VIII Workshop de Compliance QFS/GFS

O VIII Workshop debateu a Política de Tecnologia da Informação da QFS e do Grupo Ferreira Souza

Com a participação de diretores e colaboradores das empresas do Grupo, o Oitavo Workshop abordou a Política de TI a ser homologada pela Alta Administração do Grupo Ferreira Souza.

As metas estabelecidas durante o Workshop abrangeram:

  • Agendar a reunião do Comitê de Compliance para criação formal do Comitê de TI;
  • Realizar inventário dos contratos com fornecedores, a fim de aditá-los com um Termo de Compromisso de observância das políticas de TI e outras políticas internas da QFS;
  • Disseminar entre os clientes a informação de que a QFS adota padrões éticos e de conformidade em suas relações comerciais;
  • Instituir um Comitê de TI com a participação de membros da diretoria e líderes;
  • Mapear quais práticas de TI já estão implementadas e quais precisam ser implantadas com prioridade;
  • Preencher a Planilha de TI enviada pela Selos Consultoria / SEBRAE;
  • Comitê de TI: convocar os gestores para levantamento dos níveis, impacto e incidência de riscos e implantação das políticas de TI;
  • Definir proprietários e responsáveis pelos processos de TI;
  • Elaborar documento executivo / laudo de auditoria / trilha de auditoria para todas as bases do Grupo;
  • Inventariar riscos referentes a máquinas, sistemas e pessoas;
  • Formalizar regras de acesso e bloqueio de acesso de colaboradores aos sistemas e dados (na contratação, demissão, etc.);
  • Definir punições por descumprimento das regras;
  • Homologar e divulgar internamente uma versão das Políticas de TI, abrangendo organograma, fluxogramas;
  • Definir / formalizar / divulgar o Administrador-Geral de TI do Grupo;
  • Obter dos colaboradores um “De Acordo” com a Política de TI;
  • Iris propôs a formação de grupos de trabalho auxiliares para evitar sobrecarga de tarefas, garantindo que as providências levantadas nos workshops sejam efetivamente tomadas.

O apoio de novas tecnologias no combate à corrupção

Os tempos agora são outros. Com o advento de novas tecnologias, situações como a corrupção, antes difíceis de serem identificadas e evidenciadas, agora deixam rastros digitais que podem ser detectados e analisados, em tempo real ou ao longo de um processo investigativo, ampliando de modo relevante a capacidade das organizações combaterem este e outros tipos de atos ilícitos que acontecem em seu ambiente de trabalho e em suas interfaces.

Dentre as contribuições trazidas pela evolução tecnológica, destacam-se o Big Data e o Data Analytics, que contribuem de forma relevante nas estruturas de controle e investigações. Estas tecnologias viabilizam o processamento e análise de grandes volumes de dados, capturados de diversas origens, que quando correlacionados, tornam-se uma rica fonte para análise, e até mesmo, para o desenvolvimento de algorítimos preditivos. Além dos ganhos de eficácia, essas novas tecnologias proporcionam mais eficiência aos esforços de apuração das irregularidades.

Os dados analisados podem contemplar logs de acesso físico às instalações, registros de áudio e vídeo, comunicações via e-mail, logs de acesso lógico às redes de computadores, sistemas e sites na internet. Por meio de ferramentas forenses, até mesmo os arquivos apagados podem ser recuperados de discos rígidos das estações de trabalho e celulares corporativos. Além destas, existem muitas outras fontes de dados digitais disponíveis dentro do ambiente das próprias organizações.

Porém, as fronteiras da empresa não são um limite para a obtenção de dados. Crawlers permitem a varredura de publicações na internet, em sites, microblogs, redes sociais e marketplaces – como o Mercado Livre. Além disso, diversos órgãos públicos e privados oferecem informações sobre qualquer pessoa física ou jurídica.

Empregando-se os conceitos e ferramental relacionados ao Big Data e Data Analytics, sobre as fontes internas e externas de dados, faz-se possível compreender diversos aspectos sobre colaboradores, candidatos, fornecedores, clientes e a comunidade em geral – dentre eles, o perfil comportamental, o estilo de vida, a rede de relacionamentos e até mesmo a situação patrimonial, posição societária e histórico creditício e judicial de uma pessoa que esteja sendo o foco de uma investigação corporativa.

Essa capacidade de “garimpar” dados e identificar comportamentos, relacionamentos e até mesmo evidências de irregularidades cometidas, é alimentada ou complementada por informações coletadas por meio de denúncias.

A contribuição do Canal de Denúncias

A contribuição de denunciantes – sejam eles colaboradores ou não – através de um Canal de Denúncias efetivo, também permitirá o desenvolvimento de correlações entre os fatos apurados e a miríade de dados processados e analisados pela empresa. Além do relato em si, o uso do Canal de Denúncias aporta evidências em formato digital, tais como e-mails, gravações de áudio, fotos e vídeos.

O próprio Canal de Denúncias em si não deixa de ser um exemplo da evolução tecnológica a serviço do combate à corrupção e outros desvios. Com o apoio da internet, dos smartphones e das conexões globais de dados e telefonia, o canal interliga o denunciante com a estrutura especializada de captação de denúncia. Permite total segurança e anonimato. Oferece a possibilidade de interação eletrônica para enriquecimento de informações e uma série de funcionalidades que agilizam a etapa de investigação ao mesmo tempo em que preservam o sigilo e confidencialidade das informações.

As tecnologias comentadas aqui já estão disponíveis e em franca utilização. No entanto, há novidades no horizonte, como o Deep Learning e aplicações para análise de linguagem natural, que quando empregadas com inteligência, continuarão revolucionando as práticas e capacidades de detecção e combate às irregularidades nas empresas, fortalecendo sua atuação preventiva e investigativa.

Gostaria de contar com uma estrutura completa e efetiva para detecção, captura, monitoramento e análise contínua de situações que trazem riscos ao seu negócio? Entre em contato com os especialistas da ICTS Outsourcing e descubra como aliamos expertise e novas tecnologias em nossa plataforma integrada de serviços para gestão de Riscos, Ética e Compliance.

O que é o GDPR? E por que você deve entender

Nova regra exige que os usuários sejam avisados dentro de 72 horas após o vazamento de dados pessoais, além da aplicação de multas

Por  @fsbeling em 25/05/2018 – atualização: 29/06/2018 10:32 em INTERNET

Este é considerado o maior conjunto de proteção à privacidade online já criado desde o início da internet; o GDPR foi aprovado em 2016, porém estava com a sua aplicação suspensa, para período de adaptação.

Confira os 11 principais pontos do Regulamento Geral de Proteção de Dados (GPDR)

  1. Usuários podem, em algumas situações, ver, corrigir ou até deletar as informações que empresas guardam sobre ele;
  2. Empresas devem coletar apenas dados necessários para que seus serviços funcionem;
  3. Coleta e uso de dados pessoais só podem ser feitas com consentimento explícito;
  4. Qualquer serviço conectado tem de conceder ‘direito ao esquecimento’;
  5. Informações de crianças ganham proteção especial;
  6. Clientes que tiverem dados hackeados devem ser avisados em até 72 horas;
  7. Empresas devem informar com linguagem compreensível sua política de proteção de dados;
  8. Infratores são punidos com multa pesada, de € 20 milhões ou 4% do volume global de negócios da empresa;
  9. Dados de europeus podem ser transferidos só para países com lei de proteção de dados equivalente à europeia;
  10. Empresas que tratem dados de europeus têm de seguir a lei europeia caso estejam em países não considerados “portos seguros”;
  11. Grandes processadoras de informação têm de guardar registros sobre todas as vezes em que manipularam dados.

O Advogado português João Pereira Pinto, que auxilia empresas europeias no processo de adaptação a esse novo cenário, disse: “É uma mudança de cultura. Mesmo estando online, nós não podemos perder a segurança ou privacidade”.

Brasil

O GDPR também pode trazer consequências às companhias de tecnologia de todo o planeta, assim como impactar na conduta de muitos internautas, mesmo que seja uma lei aplicada na Europa. Além disso, também pode sofrer penalidades toda e qualquer companhia que manipule dados, em casos de recebimento de informações de europeus.

O que ocorre é que o regulamento europeu possui aplicação extraterritorial, o que significa dizer que os outros países precisam estar em conformidade, sob pena de receber penalidades no caso de vazamento ou de mau uso de dados pessoais. Os efeitos da GDPR podem ser aplicados aos brasileiros em três situações: quando subsidiárias de empresas europeias no Brasil e tratarem de dados de cidadãos europeus e de pessoas que residam na Europa; empresas brasileiras que fizerem ou tiverem alguma transação que envolva dados pessoais com a Europa; empresas brasileiras que não fizerem transação alguma com a Europa, mas que, em algum momento, tratarem dados de europeus, ainda que em solo brasileiro.

Agora, existe também uma quarta situação em que os brasileiros terão relações com empresas regidas pelos termos europeus: é o caso das subsidiárias no Brasil de empresas não-europeias, porém com presença na Europa. Neste processo, estão envolvidas as maiores empresas de tecnologia do mundo, como Facebook, Google, Microsoft, Apple e Twitter.

No caso, estão dividas em dois grupos: aquelas que irão liberar as mudanças para usuários de todos os lugares, como Facebook, Google e Microsoft, e as que farão restrições às alterações a europeus ou selecionarão quais das novas regras levarão a usuários de outros locais, como Twitter e Apple.

A juíza Viviane Maldonado, do Tribunal de Justiça de São Paulo, disse: “O que ocorre é que o regulamento europeu possui aplicação extraterritorial, o que significa dizer que os outros países precisam estar em conformidade, sob pena de receber penalidades no caso de vazamento ou de mau uso de dados pessoaisNão está muito bem esclarecido como vai ser feita a execução da lei, do ponto de vista de alcançar empresas que estão fora da comunidade europeia. Terá que haver uma transposição e também serem usados instrumentos de cooperação.”

Mudanças

Com o GDPR, o chamado “direito ao esquecimento” passa a ser lei e tem sua aplicação ampliada; é obrigatório deletar registros de informações pessoais. Contudo, existe uma ressalva: as empresas poderão manter informações necessárias para propósitos históricos, estatísticos e científicos, para saúde pública ou para exercer o direito de liberdade de expressão.

Para proteção das crianças, o “direito ao esquecimento” possui um capítulo especial para evitar que fiquem expostas à internet. Com isso, todas as redes sociais que queiram contar com crianças entre seus membros terão de pedir consentimento aos pais. Cada país do bloco decidirá a que faixa etária se aplica essa regra, que poderá variar dos 13 aos 16 anos. Sendo assim, o aplicativo de mensagens instantâneas WhatsApp estabeleceu 16 anos de idade mínima para usar o app no bloco comum europeu.

Entre as mudanças, passa a ser exigida a permissão do usuário para começar a coletar os seus dados. Para isso, as companhias deverão receber um “claro e afirmativo” consentimento dos donos dessas informações. Além disso, as empresas terão que criar meios para clientes baixarem um pacote com todo os seus dados armazenados pela mesma. O WhatsApp foi obrigado a criar o seu, Facebook e Google já contavam com esses canais.

Empresas passam a ter prazo de 72 horas para avisar clientes sobre vazamento de seus dados pessoaisEmpresas passam a ter prazo de 72 horas para avisar clientes sobre vazamento de seus dados pessoais

Da mesma forma como funciona atualmente a transferência de dados através da portabilidade de celular, de uma linha para outra, os donos de dados pessoais passam a ter o direito de transferir suas informações de um serviço conectado para outro, sem sofrer qualquer restrição por parte da empresa atual.

Além disso, as companhias também passam a ser obrigadas a alertar os seus clientes assim que tiverem os seus servidores hackeados, os avisando de que suas informações pessoais foram expostas, com prazo para esse aviso de 72 horas, a partir do momento em que tiverem certeza do ocorrido. A regra é válida inclusive para empresas terceirizadas.

Companhias donas de serviços conectados precisam explicar aos usuários através de uma linguagem clara e compreensível quais são as políticas de privacidade de suas ferramentas.

As empresas que quiserem receber, tratar ou processar dados de europeus vão necessitar criar escritórios específicos para proteção de dados, o qual ficará encarregado de analisar se a política da companhia está de acordo com as leis europeias.

Vale ressaltar que a lei é única para todos os países da União Europeia e com poder extraterritorial, envolvendo todos os países e empresas, mesmo que não estiverem dentro do bloco, bastando que mantenham relações com os países membros. Além disso, as empresas europeias deverão contratar somente fornecedores que cumpram a lei.

Multa

Para quem quebrar as novas regras, a União Europeia tornou mais rígida a punição, com € 20 milhões ou 4% do volume global de negócios anual da infratora.

VII Workshop de Compliance – Compliance Digital

O 7º Workshop Compliance QFS/GFS tratou dos riscos relacionados ao uso das tecnologias da informação.

Itens abordados:

  • Proposta para atualização de todas as equipes: realização de um questionário de aproveitamento dos 7 workshops, a ser respondido por todos os colaboradores do Grupo. O material dos workshops pode ser solicitado a Iris ou a Euni;
  • Distribuir uma lista de perguntas sobre ética;
  • Sugestão feita pela consultora Andrea Antinoro: incluir na cultura da empresa o hábito de que cada encontro interno ou externo de colaboradores e representantes das empresas do Grupo iniciem com um breve comentário sobre ética;
  • Abordagem do problema posto pela “Shadow IT”;
  • Abordagem do problema posto pela política de BYOD;
  • Regularização do licenciamento de software: documentar o planejamento de licenciamento e tornar essa documentação facilmente acessível aos auditores da CGU;
  • Programar auditorias de TI sob o enfoque de Compliance: pelo Comitê e por auditores externos (anualmente);
  • Iniciar o processo de comunicação / aculturamento visual com relação ao Programa de Compliance.

Create A product first!

Create a product first please!