ARTIGO
ARTIGO
44
45
Nova lei europeia de proteção
de dados terá reflexos em
auditorias brasileiras
V
entos europeus foram bem recebidos em Brasília.
Bastou o parlamento do velho continente efetivar
o novo regulamento europeu de proteção de da-
dos - General Data Protection Regulation (GDPR) - no úl-
timomês demaio - para que o CongressoNacional resol-
vesse destravar as discussões que já duravam oito anos,
sobre a criação do projeto de lei de Proteção de Dados
Pessoais no Brasil. O Senado acaba de aprovar o texto
final e a expectativa é de que o presidenteMichel Temer
sancione a lei nos próximos dias.
Segundo a Constituição Federal brasileira, a privacidade
e a proteção de dados são consideradas como direitos
fundamentais de todos. Ocódigocivil brasileiro, ocódigo
de proteção ao consumidor e a lei da Internet também
são estatutos considerados mais proeminentes, que re-
gemo tratamento de dados pessoais no Brasil.
Éurgenteadefiniçãodeparâmetrosqueregulemotema.
Vivemos na era do Big Data, da Internet das Coisas e do avanço da tecnologia que permite que
os dados sejam coletados e tratados em uma escala sem precedentes, proteger os dados pes-
soais adotando controles de segurança e incentivando uma consciência legal é uma questão
cada vezmais desafiadora. A coleta de dados pode significar tanto umvalor, como um risco.
Mas alémde teremque cumprir as exigências e normativas da futura lei brasileira, as empresas
precisarão estar adequadas aos parâmetros da GDPR europeia que prevê novas obrigações às
companhias que coletamou processamdados pessoais, estejamou não em território europeu.
Fica proibida a transferência de dados entre sociedades europeias e estrangeiras, salvo se aten-
didas condições da nova regulamentação. O alcance internacional das regras de proteção de
dados pessoais foi uma das diretrizes fundamentais na elaboração da lei europeia.
O tema proteção de dados sempre foi sensível a auditores internos, mas agora deverá entrar
no planejamento anual das auditorias, devido ao inerente aumento dos riscos. Caso a empresa
auditada se enquadre no escopo da GDPR, o tema sugere caráter de urgência. Contudo, inde-
pendentemente do tipo de negócio que estivermos auditando, sempre haverá dados pessoais
em posse da empresa, clientes sedentos de privacidade e a ameaça de um vazamento
de dados que traz tanto consequências financeiras como danos de imagem às vezes tão
impactantes que se tornam imensuráveis.
Caso ainda precise de argumentos para convencer o auditado ou seus stakeholders da impor-
tânciado tema,mantenha-os cientesdequepenalidadesdemultapoderãoser aplicadasdevido
a GDPR, esteja o infrator dentro ou fora do território europeu e podem chegar a 4% do volume
de negócios anual mundial da empresa ou 20milhões de euros, o que for maior.
Algumas dicas práticas para quem esteja auditando o tema pela primeira vez são primeiro ve-
rificar se o negócio auditado está dentro do escopo da GDPR. Na dúvida, vale buscar ajuda de
especialistas jurídicos. Uma análise de compliance com os itens mandatórios e recomendáveis
da legislação local e internacional é fundamental.
Se a operação estiver sujeita a nova lei europeia, um Data Protection Officer (DPO) deve
estar nomeado no Brasil e ser o contato da auditoria interna para muitas questões. Além
disso é necessário que a empresa tenha um procedimento para regrar princípios básicos
de dados pessoais: proporcionalidade, finalidade, transparência, necessidade, qualidade
de dados, confidencialidade e segurança. Todos devem ser explorados e permeados na
cultura do dia-a-dia da empresa.
A classificação de dados e aplicação de controles proporcionais é um grande e valioso desafio.
A anonimização dos dados deve fazer parte de toda essa rotina. Uma cultura de proteção de
dados requer tempo e comprometimento, portanto, campanhas de conscientização e treina-
mentos são fundamentais.
Vale lembrar que dados secretos, como de saúde, biometria, bem como dados de menores de
idade requeremproteção extra.
Os auditores certamente devem possuir conhecimento do PIA – Privacy Impact Assessment,
ferramenta aplicável emqualquer organização, que permite a identificação, análise emitigação
dos riscos de privacidade em processos, políticas e até mesmo em novos projetos. Pode ser
o caminho para identificação de pontos críticos dentro da empresa pois mostra que além das
áreas típicas de folha de pagamento e pós-vendas, novos processos como o marketing digital
requeremumnovo olhar sob a perspectiva de proteção de dados.
Por fim, é recomendável algum canal para que os empregados possam esclarecer dúvidas e in-
formar tratamentos indevidos ou vazamentos.
Independente de estar no alcance ou não da GDPR, cabe notar que o Ministério Público está
cada vez mais atuante. Diversos escândalos de tratamento indevido de dados pessoais já são
destaques namídia nacional e as empresas que não investirememmedidas de controle de pro-
teção não deverão ter suas penalidades atenuadas. Além disso, a expectativa é de que até o
final deste ano a Lei de Proteção de Dados seja aprovada e passe a ter efeito em2020. Suas exi-
gências, princípios e sansões tendem a ser muito semelhantes com as da GDPR e demandarão
investimentos em controles e capacitação de profissionais – que devem ser acompanhados de
perto pelos departamentos de auditoria interna.
Por Nancy Bittar é presidente do Comitê
de Ética do Instituto dos Auditores
Internos do Brasil - IIA