Pouquíssimas atividades realizadas pelas organizações atualmente deixam de estar ligadas ao manuseio de dados de seus clientes
Marcos Rodrigues*
Uma parcela considerável dos problemas que levam o Brasil a ser atualmente a nação com mais dificuldade no combate à pandemia é uma característica já conhecida há anos da nossa sociedade. O brasileiro é conhecido por acreditar que pode encontrar uma alternativa, uma forma diferente para não precisar cumprir regras, seguir procedimentos, obedecer às direções. Assim, parece uma boa ideia não usar as máscaras corretamente, não fazer isolamento da forma necessária, e assim por diante. Ocorre que as normas são estabelecidas por algum motivo e quando não são seguidas levam justamente às consequências que queriam ser evitadas.
Trazendo este raciocínio para o mundo corporativo, podemos fazer uma analogia com as regras de compliance. Elas são desenvolvidas com o objetivo de garantir as melhores práticas. Ao seguir as recomendações, as empresas asseguram a máxima qualidade aos seus produtos e serviços, consequentemente a satisfação de seus clientes, o retorno do investimento aos controladores e acionistas, além de uma relação saudável com seus colaboradores, com a sociedade e com o meio ambiente. Já quando as corporações procuram driblar as regras do compliance, dando algum “jeitinho”, esse ciclo virtuoso definitivamente não acontece de uma maneira tão harmoniosa.
Durante muito tempo, os especialistas em compliance pareciam pregar no deserto ao convocar empreendedores de todos os portes para uma marcha em direção às regras, às normas e aos procedimentos corretos. Eles apresentavam os benefícios, alertavam para os riscos, mas pareciam falar de coisas abstratas. O caminho do drible aos processos corretos parecia oferecer resultados mais palpáveis enquanto o compliance se mostrava como uma utopia.
Agora, a impressão que se tem é de que essa forma de encarar as regras está sendo forçada a mudar na marra. E a razão dessa mudança ocorreu pela relevância que o processamento de dados passou a ter com o advento da transformação digital. Chamada de novo petróleo, a informação sobre o comportamento do consumidor se transformou em peça fundamental para garantir o protagonismo das empresas, mas esbarra diretamente nos direitos individuais de privacidade e segurança das pessoas.
Lei de proteção de dados
Para assegurar essas condições, foi aprovada a Lei Geral de Proteção de Dados (LGPD), que mesmo sem ainda estar totalmente em vigor, já está materializando os riscos aos quais uma empresa pode estar submetida, caso não desenvolva uma rígida política de compliance.
Recentemente, a gigante do segmento de bureaus de crédito, Serasa Experian, foi acusada de ter, de alguma forma, sido responsável ou corresponsável por um vazamento de dados que expôs 223 milhões de CPFs e 40 milhões de CNPJs. Em função disso, e com base entre outras leis, na LGPD, o Instituto Brasileiro de Defesa da Proteção de Dados Pessoais, Compliance e Segurança da Informação SIGILO entrou com uma ação na 22ª Vara Cível Federal de São Paulo pedindo uma indenização por danos morais e materiais coletivos no valor de R$ 200 milhões.
O processo ainda não foi concluído, já que a Serasa contesta sua responsabilidade neste vazamento. Desta forma, não é possível saber o que vai acontecer. Apesar disso, o caso em questão materializa o risco. O pedido de R$ 200 milhões apresenta uma dimensão que, no entanto, se refere apenas à indenização. Não estão somados aí outros valores intangíveis que podem ser até maiores do que este, como a perda da credibilidade da marca, por exemplo.
Ao obrigar as empresas a buscarem a excelência na proteção dos dados de seus clientes, a LGPD está certamente dando um grande impulso para o compliance como um todo, já que pouquíssimas atividades realizadas pelas organizações atualmente deixam de estar ligadas ao manuseio de dados de seus clientes. Além disso, ela coloca preço na decisão de não cumprir regras e estabelece a materialidade do compliance. A prática de fazer as coisas como devem ser feitas, seguir regras e obedecer a procedimentos nunca deveria ter sido considerada distante em termos de gestão corporativa.
Contrariando o antigo pensamento, utopia é achar que as coisas podem dar certo sem que tenham compliance. A partir de agora, parece que ficará mais fácil entender quanto isso vai custar a quem insistir na busca por alternativas.
*sócio fundador da BR Rating, primeira agência de classificação de risco e avaliação dos sistemas de governança corporativa do Brasil.