Nova lei europeia de proteção de dados terá reflexos em auditorias brasileiras

*Nancy Bittar

Ventos europeus foram bem recebidos em Brasília. Bastou o parlamento do velho continente efetivar o novo regulamento europeu de proteção de dados – General Data Protection Regulation (GDPR) – no último mês de maio – para que o Congresso Nacional resolvesse destravar as discussões que já duravam oito anos, sobre a criação do projeto de lei de Proteção de Dados Pessoais no Brasil. O Senado acaba de aprovar o texto final  e a expectativa é de que o presidente Michel Temer sancione a lei nos próximos dias.

Segundo a Constituição Federal brasileira, a privacidade e a proteção de dados são consideradas como direitos fundamentais de todos. O código civil brasileiro, o código de proteção ao consumidor e a lei da Internet também são estatutos considerados mais proeminentes, que regem o tratamento de dados pessoais no Brasil.

É urgente a definição de parâmetros que regulem o tema. Vivemos na era do Big Data, da Internet das Coisas e do avanço da tecnologia que permite que os dados sejam coletados e tratados em uma escala sem precedentes, proteger os dados pessoais adotando controles de segurança e incentivando uma consciência legal é uma questão cada vez mais desafiadora. A coleta de dados pode significar tanto um valor, como um risco.

Mas além de terem que cumprir as exigências e normativas da futura lei brasileira, as empresas precisarão estar adequadas aos parâmetros da GDPR europeia que prevê novas obrigações às companhias que coletam ou processam dados pessoais, estejam ou não em território europeu. Fica proibida a transferência de dados entre sociedades europeias e estrangeiras, salvo se atendidas condições da nova regulamentação. O alcance internacional das regras de proteção de dados pessoais foi uma das diretrizes fundamentais na elaboração da lei europeia.

O tema proteção de dados sempre foi sensível a auditores internos, mas agora deverá entrar no planejamento anual das auditorias, devido ao inerente aumento dos riscos. Caso a empresa auditada se enquadre no escopo da GDPR, o tema sugere caráter de urgência. Contudo, independentemente do tipo de negócio que estivermos auditando, sempre haverá dados pessoais em posse da empresa, clientes sedentos de privacidade e a ameaça de um vazamento de dados que traz tanto consequências financeiras como danos de imagem às vezes tão impactantes que se tornam imensuráveis.

Caso ainda precise de argumentos para convencer o auditado ou seus stakeholders da importância do tema, mantenha-os cientes de que penalidades de multa poderão ser aplicadas devido a GDPR, esteja o infrator dentro ou fora do território europeu e podem chegar a 4% do volume de negócios anual mundial da empresa ou 20 milhões de euros, o que for maior.

Algumas dicas práticas para quem esteja auditando o tema pela primeira vez são primeiro verificar se o negócio auditado está dentro do escopo da GDPR. Na dúvida, vale buscar ajuda de especialistas jurídicos. Uma análise de compliance com os itens mandatórios e recomendáveis da legislação local e internacional é fundamental.

Se a operação estiver sujeita a nova lei europeia, um Data Protection Officer (DPO) deve estar nomeado no Brasil e ser o contato da auditoria interna para muitas questões. Além disso é necessário que a empresa tenha um procedimento para regrar princípios básicos de dados pessoais: proporcionalidade, finalidade, transparência, necessidade, qualidade de dados, confidencialidade e segurança. Todos devem ser explorados e permeados na cultura do dia-a-dia da empresa.

A classificação de dados e aplicação de controles proporcionais é um grande e valioso desafio. A anonimização dos dados deve fazer parte de toda essa rotina. Uma cultura de proteção de dados requer tempo e comprometimento, portanto, campanhas de conscientização e treinamentos são fundamentais.

Nancy Bittar - IIA Brasil
Nancy Bittar destaca que os dados secretos, como de saúde, biometria, bem como dados de menores de idade requerem proteção extra

Os auditores certamente devem possuir conhecimento do PIA – Privacy Impact Assessment, ferramenta aplicável em qualquer organização, que permite a identificação, análise e mitigação dos riscos de privacidade em processos, políticas e até mesmo em novos projetos. Pode ser o caminho para identificação de pontos críticos dentro da empresa pois mostra que além das áreas típicas de folha de pagamento e pós-vendas, novos processos como o marketing digital requerem um novo olhar sob a perspectiva de proteção de dados.

Por fim, é recomendável algum canal para que os empregados possam esclarecer dúvidas e informar tratamentos indevidos ou vazamentos.

Independente de estar no alcance ou não da GDPR, cabe notar que o Ministério Público está cada vez mais atuante. Diversos escândalos de tratamento indevido de dados pessoais já são destaques na mídia nacional e as empresas que não investirem em medidas de controle de proteção não deverão ter suas penalidades atenuadas. Além disso, a expectativa é de que até o final deste ano a Lei de Proteção de Dados seja aprovada e passe a ter efeito em 2020. Suas exigências, princípios e sansões tendem a ser muito semelhantes com as da GDPR e demandarão investimentos em controles e capacitação de profissionais – que devem ser acompanhados de perto pelos departamentos de auditoria interna.

*Nancy Bittar é presidente do Comitê de Ética do Instituto dos Auditores Internos do  Brasil – IIA Brasil e Data Protection Officer (DPO) da Volkswagen do Brasil

Anúncios

“Alerta à sociedade”, por Wanderlei Pereira das Neves

Retirar o Imposto de Renda Retido na Fonte dos gastos com pessoal trará consequências para o Estado e consequentemente para a sociedade catarinense.

Na edição de hoje do jornal Diário Catarinense, o auditor interno Wanderlei Pereira das Neves fala da necessidade de debater os eventuais reflexos dessa decisão.

11052018 - DC- Artigo - Wanderlei

Ética é a alma de um auditor

*Por Fábio Pimpão

O combate à corrupção tem colocado a atuação de auditores no holofote da mídia. Um dos mais discretos trabalhos do mundo corporativo, tornou-se crucial para a sobrevivência de empresas públicas e privadas, figuras estratégicas para um país mais justo. O perfil ideal desses profissionais passou a ser questionado, com exigências cada vez maiores, impostas pela alta administração e por stakeholders, que buscam protagonistas munidos de absoluta ética e capacidade de antecipar os mais complexos desafios. Esses predicados, são hoje compulsórios.

O The IIA – The Institute of Internal Auditors – principal organismo da carreira no planeta, prega que o princípio básico do auditor é a ética. A entidade enfatiza em seu livro chamado de IPPF – que traz as normas internacionais da profissional – que aquele que não cumpre com os pilares éticos estabelecidos nessa publicação, não pode ser considerado um auditor.

Demanda-se um profundo conhecimento técnico, mas também é enorme a exigência por um auditor mais humano, capaz de lidar com coerência, com desafios de prazos apertados e recursos escassos. É preciso aprimorar habilidades de comunicação, de persuasão, de senso crítico e ter discernimento isento, ao tratar de questões estratégicas com o responsável por cada área.

Um profissional ético sabe que a necessidade de investir em certificações da carreira é eterna. São as atualizações que o tornará, competitivo, eficiente e apto a agregar valor aos stakeholders.

Mais que a análise contábil, o auditor moderno conhece o negócio da corporação em que atua, com extrema profundidade. No último levantamento sobre o perfil profissional, promovido pelo The IIA, com mais de 14 mil auditores espalhados no mundo, o fator que mais destoou na América Latina, das demais regiões foi justamente o conhecimento do negócio. Estamos 10% abaixo da Europa nesse quesito. Em contrapartida, quando falamos de persuasão e colaboração, estamos 25% acima da Ásia.

Decorrente do cenário político e económico brasileiro,quando olhamos as habilidades que um diretor de auditoria busca ao contratar, vemos elevada dissonância. Na América Latina, a procura por auditores com técnicas em prevenção a fraudes e investigação é 50% maior do que o resto do mundo. Um fator cultural triste.

Após a sanção da Lei Anticorrupção, cresceu a demanda por auditores expert em compliance. Não basta verificar se os números contábeisestão íntegros e se os riscos de negócio estão sendo devidamente mitigados, o auditor do futuro tem que estar preparado para o inesperado.

A pressão por trazer a notícia ruim antes que ela aconteça tem se tornado tônica na rotina de auditores. Ter habilidades em Data Analytics é hoje um diferencial na carreira, e em breve será exigência de mercado. Essa plataforma digital de auditoria, é parceira da ética, pois reduz as margens para desvios de conduta ao envolver menos ‘mãos’ nos processos.

De um profissional que apenas checava demonstrações financeiras, o auditor interno é hoje um dos responsáveis pelo sucesso ou falência de uma organização. O ganho de responsabilidade reflete a imagem de seu papel social. É preciso preparar-se para as evoluções técnicas, mas a integridade de suas ações é o valor que mais precisamos nos dias de hoje. OBrasil deve reduzir a corrupção corrosiva e o auditor é peça fundamental deauxílio nesse momento crítico em que vivemos.

Fábio Pimpão_Diretor de normas e certificações_IIA Brasil (2)
Foto: IIA-Brasil/Divulgação

*Fabio Pimpão é diretor do Instituto dos Auditores Internos do Brasil – IIA Brasil