Os seus registros e as políticas de gerenciamento de informações estão em conformidade?

Nos últimos anos, as políticas de gerenciamento de informações têm sido postas à prova por conta de diversas novas regras que mudaram o cenário da conformidade. E como conformidade está diretamente ligada à capacidade de armazenar e dispor dados com segurança, as empresas cada vez mais estão atentas à gestão de documentos. Ou deveriam estar.

Para cumprir novas regras, como a LGPP (Lei Geral de Proteção de Dados), prevista para entrar em vigor no Brasil em 2020, ou a GDPR (General Data Protection Regulation), instituída pela União Europeia em 2018, ou a Sarbanes-Oxley, entre outras, as empresas estão avaliando as suas políticas de gerenciamento de informações e conformidade.

A LGDP estabelece regras sobre a coleta, o tratamento, o armazenamento e o compartilhamento de dados pessoais gerenciados pelas organizações. Entre as ações coibidas pela LGPD estão a coleta e o uso de dados pessoais sem consentimento, seja pela iniciativa privada ou pelo poder público, bem como a utilização de informações pessoais para a prática de discriminação ilícita ou abusiva.

Analistas da consultoria PwC indicam que o primeiro passo para a adequação à LGPD é realizar um mapeamento detalhado dos dados pessoais tratados e o seu ciclo de vida. Saber onde estão, como estão armazenados, quem tem acesso, se os dados são compartilhados com terceiros no Brasil ou exterior e quais riscos associados ao ciclo de vida são algumas perguntas essenciais que todas as organizações devem responder antes de implementar as suas políticas de gerenciamento de informações.

Eles também destacam que as tecnologias e a automatização serão componentes importantes para as organizações, uma vez que a nova lei traz desafios de gestão e governança de privacidade tais como a gestão de consentimentos (e respectivas revogações), gestão das petições abertas por titulares (que, em alguns casos, devem ser respondidas imediatamente), gestão do ciclo de vida dos dados pessoais (data mapping & data discovery) e implementação de técnicas de anonimização (os dados anonimizados não serão considerados dados pessoais pela lei desde que o processo não seja reversível).

Inon Neves, SR VP América Latina da Access, destaca que “dentre os muitos processos e operações que fazem parte das rotinas das empresas, a gestão de informação é essencial para garantir o bom funcionamento e a adequação às regras de compliance da organização”.

No entanto, diversos fatores podem afetar a produtividade dos gestores e de seu negócio, como:

  • Falta de segurança na gestão da informação
  • Não conformidade no armazenamento de documentos
  • Descarte incorreto
  • Mau uso dos espaços da empresa

Mas todos esses problemas, e muitos outros relativos à conformidade, são resolvidos com a implantação de corretas políticas de gerenciamento de informações e eficientes sistemas de gestão documental.

Conformidade, governança corporativa, Sarbanes-Oxley e GDPR

Segundo Edson Cordeiro da Silva, em seu livro “Governança corporativa nas empresas: guia prático de orientação para acionistas”, a governança corporativa consiste no conjunto de regras, procedimentos, atitudes e instituições que condicionam a ação dos administradores no sentido de atender aos interesses dos financiadores e das partes interessadas na empresa (stakeholders), particularmente os acionistas (shareholders). Práticas de governança, juntamente com as leis e a atuação dos tribunais e dos legisladores, visam evitar que uma parte seja expropriada por outra.

Uma das grandes normas relativas à conformidade e governança corporativa é a Lei Sarbanes-Oxley, que depende de eficientes políticas de gerenciamento de informações para atender aos seus requisitos de auditoria.

Assinada em 2002 nos Estados Unidos, a “Sarbox” foi motivada por escândalos financeiros corporativos e cria mecanismos de auditoria e segurança confiáveis nas empresas, incluindo ainda regras para a criação de comitês encarregados de supervisionar suas atividades e operações, mitigando riscos aos negócios, evitando a ocorrência de fraudes e garantindo transparência na gestão das empresas. Grandes empresas com operações financeiras no exterior seguem essa lei, assim como empresas brasileiras que negociam na bolsa de Nova York.

Outra lei que afeta empresas brasileiras com atuação global é a GDPR (General Data Protection Regulation), norma de regulamentação e proteção da privacidade de dados pessoais instituída pela União Europeia. Desde que entrou em vigor em 2018, todas as organizações que guardam ou processam informações pessoais de cidadãos, realizam transações comerciais ou ofereçam produtos e serviços à União Europeia tem a obrigação de aplicar o GDPR, ainda que não estejam localizadas no território geográfico.

E, mais uma vez, é a correta gestão documental que vai permitir identificar os dados considerados confidenciais e rastrear o seu tratamento e uso.