Segurança da Informação no ambiente corporativo – Parte II

Segurança da Informação no ambiente corporativo – Parte II

Compliance Digital

Na edição anterior, levantamos algumas questões acerca dos riscos a que todas as empresas estão sujeitas quando o assunto é segurança da informação. Vimos que o Brasil não ocupa uma posição invejável quando o assunto é origem e alvo de ciberataques, segundo os dados da Akamai e que, além das questões técnicas e de mercado, a segurança da informação ou a falta dela tem implicações legais.

Não por acaso, no último dia 17 de setembro durante o 4^o IT Conference promovido pela Visual Systems, discutimos todas as questões acima descritas no contexto do Compliance Digital como um enforcement na blindagem jurídica para as instituições.

Para alinhar nossa abordagem, retomaremos o tema, elucidando os principais pontos a serem considerados pelos gestores.

Conceitualmente, Compliance significa estar de acordo com leis e regulamentos internos e externos, o que por si só já demanda um grande esforço da empresa, a princípio para conhecer toda a legislação e normas de mercado que regem seu ramo de negócio, como também a necessidade de a própria empresa ter seus regulamentos, o que inclui todos os setores e colaboradores.

Em tempos, porém, de investigações criminais que envolvem políticos, obras públicas e a participação de executivos de diferentes áreas em acordos de propina, a discussão acerca dos programas de Compliance tornou-se ainda mais presente no ambiente corporativo.  Isto porque, neste ano tivemos a regulamentação da Lei da Ficha Limpa (Lei 12.846/2013) que dispõe sobre a responsabilidade objetiva administrativa e civil das pessoas jurídicas por meio do Decreto 8420/2015 que prevê o abatimento na multa de 20% de desconto no  aplicada às empresas que desrespeitarem a lei, mas que comprovarem possuírem e aplicarem os programas de integridade em suas instituições.

Até a Ordem dos Advogados do Brasil de São Paulo, dentro da campanha “Corrupção, não!”, apresentou recentemente um conjunto de propostas para a inclusão dos programas de Compliance em empresas públicas.

Como podemos notar o apelo pela implementação de tais programas é muito grande! Mas, por onde começar?

Sem dúvida, pela análise de risco, ou seja, na verificação dos pontos críticos que não estejam em conformidade com os programas ou legislações a que a empresa deve atender. Aqui, especificamente, fazemos uma ressalva para a legislação específica de Internet que vem regendo a conduta não só de usuários, como também de muitas empresas de TI, quais sejam: Marco Civil da Internet (Lei 12.965/2014), Lei Carolina Dieckman (Lei 12.737/2012), Código de Defesa do Consumidor para a Internet (Decreto 7962/2013).

Além das questões específicas de atendimento à legislação nacional e estrangeira que rege os negócios na Internet, ainda temos outro pilar fundamental nos programas de Compliance, a segurança da informação sobre a qual falamos mais detalhadamente no mês passado. Cabe ainda sobre este aspecto, uma observação sobre o ponto mais fraco na implementação  de toda e qualquer norma ou protocolo técnico que é o colaborador, pois os regulamentos direcionam, mas o treinamento ostensivo, repele!

Por fim,  entendemos como uma necessidade primordial a implementação de programas de Compliance que possam favorecer o melhor funcionamento da empresa interna e externamente, já que estes programas qualificam a instituição no mercado como mais sérias e confiáveis.  De forma que, mesmo a um custo, via de regra alto, esta implementação reflete num investimento para a sustentabilidade comercial de qualquer negócio, em especial aqueles que almejam sua ampliação, tanto no mercado nacional, quanto internacional.

Por derradeiro, cumpre salientar que em transações como as de fusões, incorporações e aquisições, a existência e cumprimento destes programas agregam valor ao negócio, como mostram os inúmeros parâmetros de avaliação das práticas de Due Diligence muito comuns neste tipo de processo.

Autoria: Dra. Adriana Cardoso de Moraes Cansian, especialista em Direito Digital