Compliance e LGPD para indústrias com a especialista Natascha Cima

E aí e eu me arrisco a dizer que num futuro não muito distante as empresas que não tiver em combate ou não conseguiram está dentro do mercado competitivamente ou vai sobrar uma fatia pequena do mercado para que ela é dividam então vai ser uma loucura para quem não tiver uma fatia bem melhor para poder dividir Olá tudo bem Aqui é a Rafaela Barreto e hoje eu tô com uma convidada super especial a Natasha em cima para a gente poder falar sobre com quais a Natasha ela é advogada é engenheira também é auditora líder ela é vice-presidente da comissão de pontuais da OAB Santos e professora ou seja o currículo a bagagem que ela tem para poder compartilhar aqui com a gente é bem vasta para a gente poder aprender o mais pouco sobre contraem-se não é isso Natasha seja muito bem-vinda boa tarde boa tarde Rafaela Muito obrigado primeiramente oportunidade para gente falar aqui para um tema até que eu falei para você antes que e não é uma paixão minha relação com pai não poder compartilhar um pouquinho daquilo que a gente vive eu acho que é bastante importante e eu fico muito feliz com isso na taça para a gente poder começar a gente precisa iniciar do começo né Queria que você explicasse um pouco sobre Afinal o que é cúmplice cúmplice tem muitas pessoas que falam né é aquela frase já batida até essa Quem já Conhece com paz que vem do verbo de comprar é estar em conformidade com leis e regulamentos negócio de um piar melhores conceitos na cara desse com vocês mas o que é isso né estar em conformidade está em comprar e fritar em conformidade com leis e regulamentos eu prefiro explicar o que que serve o que ocorre com esse você consertou Não complique se ele é focado nas empresas então voltados às organizações com o objetivo é realmente em estavam está conforme a legislação e os e definidos pela própria empresa Então as regras de requisitos definidos como lei da empresa é definida pela própria empresa além disso a gente também a tua estar em conformidade com isso então a legislação e com os regulamentos internos da empresa mas com valores valores éticos e íntegros então é trazer os valores da organização para os seus colaboradores e para a sociedade né porque a gente atinge não só a empresa como levo a sociedade inclusiva parte uma muitas pessoas levam essas informações para fora de casa como então definir as regras da dos valores da organização é uma nova é a que o funcionário dela propague dentro da empresa mais propaga com seus clientes com seus fornecedores nas suas redes sociais então esses são os valores definidos pela organização para a empresa estar em conformidade todos estarem conformidades além da legislação alguém é um plana o cinza também é e qual seria muitas pessoas confundem qual seria a principal diferença entre compliance e governança governança Empresarial e também auditoria a diferença entre o governo nossa complacência auditoria Então dentro da governança com vai se está inserido nela Então para o pai se ele faz parte da governança Empresarial governança corporativa é a uma das das Vertentes dentro de governança corporativa é com pais então a gente ela está dentro de compliance né pode estar vendo como também paralelo então falando isso não gostaria de com Plus negaram de comprar esse gente tem governança compliance e auditoria interna que ela está dentro de qual país e o complexo dentro da governância porque encontrar essa auditoria interna é o momento que a gente faz os testes do funcionamento do combate uma forma bem Ampla né que a gente testa e monitora o funcionamento do complexo e está funcionando né e tudo mais e isso está dentro governança corporativa entendida é Natasha o sistema de gestão de compliance ele pode ser implantado em qual tipo de empresa tem um tipo específico ou pode ser para qualquer segmento e qualquer porte que são excelente pergunta que é uma dúvida muito grande e agora vou responder de frase te dar exemplos práticos lá o sistema de complacência ele pode ser desenvolvido para qualquer tipo de empresa inclusive para empresário individual bom então você pode desenvolver independe do tamanho de empresa pequena média grande ou até mesmo Considerando o empresário individual ideia eu já trabalhei com empresas tanto de uma pessoa na verdade duas que a gente precisa ter alguém a mais para garantir a autoridade de dependência de pombais então de duas pessoas ou empresas de milhares de pessoas então independe do tamanho porque a empresa ela não precisa ter um porte maior para você definir os seus valores dentro da sua organização que sejam propagadas especialmente a empresa vai falar mas eu não tenho os colaboradores para propagar os meus valores sim no momento pode não ter mais um dia pode ter E além disso são os seus valores que você quer que seus fornecedores e seus clientes percebam que você tem tendo os seus valores Então isso é aplicável para todo tipo de emprego legal é quais são os principais motivos que faz a organização buscar a implementação de um sistema de gestão de compôs os motivos da organização buscaram o sistema de gestão de compliance É o que eu mais vejo termos práticos exigência do mercado e na legislação então desde relação por exemplo uma empresa que quer contratar com estatais ou sociedade de economia mista que é o caso por exemplo da Petrobras ela tem que atender a legislação que exige que tem um programa de integridade é o que que acontece o mercado tem exigido então isso a legislação mas o mercado tem exigido cada vez mais o que os seus fornecedores com a sua cadeia de fornecedores têm ao complais eu me arrisco a dizer que num futuro não muito distante as empresas que não tiver em combate ou não conseguiram está dentro no mercado competitivamente ou vai sobrar uma fatia pequena do mercado para que elas é é tão vai ser uma loucura para quem não tiver uma fatia bem menor para poder dividir além dessa questão da competitividade é laudos e o atestado sobre a integridade da empresa o complexo ele tem a ver também com a reputação da marca né de qual maneira isso está relacionado como uma influencia no outro em relação a imagem está diretamente ligado a imagem porque praticamente como eu falei para você que a gente define os valores estão ligados a empresa né organização isso reflete na sua imagem e hoje a gente sabe que um bem extremamente valorizado dentro da organização imagem reputacional e você consegue melhorar essa imagem fortalecer mágico um problema porque você vai além de atender a legislação né você vai estar fortalecendo os seus valores para dentro e para fora da empresa tem então isso tem a ver com o público interno né que são os funcionários colaboradores e também externo que seria os clientes e os fornecedores e enfim todo mundo que envolve a empresa pode ser inclusive os prestadores de serviços que atuam em nome da empresa por exemplo em empresas que tenham um representante comercial que é muito comum né então que vai fazer as vendas ele pode não necessariamente é uma pessoa integrante do padre de funcionários entretanto ele vai responder em nome da organização tá um como ele vai agir em nome da empresa ele também tem que a gente acordo com os valores levar em sua frente para a empresa porque ele vai está atuando como se da empresa fosse um Oi e a no caso Natasha o gestor o dono da empresa ele pode como eu vou dizer de alguma maneira fiscalizar se esses fornecedores parceiros e pessoas que eles não são funcionários mas são terceirizados mas que usa o nome da empresa na rua é de qual maneira o gestor ele pode primeiro treinar e depois cobrar que essas pessoas estejam alinhadas com as diretrizes da empresa as pessoas que agem órgãos são quando a gente que como exemplo comercial Ou vendedor isso que a gente também tem peças que atuam em vendedores externos né não fazem parte do quadro de colaboradores internos são dois bons exemplos Como que vai a empresa são duas formas que ela pode ser um se preocupar em contrato algum contrato tinha feito com esse profissional que tenha cláusula contratual Tô terminando o atendimento das suas regras no caso sítio sendo complexo as regras de conversa atendimento à legislação também aplicar água e sal ele também se preocupar com cláusula de confidencialidade e sigilo né E também a possibilidade de penalização se a pessoa responder essas regras como a rescisão contratual né e outras formas também que a gente pode ter mas pessoalmente nesse caso com rescisão contratual tão cláusula contratual além disso a pessoa dessa pessoa vamos ver aqui esse prestador receber o código de quando esta conduta da organização ambiental política anticorrupção que representa uma política com mais aquele sistema aí nesse caso ele receba e tome conhecimento ou a possibilidade ou além de recebeu de tomar conhecimento empresa trem a respeito disso né a gente tem um Há até quem então eu não tenho condições de treinar esses profissionais Mas falando que ele receba tome ciência e Deus seu comprometimento né que ele se comprometeu em cumprir essas regras além de encontrar contar em cláusula contratual por quê porque pode ser transgredir essas regras esses valores a organização pode virar puniu não uma forma sentem é E no caso uma taxa para uma empresa que quer começar a implantar um sistema de gestão de compliance por onde ela deve começar é através do Código de Conduta ou é através do qual caminho seguir por onde começar que pende o caminho que ela quer tomar por exemplo a empresa pode decidir já a montar uma estrutura completa de combate né então montaram uma estrutura com todas as políticas necessárias os você pode como você falou é depender realmente não da organização dos seus objetivos seus valores e tudo mais e também tem alguns uma estrutura exigida inclusive em legislação né mas estrutura mínima necessária ou para empresa fala assim Nossa é muito comum essa dúvida mas tem um custo onde um profissional meu para fazer isso ou a contratação de um terceiro para fazer isso para mim e às vezes esse curso a empresa não quer fazer um investimento completo que é um investimento mas não deixar claro parece muito com ela pode começar em Partes como você falou pode começar por um um código para uma caneta de riscos uma política né muitas empresas que não tem nada de complicado às vezes optam por pelo menos ter um código de conduta e É como eu digo é melhor do que não ter é pouca coisa atendo com Play Store comprar externo Código de Conduta não necessariamente está começando a ter isso não é uma estrutura mais tem e ali e nessa que eu brinco eu te amo muito mas é uma brincadeira aqui mas é sério quando o treino os colaboradores em relação a isso que eu considero o Código de Conduta que ele é aquele livrinho de cabeceira as pessoas tem que ter antes de dormir vai horário tarde assim dormindo vai orar Então antes de orar você leia um pouquinho código PIN dele depois você hora que aquilo lá quem tá junto de você sempre tá aqui lá a gente vai ter as regras gerais da empresa e os seus valores e de que maneira Natasha uma vez implantado o sistema de comprar em si como a empresa ela pode fazer a manutenção o acompanhamento disso e talvez até mesmo atualização a gente tem algumas formas de monitoramento do programa própria auditoria interna em que a gente Serpa o sistema o programa de combate prefiro andamento altura realmente diz que temos o sistema de complexo como um todo esse tema é mais vivo né enterro de compra mais com um todo além de auditoria que elas podem ser periódicas você pode definir pelo menos uma vez aula não me uma vez no ano mas pode ter uma perda da cidade menor até porque depende da estrutura da organização Mas a gente não consegue auditar todas as áreas da empresa os processos da empresa e uma semana só você precisa fazer empate de fenda mais indústria né então você pode parcelar a histórinha fazemos ciclo completo pelo menos uma vez ao ano ou a cada 6 meses como foi definido a outra maneira de monitorar os treinamentos ter um plano anual de Treinamento no programa durante o ônibus treinamento um cronograma de Treinamento que você vai ter treinar constantemente seus profissionais acompanhar avaliação de eficácia desses treinamento de entendimento dos profissionais você vai está monitorando Além disso canal de denúncias ou também prefiro um canal de relatos não é um canal de ética Aqui as pessoas tenham condições de vir trazer alguma preocupação alguma para sempre com vou até trazer algum ponto de preocupação levantado nisso você consegue entender como está funcionando seu sistema né também com a participação da alta direção em momentos dentro do sistema né fazendo uma análise acompanhando seu sistema fazendo uma análise crítica disso então são várias formas que a gente tem e monitoramento e uma outra muito importante a sacada minhas diligências prévias ou pedir-lhe gente que a gente chama é o que você antes de contratar por exemplo um fornecedor é você conhecer eles fornecedor que você está contratando esse prestador de serviço que está associando o seu nome aquele aquela empresa aquele apresentador porque porque você tem que conhecer ninguém você está contratando para verificar se realmente têm os mesmos valores que os seus pra gente como a gente falou um pouquinho antes sobre imagem então com quem você está associando a sua imagem a gente não ter problemas que às vezes a gente acontece é conhece né que acontece inclusive hoje na muito na divulgação na mídia né claro isso não vai eliminar a possibilidade da ocorrência mais minimiza sim é verdade é a gente fala um pouco sobre nós estamos auditoria né Natacha como uma empresa ela pode se preparar para ser auditada e isso é bem interessante também porque a gente tem duas formas de execução de auditoria a gente pode fazer auditoria interna por alguém de dentro da empresa aí tem que tomar um cuidado quando a vistoria foi feita pela própria empresa que o seguinte porque nunca pode ser feita uma auditoria com uma pessoa só e ele tem que ser pelo menos duas pessoas por quê Porque quem é eu eu estou digitando a empresa não posso editar minha própria área porque é uma um dos princípios de auditoria é a imparcialidade ela tem que esperar imparcialidade para onde tá normal É muito difícil você garantir aliás novamente porque difícil você garante a imparcialidade de que ele tá ajudando só para o trabalho né porque senão nós estamos eu trabalho então por essa razão você tem que ter pelo menos dois auditores para aqui o áudio e tornou-se a pro cara vem uma outra pessoa que ajeitar né então não pode às vezes auditar empresa toda mas a área dele é uma outra pessoa áudio e uma segunda é a possibilidade em contratar uma pessoa de fora é um profissional onde fora que ele já vem para imparcialidade ele pode ser um profissional Mais também tudo depende da realidade da empresa não tá mãe que vai fazer auditoria dentro da empresa auditoria ela tem que ser planejado então assim a programação deste de quando vai ser executado no ano a gente tem que ter um planejamento o quê que vai ser auditado nessa auditoria né E também é tomar cuidado que tem é importante ter com pai se ele envolve a empresa como um todo então a gente precisa entender como está funcionando com passe dentro de toda organização dente de todos os processos de organização Então é só com bases em cima área de Congresso se tiver a gente vai ter que entender como é que está funcionando lá em compras lá e vendas na área financeira é importante a gente considerar o planejamento dessa auditoria em que a gente audit a empresa como um todo como eu falei a gente tem que considerar as áreas da organização que a gente chama de processos né então todas as a as atividades organização como isso executaram Lembrando que compõem se faz parte da organização como um todo não só é de responsabilidade da área de compas compas o funcionário da participação de todos então a gente tem que auditar as áreas mas é importante um bom planejamento é pra gente conseguir atingir todos os processos da organização sim é anteriormente no outra resposta você tinha chegado acertar a parte de riscos na Gestão de Risco O que é Afinal Gestão de Risco e de que maneira isso está relacionado con complice os riscos é algo que tem coragem de copo alma conhecimento e contato com a gente leva para tudo gente local igual complacência desculpa a brincadeira que eu vou fazer aqui mas é porque eu costumo falar que é verdade que começa a trabalhar outro tem conhecimento ou viver um mundo de compasso você ver com 40 em Tudo É eu até brinco perigosa existe um filme né que fala um beijo beijo pessoas mortas né Então finalmente eu vejo o pai Sim tudo realmente não é fácil nele tudo assim como riscos quando você começa a fazer uma avaliação levantamento de riscos da organização você começa a pensar riscos como um todo né que seria riscos é para gente fazer uma avaliação de riscos da organização a gente pode segmentar então definir ar eu vou verificar quais são os riscos que eu tenho a mesa na minha empresa nos meus processos na minhas áreas nas minhas atividades de corrupção de suborno de fraude em questões trabalhistas teu comprar resposta a gente tem a legislação como um todo riscos trabalhistas riscos ambientais riscos de segurança e saúde ocupacional riscos previdenciários então assim tributário o primeiro. Entender se você quer a empresa quer fazer uma pra mente de todo e qualquer risco da organização ou segmentado pode começar segmentados não é tão independentemente disso né de segmentado ou todos os riscos organização tem que entender em todas as suas atividades em todos os seus processos levantar os riscos relacionados a isso aí a temática por exemplo opção eu vou entender todas as atividades da empresa aonde que é essa possibilidade de recebimento de vantagem indevida a possibilidade de suborno possibilidade por exemplo de fraude aí eu fazia isso levantamento como fazer entrevistas envolver todo mundo dentro da empresa fazer entrevistas ou também a fazer um chato com as áreas né para entender quais são os riscos ali dentro daquela atividade na temática escolhida por exemplo a corrupção então eu vou verificar com as aulas porque a gente pode chegar com uma ideia uma pessoa até de fora dos otários uma ideia de riscos numa empresa como um todo só que nada melhor que a própria pessoa que está envolvido na atividade no dia-a-dia naquela atividade para dizer a possibilidade de um risco que às vezes a gente enxerga uma vez que o Mateus chega lá se detalha esse risco com as pessoas não têm importante ouvir as pessoas envolver as pessoas depois que eu faço por esse levantamento dos possíveis riscos eu vou ter que fazer uma avaliação disso né verificar qualquer probabilidade correta Qual o impacto da organização se impacta de imagem ação é financeiro de legislação por exemplo fazer o tipo de impacto para eu fazer o seguinte cruzar a probabilidade e Impacto para verificar o som daquele risco a porque você vai falar porque eu vou fazer a classificação de risco Porque tem uma classificação de ser riscos eu tenho que trabalhar em controles Ok ideia qualquer tipo de riso prevenir e remediar mitigar riscos então eu tenho uma análise entendendo o risco fazendo uma análise dele com a classificação dele por exemplo que o risco é Baixo médio ou alto eu vou trabalhar os pontos onde a gente cima disso porque é um risco baixo eu posso ter um esforço menor de controle disse que o médico tem que ter mais controles e o risco alto também Lembrando que esse risco alto ele vai me dar um além da probabilidade e Impacto maior na empresa Então tem que trabalhar mais em cima para que para prevenir e remediar esse acontecer mitigar a os efeitos desse risco na minha organização excelência é muito detalhado e preciso Então mas essa estrutura macro de riscos sem já deu pra gente poder compreender Esse é o macro realmente do conceito é bom pelo que a gente tá vendo aqui na taxa você me corrija por favor se eu estiver errado mas eu tô enxergando o comparasse com três pilares o primeiro Pilar seria a regra além de digamos assim o outro Pilar o processo né Google na que aquilo vai se desenvolvendo no cotidiano na empresa e as pessoas que vão fazer aquilo acontecer que eu vou fazer aquilo ser cumprido e quando a gente chega na parte de pessoas talvez essa seja a parte mais não vou falar difícil mas mais desafiadora eu juro é mais trabalhosos exatamente por que isso tem a ver com mais Barra em diferentes questões eu vou entrar numa pergunta que eu não sei se se a resposta é simples mas como uma um funcionário um colaborador por exemplo ele quis/numa situação Oi e ele sabe que ele deveria denunciar ou enfim ele deveria ter alguma conduta em relação àquela situação que que aconteceu mas ocorre também o medo de ser mandado embora ou de ficar mal com os colegas ou descer o taxado como x-9 digamos assim de que maneira a direção da empresa ela pode estimular que as pessoas elas denunciem quando situações não conformes aparecem mais que eu mesmo tempo aquele colaborador ele se sinta confortável e seguro por fazer isso e o parte do início né para a gente ter um comboio bem é efetivo não só tem uma estrutura de compasso nele será efetiva dentro de uma empresa a gente precisa com os treinar como a gente falou pouco e concientizar as pessoas Então as pessoas entenderem que tem umas pessoa de convarde para que que ele deve Quais são os valores da organização tudo que pode acontecer no caso cumprimento é que a gente chama inclusive de Cultura de compasso a gente ter essa cultura trazer a cultura mais difícil não basta treinar a gente tem todo mundo bem entender essa cultura vivenciar essa Cultura a partir do momento que as pessoas realmente entenderem que tem uma cultura de com pais que isso a gente precisa de uma participação muito forte da outra direção a participação muito porta dos gestores é porque o primeiro. As pessoas verem que aquele existe com aquele funciona isso já vai começar a trabalhar em cima aquilo que você falou do Medo do receio né Se eu falar alguma coisa que pode acontecer com a parte da mente que realmente for demonstrado que tem uma cultura de comprar esta organização que existe pela pode aquele remédio para direção é é demonstra aqui que funciona e ela dá o exemplo mesmo seu dia a dia nossas atividades isso já vai trazer uma confiança das pessoas segundo.

A gente precisa ter nem as estruturas com vai ser um no canal como eu falei para você que eu prefiro de falar de relato de um canal de levantar mente de preocupações também conhecido como os canais de denúncia com garantia de confidencialidade e de Anonimato ele tem que ter um meio que a cor de cimento da empresa tem que garantir a confidencialidade daquela denúncia recebida o mato porque eu posso não querer me identificar Então esse canal tem que tomar cuidado que realmente tem garantir esse Anonimato que às vezes só o fato que que acontece as pessoas falam ai eu não dou meu nome mas é só facilmente identificado se ele falar não tem que tomar esse Cuidado quem vai tomar conhecimento desse assunto garante ele realmente Anonimato Para quê Para a gente não ter o risco de sofrer Retaliação a gente sabe que dependendo do assunto Imagina eu faço com vou lá levantar uma denúncia é uma denúncia contra o meu próprio gestor e ele tomar conhecimento disso não é incomum as pessoas que ficaram com raiva e querendo se vingar Ou seja retaliando a pessoa dentro da organização às vezes até mudando de área às vezes estrutura uma forma pessoa ser mandado embora então isso tem que ser tomado cuidado por isso não consegui fazer uma de no você tem que ter essa cultura entender que se funciona na garganta acidente aporte ter um canal do que eu tenho a possibilidade do Anonimato e garantia da confidencialidade e também que não vou sofrer Retaliação que existem denúncias que por mais que eu faço de forma anônima um dia as pessoas não tamanho da empresa vão saber e muito provavelmente pega uma área de três pessoas têm uma denúncia de saber que foi elas informações tem pernas como um dos três denunciou então ele ter certeza que ele não vai ser retalhado né que isso vai realmente se levado à frente com muita preocupação com muita cautela e com muito comprometimento da empresa por isso que aquilo que eu falei para você é pouco a alta direção tem que fazer a parte dela que ela aqui para for traga isso né até o esse cuidado não tá aqui do lado de cima sem verdade é bom para gente poder finalizar Natasha o papo que tá muito bom eu queria que você falasse um pouco sobre LG perder que é um assunto que relativamente novo anomos daqui a gente é uma empresa de tecnologia e o pessoal que tá aqui no blog Industrial acompanhando a gente também está bastante envolvido com tecnologia então eu gostaria que você comentasse sobre como uma indústria pode se adequar né pode ficar em conformidade com a LC perder e isso é bastante importante você sabe que a Lígia perder a está diretamente ligada a qual mais porque é uma lei para você atender como a gente falou estar em conformidade com a legislação então estar em conformidade para não perder os também faz parte pode vir fazer parte do complexo né é o que que acontece as empresas tem que tomar realmente o cuidado para não perder uma dica que eu posso dar é pensar em ter cuidado com mapeamento dos dados que são tratados pela empresa Lembrando que são os dados para tá de folga 15 econômicos os titulares desses dados então fazer um levantamento que a gente chama de mapeamento de quais são os titulares e os dados tratados pela empresa para fins econômicos Além disso como que esse dado L ele caminha dentro da empresa então a eu recebo por exemplo por compra depois vai lá para a parte operacional depois vai lá para entrega para venda a felicidade o caminho da empresa por todas as áreas por todos os setores por todos os sistemas falando tecnologia como que o armazenam essa informação eu tenho que ter um armazenamento pensar em tempo de retenção em tempo que a gente chama de guarda ou retenção de descarte dessa informação e então muito cuidado para armazenamento por quê Porque a possibilidade de um vazamento não dá desse que pode causar problema é o armazenamento tem que tomar muito cuidado Inclusive a forma de descarte também porque eu tenho garantir quando houver o descarte finalmente o dado seja completamente descartado né e a gente sabe que às vezes só pegar se fosse papel a gente fala só brincando pega estrutura né não rasga textura no papel como a gente faz não tem mais papel né eletrônico então aonde como é que cidade realmente ser apagado do meu sistema e mais tomar alguns cuidados principalmente tenham acesso aos dados as durante o caminho desse dado né na empresa as eu fiz um pira cidade a terra ter se dado né não deixa aberto para todo mundo porque senão a gente vai aumentando a possibilidade de vazamento né que o mar risco de não atender o gp de é o vazamento hoje dado é que chamaram de novo petróleo né os dados com ela o perdão Além disso então a fiz nesse mapeamento uma forma bem resumida aqui para esmagamento do trabalho eu tenho que pensar em que cláusulas contratuais ou fornecedores com os clientes com os meus colaboradores não posso esquecer porque eu tenho os meus colaboradores também são titulares de dados e eu porque eu uso os dados dele para fins econômicos né então os colaboradores também que os tomar cuidado com os melhores profissionais que trabalham para mim para a cidade o armazenamento então contra a plântula contratual né e pensar muito Ah não não pode a gente não pode esquecer da Necessidade ter um responsável que a gente chama de criou né Que nada mais é que o responsável pela empresa que ele vai fazer é e já forma bem resumida ele que vai ser o responsáve em assessorar a empresa com as informações e também levar aos órgãos responsáveis né seu canal de comunicação com os órgãos responsáveis Então são. . .