No mercado corporativo, a análise de informações desempenha um papel fundamental na tomada de decisões estratégicas das empresas. No entanto, a crescente coleta e processamento de dados traz uma série de desafios, especialmente em relação à conformidade regulatória e à segurança da informação. Lidar com essas complexidades é essencial para garantir que as organizações possam explorar o potencial dos dados sem correr riscos legais e financeiros.
Um levantamento feito pela KPMG comprova esse cenário. O estudo entrevistou mais de 200 Chief Compliance Officers (CCOs) de seis setores industriais em todo o mundo e quase 50% consideram que a conformidade precisa ser aprimorada. Além disso, 43% indicam os novos requisitos regulatórios como o principal desafio de compliance que estão enfrentando.
Como explica Fagner Souza, gerente jurídico da SIS Innov & Tech, empresa de inteligência tecnológica em inovação e transformação digital, desde a entrada em vigor da Lei Geral de Proteção de Dados (LGPD), toda informação coletada e tratada precisa ter uma razão legal para estar em posse da empresa. Neste sentido, os dados devem se limitar aos que tenham conexão com a estratégia e necessidades do negócio e que estejam dentro da capacidade de tratamento. “Antes, a lógica era coletar primeiro e depois pensar em como usar. Atualmente, primeiro se identifica o uso, e as informações efetivamente necessárias para o alcance dessa finalidade, e após isso, inicia-se o tratamento”, diz.
Assim, a implementação dos processos para a gestão correta das informações precisa estar respaldada em um programa de privacidade de dados da empresa. “Apenas ações pontuais, por mais bem-intencionadas que sejam, não são suficientes para garantir a adequação à LGPD. É necessário um programa que envolva a criação de políticas, normas, padrões, instâncias responsáveis, e, principalmente, capacitação para os envolvidos”, afirma o gerente jurídico.
Para equilibrar a necessidade de acesso às informações para análise com as preocupações de privacidade dos clientes e regulamentações de proteção de dados, o primeiro passo é realizar o mapeamento das informações, o chamado “data mapping”. “Com isto, passa-se a ter uma visão clara de quais os dados disponíveis e para quais finalidades estão sendo utilizados. Qualquer tratamento além da finalidade e da base legal é então uma violação da privacidade, em sentido oposto, toda informação que se encontra endereçada em uma base legal e uma finalidade deve ser apenas gerida nos termos da LGPD”, explica o gerente jurídico.
A análise de informações é uma aliada para que a empresa compreenda claramente os tipos de risco a que seu negócio está exposto. Assim, os indicadores passam a ser associados direta ou indiretamente a esses riscos e analisados com base na estratégia da empresa.
Um dos tratamentos legítimos de dados pessoais é seu uso para procedimentos de investigações, checagens e auditorias no mundo corporativo. “Esses usos podem ser decorrentes de deveres contratuais e/ou regulatórios ou do legítimo interesse do controlador, a depender do tipo de tratamento”, completa o executivo.
Em geral, o tratamento das informações para essa finalidade é realizado por meio do uso de dados que o controlador já coletou (como nome, CPF), e o acesso às informações do titular disponíveis em bases públicas, como por exemplo a Receita Federal e os órgãos do judiciário. “Isso pode ser feito manualmente, entrando em cada uma das bases onde os dados já se encontram armazenados, ou por meio de soluções tecnológicas que já consolidam essas informações. Nestes casos, o cruzamento possibilita um verdadeiro dossiê sobre os titulares, em que dados relevantes são revelados, que uma vez combinados com objetivos e procedimentos claros e estruturados, permitem ao controlador mitigar riscos e identificar desvios”, explica Fagner.