específicas que estão sujeitas o seu negócio. Antes de adquirir a solução para tratamento dos dados, as empresas precisam fazem o dever de casa e entender o que a organização tem de informações, qual o tratamento que dará as informações internas e externas e definir os controles. Monitorar a boa governança é um trabalho constante e após a contratação do software as empresas percorrem essas etapas e completam o ciclo com reports de forma a avaliar se estão ou não em concordância com as regras”, alerta Carril.
O Guardian Compliance garante a segurança da informação em todo o Office 365 da Microsoft por meio de garantia da governança de dados, proteção de dados comerciais críticos, prevenção de violações de compliance e simplificação da descoberta e classificação de dados.
O Brasil já está trabalhando numa lei para se adequar a GDPR e não é de hoje que se discute a criação de uma lei geral de proteção de dados no Brasil, mas nunca o cenário para a sua aprovação foi tão favorável pois agora o pais precisa se adequar a GDPR para garantir os negócios com o mercado europeu.
Durante a abertura do evento na Febraban a Dra Patricia Peck chamou atenção para o desconhecimento de muitas empresas em como lidar com os dados, seja como proceder no armazenamento ou no tratamento das informações.
“A General Data Protection Regulation (GDPR) é apenas uma entre muitas regulamentações que vão existir para reger o uso dos dados. Em meio ao intenso volume das informações geradas nas operações realizadas pelas companhias, que não podem parar, é necessário o apoio de outra instituição para traçar a estratégia a fim de implementar métodos e procedimentos adequados para essa proteção.”
A advogada lembrou ainda que nesse modelo determinado pela GDRP é preciso designar alguém para responder pela gestão dos dados e que seja o responsável para tratar com as autoridades caso ocorra alguma infração ou incidente.
“Não dá mais para continuar com puxadinhos digitais, como quando vimos casos de vazamentos de dados que foram mantidos anos em segredo. Os bens de conhecimento estão nas grandes bases de dados e para esse tratamento é necessário transparência, e reter dados pessoais com a justificativa legal compatível e a anomização. É construir uma cultura de proteção para manter a valorização dos ativos intangíveis e das ações.”
Diante questionamentos sobre portabilidade dos dados, multas em casos de seguros e adequação de sistemas, os especialistas reafirmaram a importância de se manter compliant para evitar o impacto que incidentes causam à imagem e ao valuation das organizações.
“A reputação é fundamental para atuar no mercado, e vem da confiança que a marca passa. Existem duas formas para atingir a conformidade: ou pela obrigação legislativa ou pela urgência comercial”, concluiu Rodrigo Carril.