Por conta da recente implementação da nova Lei Geral de Proteção de Dados (LGPD) no Brasil, um dos assuntos em voga é o entendimento sobre o que é compliance.
Esse conceito tem a ver com o cumprimento pelas empresas de legislações e regulamentos específicos, que podem sofrer alterações e acréscimos ao longo do tempo.
Daí a necessidade de entender o que é compliance para aplicá-lo em sua empresa e não correr o risco de descumprir as regras.
Quando se pensa na LGPD e no comprometimento das empresas em relação à proteção dos dados de seus clientes, fica mais clara a urgência de colocar em prática o compliance.
Neste artigo, vamos explicar o que é compliance, como o conceito surgiu, como ele contribui para a segurança da informação e como o compliance pode melhorar o seu setor de tecnologia da informação. Veja nos tópicos seguintes.
O que é compliance?
Quando questionado sobre o que é compliance, pode ser que você responda que é algo relacionado ao combate à corrupção, por conta do noticiário recente ter utilizado o termo em reportagens sobre as operações da Polícia Federal e as delações premiadas, entre outros assuntos desse mesmo escopo.
Essa associação está correta, mas o compliance tem um significado mais abrangente. E sua relação com a LGPD leva à dedicação das empresas à sua aplicação à área de TI.
A origem do termo “compliance” vem do verbo “to comply”, do inglês, que significa agir em concordância com uma ordem, pedido ou regra.
Levado ao ambiente corporativo, o conceito associou-se ao alinhamento da atuação de todos os setores da empresa à legislação vigente.
Então, o que é compliance no contexto empresarial? São as atitudes tomadas para garantir o cumprimento de obrigações trabalhistas, regulatórias, concorrenciais, fiscais, entre outras.
Como a corrupção envolve o descumprimento de regras, faz sentido colocar o compliance no mesmo campo semântico. Mas o compliance não se resume a assuntos ligados ao combate à corrupção.
A expressão “estar em compliance”, muito utilizada nos últimos tempos, significa estar em conformidade com as regras vigentes.
Quando o assunto é a LGPD, estar em compliance é o mesmo que tomar as iniciativas necessárias para não descumprir a nova lei.
Nesse contexto, entram as atividades ligadas à tecnologia da informação, pois a proteção de dados, que em sua maioria são digitais na atualidade, interfere consideravelmente no setor de TI.
Portanto, falar em compliance para o cumprimento das regras expostas pela LGPD significa adequar os procedimentos dos setores de TI a esta Lei.
Trata-se de um conceito bastante abrangente, que se materializa nas medidas tomadas com o objetivo de evitar, perceber e remediar a existência de irregularidades.
Quando aplicado à TI, o compliance ganha uma enorme importância devido ao protagonismo dessa área dentro das empresas após a transformação digital.
Ou seja, se hoje as empresas dependem da tecnologia para o cumprimento de praticamente todos os seus processos internos, a TI precisa estar em compliance com a legislação vigente.
Caso contrário, todas as atividades da empresa podem sofrer as consequências. Não se trata de um problema em apenas um setor.
Como surgiu o conceito de compliance?
Entre as décadas de 1950 e 1970, a implantação de algumas leis e regulamentos norte-americanos relacionados à segurança e ao combate à corrupção fizeram a população começar a entender o que é compliance.
Posteriormente, o termo ficou conhecido também na Europa e se popularizou no Brasil a partir de 2013, com a criação da Lei Anticorrupção (Lei 12.846).
Neste contexto, fica mais fácil compreender a associação automática que costuma ser feita entre o compliance e o combate à corrupção.
Mas levando o conceito para o contexto das empresas, não é difícil inferir que ele está ligado à necessidade de prevenir as irregularidades, sejam elas referentes a regras internas, leis ou regulamentações específicas.
O que é compliance na área de TI?
Dentro da área de tecnologia da informação, o compliance é entendido como um conjunto de normas e políticas que orientam suas atividades de modo a atender às exigências das regulamentações e leis que perpassam as tarefas desse setor.
É o compliance, portanto, que evita a aplicação de penalidades à empresa relacionadas ao uso de tecnologias, políticas de acesso e segurança digital.
Como a LGPD trata exatamente dos cuidados a serem tomados para garantir a segurança dos dados aos quais as organizações têm acesso, torna-se urgente a criação de programas de compliance para a área de TI.
Por isso, o compliance gera valor para os negócios, tanto ao construir uma imagem positiva para a empresa como cumpridora da legislação, quanto ao evitar as penalidades possíveis.
Quando a empresa aplica o compliance à sua área de TI fica evidente também sua preocupação e cuidado com os dados dos clientes.
Se ela tiver protocolos a serem seguidos mostrando que seu objetivo é não só atender à legislação, mas também proporcionar a segurança dos dados dos clientes, sua confiabilidade aumenta.
Isso porque é imensa a quantidade de dados aos quais um setor de TI tem acesso e os crimes relacionados à segurança da informação aumentaram vertiginosamente nas últimas décadas.
A responsabilidade da empresa é grande quando lida com os dados do cliente, sem falar na necessidade de segurança dos dados da própria empresa.
Aplicar e demonstrar que tem um sistema de compliance é, assim, uma atitude importantíssima para o sucesso dos negócios.
Como já dissemos, o setor de TI tem a responsabilidade de possibilitar o uso de tecnologias por todos os demais setores da empresa.
Quando tem as normas de compliance como norteadoras, a área de TI consegue atuar garantindo o cumprimento não só da LGPD, mas também de outras normas, como o Marco Civil da Internet e a Lei dos Direitos Autorais.
Assim, fica mais fácil a estruturação de processos que visam à segurança dos dados, promovendo ações preventivas e evitando erros.
As normas de compliance devem objetivar, por exemplo, a ineficácia de ataques ou tentativas de invasão à estrutura de rede da empresa, além de evitar o uso indevido dos dados.
Como o compliance pode melhorar o seu setor de TI?
Quando você cria um setor ou uma comissão responsável pelo compliance em sua empresa, a elaboração das normas é facilitada.
Algumas atitudes se evidenciam, então, como extremamente necessárias. É o caso, por exemplo:
- Do monitoramento contínuo da rede para identificar possíveis ameaças;
- Da criação de uma política de backup dos dados;
- Da utilização de VPNs em dispositivos usados no trabalho remoto;
- Da criação de um plano para recuperação de desastres e;
- Da promoção de auditorias internas periódicas.
Com essas ações, a infraestrutura de TI precisa passar por atualizações rápidas e contínuas, tornando-se mais robusta.
Essa robustez traz mais confiabilidade à área de TI, o que beneficia a empresa como um todo, já que esse setor é o responsável pela utilização das tecnologias por todos os demais.
Considerações finais
Se você chegou até aqui, deve ter identificado aproximações entre a compliance aplicada à TI, a governança corporativa e, mais especificamente, a governança de TI.
Realmente, esses são segmentos que podem trabalhar juntos para o sucesso do seu negócio.
Vamos explicar resumidamente os três conceitos para que você consiga entender como, apesar de terem suas diferenças, na prática eles se aproximam dentro de uma empresa.
Enquanto o compliance está relacionado ao cumprimento de leis e regulamentações, a governança corporativa está ligada à garantia do comprometimento com a ética.
Já a governança de TI diz respeito à escolha das melhores práticas e procedimentos para obter uma otimização da gestão de TI.
Agora que você entende o que é compliance, pode trabalhá-lo junto com a governança em seu negócio. E, se o seu interesse for a governança de TI, você vai precisar escolher uma metodologia para sua implantação. Para você se aprofundar no assunto, recomendamos o artigo sobre ITIL e COBIT. Boa leitura!
Junte-se à conversa.