LGPD - Compliance de Dados Pessoais

Ana Claudia Redecker[2]

Introdução

A Lei Geral de Proteção de Dados (Lei nº 13.708/18 - LGPD), cuja função é ser o referencial normativo do sistema de proteção de dados pessoais[3] , estava prevista para entrar em vigor em agosto de 2020, mas a MP 959/2020 adiou[4] a entrada em vigência para maio de 2021. No dia 19 de maio de 2020 foi votado no Senado o Projeto de Lei nº1179/2020, mantendo a entrada em vigência da LGPD para agosto de 2020 e postergando as multas e sanções administrativas para agosto de 2021. Diante deste quadro, neste momento a data de entrada em vigência da LGPD continua incerta, pois o presidente da República pode vetar a decisão no âmbito do Projeto de Lei nº1179/2020, enquanto os principais líderes do Congresso apostam que a MP nº 959/2020 perderá sua vigência.

Não obstante, não há dúvidas de que todas as organizações que lidam com dados pessoais[5] nas suas operações precisam efetivar a governança deles. Não só porque já existem outras leis que estão sendo utilizadas para fundamentar questões envolvendo este tema[6], v.g., Código de Defesa do Consumidor (Lei 8.078/1990), Lei do Cadastro Positivo (Lei 12.414/2011), Lei do Marco Civil da Internet (Lei 12.965/2014), mas porque a captação e guarda de dados dos usuários[7] é um fato, visto que a sua monetização faz parte do próprio modelo de negócios sob o qual estão estruturados os provedores de internet[8] ; assim como a ocorrência de incidentes de segurança envolvendo vazamentos de dados pessoais.

Assim, a organização[9] estar em compliance[10] com as regras da LGPD será, em breve, não só o requisito mínimo para se fazer bons negócios no Brasil, mas essencial para que os agentes que lidam de dados pessoais nas suas operações não incorram nas penalidades fixadas na referida Lei[11] e/ou sejam acionados pelos titulares de dados que passarão a gozar de um rol de direitos que irá impactar nas atividades de todos aqueles que lidam com dados pessoais.

Nesta perspectiva, o presente trabalho destaca o compliance de dados e procura responder aos seguintes questionamentos: O que significa estar em compliance? O compliance de dados deve ser implementado pelas organizações? Hoje é factível uma organização estar em compliance de dados?

Para se abordar a problemática, primeiramente, buscar-se-á entender em que consiste estar em compliance. Em seguida, serão abordados aspectos gerais do compliance de dados. Na sequência, serão feitas considerações acerca da implementação do compliance de dados nas organizações. Ressalta-se que o objetivo deste trabalho não é responder a cada uma das questões nele contempladas, mas mapear o entendimento destas questões na doutrina e, a partir das mesmas, ao final, à guisa de conclusão, elaborar as considerações finais.

1. Considerações gerais sobre o compliance

A atividade de compliance é um dos pilares da governança corporativa[12]. Seu objetivo é garantir o cumprimento das normas existentes no ordenamento jurídico[13], nas normativas dos órgãos reguladores e nos regulamentos internos e externos das organizações, visando prevenir riscos legais, de imagem, de reputação e financeiros.

A implementação do compliance pelas organizações consiste na adoção de processos e está intimamente ligada à administração/gestão da organização, monitoramento e verificação das conformidades, dos riscos, do desempenho e do seu progresso.

Os seus princípios e as suas práticas aplicam-se a qualquer tipo de organização, independente do porte, natureza jurídica ou tipo de controle, pois um ambiente empresarial sadio nasce de uma série de elementos de controle[14], cujos resultados devem ser debatidos com os colaboradores, que são encorajados a analisar e a aceitar a situação problemática e complexa com que estão lidando[15].

Desta forma, uma organização estar em compliance significa que ela está cumprindo as leis, normativas dos órgãos reguladores e regulamentos internos e externos e, para atingir seu objetivo, é necessário instituir controles eficazes e avaliar suas atividades sob o crivo da conformidade.

2. Compliance de dados

A LGPD coloca o indivíduo, como protagonista das relações jurídicas que envolvam o tratamento de dados[16]. Deste modo, entende-se que o maior propósito a ser atingido pela aplicabilidade da LGPD é a privacidade do indivíduo, bem como seu poder de decisão diante do destino de seus dados pessoais.

É necessário compreender os conceitos básicos relacionados ao titular de dados, seus direitos, hipóteses de tratamento, responsabilidades estabelecidas entre controladores e operadores, compartilhamento dos dados e boas práticas das empresas e, a partir desta compreensão, implantar e manter a governança de dados nas organizações, pois é a única forma de garantir a privacidade e a proteção adequada de dados pessoais.

Em síntese, estar em conformidade com a LGPD tem como objetivo adotar meios de mitigar seus efeitos pela imposição aos agentes de tratamento de dados pessoais de deveres de prevenção e segurança. Destarte, a proteção e o sigilo dos dados dos usuários e todos os colaboradores envolvidos em uma empresa surgem apenas como plano principal revelando, assim, por meio de uma análise mais aprofundada, a necessidade de que todos tenham ciência do tratamento adotado para as informações prestadas, bem como do seu destino[17].

3. Do Programa de Compliance de Dados

A LGPD é uma lei baseada em princípios, cláusulas gerais, standards de comportamento e conceitos abertos que precisam ser adaptados à situação específica de cada agente de tratamento de dados pessoais e dos riscos inerentes ao mesmo[18].

A implementação de ações de compliance de dados, na linha do disposto no artigo 50[19] da LGPD, requer o domínio da cultura, estrutura, procedimentos e fluxos operacionais da organização. Inicialmente é preciso realizar um mapeamento dos dados dos clientes e colaboradores, descobrir suas vulnerabilidades corporativas, definir qual será o modelo futuro, entre muitas outras tarefas[20].

Realizado o mapeamento dos dados, deverá ser realizada a análise dos riscos que geram impactos na organização e, a partir destes dados, é necessário definir a política de privacidade que se aplique a toda organização, bem como implementar políticas de segurança de informação[21], técnicas e administrativas, aptas a proteger os dados de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão, ou seja, de quaisquer formas de tratamento inadequado (artigos 46 a 49 da LGPD). A organização deve, ainda, adotar medidas e registros apropriados para poder demonstrar sua conformidade e nomear uma pessoa na organização ou terceira pessoa jurídica para ser o encarregado de dados pessoais (DPO).

Cabe, contudo, à Autoridade Nacional de Proteção de Dados[22] (ANPD) regulamentar a LGPD, estabelecendo os padrões técnicos mínimos relativos a estas políticas, tendo como base as características específicas do tratamento realizado pelo controlador, o estado atual da tecnologia e os princípios gerais previstos na LGPD[23]. Ocorre que a ANPD ainda não foi estruturada. Logo, não é possível afirmar, ainda que uma organização tenha implementado um programa de compliance de dados, que esta se encontra cem por cento (100%) em conformidade com a LGPD, pois ainda não dispomos das medidas técnicas da ANPD.

Por fim, ressalta-se que é fundamental que o programa de compliance tenha indicadores mínimos a fim de avaliar o desempenho e monitoramento, pois a sua ausência não permite identificar os pontos de melhoria das ações de compliance, além de impossibilitar a garantia de que a organização está efetivamente em conformidade[24].

Considerações Finais

A adoção de práticas de governança e a implementação do compliance assegura que os principais processos organizacionais ou processos críticos de determinada organização sejam realizados seguindo todos os aspectos da legislação, normativas dos órgãos reguladores e regulamentos internos e externos das organizações. Entretanto, apesar de sua importância, ainda são raras as empresas não financeiras que contam com um programa estruturado de compliance que contemple ações de aculturamento e mecanismos de prevenção, detecção e solução de não conformidades.

O programa de compliance de dados pessoais precisa ser adequadamente projetado para atender às exigências da LGPD, tendo como foco o modelo de negócio da organização, mas é essencial que funcione de acordo com o planejado, sob pena da organização acabar se envolvendo em situações de tratamento inadequado de dados pessoais e/ou em incidentes de vazamento de dados.

Não é possível que a organização se considere em conformidade com a LGPD, seja pela ausência da estruturação da ANPD, ou até que tenha avaliado seus processos e seus mecanismos de controle, bem como se tais mecanismos estão realmente sendo observados no ambiente de negócios.

Registre-se que, por mais atrativos que sejam os benefícios da implementação do compliance, dificilmente todas as organizações efetivamente conseguirão adotar um programa estruturado de compliance que contemple ações de aculturamento e mecanismos de prevenção, detecção e solução de não conformidades, principalmente pelo custo, mas, principalmente, pela necessária mudança da mentalidade empresarial.

Desta feita, os estudos não cessam aqui, é necessária a participação de instâncias acadêmicas e, principalmente, da sociedade para a ruptura dos preconceitos e criação de soluções, que já poderiam iniciar, quem sabe, com a criação de mecanismos de pressão, monitoramento para as ações governamentais, formulações de programas e outras iniciativas necessárias.

Referências

ANTONIK, L. R. Compliance, Ética, Responsabilidade Social e Empresarial – Uma Visão Prática. Rio de Janeiro: Alta Books, 2016.

APPROBATO, S. LGPD: prevenir frente a remédios amargos. Disponível em: https://www.jota.info/opiniao-e-analise/artigos/lgpd-prevenir-frente-a-remediosamargos-28042020. Acesso em: 10/05/2020.

BASSOLI, M. K. Intervenção do Estado sobre o domínio econômico em prol da segurança humana. In: FERREIRA, J. S. A. B. N.; RIBEIRO, M. F. (org.). Empreendimentos econômicos e desenvolvimento sustentável. São Paulo: Arte e Ciência: Unimar, 2008.

Código das Melhores Práticas de Governança Corporativa, 5ª Edição, p. 19, disponível em http://conhecimento.ibgc.org.br. Acesso em 14/05/2020.

Committee of Sponsoring Organizations of the Treadway Commission. Disponível em: www.coso.org/ic.htm. Acesso em 14/05/2020.

FRAZÃO, A. Objetivos e alcance da Lei Geral de Proteção de Dados. In: A Lei Geral de Proteção de Dados Pessoais e suas repercussões no Direito Brasileiro (Coord. Ana Frazão, Gustavo Tepedino e Milena Donato Oliva). São Paulo: Revista dos Tribunais, 2019.

NEGRÃO, C. L.; PONTELO, J. F. Compliance, controles internos e riscos: a importância da área de gestão de pessoas. Brasília: Senac, 2014.

POMPEU, A. FREITAS, H. CARNEIRO, L. O. STF suspende MP que obrigava telefônicas a enviarem dados de clientes ao IBGE. Disponível em: https://www.jota.info/stf/do-supremo/stf-suspende-mp-que-obrigava-telefonicas -aenviarem-dados-de-clientes-ao-ibge-07052020. Acesso em 15/05/2020.

[1] Artigo publicado no livro Provocando um Ambiente de Evolução. Coordenação Tomás Floriani e Guilherme P. Borges. Mindset de Crescimento. 1. Ed. – Porto Alegre: Academia da Escrita, 2020, pp. 97-107. [2] Ana Cláudia Redecker é professora de Direito Empresarial da Pontifícia Universidade Católica do Rio Grande do Sul (PUC/RS), Especialista em Ciências Políticas e Mestre em Direito pela PUCRS e doutoranda em Ciências Jurídico-Económicas pela Faculdade de Direito da Universidade de Lisboa. Advogada www.anaredecker.com.br e-mail: anacredecker@hotmail.com. [3] No Art. 2º estão contemplados os propósitos e os principais valores da LGPD: “I – o respeito à privacidade; II – a autodeterminação informativa; III – a liberdade de expressão, de informação, de comunicação e de opinião; IV – a inviolabilidade da intimidade, da honra e da imagem; V – o desenvolvimento econômico e tecnológico e a inovação; VI – a livre iniciativa, a livre concorrência e a defesa do consumidor; e VII – os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais”. [4] A justificativa é que a maior parte das empresas brasileiras não está pronta para trabalhar em conformidade com a LGPD. [5] V.g.: genético, social, cadastral, político, de saúde etc. [6] Nesse sentido ver: ALVES, Fabrício da Mota. Por que o debate sobre a regulação em proteção de dados já mudou tudo no Brasil. Disponível em: https://www.jota.info/opiniao-e-analise/artigos/por-que-odebate-sobre-a-regulacao-em-protecao-de-dados-ja-mudou-tudo-no-brasil-20092019#sdfootnote8sym. Acesso em 10/05/2020. POMPEU, Ana. FREITAS, Hyndara. CARNEIRO, Luiz Orlando. STF suspende MP que obrigava telefônicas a enviarem dados de clientes ao IBGE. Disponível em: Acesso em 15/05/2020. Juíza multa construtora por compartilhar dados pessoais de cliente. Disponível em:https://www.conjur.com.br/2019-ago-23/juiza-impoe-multa-cyrela-repassar-dados-pessoais-cliente. Acesso em: 14/05/2020. [7] Os incisos I e II do artigo 5º da LGPD prescrevem, in verbis: “Art. 5º Para os fins desta Lei, considera-se: I - dado pessoal: informação relacionada a pessoa natural identificada ou identificável; II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural; (...).” [8] MONTEIRO, Renato Leite. Da proteção aos registros, aos dados pessoais e às comunicações privadas. In: DEL MASSO, Fabiano; ABRUSIO, Juliana; FLORÊNCIO FILHO, Marco Aurélio (coord.). Marco Civil da Internet: lei 12.965/2014. São Paulo: Revista dos Tribunais, 2014, p. 141. [9] Neste artigo compreende-se por organização: pessoa ou grupo de pessoas com suas próprias funções com responsabilidades, autoridades e relações para alcançar seus objetivos. O conceito de organização inclui, mas não é limitado a: organizações sem fins lucrativos (associações e fundações); companhia, sociedade limitada, cooperativa, sociedade de propósito específico, organização individual de responsabilidade limitada. Pública, privada ou de economia mista. [10] Compliance vem do verbo em inglês “to comply”, que significa “cumprir”, “executar”, “satisfazer”, “realizar o que lhe foi imposto”. Cf. CF. ANTONIK, Luis Roberto. Compliance, Ética, Responsabilidade Social e Empresarial – Uma Visão Prática. Rio de Janeiro: Alta Books, 2016, p. 46: “Em geral, o compliance é a adesão da companhia a normas ou procedimentos de determinado setor.” [11] Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional: I - advertência, com indicação de prazo para adoção de medidas corretivas; II - multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração; III - multa diária, observado o limite total a que se refere o inciso II; IV - publicização da infração após devidamente apurada e confirmada a sua ocorrência; V - bloqueio dos dados pessoais a que se refere a infração até a sua regularização; VI - eliminação dos dados pessoais a que se refere a infração; VII - (VETADO); VIII - (VETADO); IX - (VETADO). X - suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador; XI - suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período; XII - proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados. [12] “Governança corporativa é o sistema pelo qual as organizações são dirigidas, monitoradas e incentivadas, envolvendo os relacionamentos entre sócios, conselho de administração, diretoria, órgãos de fiscalização e controle e demais partes interessadas”. (Código das Melhores Práticas de Governança Corporativa, 5ª Edição, p. 19, disponível em http://conhecimento.ibgc.org.br. Acesso em 14/05/2020) [13] A normatização ocorre por meio da função legislativa do Estado, que tem o condão de criar leis por via de normas gerais abstratas, que inovam a ordem jurídica, buscando em sua essência o cumprimento dos ditames constitucionais. Conforme preceitua o Art. 174 da Constituição Federal de 1988: “como agente normativo e regulador da atividade econômica, o Estado exercerá, na forma da lei, as funções de fiscalização, incentivo e planejamento, sendo este determinante para o setor público e indicativo para o setor privado”. A intervenção por meio normativo se dá com a atuação do órgão Legislativo, que trabalha introduzindo normas inaugurais que disciplinam as relações econômicas garantindo o direito à livre iniciativa e definindo direitos que valorizem o trabalho humano; impondo deveres de preservação ambiental; equilíbrio nas relações jurídicas de consumo com normas de ordem pública, para assegurar um mercado concorrencial saudável universalizando as oportunidades emancipatórias. Cf. BASSOLI, Marlene Kempfer. Intervenção do Estado sobre o domínio econômico em prol da segurança humana. In: FERREIRA, Jussara Suzi Assis Borges Nasser; RIBEIRO, Maria de Fátima. (org.). Empreendimentos econômicos e desenvolvimento sustentável. São Paulo: Arte e Ciência: Unimar, 2008. p. 130. [14] De acordo com o COSO (Committee of Sponsoring Organizations of the Treadway Commission. Disponível em: www.coso.org/ic.htm. Acesso em 14/05/2020), controles internos são “processos, implantados pelo conselho de administração, diretoria e outras lideranças, desenhados a fim de proporcionar segurança razoável em relação ao alcance dos objetivos operacionais, de reporte e de compliance da empresa.” [15] CF. ANTONIK, Luis Roberto. Compliance, Ética, Responsabilidade Social e Empresarial – Uma Visão Prática. Rio de Janeiro: Alta Books, 2016, p. 41. [16] Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses: I - mediante o fornecimento de consentimento pelo titular; II - para o cumprimento de obrigação legal ou regulatória pelo controlador; III - pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei; IV - para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais; V - quando necessário para a execução do qual seja parte o titular, a pedido do titular dos dados; VI - para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem); VII - para a proteção da vida ou da incolumidade física do titular ou de terceiro; VIII - para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; IX - quando necessário para atender de contrato ou de procedimentos preliminares relacionados a contrato aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou X - para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente. [17] Consultado em: https://lgpdsolution.com.br/como-funciona-a-lei-geral-de-protecao-de-dados-para-ovarejo-em-geral/. Acesso em: 27/04/2020. [18] FRAZÃO, Ana. Objetivos e alcance da Lei Geral de Proteção de Dados. In: A Lei Geral de Proteção de Dados Pessoais e suas repercussões no Direito Brasileiro (Coord. Ana Frazão, Gustavo Tepedino e Milena Donato Oliva). São Paulo: Revista dos Tribunais, 2019, p. 117. [19] Art. 50. Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais. § 1º Ao estabelecer regras de boas práticas, o controlador e o operador levarão em consideração, em relação ao tratamento e aos dados, a natureza, o escopo, a finalidade e a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de tratamento de dados do titular. § 2º Na aplicação dos princípios indicados nos incisos VII e VIII do caput do art. 6º desta Lei, o controlador, observados a estrutura, a escala e o volume de suas operações, bem como a sensibilidade dos dados tratados e a probabilidade e a gravidade dos danos para os titulares dos dados, poderá: I - implementar programa de governança em privacidade que, no mínimo: a) demonstre o comprometimento do controlador em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais; b) seja aplicável a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do modo como se realizou sua coleta; c) seja adaptado à estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados tratados; d) estabeleça políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade; e) tenha o objetivo de estabelecer relação de confiança com o titular, por meio de atuação transparente e que assegure mecanismos de participação do titular; f) esteja integrado a sua estrutura geral de governança e estabeleça e aplique mecanismos de supervisão internos e externos; g) conte com planos de resposta a incidentes e remediação; e h) seja atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas; II - demonstrar a efetividade de seu programa de governança em privacidade quando apropriado e, em especial, a pedido da autoridade nacional ou de outra entidade responsável por promover o cumprimento de boas práticas ou códigos de conduta, os quais, de forma independente, promovam o cumprimento desta Lei. § 3º As regras de boas práticas e de governança deverão ser publicadas e atualizadas periodicamente e poderão ser reconhecidas e divulgadas pela autoridade nacional. [20] SÉRGIO APPROBATO. LGPD: prevenir frente a remédios amargos. Disponível em: https://www.jota.info/opiniao-e-analise/artigos/lgpd-prevenir-frente-a-remedios-amargos-28042020. Acesso em: 10/05/2020. [21] Nesse sentido, recomenda-se as normas ISO da família 2700 (Sistema de Gestão de Segurança da Informação – SGSI). [22] A Autoridade Nacional de Proteção de Dados (ANPD) é órgão federal criado pela Lei 13.853/19 responsável por editar normas e fiscalizar procedimentos sobre proteção de dados pessoais. [23] “Art. 6º. As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios: I - finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades; II - adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento; III - necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados; IV - livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais; V - qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento; VI - transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial; VII - segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão; VIII - prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais; IX - não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos; X - responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas”. [24] Cf. NEGRÃO, Célia Lima; PONTELO, Juliana de Fátima. Compliance, controles internos e riscos: a importância da área de gestão de pessoas. Brasília: Senac, 2014, p. 54: “São exemplos de indicadores de compliance: a. Resultados de auditorias realizadas por órgãos de controle. b. Avaliação do nível de aceitação da organização à cultura de compliance. c. Grau de agilidade do compliance com relação à atualização dos normativos. d. Quantidade de ações trabalhistas ou pagamento de multas e indenizações. e. Quantidade de ações de comunicação e disseminação do código de ética (mensurar os resultados dessas ações); f. Informações e dados da ouvidoria (clientes internos) – canal de sugestões e denúncias; g. Quantidade de treinamentos realizados sobre compliance, controles internos, ética.”