Este ano, a pesquisa Top Risks contou com a participação de 1.143 profissionais de gestão executiva, identificando suas percepções sobre o impacto desses riscos em suas organizações em 2024. Além desses insights sobre riscos de curto prazo em 2024, os entrevistados também deram suas opiniões sobre o impacto desses riscos daqui uma década, em 2034. No Brasil, 72 executivos foram consultados
Conheça quais riscos corporativos se destacam para executivos e C-Levels do Brasil e do mundo.
No cenário corporativo contemporâneo, empresas e organizações de todos os segmentos precisam navegar águas turbulentas e em constante movimento. Nesse contexto, quais os principais desafios e riscos observados pelos executivos? Para ajudar a identificar essas ameaças e permitir que as organizações se preparem para o futuro, a Protiviti e a ERM Iniciative realizaram a pesquisa Top Risks 2024, que identifica os principais riscos ao negócio na percepção de executivos e C-levels ao redor do mundo.
Este ano, a pesquisa Top Risks contou com a participação de 1.100 profissionais de gestão executiva. Isso permitiu identificar suas percepções sobre o impacto desses riscos em suas organizações em 2024. Além desses insights sobre riscos de curto prazo em 2024, os entrevistados também deram suas opiniões sobre o impacto desses riscos daqui uma década, em 2034.
A ICTS, holding de empresas de consultoria, tecnologia e serviços em gestão de riscos e compliance, e segurança conquistou pela sexta vez consecutiva o selo da edição 2022-2023 do Cadastro Pró-Ética. Promovida pela Controladoria Geral da União (CGU) e Instituto Ethos, iniciativa que visa reconhecer organizações que atuam com o mais alto nível de comprometimento com a ética, transparência e integridade nos negócios.
“Estamos muito honrados de, mais uma vez, termos sido reconhecidos pelo selo Pró-Ética, conquista ininterrupta desde 2015. Entendemos que como empresa líder no setor de ética corporativa, temos a obrigação e o compromisso com os mais altos padrões éticos e de integridade em todas as nossas operações”, disse Fernando Fleider, CEO da ICTS.
Na edição deste novo biênio, 84 empresas inscritas foram reconhecidas pela entidade. “Este reconhecimento reforça o compromisso que temos com nossos clientes, parceiros e colaboradores na promoção de um ambiente empresarial mais sustentável, incluso e confiável. O selo Pró-Ética é uma parte integral da nossa identidade corporativa, por meio da atuação de valores inegociáveis do nosso grupo”, completou Fleider.
Sobre a ICTS
No mercado desde 1997, a ICTS Participações é uma holding limitada de empresas pioneiras em soluções de prevenção de riscos, compliance e segurança no Brasil. O grupo é composto por empresas destacadas nestas áreas de atuação. São elas Protiviti, Aliant, ICTS Security e SafeCompany.
Sobre o Pró-Ética
Criada em 2010 pela Controladoria Geral da União (CGU), o Pró-Ética é uma iniciativa pioneira na América Latina que visa reconhecer publicamente empresas brasileiras e as multinacionais que atuam no país pelas ações de comprometimento com medidas de prevenção, detecção e remediação de atos de corrupção e fraude.
Com a LGPD (Lei Geral de Proteção de Dados), muitas ações passaram a ser necessárias para que empresas pudessem cumprir com essa nova regulamentação. Ferramentas como o framework “privacy by design” ganham espaço nesse contexto.
Dentro de um programa complexo para atender tanto a titulares de dados, demonstrar conformidade à ANPD (Autoridade Nacional de Proteção de Dados) e assegurar um “sono tranquilo” de acionista e executivos, as empresas adotaram práticas e realizaram investimentos substanciais para que a LGPD fosse cumprida dentro de seu ambiente de trabalho.
Entretanto, dada a necessidade de redução de custos e despesas, bem como a necessidade de priorização de atividades que gerassem receita para seus negócios, empresas optaram pela terceirização de muitas tarefas (em alguns casos quarteirização), o que limitou o controle sobre o que é feito com os dados pessoais de seus titulares e colocou em xeque os esforços e os investimentos para atender à Lei.
Essa limitação de controle, por vezes, aumenta consideravelmente os riscos relacionados à LGPD, obrigando as organizações a monitorar e avaliar possíveis impactos, tais como vazamento ou tratamento indevido de dados pessoais por seus terceiros contratados. Também é necessário implementar mecanismos de proteção e mitigação de riscos decorrentes dessa nova regulação.
Um dos controles mais eficazes na gestão de riscos relacionados à LGPD é o “Privacy by Design”, um framework que permite que a privacidade seja implementada desde o início do desenvolvimento de produtos, serviços, sistemas, aplicações ou processos envolvendo terceiros.
Um “Privacy by Design” bem implementado pode assegurar que a finalidade, a adequação e a necessidade, que são os princípios estabelecidos no artigo 6º da Lei, sejam cumpridos e reduzam o risco de tratamento indevido do dado de uma pessoa, bem como minimize impactos relacionados a vazamento.
Para que esse controle seja bem implementado é fundamental que a empresa coloque em prática as oito ações demonstradas abaixo.
Levantamento de terceiros que coletem, tratem e armazenem dados pessoais em nome da empresa contratante.
Avaliação de riscos de terceiros, entendendo possíveis ameaças à privacidade e à segurança dos dados, bem como fatores de compartilhamento, acesso a dados pessoais e controles de segurança existentes na empresa contratada.
Processo de seleção e homologação de terceiros considerando que os riscos de privacidade e de segurança dos dados estejam mitigados por meio de certificações, normativas de segurança, controles e políticas de privacidades e processo de armazenamento de logs e trilhas de auditorias em sistemas que armazenam e transacionam dados pessoais.
Cláusulas contratuais específicas de privacidade e segurança em contratos com terceiros, visando estabelecer requisitos de coleta, tratamento e armazenamento de dados pessoais mínimos necessários, bem como estabelecimento de responsabilidades das partes envolvidas e medidas a serem tomadas em caso de violação de dados.
Acesso mínimo e limitado de dados dos terceiros, bem como, um programa contínuo de redução de dados não essenciais para as finalidades existentes, sendo que apenas informações estritamente necessárias para realizar suas atividades serão tratados no período de vigência do contrato. Além disso, após a vigência ou extinção do contrato, medidas de anonimização devem ser tomadas pelo terceiro em relação aos dados da contratante.
Monitoramento contínuo e auditorias regulares para verificar se os terceiros estão cumprindo os requisitos contratuais e tratando exclusivamente o que é essencial e necessário para atingimento da finalidade contratada.
Treinamento e conscientização para os profissionais de terceiros que terão acesso aos dados pessoais da empresa entendam os riscos, as responsabilidades e os impactos relacionadas ao tratamento de dados.
Revisão e avaliação contínua dos elementos de dados coletados sempre que houver alteração no processo de tratamento pelo terceiro contratado, objetivando sempre a coleta do mínimo necessário.
Ao adotar práticas de Privacy by Design na contratação e relação com terceiros, as empresas podem reduzir significativamente os riscos associados ao compartilhamento de dados com entidades externas, assegurando a privacidade e a segurança dos dados de seus clientes e profissionais. Além disso, isso contribuirá para a construção de uma reputação sólida e responsável em relação aos direitos exigidos pela LGPD.
A gestão eficaz da cadeia de suprimentos tornou-se uma prioridade fundamental para empresas em todo o mundo. Uma parte essencial desse processo é a diligência de fornecedores. Trata-se de uma avaliação rigorosa por meio de análises de Due Diligence, um conjunto de procedimentos e avaliações realizadas para garantir que os fornecedores atendam a critérios de qualidade, ética e conformidade.
Considerando um cenário em que a qualidade dos produtos e serviços fornecidos é fator determinante para a satisfação do cliente, o processo de diligência ajuda a verificar se os fornecedores possuem os padrões necessários para atender às demandas da empresa.
Essa avaliação é essencial para identificar e mitigar riscos potenciais, como interrupções de fornecimento, baixa qualidade ou práticas antiéticas que podem afetar, na esfera reputacional, a integridade do contratante. Desta forma, a verificação da conformidade dos diligenciados com regulamentações e a própria legislação é crucial para evitar problemas legais e garantir que a empresa não seja cúmplice de procedimentos ilegais.
Ao conduzir a análise de Due Diligence, as organizações podem ter conhecimentos sobre os padrões éticos e de integridade de seus fornecedores, e, ao entender que eles não cumprem com sua própria cultura e valores, é possível evitar a perda de confiança por parte dos clientes e stakeholders, bem como repercussões negativas à reputação. Para chegar a tal eficiência, uma diligência de fornecedores deve minimamente cobrir:
Análise de documentos: inclui a revisão de documentos legais, licenças, certificações e outros registros para verificar a legitimidade e a conformidade do fornecedor.
Auditorias de qualidade: visa avaliar operações, qualidade de produtos, processos de fabricação e conformidade com normas específicas.
Análise de riscos: busca identificar os riscos potenciais associados ao fornecedor, como irregularidades fiscais, trabalhistas, financeiras, ambientais, regulatórias, processuais e de conformidade.
Avaliação ética e de sustentabilidade: tem como foco avaliar as práticas éticas e de sustentabilidade do fornecedor, incluindo políticas de trabalho justo, direitos humanos e responsabilidade ambiental.
Análise reputacional: envolve a coleta, o monitoramento e a análise de informações provenientes de várias fontes, como mídias sociais, notícias, pesquisas, avaliações on-line e outras formas de feedback público.
O processo de diligência é uma ferramenta eficaz para identificar proativamente os riscos potenciais, como problemas financeiros ou práticas antiéticas, visando medidas preventivas para tornar uma cadeia de suprimentos mais resiliente e preparada para enfrentar desafios imprevistos.
Outro aspecto importante é a conformidade regulatória e legal. A avaliação dos fornecedores quanto à conformidade com regulamentações é uma forma de evitar questões legais, garantindo que a empresa não apenas cumpra com suas obrigações, mas também evite envolvimento em atividades ilegais que possam prejudicar sua reputação.
A devida diligência contribui para a integridade e a ética dos negócios. Ao avaliar as práticas éticas, sociais e de sustentabilidade dos fornecedores, as empresas podem garantir que estejam associadas a parceiros que compartilham valores semelhantes, buscando construir e manter uma imagem de marca positiva e responsável, atraindo clientes e demais relacionamentos comerciais que se alinhem com esses princípios.
Investir tempo e recursos na seleção de fornecedores confiáveis não é apenas uma estratégia de negócios inteligente, mas também um passo importante em direção a uma cadeia de suprimentos responsável e eficiente.
*Marina Mello é consultora de Compliance da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.
Pentest e Red Teaming são duas práticas essenciais de cibersegurança que fortalecem a postura de uma organização ao descobrir vulnerabilidades em seus sistemas, redes, pessoas ou processos de negócios. Essas metodologias possuem objetivos, escopos, abordagens e tecnologias distintas. Entenda algumas dessas diferenças a seguir.
O pentest é um ataque simulado direcionado a um sistema ou rede específicos, com o objetivo de descobrir e relatar vulnerabilidades suscetíveis à exploração. Esse tipo de teste é projetado para avaliar controles primários, como gerenciamento de patches e vulnerabilidades, configuração e fortalecimento do sistema, criptografia, segurança de aplicativos, segmentação de rede, gerenciamento de acesso privilegiado e aplicação de políticas de segurança. O escopo desse engajamento é definido, e o custo varia com base na extensão e profundidade da avaliação.
Por outro lado, o red teaming oferece uma avaliação direcionada da postura de segurança de uma organização. Muitas vezes, concentra-se na capacidade de uma ameaça obter acesso não intencional, juntamente com testes de controles detectivos e preventivos.
Controles detectivos vs. controles preventivos
Controles detectivos incluem sistemas de detecção de intrusões (IDS), resposta a incidentes em endpoints (EDR), sistemas de gerenciamento de informações e eventos de segurança (SIEM), análise de logs e detecção de anomalias. Já os controles preventivos envolvem firewalls, listas de controle de acesso, sistemas de prevenção de intrusões (IPS), autenticação multifator (MFA) e segmentação de rede. O objetivo é identificar e explorar vulnerabilidades de maneira semelhante a um atacante real. Ao mesmo tempo, o teste avalia a capacidade da organização de detectar e prevenir ataques. O red teaming é um exercício baseado em objetivos destinado a simular ameaças do mundo real que visam uma organização.
Esses objetivos normalmente incluem a comprometimento do ambiente interno a partir de uma perspectiva externa, acesso a sistemas sensíveis ou interrupção de processos de negócios. Os caminhos de ataque ou metodologias do atacante nos exercícios de red teaming ajudam a avaliar a resiliência de uma organização contra vários atores de ameaças, incluindo estados-nação, crimes organizados e ameaças internas. Essa abordagem exige testadores altamente qualificados, que devem trabalhar de maneira lenta, deliberada e silenciosa para evitar detecção, o que pode resultar em um custo mais alto em comparação com os pentests. A complexidade e sofisticação do exercício, a necessidade de extensa pesquisa e reconhecimento, e a exigência de um maior nível de coordenação entre testadores e a organização são alguns dos fatores que contribuem para o maior custo.
Como escolher entre pentest e red teaming?
As organizações devem basear sua decisão em seus objetivos específicos e tolerância a riscos.
Para o red teaming, em particular, as empresas devem adaptar o escopo e os objetivos para se concentrarem em áreas de riscos-chave.
Por exemplo, um sistema de saúde pode priorizar a proteção de registros médicos. Ao mesmo tempo, uma organização de P&D pode enfatizar a proteção da propriedade intelectual. Já organizações com processos de aquisição complexos podem concentrar-se nos dados financeiros.
Ou seja, ao alinhar a metodologia e áreas críticas, as organizações podem abordar efetivamente as vulnerabilidades potenciais e seu impacto na reputação, compliance e bem-estar financeiro.
Em termos de tecnologia, ambas as práticas empregam várias ferramentas e técnicas, como scanners automatizados de vulnerabilidades, utilitários de teste de penetração manual e scripts personalizados para avaliar redes e sistemas-alvo.
O red teaming visa simular ameaças do mundo real.
Todas as ferramentas e técnicas geralmente são consideradas dentro do escopo, mas podem não ser necessariamente usadas.
O red teaming também pode incorporar engenharia social e avaliações de segurança física para avaliar a conscientização dos funcionários e a aderência às políticas de segurança.
Cibersegurança: práticas essenciais
Pentest e red teaming são práticas cruciais que ajudam a identificar e abordar vulnerabilidades potenciais em sistemas, redes e processos das organizações.
Contratar especialistas externos e imparciais para essas avaliações pode oferecer novas perspectivas e identificar problemas que equipes internas podem ignorar. É crucial não apenas identificar vulnerabilidades, mas também priorizar a remediação e validação oportunas para fortalecer a postura de segurança geral da organização. Ao considerar as descobertas desenvolvidas como parte de um red team ou pentest, os líderes podem tomar decisões informadas para proteger os ativos da organização.
A ICTS, holding de empresas em soluções de prevenção de riscos, compliance e segurança, adquire a totalidade das operações da T4 Compliance, empresa especialista em soluções de governança, riscos, compliance e privacidade de dados.
Com a transação, a Protiviti, empresa da ICTS que atua como um braço de consultoria, auditoria e tecnologia, vai absorver a carteira de serviços de consultoria em GRC (Governança, Risco e Conformidade), investigações e privacidade de dados, se consolidando como a maior empresa de investigações corporativas do Brasil.
Já a Aliant, especializada em plataformas de Compliance e ESG e também pertencente à holding, incorpora a plataforma de due diligence e background check da T4, denominada C.Drive, se tornando a 3ª maior plataforma de diligência do mercado conjuntamente com sua liderança em canais de denúncias.
Com a aquisição, 100 clientes de médio e grande portes se somam à base da ICTS, aumentando sua carteira em 7%, além de ampliar a presença em algumas indústrias relevantes da economia brasileira, como a de energia e do setor financeiro.
Já os clientes da T4, com essa transação, passam a ter acesso a um portfólio mais amplo de soluções como cibersegurança, auditoria interna, gestão de riscos corporativos e continuidade de negócios, que são linhas de negócios pertencentes à Protiviti, assim como canais de denúncias, relato e acolhimento, promovidos pela Aliant, sem contar o acesso à rede global de escritórios da Protiviti Inc.
De acordo com Fernando Fleider, CEO da ICTS, o sócio fundador da T4 Compliance, Matheus Cunha, profissional com grande reconhecimento na área de compliance, transformou a empresa em referência no seu mercado pela excelência no atendimento e agilidade na entrega. Agora, esse trabalho bem-sucedido se soma à experiência da Protiviti, que assume o protagonismo no mercado de GRC.
“Esse é mais um passo na consolidação das nossas soluções de gestão de riscos, compliance e privacidade de dados. Adicionalmente, juntaremos à nossa equipe o conhecimento de profissionais seniores nas suas áreas de atuação”, finaliza Fleider.
Com a aproximação do último trimestre do ano, reuniões para definições orçamentárias começam a ocupar espaço na agenda. A avaliação de indicadores, a análise de faturamento e a prospecção de cenários serão cada vez mais frequentes até o final do ano. E, os setores que não fazem parte da atividade principal da companhia e nem são geradores de receita, precisam batalhar pelas suas fatias orçamentárias. Esse é o caso do setor de compliance.
Embora o Compliance seja essencial na prevenção de fraudes, na transformação cultural ética e na adequação normativa da empresa, a mudança de cenário econômico pode diminuir os recursos destinados à manutenção do setor.
Neste momento, é importante considerar diferentes caminhos para montar o orçamento e o planejamento, que pode passar por ganho de eficiência em tarefas frequentes, compartilhamento dos deveres de conformidade e diminuição da complexidade das atividades.
Ainda de acordo a pesquisa, o mercado apresenta um cenário em que mais de 60% dos setores dedicados ao Compliance são compostos por duas a cinco pessoas. Além dessa configuração enxuta, 72% dos profissionais respondentes não atuam unicamente com compliance e conjugam suas atividades com outras, como privacidade de dados (35%) ou auditoria interna (28%).
Dado à situação de “setores enxutos versus múltiplas demandas”, o ganho de eficiência em atividades de rotina é essencial. Segundo o mesmo estudo, o gerenciamento de canais de denúncia é a líder em frequência (92%), seguido por “conscientizar e buscar apoio da alta liderança da companhia” (87%) e “mapear, monitorar e mitigar os riscos de compliance” (79%).
Outro ponto importante é entender que, como a ética e a conformidade empresarial é um dever de todos, o orçamento não deveria ser somente da área de compliance. Um bom exemplo disso são os treinamentos e as comunicações dos setores de Recursos Humanos e Comunicação Interna, que normalmente possuem planos corporativos e poderiam prever ações de compliance em seus orçamentos. Para isso, é importante montar um bom plano em conjunto entre as áreas, alinhando cronogramas, recursos humanos e financeiros e infraestrutura disponível.
Ainda nesse sentido, de acordo com a pesquisa, os desafios mais complexos citados pelos gestores de compliance são: realizar o monitoramento de terceiros (77%) e inovar na forma de disseminar os conteúdos e os treinamentos de compliance (77%).
Dito isso, como conseguir o ganho de eficiência, o compartilhamento de deveres e a diminuição de complexidade? Os resultados do estudo mostraram que apenas 35% dos participantes trabalham em empresas que escolheram terceirizar atividades de Compliance. Destes, 76% citaram a melhoria na produtividade e na qualidade do serviço.
Ao adotar softwares com rápida curva de aprendizagem e que favoreçam a diminuição da complexidade de tarefas aliado à terceirização de atividades de rotina, os profissionais das enxutas estruturas de Compliance poderão focar seu tempo nas atividades estratégicas da área e nas tomadas de decisão relevantes.
Nesse sentido, as plataformas de canais de denúncia aliado a serviços de análise prévia dos casos podem ser aliados na captação de informações e na preparação das investigações. Desta forma, o compliance fica responsável por decidir se segue com a investigação e, se sim, já possui todos os elementos para isso. Já as plataformas de Due Diligence são excelentes para monitorar e mitigar riscos de terceiros e, atreladas a serviços de análise e atendimento de workflow, deixando para o compliance somente a responsabilidade por aprovar ou reprovar aqueles de alto risco.
A inovação também tem um papel fundamental nesta redução de custos e no planejamento orçamentário: a adoção de plataformas de treinamento mobile via WhatsApp, que aparecem como ponto de disrupção no mercado, é um ótimo exemplo de como alcançar estruturas pulverizadas.
Por fim, uma vertente pouco explorada pelos setores de Compliance é a contratação de relatórios que traçam panoramas evolutivos e comparativos com outras empresas do mesmo setor. O monitoramento de tendências, a identificação de pontos de melhoria e o benchmarking são essenciais para a apresentação de relatórios convincentes em reuniões do gênero.
O processo de fechamento orçamentário não é uma tarefa simples, muito menos rápida – o convencimento da alta administração na importância do compliance não é a parte mais complexa. O desafio é como demonstrar que algo que não traz retorno financeiro (direto) precisa ter um investimento. Neste momento, argumentos sólidos e planos consistentes são fundamentais à obtenção dos recursos necessários para a evolução da jornada do Compliance.
*Yaniv Chor é diretor de Education e Serviços Gerenciados na Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.
*Pedro César Sousa Oliveira é consultor em Pesquisa e Desenvolvimento da Aliant, empresa especializada em soluções para governança, compliance, ética, privacidade e ESG.
Assunto ainda relativamente recente no Brasil, a Privacidade de Dados é tópico de interesse para toda a sociedade. Nesse sentido, promover discussões e trocas de ideia entre o setor é indispensável para encontrar os melhores caminhos e práticas para garantir a proteção dos dados no Brasil. Para incentivar esse diálogo e trazer luz aos principais tópicos relacionados à privacidade de dados no Brasil, convidamos Waldemar Gonçalves, Diretor-Presidente da ANPD (Autoridade Nacional de Proteção de Dados) para uma entrevista exclusiva.
Nessa entrevista, abordamos tópicos que ainda geram dúvidas no mercado sobre o cumprimento das normas e o setor como um todo, além de buscar compreender os próximos passos da proteção e privacidade de dados no Brasil. Confira a seguir a íntegra.
[Protiviti] Em casos práticos, vemos profissionais dedicados à privacidade de dados no Brasil, à segurança da informação ou ao jurídico acumularem também a função de Encarregado. A ANPD entende que pode haver conflito de interesses a depender do cargo do Encarregado de Dados?
[ANPD – Waldemar Gonçalves] A ANPD ainda não estabeleceu normas complementares sobre as atribuições do encarregado, tema que será objeto de regulamentação, conforme previsto na Agenda Regulatória para o biênio 2023-2024.
Importante salientar que o agente de tratamento, ao indicar o encarregado, deve atentar para que este não esteja ocupando ou não passe a ocupar posição que acarrete conflito de interesses. Presume-se o conflito de interesses no acúmulo da função de encarregado com aquela em que haja responsabilidade pelas decisões referentes ao tratamento de dados pessoais.
O essencial é que o encarregado seja a pessoa responsável por ser o canal de comunicação entre a instituição/empresa na qual atua, os indivíduos e a Autoridade Nacional de Proteção de Dados. Além de ser responsável por conscientizar e orientar o controlador de dados pessoais e os funcionários sobre as boas práticas em proteção de dados pessoais.
O encarregado deve ser a figura que busca garantir uma comunicação adequada, para o atendimento aos direitos dos titulares, e que oriente sobre as práticas de governança de dados pessoais.
[Protiviti] Em paralelo com as regulamentações de privacidade de outros países, a Autoridade tem expectativas para uma atualização na LGPD incluindo a necessidade de o Controlador emitir declaração para comprovar que um direito requerido pelo titular foi atendido? Como, por exemplo, em casos de anonimização, bloqueio ou eliminação de dados?
[ANPD – Waldemar Gonçalves] A LGPD só pode ser modificada ou atualizada pelo legislador, cabendo à Autoridade Nacional de Proteção de Dados apenas a regulamentação dos ditames da lei. Nesse sentido, a ANPD acompanha a atividade parlamentar junto ao Congresso Nacional e procura apoiar decisões dentro dos limites da sua responsabilidade e competência.
A respeito da anonimização e pseudonimização, a Agenda Regulatória 2023-2024 prevê a elaboração de documento que visa orientar e esclarecer o uso dessas técnicas. Essa ação já foi iniciada e será concluída até 2024.
[Protiviti] A Coordenação-Geral de Fiscalização é responsável por analisar as petições dos titulares que possam conter denúncias de descumprimento da LGPD. Tendo em vista a possibilidade de receber diversas petições, a Coordenação prevê estabelecer critérios de priorização para iniciar uma investigação sobre um incidente envolvendo dados pessoais ou demais violações à lei?
[ANPD – Waldemar Gonçalves] Todo processo fiscalizatório realizado pela ANPD é precedido por um monitoramento preliminar. A partir das informações levantadas no monitoramento, a Autoridade decide se estabelece ou não um processo de fiscalização propriamente dito. Ou seja: a fiscalização acontece quando há subsídios para tal e a norma de fiscalização atualmenteestabelece critérios de priorização para a avaliação do tratamento de dados pessoaispelos agentes de tratamento. Além disso, a Agenda Regulatória 2023-2024 também prevê a normatização de critérios para a comunicação de incidentes de segurança envolvendo dados pessoais e o processo de fiscalização desses incidentes.
Recentemente, a ANPD encerrou Consulta Pública sobre a proposta de Regulamento de Comunicação de Incidente de Segurança com Dados Pessoais, que contou com 1.491 contribuições da sociedade.
Isso nos revela que os cidadãos estão preocupados com o tema e estão contribuindo com a ANPD para a elaboração de uma norma justa e democrática.
[Protiviti] No ano de 2021, a ANPD e a SENACON estabeleceram um Acordo de Cooperação Técnica com o objetivo de proteger os dados pessoais dos consumidores. Com base nisso, há planos para ampliar esses acordos de parceria, a fim de alcançar um entendimento padronizado sobre questões relacionadas à privacidade e proteção de dados pessoais em demais setores, como também evitar a duplicidade de esforços em termos de fiscalização?
[ANPD – Waldemar Gonçalves] Sim, queremos ampliar nossos acordos de cooperação. A Autoridade está em constante diálogo com outras instituições para aprimorar as suas próprias práticas e para melhor resguardar os direitos dos titulares de dados pessoais. Neste sentido, a ANPD possui sete Acordos de Cooperação Técnica e Convênios já estabelecidos e outros em fase de elaboração. A Autoridade se articula com as autoridades reguladoras públicas para exercer suas competências em setores específicos de atividades econômicas e governamentais sujeitas à regulação, conforme previsto na LGPD.
[Protiviti] Segundo dados divulgados pelo Instituto Brasileiro de Geografia e Estatística (IBGE), mais de 15% da população brasileira não utilizou a internet em 2021, meio imprescindível para inclusão social e conscientização da população. Os principais motivos apontados foram de ordem técnica (não saber usar a internet) ou econômica (serviço de acesso ou equipamentos eletrônicos considerados caros). Considerando que as vulnerabilidades sociais se somam ou são potencializadas pelas vulnerabilidades digitais, como a ANPD tem enfrentado o desafio de disseminar ações educativas a grupos mais vulneráveis quanto a temas como proteção de dados pessoais?
[ANPD – Waldemar Gonçalves] Esse é um dos maiores desafios que temos, além de o tema “Proteção de Dados Pessoais e Privacidade” ser algo novo, também necessita de amadurecimento e fomento para a formação de uma cultura de proteção de dados pessoais em nosso País.
Por isso, a ANPD atua fortemente na produção de Guias Orientativos para elucidar sobre os diversos assuntos que permeiam a proteção de dados pessoais. E com isso, estamos dispostos a encarar esses desafios e criar meios de consolidar essa cultura de proteção de dados pessoais no Brasil.
[Protiviti] O uso de inteligência artificial cada vez mais disseminado entre crianças e adolescentes como, por exemplo, assistentes virtuais, tem se demonstrado um grande desafio frente a vulnerabilidade inerente a esse público. Há expectativa da ANPD de uma atuação preventiva para proteção de dados pessoais de crianças e adolescentes no uso desse tipo de tecnologia?
[ANPD – Waldemar Gonçalves] A ANPD atua de forma responsiva, que engloba a prevenção, o monitoramento, a orientação e a sanção por descumprimento da LGPD.
Para todos os casos atuamos desta forma e já estamos avançando mais na fiscalização desde que o Regulamento de Dosimetria e Sanções Administrativas foi publicado.
Estamos atuando de forma preventiva em diversas áreas que envolvem a proteção de dados pessoais, independente da tecnologia utilizada, incluindo a proteção de dados pessoais de crianças e adolescentes, cabendo destacar que a Agenda Regulatória da ANPD também prevê a regulamentação deste tema.
[Protiviti] Quais são as expectativas da ANPD quanto ao uso do legítimo interesse como base legal para o tratamento de dados pessoais de crianças e adolescentes, e como a Autoridade planeja equilibrar os interesses das organizações e os direitos de privacidade dos menores nesse contexto?
[ANPD – Waldemar Gonçalves] A ANPD publicou em maio deste ano, o primeiro Enunciado que trata sobre as hipóteses legais que autorizam o tratamento de dados de crianças e adolescentes.
Este Enunciado representa uma primeira iniciativa da ANPD relacionada à proteção de dados pessoais de crianças e de adolescentes e fixa entendimento da Autoridade acerca das possibilidades interpretativas do artigo 14 da LGPD.
De acordo com o Enunciado, o tratamento de dados pessoais de crianças e adolescentes pode ser realizado com base nas hipóteses legais previstas na LGPD, como nos casos de consentimento fornecido pelo titular, de cumprimento de obrigação legal, de proteção à vida ou de atendimento a interesse legítimo do controlador. Em qualquer situação, o melhor interesse da criança e do adolescente deve prevalecer, exigindo avaliação cautelosa por parte do controlador.
Também, com relação ao tema, estamos trabalhando na elaboração de um Guia Orientativo sobre Legítimo Interesse, documento que trará orientações específicas para o tratamento de dados pessoais de crianças e adolescentes com base nessa hipótese legal, em conformidade com o princípio do melhor interesse.
[Protiviti] Como a ANPD espera superar o desafio de regular a transferência internacional de dados segura, sem impactar o desenvolvimento econômico e a inserção de empresas brasileiras no mercado global?
[ANPD – Waldemar Gonçalves] A regulamentação da proteção de dados de uma maneira geral impacta positivamente na inserção das empresas brasileiras no cenário global, aumentando sua competitividade. O estabelecimento de regras claras para proteção de dados pessoais aumenta a segurança jurídica, que, por sua vez, é requisito para o crescimento econômico do País.
A regulamentação das transferências internacionais é apenas uma das muitas dimensões da regulamentação da proteção de dados. Nesse aspecto, a ANPD tem procurado delinear regras mais convergentes possíveis com o que é feito no cenário internacional, de forma a garantir que as regras brasileiras sejam interoperáveis com os diversos sistemas de proteção de dados no mundo.
Além disso, está aberta para contribuições da sociedade consulta pública, que tem o intuito de receber subsídios da sociedade que são essenciais para o aprimoramento do Regulamento, a partir de contribuições valiosas por parte de variados segmentos da sociedade.
[Protiviti] Há previsão para acordos de cooperação entre países, em caso de necessidade de troca de informações entre autoridades, em situações, por exemplo, de incidentes envolvendo dados pessoais?
[ANPD – Waldemar Gonçalves] Sim. A ANPD está trabalhando para estabelecer uma rede de cooperação que possa viabilizar o enforcement extraterritorial da LGPD. A troca de informações entre autoridades é peça essencial nesse esforço. A Autoridade vem atuando junto a autoridades de outros países para o estabelecimento de alianças e troca de informações a respeito das transferências internacionais de dados pessoais.
Atualmente, temos um memorando de entendimentos com a Agência Espanhola de Proteção de Dados (AEPD) com intuito de garantir a colaboração entre os países e uma cooperação conjunta em matéria de proteção de dados pessoais e fornecer um quadro para a troca de conhecimentos técnicos e melhores práticas, a fim de fortalecer as capacidades técnicas de ambas as partes relacionadas à aplicação da lei sobre a proteção de dados pessoais.
[Protiviti] Qual é a responsabilidade do Encarregado pelo Tratamento de Dados Pessoais em caso de violação de dados pessoais? Haverá algum tipo de direito de regresso contra o Encarregado, em caso de responsabilização do controlador ou do operador?
[ANPD – Waldemar Gonçalves] A Lei Geral de Proteção de Dados Pessoais trata exclusivamente sobre o papel do Encarregado e todas as suas atividades estão elencadas em seu art. 41. A Lei não prevê responsabilidade direta do encarregado. A responsabilidade, em regra, é dos agentes de tratamento, isto é, o controlador ou o operador, conforme o caso. O Encarregado poderá responder por atos ilícitos conforme as normas aplicáveis a funcionários de empresas, por exemplo.
Com relação ao direito de regresso, a LGPD também não estabelece regramento específico sobre eventual direito de regresso contra o Encarregado, nos casos de responsabilização do controlador ou operador. Assim, aplicam-se as normas usuais nestes casos, como as que regem as relações entre funcionários e empresas.
O tema está previsto para ser regulamentado na Agenda Regulatória 2023-2024. Após a publicação do regulamento será possível responder questões mais específicas sobre a atuação do encarregado de dados pessoais.
Empresa aposta nos 25 anos de atuação no setor e consolida essa experiência em uma plataforma completa de Inteligência Artificial, capaz de transformar a prevenção de perdas no varejo
O varejo perdeu, somente em 2022, aproximadamente R$ 32 bilhões em mercadorias que geraram custo e não viraram receita na frente de caixa, segundo a Abrappe (Associação Brasileira de Prevenção de Perdas). Diante deste cenário, a ICTS, empresa pioneira em soluções de riscos, compliance e segurança no Brasil, aproveita seus 25 anos de atuação em prevenção de perdas de clientes varejistas e lança a Profit Shield, uma plataforma baseada em Inteligência Artificial e integrada ao ChatGPT que analisa e ataca as perdas de estoque de forma simples e eficiente, com base em dados e semelhante ao papel de um analista.
A solução foi desenvolvida a partir de uma metodologia ancorada em análise de informações, bem como na atuação bem-sucedida da ICTS no setor, comprovada em diversos projetos no varejo nacional e internacional. Com a redução comprovada entre 20% a 40% das perdas de estoque, a plataforma chega ao mercado no momento certo para alavancar negócios que, muitas vezes, não sobrevivem às perdas.
“Sem o devido controle, as perdas de mercadorias podem ser maiores do que o lucro do varejista e, em muitos casos, quando avaliadas, determinam se há lucro ou prejuízo na operação. A Profit Shield preenche essa lacuna, ajudando a operar de forma sustentável, reduzindo desperdícios e desvios e otimizando a rentabilidade”, explica Rodrigo de Castro Schiavinato, cofundador da Profit Shield, além de ser diretor executivo de parcerias e inovação e sócio da Protiviti, uma das empresas da ICTS.
A ferramenta opera no gerenciamento de indicadores-chave para os varejistas. São eles: quebras, que incluem avarias, vencimentos e desperdícios; inventário, direcionado à identificação de estoques negativos, erros de ajustes e divergências entre estoque físico e teórico; volume de estoques versus a sua relação com as perdas; descontos, provisionando uma visão clara da perda de receita gerada pelas rebaixas de preço; e, por fim, venda e margem, cuja função é avaliar a saúde do sortimento integrando dados de venda, margem e quebra identificada, permitindo tomar decisões sobre rebalanceamento de itens ou até retirada de produtos.
Toda a informação controlada pela plataforma é apresentada a partir de relatórios objetivos, trazendo visibilidade dos resultados de perdas das empresas por meio de um dashboard organizado e focado nas principais análises. Além disso, é possível monitorar e alertar automaticamente as lojas com maiores desvios de perda.
“A análise das perdas de estoque promove muitos dados na operação do varejo. Seja no descarte dos itens avariados e vencidos ou no ajuste de inventário, elas geram informações que a Profit Shield converte em conhecimento poderoso para a prevenção de desperdícios e desvios de mercadorias”, complementa Schiavinato.
Com a inteligência promovida na redução de perdas, a Profit Shield propicia uma série de benefícios à saúde do negócio, como mais eficiência operacional, melhoria na qualidade do serviço, menos custos e aumento de rentabilidade. Isso sem contar a redução de desperdícios de produtos, que significa jogar menos produtos fora e, consequentemente, operar de forma mais sustentável, gerando menos resíduos e convertendo mais valor à sociedade.
Reduzir as ineficiências e os desperdícios promove às empresas mais capital para investir em novas iniciativas, como pontos de venda e empregos, contribuindo para a expansão do negócio. “A Profit Shield agrega toda experiência de uma consultoria especializada e consolida essa inteligência em uma plataforma completa, que é capaz de transformar a gestão de perdas de estoque do varejo”, finaliza Schiavinato.
