Lançamento do Código de Ética do Atlético Mineiro é uma iniciativa é fundamental para a profissionalização do Clube
Durante evento promovido na manhã desta segunda-feira, 25, o Atlético apresentou aos seus colaboradores o Programa Ético (Ética, Integridade e Compliance). Trata-se de um conjunto de iniciativas que estabelecem critérios e práticas corretas, exemplares e sustentáveis, do ponto de vista moral e profissional.
Para orientar e elucidar os valores do Programa, foi criado e compartilhado o novo Código de Ética e Conduta do Atlético, contendo as diretrizes que devem nortear a atuação e comportamento de todos que agem em nome do Clube.
O documento, que reforça o compromisso do Galo com uma gestão altamente profissional e em consonância com as melhores práticas de mercado, apresenta diretrizes gerais e questões relacionadas a Conflitos de Interesse, Segurança da Informação, Sustentabilidade e Responsabilidade Socioambiental, entre outras.
Além de página específica do Programa e do novo Código de Ética do Atlético Mineiro, está disponível no site oficial do Clube um Canal de Denúncias.
“Confiamos no engajamento de todos para continuar a construir um Galo admirado não só pelo desempenho esportivo, mas pela liderança ética”, afirmou o presidente do Atlético, Sérgio Coelho.
“O sucesso e a imagem do Atlético são reflexos da postura dos colaboradores, portanto, é dever de todos nortear a conduta profissional pelos princípios da ética, transparência e respeito ao próximo”, completou o presidente atleticano.
O evento contou, ainda, com a apresentações de Mário Spinelli, diretor da Protiviti Brasil, Leonardo Frizeiro, diretor de compliance da Usiminas e Alex Medeiros, diretor de integridade da MRV.
“O lançamento do programa Ético é um marco! O Clube demonstra para funcionários, parceiros, torcedores e todos aqueles com quem possui algum tipo de relação, que está evoluindo em sua governança, buscando propiciar cada vez mais relações pautadas na ética e na integridade. Um programa como esse tem o poder de permear a cultura do Clube, seus valores, processos, e tudo o que envolve o seu dia a dia. Essa atitude deve ser motivo de orgulho para todos os que se relacionam com o Galo, e deve servir de incentivo para as outras agremiações, pois estabelecer processos e políticas pautadas na ética é bom para a sociedade como um todo”, destaca Alex Medeiros.
“Parabéns ao Clube Atlético Mineiro pelo lançamento do Programa de Compliance, pois demonstra o compromisso de sua Administração com o tema Integridade em todas as suas relações. Tenho certeza que esse evento foi mais um marco importante na história do Galo e exemplo para todos os clubes e setores do Brasil”, destacou o diretor de compliance da Usiminas Leonardo Frizeiro.
“O enfrentamento do assédio sexual deve ser feito, portanto, por meio de um conjunto de medidas que visem prevenir, detectar e penalizar os envolvidos.“
O mundo corporativo tem presenciado crises de reputação em relação a casos de assédio sexual no trabalho. Não são raras as empresas que têm dificuldade de enfrentar a questão, preferindo abafar os casos ocorridos, ao invés de dar tratamento adequado a um tema tão importante, intimamente relacionado ao respeito à dignidade humana.
O caso recente da Caixa trouxe o problema ao debate público e evidenciou a importância do estabelecimento de regras que garantam seu adequado enfrentamento. Sabendo que os dados psicológicos do assédio são muitas vezes, irreversíveis, há pessoas que perdem até mesmo a própria capacidade laboral. Isso sem contar que, frequentemente, efeitos do assédio ultrapassam as barreiras da empresa e abalam o convívio familiar e social, deixando sequelas que podem durar por toda a vida.
Do mesmo modo, não raramente, vítimas são tratadas com indiferença ou preconceito, imputando-se a elas a culpa pela transgressão ou por sofrerem pelos atos que “fazem parte de nossa cultura”. Sobre isso, em geral, é falacioso o argumento de que certas práticas seriam comuns e teriam sido supervalorizadas pela vítima, posto que não seriam ultrajantes ou agressivas.
Cada um, em função de aspectos psicossociais e de sua própria história de vida, pode reagir diferentemente. Um episódio que traga algum constrangimento de ordem sexual contra uma mulher que, por exemplo, sofreu alguma violência na infância ou adolescência, pode ser o gatilho para desencadear problemas psicológicos graves na vida adulta.
Outro efeito perverso do assédio sexual é a sensação de insegurança causada nas vítimas ao passar a falsa impressão de que eventuais oportunidades ou promoções de carreira tenham ocorrido não por competência ou talento, mas sim devido à aparência física ou a interesses de cunho sexual.
O enfrentamento da questão deve ser feito, portanto, por meio de um conjunto de medidas que visem prevenir, detectar e penalizar os envolvidos. Ou seja, é preciso desenvolver um programa sólido de combate ao assédio, tratando do tema com a importância que ele merece.
O primeiro ponto refere-se ao consagrado conceito do “tone at the top”, segundo o qual é preciso começar com o comprometimento da alta administração da organização em relação ao repúdio ao assédio sexual, sendo expresso em seu código de conduta ética, que deve conter dispositivos que estabeleçam a não aceitação a qualquer forma de violência nesse sentido.
Concomitantemente, é preciso instituir uma política de treinamentos sobre o assédio sexual, iniciando-se com os de maior nível hierárquico até chegar a todos empregados e colaboradores. O tema está relacionado a comportamentos de cunho sexual que causam constrangimento à vítima.
Assim, é preciso esclarecer que tipo de conduta é ou não aceitável no trabalho e os limites que precisam ser observados. Quanto ao controle e repressão ao assédio sexual, é essencial disponibilizar um canal de denúncia e acolhimento independente, que garanta o anonimato e a confidencialidade e que esteja submetido a controles que assegurem que os relatos serão corretamente tratados.
Para tanto, também é importante ter uma estrutura de investigação adequada, pois a apuração do assédio sexual muitas vezes é complexa diante da ausência de provas materiais, restando apenas a prova testemunhal. Práticas como o adequado acolhimento a vítimas fragilizadas ou a obtenção de informações de testemunhas com base em estratégias de oitivas são essenciais em uma investigação técnica e imparcial.
Também é necessária uma política de não retaliação a denunciantes, protegendo-as de eventuais perseguições.
Por fim, devem existir controles, com segregação de funções e mecanismos de reporte à alta direção, excluindo-se obviamente os denunciados, para assegurar a punição exemplar aos envolvidos, qualquer que seja a função por eles exercida.
A questão é complexa, mas há meios de enfrentá-la adequadamente.
Em um mundo conectado, aspectos como respeito aos direitos humanos e responsabilidade social são e serão considerados pelos mercados consumidores. Crises de reputação, além de custar muito, têm efeitos prolongados na imagem das organizações, alguns deles irrecuperáveis. Empresas que não se limitam a assumir compromissos formais, mas que realmente conferem a apropriada importância a questões como o assédio sexual e a discriminação, serão cada vez mais valorizadas pelo seu engajamento na construção de uma sociedade fundada no respeito à dignidade e no valor das pessoas.
* Mario Spinelli é professor da Fundação Getúlio Vargas (FGV) e atual diretor executivo de Compliance Regulatório na ICTS Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados. Foi ouvidor-geral da Petrobras, controlador-geral do Município de São Paulo e controlador-geral de Minas Gerais
Historicamente, os canais de denúncias criaram corpo por uma razão que foi diminuindo com o tempo: recompensas financeiras. Ou seja, quando foi criado por governos, era oferecido uma remuneração por relatos que poderiam levar à prevenção de práticas ilegais.
Esse modelo ainda pode ser identificado em algumas situações, sendo a mais próxima de nossa realidade o Disque-Denúncias público, criado por José Antônio Borges Fortes, popularmente conhecido como Zeca Borges, que nos deixou precocemente no ano passado, e que oferece recompensas financeiras sobre paradeiro de criminosos.
No mundo corporativo, porém, o sucesso dos canais de denúncias se baseia em duas premissas: conhecimento do canal e confiança na sua governança.
O conhecimento do canal deve ser total
Ou seja, não se pode conceber que um funcionário não saiba da sua existência. Para que isto aconteça de forma correta, é necessário uma divulgação de seu propósito (que não deve se restringir a apenas um tema, como da corrupção), que passa pela escolha de um nome que o aproxime do seu público (“denúncia” nem sempre é a melhor palavra para se maximizar os relatos), contar com uma campanha de divulgação massiva e constante (tendo sua publicação em todos os materiais de circulação da organização) e permitir a opção por diversas formas de contato (a limitação ao ambiente web é um erro a se evitar, pois aproximadamente metade dos casos são relatados por voz).
Para se medir o conhecimento do canal, a boa prática rege que ao menos uma vez ao ano todos os funcionários sejam indagados sobre sua existência. Este indicador deve fazer parte das métricas de sucesso das áreas por ele responsável.
Garantia do sigilo, a não retaliação e a resolução dos assuntos
A confiança, por sua vez, é mais complexa de ser obtida, pois vai além da ferramenta dos canais de denúncias. Denunciantes querem a garantia do sigilo, a não retaliação e a resolução dos assuntos. Sem estas condições, optará pelo silêncio ou por caminhos alternativos. Para garantir estas questões, recomenda-se a utilização de um canal externo, que tenha um sistema de casos protegido e capaz de circular diferentes assuntos para públicos distintos e de forma automática – a boa prática para casos ligados ao nível executivo, por exemplo, é a direta comunicação com o conselho de administração. Adicionalmente, faz-se necessária uma política clara e efetiva de não retaliação de denunciantes, de modo a assegurar que eles não sofrerão nenhuma punição ou não serão prejudicados por conta de seu relato, seja ele qual for.
Em relação à resolução do problema, ela começa com a capacidade de triagem e priorização da ouvidoria. Como poucas empresas têm estrutura exclusiva própria, recomenda-se que o fornecedor do canal tenha esta capacidade, ou seja, tenha estrutura investigativa própria. No caso de investigação de assédios, pouquíssimas empresas contam com esta capacitação, que difere de uma investigação de fraude pela necessidade de acolhimento do denunciante e pela limitação de documentação característica. A ferramenta do canal deve ser capaz de evidenciar todos os procedimentos investigativos acerca das denúncias, baseando-se em regras de governança e controles que assegurem que todas as denúncias serão tratadas e, se for o caso, que as penalidades previstas sejam aplicadas, independentemente do nível hierárquico do denunciado.
O check list acima certamente deve ser averiguado pelas empresas que utilizam esse serviço para que ele seja, de fato, operado de forma eficiente, pois o assédio, infelizmente, está enraizado em nossa sociedade.
* Fernando Fleider é CEO da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, cibersegurança e privacidade de dados, e da Aliant, sua plataforma de soluções digitais.
O relato de casos de assédio sexual deixou de ser um tema velado nas organizações e tem ganhado relevância a cada dia. Esse cenário é um reflexo de uma sociedade mais consciente sobre esta questão e de um público mais seguro em trazer os fatos à tona. Pesquisas mostram que, dentro das empresas, esse tipo de violência é o segundo maior dos indicadores de registros nos canais de denúncias e acolhimento, principal mecanismo utilizado para relatos deste tipo.
Casos complexos envolvendo grandes nomes do universo da mídia, assim como o alto escalão de empresas, tal qual estamos acompanhando agora com o presidente da Caixa Econômica Federal (CEF), que acaba de pedir demissão, trazem questionamentos sobre quais cuidados devem ser tomados antes que a conduta inapropriada tome proporções que saiam do controle e, pior, acabem circulando apenas nos bastidores e nos corredores das organizações sem que nenhuma providência seja tomada. Nessa equação, somamos o impacto causado nas vidas das vítimas – incluindo questões de saúde mental, aos estragos causados na imagem das empresas, sem contar as consequências legais e as perdas financeiras.
É preciso reconhecer que os profissionais passaram a ter vozes sobre fatos que ocorrem dentro das empresas. Contudo, isso exige uma atenção maior na apuração para o estabelecimento de uma cultura de confiança corporativa. Sob este aspecto, o canal de denúncias é um dos mecanismos que apoiam as empresas e seu principal pilar deve ser a confiança. Mas, para que isso se estabeleça, se faz necessária uma governança de apuração independente e integrada. No caso da CEF, segundo relatos à mídia, as vítimas não denunciaram o abuso por supostamente não confiarem no canal existente e, consequentemente, temiam perseguições e outras consequências.
Para se estabelecer esta confiança, um canal de denúncia precisa, em primeiro lugar, resguardar o denunciante a todo tempo, inclusive após a apuração para a constatação da procedência ou não da denúncia. Por isso, é necessária uma estrutura de segurança de informações e um fluxo correto dos envolvidos. Caso um CEO, por exemplo, seja a figura denunciada, apenas o Conselho deve ser envolvido no processo.
A estrutura do canal deve envolver profissionais capacitados, metodologias e processos. A atividade pode ser realizada pela própria área de ouvidoria da empresa, como no caso da Petrobras, ou por um provedor de canal capacitado para investigações, pois muitas empresas não contam com uma área de ouvidoria com esta responsabilidade.
Em linhas gerais, como o assédio e as agressões ocorrem nas relações interpessoais e não necessariamente deixam provas ou evidências materiais, quando o denunciante ou as vítimas são identificados, é recomendado que eles sejam ouvidos por profissionais capacitados em entrevistas confirmatórias. Nos casos de assédio sexual, o entrevistador deve preferencialmente ser do mesmo gênero da vítima. O início da apuração foca na compreensão dos detalhes e das circunstâncias, assim como são coletadas as percepções sobre as motivações para a realização da denúncia e o grau de veracidade dos relatos.
Existem casos em que as vítimas apontam a existência de trocas de mensagens ou imagens de câmeras que podem indicar a agressão. Neste cenário, é fundamental a captação e a análise destes dados de forma que possam ser utilizados na justiça, que é a coleta forense. Porém, sabemos que em muitos casos não existem registros do assédio, por isso é importante entrevistar possíveis testemunhas ou outras pessoas que fazem parte do ambiente e do convívio com o suposto agressor. Por fim, na maior parte das situações, o denunciado é entrevistado para que forneça sua versão dos fatos e tenha o direito ao contraditório, permitindo que os entrevistadores tenham uma visão completa do caso.
O canal de denúncias é um serviço que exige atenção das empresas pela sua importância e sensibilidade. Estamos diante de fatos que podem destruir marcas, aumentar o turnover, elevar os problemas de saúde dos profissionais e perpetuar práticas que devem ser expurgadas de uma sociedade diversa e inclusiva.
*Fernando Fleider, CEO da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, cibersegurança e privacidade de dados, e da Aliant, sua plataforma de soluções digitais.
Segurança cibernética, privacidade, dados e conformidade regulatória são classificados como os principais riscos em auditorias de TI
Uma nova pesquisa realizada pela Protiviti e ISACA descobriu que a segurança cibernética é o principal risco para os departamentos de auditoria de TI. Vários outros riscos relacionados, como privacidade e dados, bem como conformidade regulatória e liderando como principais preocupações, também foram citados na pesquisa. O estudo pediu aos entrevistados que classificassem a importância de 39 problemas de risco de tecnologia. Desses, os 10 principais riscos em auditoria de TI identificados foram os seguintes:
Violação cibernética
Gerenciar incidentes de segurança
Privacidade
Monitorar a conformidade regulatória
Risco de acesso
Integridade de dados
Recuperação de desastres
Gestão de dados
Risco de terceiros
Monitorar/auditar TI, conformidade legal e regulatória
O relatório foi baseado em uma pesquisa realizada no quarto trimestre de 2021. Nela, mais de 7.500 líderes e profissionais de auditoria de TI, incluindo diretores de auditoria (CAEs) e vice-presidentes e diretores de auditoria de TI foram entrevistados. Esses profissionais representam uma ampla gama de indústrias em todo o mundo, de múltiplos setores. A coleta de dados foi realizada em colaboração entre a Protiviti e a ISACA.
Os principais riscos citados na pesquisa deste ano destacam o papel vital, porém sensível, que os dados desempenham nas organizações hoje. Com isso, foi observado que entrevistados expressam preocupações significativas em relação à maneira como os dados são coletados, governados e protegidos. Além disso, os entrevistados também demonstraram que os profissionais de auditoria de TI estão cientes dos requisitos de conformidade em evolução enfrentados por suas organizações, relacionados à administração de dados, padrões do setor e requisitos nacionais e regionais. A pesquisa ajuda a entender as prioridades, expectativas e tendências observadas pelo setor para os próximos anos. Os resultados podem ajudar empresas de todos os portes a planejarem seus próximos passos de auditorias de TI.
Sabemos que o Metaverso é um universo composto por plataformas de realidade virtual e inteligência artificial nas quais o usuário pode se conectar para viver experiências e realizar atividades semelhantes às do mundo real, porém dentro da sua própria casa ou no local que preferir. Mas, quando falamos desse conceito, quais são os quatro mitos que o envolvem e suas implicações acerca da LGPD (Lei Geral de Proteção de Dados)?
1. Existe Metaverso sem o mundo real?
Uma vez que se trata de uma realidade virtual, pode-se pensar que ela existirá sem a presença de um mundo real por trás, o que não é verdade, uma vez que, no cadastro, são necessários dados do usuário. Dessa forma, o tema privacidade está presente, visto que a LGPD abrange o tratamento de dados pessoais, tais como RG, CPF e e-mail.
2. O Metaverso opera sem dinheiro real?
Logo após o cadastro em alguma plataforma do Metaverso, o usuário poderá se deparar com uma infinidade de avatares, NFTs (token não fungível), terrenos e lojas virtuais e diversos produtos para o consumo. Nesse momento, ele poderá acessar sua carteira virtual, comprada com uma moeda fiduciária real, e adquirir o item que escolher. Ou seja, não existe Metaverso sem dinheiro real.
3. Deverão ser implementadas medidas de segurança reais no mundo virtual?
Uma vez que o usuário se insere em uma plataforma do Metaverso, ele passará a compartilhar uma série de dados pessoais, já que poderão ser coletados informações para monitorar respostas fisiológicas, expressões faciais e sinais vitais, entre outros. Tais dados são considerados sensíveis pela LGPD, exigindo que princípios relacionados à segurança sejam obedecidos. Portanto, as empresas que adentrarem a esse universo deverão estruturar medidas rígidas de segurança em suas plataformas, como gestão de acesso e controle e prevenção a vazamento de dados, ou seja, ações de proteção do indivíduo no mundo real.
Nesse contexto, é importante determinar o responsável por implementar a segurança dos dados, uma vez que a plataforma do Metaverso poderá ser centralizada ou descentralizada, ou seja, uma ou mais empresas por trás do seu desenvolvimento e manutenção, respectivamente. Após a identificação, o responsável deverá proporcionar todas as medidas de segurança para prevenir o tratamento indevido e o vazamento de dados.
4. Os titulares de dados poderão solicitar seus direitos para as plataformas de realidade virtual?
Sabendo que o Metaverso trata dados de pessoais reais, os titulares, de acordo com a LGPD, poderão solicitar seus direitos e as empresas deverão estar preparadas para responder às demandas do usuário de forma completa e dentro do prazo estipulado pela Lei. É importante lembrar que os questionamentos poderão envolver desde solicitações simples de confirmação de dados até os mais complexos, que envolvem o entendimento sobre o tratamento automatizado das informações e o direcionamento de perfis.
Portanto, as empresas que operarem no Metaverso precisarão se adequar e cumprir todas as exigências da LGPD e, em caso de descumprimento, as penalidades serão as mesmas, ou seja, advertência, multa de até 2% do faturamento – limitado a R$ 50 milhões, publicização da infração, bloqueio dos dados pessoais até a regularização e eliminação dos dados pessoais a que se referem a infração.
* Vania Freitas é gerente de Data Privacy na ICTS Protiviti.
Nas organizações empresariais, os termos “background check” (checagem de antecedentes) e “análise de integridade” cada vez mais fazem parte da rotina de contratação de profissionais que vão lidar com as decisões do negócio. E no campo público, será que esses mecanismos podem ser utilizados de forma análoga? Existe background check eleitoral?
A resposta felizmente é positiva: utilizando-se de modelos analíticos desenvolvidos e aprimorados no campo empresarial ao longo dos últimos anos é possível oferecer ao universo político uma metodologia eficiente para a análise da vida pregressa dos candidatos que pretendem concorrer às eleições. Essa metodologia pode ser aplicada na realização de um levantamento detalhado da biografia dos candidatos para detectar possíveis desvios éticos e comportamentais.
O background check permite aos partidos e organizações políticas enxergarem a coerência do candidato nas mais variadas dimensões. De comentário homofóbico numa rede social ao envolvimento num crime, dos locais onde realmente trabalhou e estudou à sua situação frente às autoridades fiscais, ou seja, tudo o que é passível de registro público pode ser recuperado e analisado. Isso ajuda a entender o alinhamento do candidato em relação aos propósitos que declara ter.
É crítico conhecer esse histórico proativamente e não por terceiros, como partidos adversários ou de reportagens investigativas da imprensa. Adicionalmente, o background check pode ser usado como uma ferramenta de preparo a interpretações que possam explorar eventuais dilemas éticos e morais do candidato quando houver um ataque.
Após este olhar sobre o histórico do candidato, condição sine qua non para a aceitação da sua candidatura, é possível também realizar a análise de integridade, que traz uma visão voltada ao futuro. Nesta etapa, avalia-se a flexibilidade moral do candidato diante de dilemas éticos encontrados no dia a dia de um cargo público, complementado com insumos já obtidos no background check.
Esta análise, o background check eleitoral, não se trata de um processo investigativo. A ideia é entender a forma de pensar de um candidato, de como ele lida com dilemas e qual sua flexibilidade diante deles, ou seja, ajuda a entender o que candidato faria numa determinada situação.
Juntas, a análise de integridade e o background check são poderosas ferramentas que podem ser utilizadas de forma massificada pelos partidos e organizações políticas, o que de fato já tem ocorrido nos últimos anos com importantes organizações políticas apartidárias e com um dos maiores partidos do Brasil.
Conhecer profundamente quem será o seu candidato é tão ou mais importante quanto saber quem será um gestor empresarial. Portanto, cabe aos eleitores demandarem essa conduta pelos partidos e organizações políticas de sua afinidade, afinal, é a população que “contrata” representantes para conduzirem a gestão da cidade, estado e país.
* Fernando Fleider é CEO da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.
A linguagem corporal e as expressões faciais deixam transparecer situações das nossas vidas ou de momentos específicos. Tais movimentos involuntários e genuínos podem apontar caminhos que a nossa comunicação verbal não expressa com clareza, seja de forma intencional ou não. Por isso, a análise do comportamento não verbal, principalmente quando se trata de investigações corporativas é uma prática em ascensão.
Junto a outros processos, como o levantamento de vínculos, a análise de dados forenses (e-Discovery), a checagem de antecedentes e o trabalho de campo, a linguagem corporal e as expressões faciais são ferramentas de investigações que vão auxiliar os agentes públicos ou investigadores corporativos a identificarem e construírem uma cadeia de evidências que possibilite ao Judiciário ou aos tomadores de decisões das empresas decidirem de forma segura, ou seja, a partir de um juízo de valor formado após a análise de todos esses dados, para que se construa o que podemos chamar de conhecimento de inteligência.
Sendo assim, essa seria a forma mais correta de utilizar a linguagem corporal e as expressões faciais nas investigações, isto é, como ferramentas que auxiliam na condução das apurações, e não como soluções para identificar mentiras, pois o que vai dar robustez aos sinais esboçados na face e no gestual é a cadeia de custódia de evidências. Sem isso, o máximo que podemos inferir em uma análise crua ou preliminar é que aquele gesto ou expressão pode significar uma emoção ou sentimento, mas não uma mentira.
A análise de credibilidade utiliza seis canais: expressões faciais, linguagem corporal, linguagem verbal, para linguística (latência, intensidade e volume da voz), psicofisiologia e interação. Acontece que é humanamente impossível um investigador, durante uma entrevista, observar e analisar com clareza e em tempo real todos esses canais ao mesmo tempo e inferir sobre a credibilidade, pois poderá fazer afirmações temerárias que uma pessoa estaria mentindo, embora um entrevistador experiente consiga ter indicativos de veracidade do depoimento analisando os canais. Por isso, os canais de comunicação, além de indicarem a verdade ou a mentira, são ferramentas que auxiliam na investigação. A verdade dos fatos ou a elucidação da investigação terá êxito com a junção de várias ferramentas.
Qualquer pessoa, a depender do contexto da situação, pode emitir ou esboçar uma linguagem corporal ou expressão facial que chame atenção do entrevistador. Entretanto, o comportamento pode ser apenas um desconforto fora de contexto que levará o entrevistador a construir ou ampliar vieses de confirmação erroneamente sobre o testemunho daquela pessoa.
Portanto, é papel do investigador público ou corporativo, é principalmente do entrevistador, analisar com cautela todos os sinais de desconforto para mitigar erros de análise, pois um gesto ou expressão pode não ser dissimulado para encobrir e ocultar uma informação relevante. Cabe ao investigador identificar o que motivou o comportamento, visto que a linguagem corporal e as expressões faciais podem dar um norte ou redirecionar uma investigação ou até trazer novos pontos até então não mapeados. Em suma, e é importante utilizar as ferramentas de investigações de forma combinada e não isoladas.
*Iuri Camilo de Andrade, especialista em investigações corporativas na Protiviti.
A Lei Geral de Proteção de Dados (LGPD) trouxe uma necessidade prática de nomeação de um encarregado do tratamento de dados pessoais, conhecido como Data Protection Officer (DPO), para atuar de forma profissional e especializada nessa pauta.
Os principais desafios dessa nomeação envolvem a necessidade de conhecimentos que se dividem em aspectos regulatórios, legais, de segurança da informação e de governança capazes de harmonizar os objetivos do negócio e a proteção aos dados pessoais dos titulares envolvidos.
A Associação Internacional de Profissionais de Privacidade (IAPP) estimou que a demanda mundial pode chegar a 75 mil profissionais, escassez que se justifica pela dificuldade de encontrar todas essas habilidades em um único profissional, sobretudo no Brasil, que tem como agravante uma legislação recente e, portanto, pouca experiência no tema. Levando em consideração esse contexto, o modelo “as a service”, ou como serviço, pode ser uma excelente opção.
A modalidade traz a possibilidade de a empresa contratante ganhar experiência de forma quase que instantânea, acelerando a conformidade ao mesmo tempo em que mitiga os riscos regulatórios e os investimentos desnecessários.
Nessa terceirização, a empresa contratante, além de ter o benefício da orientação técnica atualizada e alinhada às melhores práticas de mercado, não precisa depender de orçamento para montar uma equipe de especialistas e investir em formação e certificações constantes, usufruindo da flexibilidade da modalidade enquanto amadurece a necessidade de institucionalizar e internalizar a função.
Outro ganho notado é a autonomia para implementar as boas práticas de proteção de dados, aspecto que tem sido considerado em penalidades e multas no contexto do regulamento europeu que inspirou a LGPD. Sendo assim, a terceirização mitiga o risco do conflito de interesses, que é comum na nomeação de profissionais internos.
Mas, para o modelo “as a service” ter sucesso, é fundamental o patrocínio executivo para o engajamento de todas as partes interessadas e a escolha de empresas com profissionais certificados e suficientemente experientes em proteção de dados, privacidade e segurança da informação.
DPO: situação das pequenas empresas
Neste cenário, surge a dúvida sobre as empresas de pequeno porte. Neste caso, a nomeação de um DPO é necessária? A Autoridade Nacional de Proteção de Dados (ANPD) estabeleceu um regime jurídico diferenciado para agentes de pequeno porte, dispondo algumas regras que facilitaram a adequação, dentre elas a dispensa da nomeação de um DPO.
Porém, é preciso cautela. A resolução traz exceções de forma que nem todas as empresas de pequeno porte e startups estão isentas da obrigatoriedade do DPO. Nesse sentido, é necessária uma avaliação especializada para entender se a empresa é elegível ao benefício de simplificação e para o correto entendimento dos outros diversos dispositivos legais que permanecem aplicáveis.
O fato é que as obrigações para a manutenção da conformidade com a LGPD podem ser objeto de um contrato “as a service”, mesmo com a dispensa do DPO. Não restam dúvidas de que o ecossistema de proteção de dados das empresas no Brasil, com raríssimas exceções, é jovem, mas pode ganhar muito valor usufruindo do modelo “como serviço”.
* Bruno Santos, Gerente de Data Privacy da ICTS Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.
