Compliance de TI Garantindo a Conformidade e a Segurança no Atual Cenário Digital - Sua Importância nas Organizações

O avanço da tecnologia trouxe muitos benefícios para as organizações, mas junto com os benefícios vieram desafios significativos relacionados à gestão e segurança da informação. Nesse contexto, o Compliance de TI emergiu como um conjunto de práticas destinadas a garantir que os sistemas e processos de TI estejam em conformidade com legislações, normas e políticas internas. Esse conceito vai além da simples adoção de tecnologias, envolvendo a criação de uma cultura organizacional que prioriza a ética, a transparência e a segurança.

A Relevância da Conformidade de TI - Compliance de TI e a LGPD

A conformidade de TI não é apenas uma questão de cumprimento legal, mas também um diferencial estratégico. A implementação de boas práticas de conformidade auxilia na prevenção de fraudes, na proteção de dados e na promoção da transparência.

No Brasil, a Lei Geral de Proteção de Dados (Lei nº 13.709/2018) trouxe um marco regulatório significativo para o tratamento de dados pessoais, reforçou a necessidade de compliance nas organizações. Por força da LGPD, empresas que tratam dados pessoais, sensíveis ou não, precisam adotar medidas rigorosas para garantir a privacidade e segurança, sendo o Compliance de TI uma ferramenta indispensável nesse processo. A implementação de controles de acesso, criptografia e políticas claras de retenção de dados são práticas fundamentais para atender aos requisitos legais.

Além disso, a LGPD estabelece a obrigatoriedade de relatórios de impacto à proteção de dados, que requerem alinhamento com as melhores práticas de mercado, muitas vezes baseadas nas normas ISO.

Normas e Padrões Relevantes para o Compliance de TI

As normas da International Organization for Standardization (ISO) desempenham um papel essencial no estabelecimento de diretrizes de boas práticas. Entre as mais relevantes, destacam-se a ISO 27001, que trata do Sistema de Gestão da Segurança da Informação (SGSI); a ISO 27701, que trata da gestão de privacidade (SGPI); a ISO 22301, que trata da continuidade de negócios, e a ISO 31000, relacionada à gestão de riscos, complementam o arcabouço necessário para uma gestão de TI segura e eficiente.

Além das normas ISO, é indispensável considerar frameworks como o COBIT (Control Objectives for Information and Related Technologies), que fornece um modelo para governança e gestão de TI, alinhando tecnologia aos objetivos organizacionais.

AI Act e o Compliance de TI

O AI Act, proposto pela União Europeia, busca estabelecer um quadro regulatório para o uso de sistemas de inteligência artificial, definindo regras claras para promover a transparência, segurança e confiabilidade dessas tecnologias. O regulamento classifica os sistemas de IA em categorias de risco, aplicando requisitos mais rigorosos aos sistemas de alto risco, como os usados em infraestrutura crítica, serviços financeiros e proteção de dados. Essa abordagem visa mitigar potenciais danos à privacidade e à segurança, exigindo conformidade com padrões técnicos e avaliações periódicas de impacto.

Os sistemas de inteligência artificial são classificados em quatro categorias de risco, com base no impacto potencial dessas tecnologias na sociedade. Essas categorias são:

Risco inaceitável: Sistemas de IA que representam uma ameaça significativa aos direitos fundamentais ou à segurança são proibidos. Exemplos incluem sistemas de vigilância em massa que utilizam reconhecimento facial em tempo real em locais públicos (com exceções específicas) e ferramentas de manipulação subliminar que podem prejudicar indivíduos.

Risco alto: Inclui sistemas de IA que têm um impacto significativo em aspectos críticos da vida das pessoas, como educação, emprego, aplicação da lei e infraestrutura crítica. Esses sistemas estão sujeitos a requisitos rigorosos, como avaliações de conformidade, gestão de dados de qualidade e documentação técnica.

Risco limitado: Sistemas de IA que interagem diretamente com os usuários, como chatbots, precisam cumprir requisitos de transparência. Por exemplo, deve ser informado ao usuário que está interagindo com uma máquina, permitindo uma interação consciente.

Risco mínimo ou negligenciável: Sistemas de IA com baixo impacto, como filtros de spam ou recomendações de produtos, não estão sujeitos a requisitos específicos, pois são considerados seguros no contexto de uso geral.

Essa abordagem progressiva permite que o regulamento concentre seus esforços em áreas mais críticas, enquanto reduz a carga regulatória para sistemas de IA com impactos menores.

O impacto no compliance de TI e proteção de dados é significativo, pois as organizações que utilizam IA precisarão revisar suas práticas para atender às novas exigências legais. Isso inclui a implementação de mecanismos robustos de auditoria, a garantia da rastreabilidade de dados e a conformidade com leis de proteção de dados. Além disso, o AI Act reforça a necessidade de maior coordenação entre equipes de TI, segurança da informação e jurídico para assegurar que as soluções tecnológicas estejam alinhadas com as expectativas regulatórias e éticas impostas pelo novo marco legal.

Comparativo das Legislações de Segurança e Privacidade de Dados

As legislações de segurança e privacidade de dados variam significativamente entre países e regiões, refletindo diferenças culturais, econômicas e políticas. Abaixo, destacam-se as principais características das legislações no Brasil, Argentina, Chile, México, Canadá, Estados Unidos e Comunidade Europeia:

Argentina (Ley 25.326): Uma das primeiras da região, desde o ano 2000, a legislar sobre privacidade, a Lei de Proteção de Dados Pessoais garante o direito à privacidade e ao acesso às informações pessoais. Conta com uma autoridade reguladora forte, a Agencia de Acceso a la Información Pública (AAIP).

Brasil (Lei nº 13.709/2018 - LGPD): Inspirada no Regulamento Geral de Proteção de Dados (GDPR) da União Europeia, a LGPD estabelece princípios rigorosos para o tratamento de dados pessoais, abrangendo tanto o setor público quanto o privado. Prevê sanções administrativas severas, como multas de até 2% do faturamento da empresa.

Chile (Ley 19.628): A legislação chilena é uma das mais antigas (1999), porém considerada menos rigorosa em comparação a outras da região. Está em processo de modernização para alinhar-se a padrões internacionais, incluindo a criação de uma autoridade de proteção de dados.

México (Ley Federal de Protección de Datos Personales en Posesión de los Particulares – LFPDPPP): Reconhecida por seu detalhamento, esta legislação, em vigor desde 2010,  inclui princípios como consentimento expresso e direitos dos titulares, sendo fiscalizada pelo Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI).

Canadá (PIPEDA): A Personal Information Protection and Electronic Documents Act, desde o ano 2000, regula o tratamento de informações pessoais no setor privado. O Canadá é conhecido por seu forte compromisso com a privacidade, alinhando-se às expectativas globais.

Estados Unidos: Não possui uma legislação federal abrangente. Contudo, leis estaduais como a CCPA (California Consumer Privacy Act) e regulações setoriais como a HIPAA (Health Insurance Portability and Accountability Act) oferecem proteções relevantes.

Comunidade Europeia (GDPR): Considerada uma referência global, o Regulamento Geral de Proteção de Dados (Regulamento da UE 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016) estabelece um modelo robusto de proteção de dados, com princípios como a transparência, a responsabilidade e os direitos amplos dos titulares de dados. As multas podem chegar a 20 milhões de euros ou 4% do faturamento global.

Diferenças entre Segurança da Informação e Compliance de TI

Segurança da informação (SI) e compliance de TI são conceitos complementares, mas distintos. Enquanto a SI se concentra na proteção dos ativos digitais contra ameaças como vazamento de dados, ataques cibernéticos e acessos não autorizados, o compliance de TI visa garantir que os processos, sistemas e práticas tecnológicas estejam alinhados às normas regulatórias e às melhores práticas do setor.

Uma organização pode implementar controles robustos de segurança, mas, sem o compliance, pode falhar em atender às exigências regulatórias, como a Lei Geral de Proteção de Dados (LGPD) no Brasil. Por outro lado, o cumprimento único das normas não garante proteção adequada contra ameaças tecnológicas, reforçando a necessidade de uma abordagem integrada entre SI e compliance.

Benefícios e Desafios na Implementação do Compliance de TI

A adoção de programas de compliance em TI oferece uma série de benefícios estratégicos, incluindo a redução de riscos associados a ataques cibernéticos e vazamentos de informações, o alinhamento às exigências regulatórias e um aumento na credibilidade no mercado. Adicionalmente, essa prática melhora a governança corporativa ao fortalecer a transparência e a confiança entre os stakeholders, bem como otimiza a eficiência operacional por meio da padronização de processos, redução de custos e aumento da produtividade. No entanto, para que tais benefícios sejam alcançados, é imprescindível superar desafios significativos, como os altos investimentos financeiros necessários, as resistências às mudanças culturais organizacionais e a complexidade de acompanhar atualizações normativas e legais em constante evolução.

O compliance de TI além de desempenhar um papel essencial na proteção contra vulnerabilidades tecnológicas e na promoção da conformidade legal, evitando penalidades financeiras e danos à reputação corporativa, contribui também para uma gestão mais transparente e eficiente, promovendo ganhos tanto em produtividade quanto na consolidação da confiança no ambiente de negócios.

Responsabilidades dos Stakeholders

O sucesso do compliance de TI depende do engajamento de stakeholders em todos os níveis da organização, incluindo a alta administração, que deve fomentar uma cultura de conformidade e garantir os recursos necessários para sua implementação; os profissionais de TI, responsáveis por implementar controles técnicos e monitorar sistemas para assegurar a aderência às normas; auditores internos e externos, que avaliam a efetividade dos controles e identificam possíveis lacunas; e os colaboradores em geral, cuja função é seguir as políticas estabelecidas, participar de treinamentos e reportar potenciais inconformidades.

Práticas Recomendadas para um Gerenciamento Eficaz

Sem a implementação de práticas abrangentes e consistentes, não é possível assegurar que o compliance de TI seja eficaz. Desta forma, são necessárias auditorias regulares para identificar não conformidades e riscos potenciais antes que se tornem problemas significativos. Também o treinamento contínuo dos colaboradores promoverá a conscientização sobre responsabilidades individuais e os riscos de descumprimento das normas. Uma das melhores práticas é a adoção de frameworks reconhecidos, como o COBIT e as normas ISO, que oferecem diretrizes estruturadas para o gerenciamento da TI. A gestão de riscos, por sua vez, é essencial para identificar, avaliar e mitigar ameaças relacionadas à conformidade e à proteção de dados. Por fim, o monitoramento contínuo, viabilizado por ferramentas tecnológicas, que assegura visibilidade em tempo real sobre os processos e controles, garantindo uma abordagem preventiva e responsiva.

Considerações Finais

O Compliance de TI é uma área estratégica para as organizações, especialmente em um cenário de crescente digitalização e regulamentação. A adoção de normas internacionais, como a ISO/IEC 27001, e o alinhamento com legislações como a LGPD não são apenas um diferencial competitivo, mas uma necessidade para mitigar riscos e garantir a sustentabilidade dos negócios.

Referências

BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Dispõe sobre a proteção de dados pessoais e altera a Lei nº 12.965, de 23 de abril de 2014 (Marco Civil da Internet). Diário Oficial da União, Brasília, DF, 15 ago. 2018.

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 22301:2024: Segurança e resiliência - Sistema de gestão de continuidade de negócios - Requisitos.

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27001:2024: Tecnologia da informação - Segurança da informação, segurança cibernética e proteção à privacidade - Sistemas de gestão da segurança da informação - Requisitos.

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27002:2022:Segurança da informação, segurança cibernética e proteção à privacidade - Controles de segurança da informação

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27701:2019: Técnicas de segurança - Extensão da ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002 para gestão da privacidade da informação - Requisitos e diretrizes

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 31000:2018: Gestão de riscos - Diretrizes.

ARGENTINA. Ley 25.326, de 4 de outubro de 2000. Ley de Protección de los Datos Personales. Buenos Aires, 2000.

CHILE. Ley 19.628, de 28 de agosto de 1999. Ley sobre Protección de la Vida Privada. Santiago, 1999.

MÉXICO. Ley Federal de Protección de Datos Personales en Posesión de los Particulares, de 5 de julho de 2010. Diario Oficial de la Federación. Ciudad de México, 2010.

CANADÁ. Personal Information Protection and Electronic Documents Act (PIPEDA). Government of Canada, 2000.

UNIÃO EUROPEIA. Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016. Regulamento Geral sobre a Proteção de Dados. Bruxelas, 2016.

ESTADOS UNIDOS. California Consumer Privacy Act (CCPA). State of California, 2018.

Ricardo Rios - Linkidin - https://www.linkedin.com/in/rriosspbr/

DPO ANACO BRASIL

Embaixador Regional de São Paulo em Proteção e Privacidade de Dados da ANACO BRASIL