2019 - 07 - 29 PÁGINA RB-10.

1
Governança, Compliance e Cidadania - Ed. 2019
10. COMPLIANCE DIGITAL

10. Compliance digital

Marcelo Crespo1

1.Breves considerações sobre compliance no mundo

Falar em compliance pode ser bastante desafiador. Reputamos que o desafio decorre de que muitas vezes não se deixa claro sobre o que se está discorrendo, já
que o tema pode ser bastante amplo. A ausência de clareza em determinar o conteúdo de uma manifestação sobre o assunto acarreta a dificuldade de
compreendê-lo. Mas isso não deve afugentar o leitor e demais interessados, bastando que o discurso seja delimitado para que as dificuldades sejam superadas. É
nessa perspectiva que aproveitamos a oportunidade que nos foi dada para contribuir com esta obra para pontuar o que entendemos por compliance digital.

Inicialmente, é preciso compreender que sua aplicação nos remete à governança corporativa, e que esta é um “sistema pelo qual as empresas de demais
organizações são dirigidas, monitoradas e incentivadas, envolvendo relacionamentos entre sócios, conselho de administração, diretoria, órgãos de fiscalização e
controle e demais partes interessadas”.2

Ainda sobre a governança corporativa, suas origens remontam ao século XX e à globalização, onde as empresas passaram a se integrar dinamicamente em
transações internacionais. O pilar inicial dos debates sobre isso foram os incidentes conflitos entre a propriedade difundida e divergências entre sócios,
executivos e os interesses das empresas. É que se passou a enxergar com outros olhos a delegação, pelo acionista ao administrador, a gestão da empresa e o que
seria o melhor para a instituição. Assim, o objetivo da governança corporativa é criar mecanismos efetivos para garantir que o comportamento dos
administradores esteja constantemente alinhado com o interesse empresarial. 

Vale dizer, ainda, que “as boas práticas de governança corporativa fazem com que princípios se tornem recomendações objetivas, alinhando interesses com a
finalidade de preservar e otimizar o valor econômico de longo prazo da organização, facilitando seu acesso a recursos e contribuindo para a qualidade da gestão
da organização, sua longevidade e o bem comum”.3

O tema não é tão antigo, sendo que se considera que o primeiro Código de boas práticas corporativas foi o relatório Cadbury, de 1992. Este foi concebido a
partir de 1991, quando, no Reino Unido, foi criado um comitê presidido por Adrian Cadbury, que era o Chief Executive Officer (CEO) da empresa de mesmo nome,
sendo que o objetivo era o de delinear pilares da governança corporativa. Assim, o comitê produziu o mencionado relatório, que tinha duas fundamentais
recomendações: a) que os conselhos de empresas de capital aberto incluíssem pelo menos três diretores não executivos; e b) que os cargos de CEO e presidente do
conselho dessas empresas deveriam ser ocupados por duas pessoas diferentes.

Mas o que a governança corporativa tem a ver com compliance? O termo compliance tem origem em to comply, que significa agir de acordo com uma regra,
uma instrução interna, isto é, estar em conformidade com alguma coisa (no sentido normativo, de atender a uma regra). Trata-se, assim, de uma ferramenta para
a concretização de ambiente corporativo hígido e confiável, fortalecendo aspectos tangíveis e intangíveis das corporações, como o patrimônio e a reputação. Para
sua aplicação, o compliance é apresentado na forma de um programa que destaca como são os relacionamentos e responsabilidades entre os principais órgãos da
corporação e agentes externos.

A ideia de programas de compliance tem origem nos Estados Unidos, na virada para o século XX, quando as agências reguladoras começaram a emergir
naquele país. Em 1906, houve a criação do Foods and Drugs Administration e a promulgação do Food and Drugs Act. Surgia, assim, um modelo centralizado de
fiscalização da saúde alimentar e do comércio de medicamentos. No entanto, foram as instituições financeiras que fizeram o compliance avançar, já que no ano de
1913 foi criado o Federal Reserve System (algo como o Banco Central dos Estados Unidos), que tinha o objetivo de dar estabilidade e segurança ao sistema
financeiro daquele país.

Ainda nos Estados Unidos, em 1977, foi promulgado o Foreign Corrupt Practices Act4 (FCPA), que é lei anticorrupção transnacional norte-americana, obrigando
as empresas a manter livros e registros que reflitam precisamente as suas transações e, ainda, a estabelecerem um sistema adequado de controles internos.5 O
surgimento do FCPA foi um importante marco legislativo para o combate à corrupção, visando melhores práticas de governança corporativa. Apesar disso, a
cultura de compliance não foi imediatamente incorporada, de modo que foram necessários mais alguns anos e escândalos envolvendo o próprio governo para que
outros rumos corretos fossem tomados. Um dos escândalos envolveu atos de improbidade praticados no âmbito do próprio Pentágono e da Indústria da Defesa,
onde se descobriu, por exemplo, que o Pentágono havia pago mais de sete mil dólares em uma cafeteira. Isso levou à criação do Blue Ribbon Presidential
Commission,6 um comitê para estudo do problema que repercutiria até mesmo no FCPA, com determinações ainda mais concretas para executá-lo.

Após as recomendações do Blue Ribbon houve um movimento por parte da GE (General Electric)7 junto a outros 17 fornecedores, para a formação de uma
organização voluntária denominada Defense Industry Initiative on Business Ethics and Conduct (DII),8 com o objetivo de criar um patamar elevado de conduta
ética, até mesmo quando estes excedam os requisitos legais, tal como a criação de um fórum para compartilhamento de melhores práticas relacionadas à conduta
ética e negocial.9 Em julho de 1986, trinta e dois dos maiores fornecedores adotaram os seis princípios apresentados pela DII, incluindo a promulgação e adesão a
um código de conduta por escrito, treinamento dos funcionários e adoção da prática de voluntary disclosure em relação ao Governo. Todavia, não demorou muito
para que novamente os EUA tivessem uma decepção em relação à ética negocial, já que houve uma crise de instituições de poupança e empréstimo (Savings and
Loan Crisis), descobrindo-se, com ela, práticas que resultaram em grandes perdas financeiras que foram acobertadas por fraudes num momento inicial.

Com esses episódios e alguns outros que se seguiram por toda a década de 1980, foi reforçada a ideia para que se criassem diretrizes efetivas. Disso nasceu, em
1991, a Federal Sentencing Guidelines for Organizations como regramento para boa prática de governança corporativa e compliance. Apesar de não constituir uma
imposição às empresas, sua adoção representava a possibilidade de penas mais brandas para as empresas que efetivamente se engajassem em prevenção,
detecção e reparação de condutas indevidas que correspondessem a violações que pudessem macular os programas de compliance. Mas, para poderem gozar dos
benefícios, as empresas deveriam adotar, como pilares de um programa de compliance, os elementos básicos denominados the Seven Steps.10

A apresentação dos pilares de programas de compliance com o benefício de, sendo eles adotados, as empresas terem a possibilidade de penas mais brandas fez
com que houvesse uma importante movimentação por parte delas para sua adoção. Daí foi criado o cargo do encarregado de cumprimento, conhecido como
Compliance Officer ou Chief Compliance Officer, sendo a posição a responsável pela criação, adequação, aplicação e efetividade dos programas de compliance.

Pouco tempo depois, dezenas de Compliance Officers majoritariamente da Indústria de Defesa formaram a Ethics Officers Association que, em 2005,
acrescentou a palavra compliance à sigla, passando a se chamar Ethics and Compliance Officers Association (ECOA).

O movimento para a cultura de integridade fez surgir, em 2004, outra associação não governamental, a Society of Corporate Compliance and Ethics (SCCE), que
depois passaria a oferecer treinamentos e certificações.

Desde então, o reforço à cultura de compliance passou a ser pauta muito mais presente nas empresas e organizações, já que a simples existência de regras se
mostrava pouco efetiva. Era preciso mais que normas formalizadas, sendo imprescindível aculturar todos na perspectiva de atuação ética, que deve estar
intrínseca ao DNA das organizações.

Assim, a tendência de cultura ética que foi se solidificando nos Estados Unidos passou a ganhar espaço também em outros países, naturalmente chegando ao
Brasil. Todavia, antes mesmo de termos uma “Lei Anticorrupção”, já em 1998 ganhamos uma legislação importante também para questões de compliance
criminal, com o advento da Lei 9.613/98 (atualizada em grande parte pela Lei 12.683/12), conhecida como a Lei de Combate aos Crimes de “Lavagem” de Dinheiro,
que, além de sua suma importância no Direito Penal, foi responsável pela criação do Conselho de Controle de Atividades Financeiras (COAF). Além disso, tivemos
a publicação da Resolução 2.554/1998 do Banco Central do Brasil (Bacen), a qual seguiu tendências mundiais, incorporando ao nosso ordenamento regras trazidas
da Europa (Basel Committee on Banking Supervision (BCBS) – Comitê da Basileia para Supervisão Bancária, 1975)11 e dos Estados Unidos da América (Security and
Exchange Comission (SEC) – Comissão de Valores Mobiliários, 1934), obrigando instituições autorizadas a funcionar pelo Bacen com a implantação de controles
internos voltados para as atividades por elas desenvolvidas.

Aqui, tardiamente foi promulgada a Lei 12.846 de 2013, que “dispõe sobre a responsabilização administrativa e civil de pessoas jurídicas pela prática de atos
contra a administração pública, nacional ou estrangeira, e dá outras providências” e ficou conhecida como “Lei Anticorrupção” ou “Lei da Empresa Limpa”. Na
sequência, a necessidade da cultura de compliance ganhou mais notoriedade pela ampla repercussão da Operação “Lava Jato”, que tomou as mídias por noticiar
que integrantes do alto escalão político e de empresas fossem presos e condenados, com o escancaramento de um método sistemático de pagamento de valores
indevidos como forma de governar o país e atender a interesses de algumas empresas.

Assim, pode-se dizer que, no Brasil, a cultura de compliance ganhou força pela combinação dos fatores acima mencionados. Evidentemente, muitas empresas,
até mesmo pelo seu caráter multinacional, já possuíam programas de integridade. Mas o grande movimento para debates, estudos e presença na mídia só ocorreu
mesmo a partir de 2013, ainda assim, em um contexto anticorrupção. Era raro – como ainda é – falar-se em outras perspectivas de compliance (como o tributário,
trabalhista etc.). Nesse contexto, o pioneirismo do uso da expressão “compliance digital” no país é nosso, por ocasião de participação na mídia em reportagem
sobre um congresso no ano de 2014 do qual igualmente participamos e tratamos do tema.12

2.Sobre o compliance digital

Ainda que a origem de compliance nos remeta ao direito empresarial e a atos e técnicas de governança e administração, o conceito e sua aplicação passaram a
ser um tanto ampliados, já que se notou que o dever de fiscalização, auditoria, treinamento e boas práticas era impositivo em todos os setores, não apenas para
assuntos referentes à corrupção e seu combate.

Numa evolução importante, o conceito de compliance se fez maior e passou a extrapolar o tema da corrupção, já que para que uma empresa seja gerida de
forma íntegra e consistente, deve haver a prevenção, detecção e resposta a riscos e incidentes de forma setorial. Assim, o compliance setorial evoluiu, estando
presente nas mais variadas organizações.

Ladeando as preocupações iniciais com programas anticorrupção, vieram os programas de integridade no setor ambiental, tendo-se em vista a crescente
preocupação com impactos derivados de danos ambientais na virada do século XX, época em que temas como o efeito estufa e a escassez de recursos naturais
estavam bastante presentes nas mídias. Não se pode esquecer, ainda, do compliance financeiro/contábil, que ganhou força em razão dos escândalos como os da
Enron, Worldcom, Lehman Brothers, BP e Toshiba, por exemplo, que tiveram grandes falcatruas contábeis escondidas até que momentos críticos as expuseram
mundialmente. Há, ainda, o compliance trabalhista, cujo escopo é verificar a efetiva aplicação da legislação trabalhista, seguindo diretrizes nacionais e
internacionais, tal como verificando-se no dia a dia da empresa as condições de trabalho proporcionadas. Outro ramo inquestionável, ainda mais em um país
como o Brasil, é o compliance tributário, que observa a integridade quanto ao planejamento tributário e o pagamento dos tributos federal, estadual e municipal.
Em razão da globalização e grandes aquisições de empresas por outras, também é mais evidente o compliance concorrencial ou “antitruste”, que procura
assegurar a integridade corporativa em questões relativas à formação de cartéis, trustes e combinações espúrias de domínio do mercado.

Visto isso, é forçoso reconhecer, ainda, que o mundo vem mudando seu contexto global de percepção de violações e de proteção à privacidade decorrente do
uso cada vez mais acentuado das análises em big data. Por tal razão, está mais que hora de evidenciar o compliance digital.

Numa sociedade baseada em informações, onde todos os negócios são automatizados em algum nível, com constantes tratamentos de dados, é inegável que há
a necessidade de um corpo especializado de prontidão para esclarecer, prevenir e reagir a situações adversas, compreendendo aspectos tecnológicos. Afinal, a
tecnologia nos cerca independentemente se o modelo de negócio adotado é focado nela ou se é somente um fator secundário. As empresas que surgem nesse
contexto – muitas denominadas startups13 – precisam se preparar para uma governança total, não podendo se limitar a aspectos antes vistos como fundamentais,
como os programas anticorrupção. É preciso, mais do que nunca, que seus modelos de negócios sejam desenvolvidos pensando-se grande, isto é, com olhos de
quem deseja crescer escalonadamente e ganhar não só reputação, mas nacos importantes do mercado e, claro, faturar milhões/bilhões.

Visto isso, parece claro que o tema “segurança da informação” deve ser amplamente discutido e evidenciado no meio corporativo, já que as informações são
valiosíssimas, independentemente do segmento e porte das empresas. E, nesse contexto, a importância das informações impôs o desenvolvimento de padrões
para a implantação e operação de conceitos de sua segurança. O início dessa padronização remete a 1995, quando foi publicado o British Standard 7799, o qual
originou a série ISO 27000.

Após o surgimento do BS 7799, este foi revisado em 1999, gerando três padrões:

a) o BS 7799-1, sobre boas práticas para a gestão da segurança da informação;

b) o BS 7799-2, sobre sistemas de gestão de segurança da informação; e

c) o BS 7799-3, sobre orientações para gestão de risco.

No ano 2000, o BS 7799-1 passou a ser identificado como ISO14 17799 e, entre 2001 e 2004, passou por revisões que resultaram na ISO/IEC 17799:2005. Em 2005,
o BS 7799-2 foi adotado pela ISO e recebeu o número 27000, o que deu início à série destinada à segurança da informação, o que a denominou ISO/IEC 27002:2005.

As normas ISO 27000 permitem que as organizações implementem e operem um Sistema de Gestão de Segurança da Informação (SGSI) que concentre políticas,
procedimentos, diretrizes e recursos para a gestão da proteção dos ativos de informação nas organizações. O SGSI apresenta um sistema para o estabelecimento, a
implantação, a operação, o monitoramento, a revisão e a melhoria da segurança da informação, o que deve ser alinhado com os objetivos estratégicos dos
negócios. Em outras palavras, é parte de um programa de integridade digital ou compliance digital.

No Brasil, podemos afirmar que a primeira normativa que versa sobre aspectos de compliance é a Resolução 2.554/98 do Bacen, que mencionou a necessidade
de governança para sistemas de informação, abrangendo aspectos operacionais e gerenciais. Na Resolução, fez-se menção aos sistemas de informações
vinculando-os à necessidade de governança, abrangendo os âmbitos operacional e gerencial quanto à aplicação de tais sistemas nas referidas instituições (art. 1º,
caput). No mesmo artigo, vemos um importante posicionamento acerca da proporcionalidade, numa aplicação referente não ao controle por parte do Estado, mas
dos próprios entes privados, os quais passam a lidar com a obrigação de proporcionar controles efetivos e consistentes com a natureza, complexidade e risco das
operações por elas realizadas (art. 1º, § 1º).

Lembramos, então, que outras leis e normativas devem ser cumpridas para fins de atendimento de programas de compliance digital. Reputamos que as
principais são a Lei 12.965/14 – “Marco Civil da Internet” ou “MCI” – e a Lei 13.709/18 – “Lei Geral de Proteção de Dados” ou “LGPD”.

O MCI é a lei que trata de aspectos gerais do uso da internet no Brasil, prevendo princípios e garantias, direitos e deveres para quem usa a rede e determinada
diretrizes para a atuação do Estado. Seus principais reflexos têm sido sobre as obrigações dos provedores de acesso/conexão e de aplicações a guardarem os
registros de acesso respectivamente por um ano (art. 13) e por seis meses (art. 15), a responsabilização dos provedores de aplicações caso fiquem inertes após
serem notificados sobre a existência de materiais com cenas de nudez ou atos sexuais de caráter privado (art. 21) e a necessidade de ordem judicial para a
remoção de conteúdo (art. 19). É por meio dessas normas que as empresas devem pensar em se estruturar para responder a ordens judiciais de remoção de
conteúdo e de fornecimento de informações cadastrais e outros dados de navegação dos usuários de suas plataformas. Qualquer empresa que atue na internet
pode vir a ser considerada um provedor de aplicações, motivo suficiente para que se lhe aplique o MCI.

Já a LGPD15 é a lei que regula o tratamento dos dados pessoais nos âmbitos físicos e digitais, com o objetivo de resguardar direitos fundamentais das pessoas
físicas, buscando impedir que pessoas jurídicas tratem abusivamente dos dados, violando a privacidade e o livre desenvolvimento das pessoas naturais. Trata-se
de um grande avanço legislativo, a exemplo do MCI, colocando o Brasil no rol de países que possuem lei específica para o tratamento de dados pessoais. Seu
principal impacto será nos modelos de negócios, já que a obtenção do consentimento das pessoas para o tratamento de dados precisará ser mais detalhada,
objetiva e transparente. É uma tentativa de empoderar as pessoas a poderem exercer sua autodeterminação quanto ao fornecimento de dados. Busca-se evitar
que os dados sejam usados em prejuízo das pessoas físicas, com a imposição de multas e determinando-se que a existência de programas de compliance digital
podem significar penalidades mais brandas.

Veja-se que estas são apenas duas leis bastante importantes do nosso arcabouço legislativo, inclusive porque há outras normas que devem igualmente ser
observadas, como, por exemplo, a Lei 8.078/90 (Código de Defesa do Consumidor) – e o Decreto 7.962/13 (Regulamento sobre o comércio eletrônico), que
estabelecem que as ofertas e comunicações com o consumidor devem ser claras, objetivas, com a determinação de que haja nas páginas da internet o endereço
físico da empresa, sua razão social, o CNPJ, telefone, e-mail/formulário de contato, detalhamento do produto, formas de pagamento, despesas e taxas, prazo de
entrega, contrato de compra, descrições da oferta, resumo da compra no carrinho, confirmação da compra e condições de troca e devolução, tudo em uma
linguagem acessível.

Qualquer empresa que pretenda vender um produto ou serviço a consumidores na internet estará, necessariamente, abrangida pelas leis acima mencionadas.
Mas o compliance digital não significa apenas cumprir essas normas, até porque há outras que devem ser atendidas, inclusive internacionais, como é o caso do
Regulamento Geral de Proteção de Dados (2016/679) da União Europeia (EU), no qual nossa LGPD foi inspirada.

A legislação da EU entrou em vigor em 25 de maio de 2018 e traz em seu artigo 5º os princípios que devem ser seguidos no tratamento de dados pessoais: a
licitude, lealdade e transparência, a limitação da finalidade, a minimização dos dados, a exatidão, a limitação da conservação, a integridade e confidencialidade e
a responsabilidade. Esses princípios, tal como aqueles trazidos anteriormente nas diretrizes de compliance geral, colocam às empresas que desempenham
atividades relacionadas ao tratamento de dados práticas a serem adotadas, sujeitas a sanções administrativas. Fez-se através de uma necessidade de
regulamentação em atividades que apresentem riscos maiores ou diferenciados, ou seja, atividades que necessitam ir além do ideal de compliance tradicional.
Pode-se dizer que o RGPD foi uma evolução do compliance, exigindo um padrão de conduta em nível de um bloco econômico, porém, tendo seus efeitos
expansíveis a hipóteses de territorialidade pensadas quanto a seu sujeito ativo, passivo, e até quanto ao objeto – dada a natureza “transfronteiriça” que têm os
dados. A UE apresentou ao mundo, por meio de sua regulação, uma preocupação com essa evolução, que pede um plano de cooperação internacional, e não
apenas local/regional. A ética e responsabilidade agora aparecem de forma mais específica e exigindo conhecimentos mais focados daqueles que devem executar
o programa; ponto este que se faz nítido com a figura do DPO (Data Protection Officer ou, na versão em português da lei, “Encarregado da Proteção de Dados”), o
qual conta com uma seção dedicada à sua função no RGPD (Seção 4, arts. 37-39), além de outras menções pontuais no decorrer da legislação. Trata-se de um cargo
de liderança voltado à segurança, exigido para empresas as quais se encaixem nas hipóteses de aplicação da RGPD.

Tanto o RGPD quanto a nossa LGPD faz menção ao encarregado de proteção de dados, ainda que com nomes diferentes. Eles são como compliance officers
voltados, especificamente, para a proteção de dados pessoais e relacionamento com os titulares, autoridades reguladoras e com a alta direção. Isso, por si só, já
deixa claro que as normativas atuais sobre proteção de dados trazem conceitos e disposições sobre compliance digital.

No entanto, um programa de compliance digital é mais amplo, devendo conter planos de respostas a incidentes/planos de contingência/planos de gestão de
crise, inclusive para atos como o vazamento de dados, extorsão em casos de crackers exigirem valores em troca de apontamentos de falhas sistêmicas ou
ransomware, quando o valor é exigido para que se decripte arquivos criptografados impedindo o acesso por quem de direito. As políticas devem passar, ainda,
por normas, classificando os incidentes, indicando suas gravidades e consequências, quando e como devem ser comunicadas às autoridades e aos titulares dos
dados. Junte-se a isso a necessidade de documentos básicos, como os termos de uso de um aplicativo ou website (que são as regras para quem utiliza-os) e as
políticas de privacidade (que são as narrativas do que a empresa fará com os dados coletados dos titulares).

Veja-se que são muitas situações que demandarão intervenções relativas ao tratamento de dados e situações de crises com a tecnologia. É nesse âmbito que
estão as normas de compliance digital para uma boa governança corporativa.

Vejamos, a seguir, os pilares dos programas de compliance e uma breve perspectiva de como se aplicam a questões digitais.

2.1.Os pilares de um programa de compliance sob a perspectiva digital

Vimos anteriormente a existência dos sete passos para a estruturação de um programa de compliance constantes do Federal Sentencing Guidelines for
Organizations. Muitos mencionam outras quantidades de itens para a construção de um programa de compliance, passando por cinco e chegando até nove deles.

Vamos enumerá-los aqui:

• 1º Pilar – Tone from the top ou o suporte da alta administração. Trata-se do apoio/aval explícito dos altos executivos da empresa, o que significa não apenas
possibilitar que um programa de compliance seja criado e implementado, mas que a alta administração o apoie incondicionalmente, dando o primeiro exemplo
aos demais, cumprindo-o rigorosamente. Isso vale para quaisquer assuntos ou temas, sejam anticorrupção ou proteção de dados pessoais. Sob a perspectiva do
compliance digital, significa compreender que as diretrizes de boas práticas e políticas também se aplicam às máquinas dos CEOs e alta diretoria, que a estes não é
escusável ter mais permissões de acesso do que os demais funcionários. Todos devem participar dos treinamentos e administrar pelo exemplo do cumprimento
das normas relativas ao digital.

• 2º Pilar – Risk assessment ou análise/avaliação dos riscos inerentes ao negócio. Isto é, não só os riscos devem ser levantados, bem como deve-se fazer análise
crítica de sua possível ocorrência e eventuais repercussões nos negócios. Cada segmento de atuação tem riscos específicos, de modo que o levantamento precisa
ser feito para cada negócio, inexistindo um modelo global. No compliance digital, a importância entra na exigência do relatório de impactos, compreendendo que
antes de implantar uma nova tecnologia deve-se estudar os mecanismos de defesa e mitigação aos quais esta deve estar ligada, conhecendo seu alcance benéfico e
maléfico, compreendendo a atividade desenvolvida no escopo técnico para assim selecionar os meios proporcionais para identificar vulnerabilidade, possíveis
falhas e deficiências, já observadas em eventos anteriores ou até mesmo prever aquilo que, ainda que nunca tenha se concretizado, tem alguma possibilidade de
vir a se tornar um evento danoso. Cada negócio deve analisar suas particularidades de envolvimento e atuação com aspectos digitais para que a análise seja a
mais correta possível.

• 3º Pilar – Código de Conduta e Políticas. Ou seja, é preciso formalizar tudo aquilo que demonstre a postura da empresa com relação às práticas do negócio. Só
com a formalização será possível checá-las e revisá-las periodicamente, oferecer publicidade aos funcionários, fundamentar as decisões e ofertar treinamentos
sobre tais normas, aculturando a todos. Na perspectiva de compliance digital, as permissões de acesso a aplicativos e normas de conduta nas redes sociais bem
como o uso de equipamentos eletrônicos devem ser regulados para que haja a manutenção da segurança das informações e das reputações, inexistindo privilégios
injustificados.

• 4º Pilar – Controles internos. De nada adiantam as normas (políticas e códigos) se não houver mecanismos que possam garantir razoável certeza e confiança.
São os mecanismos de controles internos que permitem que a empresa alcance seus objetivos. Os mecanismos internos de compliance digital passam pela
existência de diferentes perfis de acesso ao sistema, da existência de firewalls e antivírus, por exemplo.

• 5º Pilar – Treinamento e comunicação. Compliance é, sobretudo, cultura e treinamento. As normas só ganham força e concretude na medida em que são
conhecidas e aplicadas. Para isso, é fundamental reafirmar sua existência e conteúdo mediante treinamentos periódicos.

• 6º Pilar – Canais de denúncia. São ferramentas importantíssimas para alertar a empresa de eventuais violações éticas e do código de conduta. É fundamental
que seja disponibilizado um canal seguro e anônimo para evitar que haja identificação dos que alertam para as desconformidades e para que não haja
retaliações.

• 7º Pilar – Investigações internas. Somente com investigações internas é que se possibilitará descobrir as desconformidades. Sob o aspecto digital, é
fundamental que sejam possíveis a preservação das provas de modo que não sejam invalidadas/corrompidas e possam ser usadas em eventuais processos
judiciais. Para isso, é necessário apoio técnico para seu resguardo. O mesmo vale para investigações em e-mails e equipamentos de funcionários, que poderão
acontecer desde que resguardadas algumas cautelas, com a existência de política interna regrando esse tipo de intervenção,

• 8º Pilar – Due diligence ou devida diligência. É a avaliação de parceiros, representantes, revendedores e outros terceirizados antes e depois da contratação. É
inadmissível que as empresas atuem com outras que não se alinhem com seus preceitos éticos e é por meio desse tipo de análise que se pode mitigar riscos de
envolvimento com fornecedores e parceiros que atuem em contrariedade ao código de conduta e às leis. Em especial com o advento de leis de proteção de dados
pessoais é fundamental que as empresas saibam de quem recebem dados e como foram obtidos, já que a prova para o tratamento lícito é das pessoas jurídicas,
não dos titulares dos dados.

• 9º Pilar – Auditoria e monitoramento. Todos os processos devem ser auditáveis e monitoráveis. Só assim é possível dizer se o programa de compliance está
funcionando adequadamente.

3.Considerações a título de conclusões

A existência de programas de compliance como ferramentas de governança corporativa já não é novidade para grande parte das empresas. Muitas, no entanto,
ainda focam seus programas em questões anticorrupção por ser a matéria que primeiro escandalizou o mundo.

Com o passar do tempo e a atualização do contexto tecnológico mundial, tem sido cada vez mais comum e necessário observar normas e boas práticas com
relação à tecnologia. Se as normas de compliance anticorrupção foram renovadas e evoluíram, o atendimento a normas sobre direito, tecnologia e segurança da
informação formam um complexo conjunto que obriga as empresas a se modernizarem e terem visão holística, já que o olhar para a economia não é suficiente
para que os negócios prosperem. É necessário, portanto, que a governança corporativa atinja patamares mais avançados com a existência de programas de
compliance que comportem aspectos do mundo digital.

Dado o contexto mundial, os programas de compliance digital são, portanto, mais que parte da governança corporativa, mas verdadeiro instrumento de
vantagem competitiva, manutenção da reputação, desenvolvimento dos negócios e, sobretudo, de proteção aos direitos fundamentais das pessoas que se
relacionam com as empresas.

4.Referências bibliográficas

BLUE RIBBON COMMISSION ON DEFENSE MANAGEMENT. Quest for excellence: final report to the President. EUA, jun. 1986.

CRESPO, Marcelo Xavier de F. Crimes digitais. São Paulo: Saraiva, 2011.

CRESPO, Marcelo Xavier de F. Segurança da informação, escritórios de advocacia e compliance: por que a atenção precisa ser redobrada? Disponível em:
[www.academia.edu/34151422/Seguran%C3%A7a_da_informa%C3%A7%C3%A3o_escrit%C3%B3rios_de_advocacia_e_compliance_por_que_a_aten%C3%A7%C3%A3o_precisa_ser_redo

CRESPO, Marcelo Xavier de F. Corrupção: vale tudo para combatê-la? Disponível em: [www.academia.edu/19609035/Corrupção_vale_tudo_para_combatê-la].

CRESPO, Marcelo Xavier de F. Crimes digitais: do que estamos falando? Disponível em:
[[www.academia.edu/14674245/Crimes_Digitais_do_que_estamos_falando].

CRESPO, Marcelo Xavier de F. A responsabilidade penal do Compliance Officer. Disponível em:

[www.academia.edu/22666405/A_responsabilidade_criminal_do_compliance_officer].

CRESPO, Marcelo Xavier de F. O que ninguém falou sobre o caso do Facebook. Disponível em:
[www.academia.edu/22747830/O_que_ninguém_falou_sobre_o_caso_do_Facebook].

CRESPO, Marcelo Xavier de F. Por quê precisamos de uma agenda para discutir algoritmos? Disponível em:
[www.academia.edu/29503113/Por_quê_precisamos_de_uma_agenda_para_discutir_algoritmos].

CRESPO, Marcelo Xavier de F. Criptomoedas: você ainda vai usá-las. Disponível em: [[www.academia.edu/19608991/Criptomoedas_você_ainda_vai_usá-las].

CRESPO, Marcelo Xavier de F. Perfis falsos nas redes sociais e o Projeto de Lei 7.758/14. Disponível em:
[www.academia.edu/14307884/Perfis_falsos_nas_redes_sociais_e_o_projeto_de_lei_7.758_14].

CRESPO, Marcelo Xavier de F. Bitcoin: breves considerações sobre a criptomoeda. Disponível em:
[www.academia.edu/14714715/Bitcoin_breves_considerações_sobre_a_criptomoeda].

CRESPO, Marcelo Xavier de F. Ainda sobre as criptomoedas: considerações em face do Sistema Financeiro Nacional. Disponível em:

[www.academia.edu/14901713/Ainda_sobre_as_criptomoedas_considerações_em_face_do_Sistema_Financeiro_Nacional].

CRESPO, Marcelo Xavier de F. Ética e privacidade de dados. Disponível em: [www.academia.edu/22173325/Ética_e_privacidade_de_dados].

CRESPO, Marcelo Xavier de F. Uma visão geral da nova regulamentação de proteção de dados pessoais na Europa. Disponível em:

[[www.academia.edu/26654207/Uma_visão_geral_da_nova_regulamentação_de_proteção_aos_dados_pessoais_na_Europa.pdf].

CRESPO, Marcelo Xavier de F. Sobre os sites que divulgam dados pessoais: uma análise sob a perspectiva criminal. Disponível em:

[[[[[www.academia.edu/14486055/Sobre_os_sites_que_divulgam_dados_pessoais_uma_análise_sob_a_perspectiva_criminal].

CRESPO, Marcelo Xavier de F. Investigação criminal, obstrução da justiça e a suspensão do WhatsApp. Disponível em:

[[[www.academia.edu/19745323/Investigação_criminal_obstrução_da_justiça_e_a_suspensão_do_WhatsApp].

CRESPO, Marcelo Xavier de F. Inteligência artificial, tecnologia e o Direito: o debate não pode esperar! Disponível em:
[www.academia.edu/30179330/Inteligência_artificial_tecnologia_e_o_Direito_o_debate_não_pode_esperar_].

CRESPO, Marcelo Xavier de F. Poder público, tecnologia e crimes: hora de pensar “fora da caixa”. Disponível em:
[www.academia.edu/28228527/Poder_Público_tecnologia_e_crimes_hora_de_pensar_fora_da_caixa_].

CRESPO, Marcelo Xavier de F. Algoritmos, reincidência e o Direito Penal. Disponível em:

[www.academia.edu/30028483/Algoritmos_reincidência_e_o_Direito_Penal].

DII – Defense Industry Initiative on Business Ethics and Conduct. The DII Principles. Disponível em:
[https://higherlogicdownload.s3.amazonaws.com/DII/03bf5a26-f29f-4c59-bee9-16b.e73aa4985/UploadedFiles/ZXJqEK2RTrWeDjdYOtQA_DII%20principles.pdf].
Acesso em: 02.08.2018.

FSGO. The U.S. Federal Sentencing Guidelines for Organizations. Disponível em: [https://roleofgovernment6.weebly.com/fsgo.html]. Acesso em: 6.08.2018.

JOSEPHSON, Michael. History of the integrity, ethics and compliance movement: a cautionary tale for CEOs and corporate  directors. Disponível em:
[www.corporatecompliance.org/portals/1/PDF/Resources/ethikos/past-issues/2014/scce-2014-01-ethikos-josephson.pdf]. Acesso em: 01.08.2018.

MARTINEZ, André Almeida Rodrigues. Compliance no Brasil e suas origens. IBDEE, nov. 2016. Disponível em: [www.ibdee.org.br/compliance-no-brasil-e-suas-
origens/] Acesso em 02.08.2018.

REAGAN, Ronald. Executive Order 12.526 – President’s Blue Ribbon Commission on Defense Management. 15.07.1985. Disponível em:
[www.presidency.ucsb.edu/ws/?pid=38892]. Acesso em: 01.08.2018.

THE UNITED STATES DEPARTMENT OF JUSTICE. Foreign Corrupt Practices Act. Disponível em: [www.justice.gov/criminal-fraud/foreign-corrupt-practices-act].
Acesso em: 01.08.2018.
NOTAS DE RODAPÉ
1

Doutor e Mestre em Direito Penal pela Faculdade de Direito da Universidade de São Paulo (FADUSP), com ampla e comprovada experiência em Direito Digital e Compliance,
com atendimento voltado a empresas. É Certified Compliance and Ethics Professional International pela Society of Corporate Compliance and Ethics (SCEP) e certificado em
proteção de dados (EXIN). Pós-Graduado em Segurança da Informação e em Direito Penal pela Universidade de Salamanca, além de diversos cursos de extensão. Sócio do
Escritório Patricia Peck Pinheiro Advogados. Professor titular da Faculdade de Direito de Sorocaba, onde coordena grupo de pesquisa em Direito, Tecnologia e Inovação.
Coordenador da Pós-graduação em Direito Digital e Compliance do Damásio Educacional. Membro do Instituto dos Advogados de São Paulo (IASP). Comentarista do
Observatório do Marco Civil da Internet (OMCI).

Definição constante do website do Instituto Brasileiro de Governança Corporativa (IBGC). Disponível em: [www.ibgc.org.br/index.php/governanca/governanca-corporativa].

Idem.

Lei estadunidense promulgada com o objetivo de criar sanções cíveis, administrativas e penais destinadas a combater a corrupção comercial internacional, isto é, episódios
em que empresas americanas pagavam suborno ou realizavam qualquer outro pagamento ilegal a oficiais de um governo estrangeiro com a intenção de obter ou reter
transações comerciais naquele país. Mais de 400 companhias americanas admitiram ter realizado tais pagamentos a governos estrangeiros, tendo como highlight o
depoimento ao Congresso por um executivo da Lockheed.

Ficou conhecido como um importante marco da então cultura de corrupção o depoimento ao Congresso de um executivo da Lockheed, em 1976, admitindo que a companhia
havia pago 22 milhões de dólares ao governo japonês como uma tentativa de venda de aviões para aquele país, o que, aliado ao fato de que os Estados Unidos haviam
concedido uma garantia de crédito emergencial no valor de 250 milhões de dólares para a Lockheed.

Executive Order 12.526 – July 15, 1985.

A General Electric foi uma das companhias envolvidas em diversos escândalos de suborno e improbidade.

Quanto aos escândalos vinculados ao Pentágono-Indústria de Defesa, o destaque foi do spare parts scandal, o qual irrompeu em 1985, quando foi descoberto que o Pentágono
havia pago valores exorbitantes por “peças de reposição”, incluindo uma cafeteira de US$ 7.522, um martelo de US$ 435 e um assento de vaso sanitário de US$ 600. Segundo
relatório do Government Accountability Office (GAO), o Departamento de Defesa gastou quase 37 bilhões de dólares em “partes de reposição” superfaturadas.

DII – Defense Industry Initiative on Business Ethics and Conduct. The DII Principles. Disponível em: [https://higherlogicdownload.s3.amazonaws.com/DII/03bf5a26-f29f-4c59-
bee9-16b.e73aa4985/UploadedFiles/ZXJqEK2RTrWeDjdYOtQA_DII%20principles.pdf]. Acesso em: 02.07.2018.

10

(FSGO) Compliance Program 7 Steps: 1) Management oversight; 2) Corporate policies; 3) Communication of standards and procedures; 4) Compliance with standards and
procedures; 5) Delegation of substantial discretionary authority; 6) Consistent discipline; 7) Response and corrective action.

11

Em 1997, foram lançados pelo Comitê da Basileia (do qual o Brasil faz parte) os princípios para uma “supervisão bancária eficaz” (Core Principles for Effective Banking
Supervision), os quais deveriam ser aplicados por todos os integrantes do referido órgão.

12

Congresso Internacional de Compliance vai discutir Lei Anticorrupção. Conjur. 22.06.14. Disponível em: [www.conjur.com.br/2014-jun-22/congresso-internacional-compliance-
discutir-lei-anticorrupcao]. Acesso em: 19.08.2018.

13

O conceito de startup não é preciso, havendo definições que as consideram toda e qualquer empresa pequena em período inicial, bem como as que as entendem como aquelas
cujos custos de manutenção são muito baixos e que, apesar disso, conseguem crescer rapidamente e, ainda, aquela definição que as coloca como empresas em estágios iniciais
que procuram um modelo de negócios repetível e escalável, operando em condições de grande incerteza.
 14

A ISO é sigla para International Organization for Standardization ou Organização Internacional para a Padronização, entidade fundada em 1947 em Genebra (Suíça) e que
congrega diversos países. Ela é a responsável por aprovar normas internacionais em diversas áreas do conhecimento. O Brasil é membro desde sua fundação e o órgão
responsável pela ISO no país é a Associação Brasileira de Normas Técnicas (ABNT).

15

Tivemos participação direta na elaboração da mencionada lei, com envio de sugestões e comentários desde que foi inaugurada a plataforma de criação do anteprojeto de lei
pelo Ministério da Justiça em 2008, passando por participação em audiência pública em 2018 no Senado Federal com sugestões verbais e por escrito, além de estar presente na
cerimônia de sanção da lei no Palácio do Planalto com o Presidente Temer.

© desta edição [2019]