Na última sexta-feira (6), a Autoridade Nacional de Proteção de Dados (ANPD) divulgou uma nova atualização do Relatório de Acompanhamento da Agenda Regulatória 2023-2024, com foco nos avanços do primeiro semestre de 2024. Essa publicação reflete o compromisso contínuo da ANPD com a transparência ativa, dando visibilidade ao progresso das iniciativas regulatórias sob sua gestão. Um documento anterior, lançado em janeiro, abordava o acompanhamento do segundo semestre de 2023.
O relatório não apenas descreve os avanços dos projetos incluídos na Agenda, mas também oferece um panorama sobre a participação social nos processos de regulamentação no período. No primeiro semestre de 2024, a ANPD registrou 311 contribuições durante as Tomadas de Subsídios. Já nas Consultas Públicas, foram apresentadas 2.892 sugestões, e as Audiências Públicas somaram 78 propostas, totalizando 3.281 contribuições em seis meses.
O acompanhamento dos projetos também é detalhado em uma tabela, que resume o status de cada um desde o início do processo regulatório durante a vigência da Agenda Regulatória 2021-2022 até o atual estágio da Agenda 2023-2024, que já acumula um ano e meio de implementações. Esse processo reforça o papel fundamental da ANPD em assegurar uma governança transparente e participativa na proteção de dados no Brasil.
A Autoridade Nacional de Proteção de Dados (ANPD) decidiu, na última sexta-feira (30), suspender a medida que proibia uma grande empresa de tecnologia de utilizar dados pessoais para treinar seu sistema de inteligência artificial. Anteriormente, no início de julho, a ANPD havia imposto a suspensão preventiva desse uso, em razão do risco iminente de danos graves e irreversíveis aos titulares dos dados.
A reversão da medida foi possibilitada após a empresa apresentar um recurso com documentos que demonstram seu comprometimento em ajustar suas práticas. O Conselho Diretor da ANPD aprovou um Plano de Conformidade que prevê uma série de medidas corretivas que a empresa deverá adotar para garantir a adequação às normas da Lei Geral de Proteção de Dados (LGPD).
Entre as ações previstas, destaca-se o envio de notificações aos usuários das redes sociais mantidas pela empresa, tanto por e-mail quanto por meio de avisos no aplicativo. Essas mensagens trarão informações claras e acessíveis sobre como os dados pessoais serão utilizados para o treinamento de modelos de inteligência artificial.
Além disso, haverá atualizações nos documentos de comunicação pública da empresa, como o Aviso de Privacidade e banners em sua página de privacidade, visando fornecer maiores detalhes sobre o tratamento de dados para fins de IA. Outra medida importante é a garantia de que os titulares de dados possam se opor a esse tratamento de forma facilitada, inclusive com a disponibilização de um formulário simplificado para esse fim, aplicável tanto a usuários quanto a não-usuários.
O Plano de Conformidade também estabelece que a empresa está proibida de usar dados de menores de 18 anos para o treinamento da IA até que a ANPD tome uma decisão definitiva no processo de fiscalização.
A Coordenação-Geral de Fiscalização da ANPD ficará encarregada de acompanhar de perto o cumprimento das medidas pactuadas no Plano de Conformidade e a implementação do sistema de IA. Essa atuação reforça o compromisso da ANPD em promover a conformidade com a LGPD, além de esclarecer e proteger os direitos dos titulares de dados, fortalecendo uma cultura de proteção de dados no país.
Na era digital, onde os dados pessoais se tornaram uma moeda valiosa, emerge um papel fundamental: o Encarregado pelo Tratamento de Dados Pessoais. Esta figura, essencial para a proteção das nossas informações, atua como um verdadeiro guardião da privacidade, assegurando que os dados permaneçam seguros e longe de mãos erradas.
Para fortalecer ainda mais a importância desse papel, a Autoridade Nacional de Proteção de Dados (ANPD) organizou, em Brasília, na primeira quinta-feira de agosto, o 1º Encontro Nacional dos Encarregados. Este evento, que reuniu profissionais de diferentes setores, marcou a introdução da Resolução CD/ANPD n. 18, de 16 de julho de 2024, estabelecendo diretrizes claras para a atuação dos Encarregados pelo tratamento de dados pessoais. Trata-se de um verdadeiro manual de boas práticas que orienta esses profissionais em suas responsabilidades, como o registro de incidentes de segurança, a supervisão das operações de tratamento de dados e a elaboração de relatórios de impacto.
Um dos temas centrais debatidos durante o encontro foi a prevenção de conflitos de interesse, uma questão crítica para a função. O regulamento aprovado estabelece diretrizes para garantir que os Encarregados mantenham a ética e a integridade em suas atividades, evitando qualquer comprometimento de sua autonomia técnica. O desafio, portanto, é assegurar que esses profissionais possam desempenhar suas funções sem cair nas armadilhas dos conflitos de interesse.
Embora o regulamento permita que um Encarregado atue em mais de uma empresa, é crucial que ele consiga atender a todas com o mesmo nível de dedicação, sem comprometer a imparcialidade. A acumulação de funções, por outro lado, pode ser um obstáculo perigoso. Em uma área tão dinâmica e complexa como a proteção de dados, é vital que o Encarregado esteja constantemente atualizado com as mudanças legislativas e as melhores práticas do setor. Sobrecarregar este profissional com múltiplas responsabilidades pode resultar em falhas críticas, especialmente na gestão de incidentes, onde uma resposta rápida e eficiente é imprescindível.
Os conflitos de interesse, por sua vez, são armadilhas sutis, que podem surgir quando o Encarregado assume atividades estratégicas que envolvem decisões sobre o tratamento de dados. Aqui, a transparência é não apenas desejável, mas obrigatória. Qualquer sinal de conflito deve ser prontamente comunicado ao agente de tratamento, que, por sua vez, tem a responsabilidade de agir de maneira eficaz para resolver a situação ou, se necessário, substituir o Encarregado.
A prevenção de conflitos de interesse exige um delicado equilíbrio entre ética, atenção e, às vezes, uma dose de coragem. Com as diretrizes estabelecidas pela ANPD, tanto os Encarregados quanto os agentes de tratamento possuem um guia claro para navegar por esse cenário complexo. A chave para o sucesso está na transparência, na integridade e no compromisso de todas as partes envolvidas em manter os dados pessoais protegidos e em conformidade com a lei.
O avanço tecnológico está transformando profundamente a sociedade e a economia global, mas também traz à tona questões que exigem uma regulação firme e eficaz. A necessidade de regulamentação no setor de tecnologia, abarcando temas como privacidade, monopólio e a ética da Inteligência Artificial (IA), tem se tornado um ponto central nas discussões tanto políticas quanto empresariais.
Com o crescente volume de dados sendo coletados, a proteção da privacidade dos indivíduos é uma preocupação premente. Leis como o Regulamento Geral sobre a Proteção de Dados (GDPR) na União Europeia e a Lei de Privacidade do Consumidor da Califórnia (CCPA) nos Estados Unidos impõem diretrizes rigorosas para o tratamento de dados pessoais. Essas regulamentações buscam assegurar que os dados sejam geridos de maneira ética e transparente, resguardando os direitos dos consumidores.
Contudo, a implementação dessas normas representa um desafio considerável para as empresas, especialmente aquelas que atuam no setor de tecnologia. A conformidade exige investimentos significativos em infraestrutura, capacitação e ajustes nos processos internos. Além disso, a necessidade de cumprir diferentes regulamentações em várias jurisdições pode aumentar a complexidade operacional. Para enfrentar esses desafios, é fundamental que as empresas invistam em sistemas de segurança avançados, revisem suas políticas de privacidade e alinhem suas práticas de dados às exigências legais.
O crescimento exponencial das gigantes de tecnologia tem gerado preocupações acerca de práticas monopolistas e da falta de competição no mercado. Governos ao redor do mundo estão intensificando a fiscalização dessas empresas, por meio de ações antitruste e discussões sobre a necessidade de fragmentação de grandes conglomerados.
Empresas de todos os portes precisam estar atentas a essas tendências regulatórias. Para evitar acusações de práticas monopolistas, é crucial que promovam um ambiente de concorrência saudável, evitando táticas que possam ser interpretadas como anticompetitivas. Isso inclui a abertura de plataformas para concorrentes, a transparência nas práticas empresariais e o investimento contínuo em inovação para manter a competitividade de maneira justa.
A Inteligência Artificial, por sua vez, tem o potencial de revolucionar diversos setores, mas levanta questões éticas significativas. A IA pode perpetuar preconceitos, tomar decisões questionáveis e causar impactos negativos na sociedade se não for desenvolvida e aplicada com responsabilidade. Regulamentações emergentes estão sendo formuladas para abordar esses desafios, estabelecendo diretrizes para o uso ético e responsável da IA.
As empresas que atuam com IA devem incorporar práticas éticas desde o início, garantindo que seus algoritmos sejam justos, transparentes e passíveis de explicação. Além disso, é essencial que estejam preparadas para atender futuras regulamentações que visem mitigar os riscos associados à IA. Isso inclui a criação de comitês de ética, a realização de auditorias e o desenvolvimento de mecanismos que permitam monitorar e ajustar decisões automatizadas conforme necessário.
Em um ambiente regulatório em constante evolução, as empresas de tecnologia devem adotar uma postura proativa para se adaptar às mudanças. Isso implica em:
Monitoramento Contínuo: Manter-se atualizado sobre as novas regulamentações é imprescindível, o que inclui seguir de perto as diretrizes de autoridades reguladoras e participar ativamente das discussões no setor.
Prioridade à Conformidade: A conformidade regulatória deve ser tratada como uma prioridade estratégica, o que pode envolver a criação de equipes dedicadas exclusivamente a essa função e a realização de auditorias periódicas.
Inovação Responsável: As empresas devem focar na inovação com responsabilidade, garantindo que novas tecnologias sejam desenvolvidas com forte consideração a aspectos éticos.
Engajamento com Reguladores: Colaborar de forma ativa com os reguladores pode ajudar as empresas a influenciar a criação de políticas de maneira que estas sejam justas e equilibradas.
Adotando práticas éticas, investindo em conformidade e engajando-se de forma proativa com os reguladores, as empresas não só mitigam riscos, mas também se posicionam como líderes responsáveis em um setor que se torna cada vez mais regulado. No final das contas, o equilíbrio entre inovação e responsabilidade será a chave para o sucesso sustentável no cenário tecnológico do futuro.
Recentemente, foi identificado um aumento nos ataques cibernéticos direcionados a empresas que utilizam infraestrutura em nuvem. Criminosos têm explorado arquivos de configuração mal configurados, particularmente aqueles que armazenam variáveis de ambiente, para obter credenciais de acesso a serviços em nuvem. Esses arquivos, conhecidos como .ENV, são comumente usados para armazenar informações de configuração de software e, quando expostos, representam um risco significativo para as organizações.
A campanha, que começou no início deste ano, envolve a varredura em larga escala de servidores na internet, identificando empresas que inadvertidamente expuseram esses arquivos. Uma vez que os atacantes obtêm acesso, eles podem extrair dados e, em alguns casos, deletar os arquivos originais, exigindo posteriormente um resgate para a devolução dos dados.
Embora as negociações entre os invasores e as vítimas sejam realizadas de forma privada, dificultando a verificação de pagamentos, o impacto potencial dessas ações é considerável. Este tipo de ataque não é novo e segue um padrão observado anteriormente, onde cibercriminosos exploravam bancos de dados mal configurados para obter ganhos financeiros.
A principal conclusão desse cenário é a necessidade de uma configuração adequada e segura das infraestruturas em nuvem. Mesmo com a evolução das práticas de segurança, a exposição de credenciais legítimas ainda é um ponto vulnerável. Portanto, é fundamental que as empresas revisem suas configurações e implementem medidas para evitar a exposição de informações sensíveis, reforçando a segurança de seus sistemas e prevenindo acessos não autorizados.
Há seis anos, o Brasil deu um passo essencial na proteção dos direitos fundamentais de seus cidadãos com a criação da Lei Geral de Proteção de Dados Pessoais (LGPD). Essa legislação surgiu como resposta à crescente demanda por regulamentar o uso de informações pessoais em um cenário cada vez mais digitalizado. Com o fim do período de adaptação para as empresas, houve transformações significativas não apenas no tratamento dos dados, mas, principalmente, na conscientização das pessoas sobre o uso de suas informações.
O tratamento de dados abrange qualquer atividade que envolva o manejo de dados pessoais, desde a coleta até a eliminação. Esse conceito, conforme descrito pelas autoridades competentes, inclui uma vasta gama de operações, como a recepção, armazenamento, modificação e até mesmo a comunicação de dados, refletindo a complexidade e a abrangência das práticas que a LGPD busca regulamentar.
A LGPD representou um marco importante para criar um ambiente mais seguro para os dados pessoais no Brasil. No entanto, sua implementação revelou desafios que ainda comprometem sua eficácia. Um dos principais entraves é a falta de conhecimento da população sobre seus próprios direitos em relação aos dados pessoais. Isso resulta em uma exposição contínua a fraudes e golpes digitais, sem que as pessoas saibam que poderiam ter maior proteção e reparação jurídica.
Entre os impactos mais notáveis da LGPD está a exigência de que empresas adotem medidas técnicas e administrativas para garantir a segurança da informação e mitigar vulnerabilidades cibernéticas. A lei exige que os direitos dos titulares de dados sejam respeitados, demandando o consentimento explícito para o tratamento de suas informações. Além disso, as empresas, como agentes de tratamento, são obrigadas a garantir a transparência total na coleta, armazenamento e uso dos dados pessoais, sob pena de sanções.
Os efeitos diretos da LGPD são amplos. Primeiramente, ela conferiu aos titulares maior controle sobre seus dados pessoais, permitindo que eles acessem, corrijam e, em algumas situações, eliminem suas informações. Isso marca uma mudança significativa, pois a legislação não só proporciona um poder de fiscalização à Autoridade Nacional de Proteção de Dados (ANPD), mas também aos próprios titulares.
As empresas, em resposta à LGPD, foram obrigadas a revisar e adaptar suas práticas de segurança da informação. Isso incluiu a implementação de novas políticas e procedimentos internos, a revisão de contratos com terceiros e a criação de avisos de privacidade que atendam às exigências legais de transparência.
A LGPD também impulsionou a criação de novos cargos e estruturas dentro das organizações, como o Encarregado de Proteção de Dados (DPO), cuja função é assegurar a conformidade com a lei e promover a cultura de privacidade entre os colaboradores. Com isso, comitês de privacidade e outros órgãos internos passaram a desempenhar papéis cruciais na governança corporativa.
Além das adaptações internas, a LGPD trouxe implicações legais rigorosas, com penalidades que podem chegar a multas significativas para o descumprimento de suas disposições. As empresas que infringirem as regras estão sujeitas a processos judiciais, elevando o nível de responsabilidade sobre o tratamento de dados.
Outro impacto importante foi a necessidade de alteração nas práticas de marketing e publicidade. As estratégias que envolvem o uso de dados pessoais precisaram ser ajustadas para se adequar às novas regras, que, em alguns casos, requerem o consentimento dos titulares.
A LGPD fomentou uma maior conscientização entre os cidadãos sobre a importância da privacidade e da proteção de dados. Esse aumento na conscientização é essencial para a proteção individual em um contexto de crescente criminalidade digital, tornando-se um dos legados mais importantes da lei.
A LGPD não só transformou a maneira como as empresas operam, mas também promoveu uma mudança cultural no Brasil, destacando a relevância da privacidade em um mundo digital cada vez mais interconectado.
A Autoridade Nacional de Proteção de Dados (ANPD) emitiu uma advertência formal ao Ministério da Saúde, destacando as sérias violações cometidas em relação à Lei Geral de Proteção de Dados (LGPD). Esta ação, divulgada por meio do Despacho Decisório nº 19/2024/FIS/CGF/ANPD e publicada no Diário Oficial da União em 9 de agosto de 2024, sublinha a importância de um rigoroso cumprimento das normas de proteção de dados, especialmente por órgãos públicos.
Responsabilidade Institucional e Proteção de Dados
No contexto atual, a proteção de dados pessoais é essencial para a preservação dos direitos fundamentais dos cidadãos. As instituições, tanto públicas quanto privadas, têm o dever de adotar medidas adequadas para garantir a segurança das informações sob sua custódia. A ANPD, em sua função fiscalizadora, identificou falhas significativas no tratamento de dados pelo Ministério da Saúde, evidenciadas em um processo iniciado sob o número 00261.001963/2022-73.
Infrações Identificadas e Medidas Impostas
O Ministério da Saúde foi advertido por não cumprir as exigências dos artigos 48 e 49 da LGPD, que tratam da comunicação e da segurança em casos de incidentes envolvendo dados pessoais. A falha mais grave envolveu a exposição indevida de dados pessoais devido a uma vulnerabilidade no sistema, o que levantou sérias preocupações sobre a integridade e a segurança das informações sob responsabilidade do órgão.
A ANPD aplicou duas advertências formais e determinou medidas corretivas rigorosas:
Violação ao Art. 48 da LGPD: O Ministério da Saúde deve corrigir, em até 10 dias úteis, as informações publicadas em seu site relacionadas à exposição de dados pessoais, detalhando as medidas de segurança adotadas e justificando a demora na comunicação do incidente aos titulares dos dados. Essas informações devem permanecer acessíveis ao público por pelo menos 90 dias, com comprovações periódicas anexadas ao processo administrativo.
Violação ao Art. 49 da LGPD: O Ministério da Saúde foi obrigado a enviar um relatório detalhado sobre as ações técnicas em andamento, especialmente aquelas relacionadas ao monitoramento e à proteção de acessos ao sistema SCPA. O prazo para a implementação de todas as medidas técnicas necessárias é de 100 dias úteis, devendo ser comprovadas documentalmente.
Impactos na Administração Pública
Este episódio reforça a necessidade de órgãos governamentais adotarem práticas robustas de governança de dados. A não conformidade com as medidas impostas pode resultar em consequências administrativas severas, incluindo sanções adicionais por parte da Controladoria-Geral da União. O caso do Ministério da Saúde serve como um alerta para a administração pública em geral sobre a importância de aderir estritamente às normas de proteção de dados, assegurando tanto a conformidade legal quanto a confiança dos cidadãos.
Reflexões sobre a Conformidade com a LGPD
A decisão da ANPD destaca o papel crítico da proteção de dados na construção de um ambiente digital seguro. A conformidade com a LGPD deve ser vista não apenas como uma obrigação legal, mas como um compromisso ético com a sociedade. Profissionais da área de proteção de dados, advogados e gestores devem tomar esta decisão como um parâmetro para reforçar as melhores práticas em suas atividades diárias, garantindo que a privacidade e a segurança dos dados sejam sempre priorizadas.
Em 12 de julho, uma nova portaria da Secretaria de Prêmios e Apostas do Ministério da Fazenda foi publicada no Diário Oficial da União, estabelecendo novas diretrizes para as plataformas de apostas online. A partir de agora, essas plataformas, conhecidas como bets, serão obrigadas a comunicar transações suspeitas ao Conselho de Controle de Atividades Financeiras (Coaf). Esta medida, inserida no contexto do compliance, é uma prática de “due diligence”, que avalia a capacidade econômica dos apostadores em relação às apostas realizadas, determinando se eles são pessoas expostas politicamente ou ligadas a atividades ilícitas.
A nova regulamentação enfatiza a necessidade de compatibilidade entre a capacidade econômico-financeira dos apostadores e suas apostas. Também exige uma verificação de se o apostador é uma pessoa politicamente exposta ou próxima de alguém que seja. A medida visa identificar apostas sem fundamentação econômica ou legal, incompatíveis com as práticas de mercado ou que possam indicar lavagem de dinheiro ou financiamento de armas de destruição em massa.
As bets, regulamentadas pelas leis de 2018 e 2024, agora devem cumprir requisitos adicionais, incluindo a necessidade de endereço no Brasil, facilitando auditorias e responsabilidades judiciais. A legislação em transição, conduzida pelo Ministério da Fazenda até o final de 2024, estabelecerá critérios técnicos e jurídicos para a liberação dos jogos online.
A nova portaria é um avanço necessário na legislação, permitindo que gastos incompatíveis com a profissão e a renda dos apostadores sejam comunicados ao Coaf, potencialmente resultando em investigações policiais e bloqueio de ativos. As bets deverão armazenar informações por até cinco anos, reforçando o combate à lavagem de dinheiro e financiamento ao terrorismo. Este é um passo significativo diante do crescimento das apostas esportivas online.
A aplicação dessas regras entrará em vigor em 1º de janeiro de 2025, coincidindo com o início do mercado regulado de apostas no Brasil. A manutenção de um ciclo de vida estruturado de compliance nas bets é crucial, incluindo avaliação de risco, suporte da alta administração, políticas e controles internos, comunicação e treinamento, monitoramento e auditoria, investigação e reporte, due diligence e revisão periódica do programa.
Este avanço regulatório representa um marco para a segurança e regulamentação do mercado de apostas esportivas e jogos online no Brasil. Ainda há necessidade de evoluir para enquadrar legalmente e responsabilizar civil e criminalmente os jogos online no país, estabelecendo regras claras para jogos como os caça-níqueis online, frequentemente associados a atividades ilícitas e crimes. A regulamentação rigorosa é essencial para evitar que o setor de apostas se torne um ambiente sem leis.
A disseminação do uso da inteligência artificial tem se intensificado nas últimas décadas, impulsionada principalmente pelo aumento da capacidade de processamento e pela vasta quantidade de dados digitais gerados. Inicialmente, essa expansão se deu pela possibilidade de executar algoritmos de IA mais complexos, permitindo a análise de grandes volumes de dados provenientes de diversas fontes, como a internet, o comércio eletrônico e as redes sociais.
Um marco significativo foi a popularização dos chatbots, que simularam interações humanas utilizando linguagem natural. Esses avanços tornaram a IA mais acessível e útil, ampliando sua aplicação em diferentes segmentos.
Para os profissionais de Governança, Risco e Compliance (GRC), a questão principal é entender como a IA já está impactando o setor e como ela continuará a influenciar no futuro próximo. Consultando diversas plataformas de IA, como o ChatGPT, verificamos que a automação de tarefas repetitivas e manuais, como a coleta e análise de dados, é uma das principais contribuições da IA. Isso permite a análise rápida e precisa de grandes volumes de informações, identificação de padrões suspeitos, alerta sobre possíveis fraudes e indicação de riscos ou violações de conformidade.
Com o avanço da IA e do machine learning, espera-se que essas tecnologias possam prever riscos antes que eles se concretizem, utilizando dados históricos e em tempo real para identificar sinais de alerta precoce. Além disso, ferramentas de IA poderão ajustar automaticamente políticas e procedimentos de compliance em resposta a mudanças regulatórias, otimizando tempo e esforço para manter a conformidade.
A IA também se mostra promissora ao fornecer recomendações para a tomada de decisões em áreas de GRC, ajudando conselheiros e gestores a tomarem decisões mais bem fundamentadas. Consultando o Gemini, IA do Google, notamos que, além das vantagens já mencionadas, a IA pode monitorar leis e regulamentos, mantendo as empresas atualizadas com as mudanças constantes.
Por outro lado, o Microsoft Copilot destaca alguns desafios na implementação da IA no GRC, como a necessidade de uma governança de dados robusta para garantir a qualidade, integridade, privacidade e segurança dos dados utilizados. A segurança cibernética também se torna crucial, exigindo a colaboração com especialistas para proteger os sistemas de IA contra ameaças. Além disso, é essencial garantir que as decisões tomadas por IA sejam transparentes, justas e alinhadas aos valores e objetivos empresariais.
Outro ponto importante é o acompanhamento tecnológico. Profissionais de GRC devem estar atualizados com o ritmo das mudanças tecnológicas para garantir o uso responsável e eficaz da IA.
Esses pontos destacam como a IA está transformando o GRC, oferecendo novas oportunidades e apresentando desafios que precisam ser gerenciados com cuidado.
Em 2024, as instituições financeiras brasileiras devem investir R$ 47,4 bilhões em dados, segurança e experiência do cliente. Um dos principais impulsionadores desses gastos é a conformidade contra crimes financeiros, especialmente entre os 113 bancos associados à Federação Brasileira de Bancos (Febraban).
No ano passado, R$ 39,9 milhões foram destinados ao treinamento de 226,4 mil profissionais de tecnologia, representando um aumento de 139% em relação a 2022. Este crescimento nos custos de compliance não é exclusivo do Brasil, pois toda a América Latina registrou um aumento de 97% nos custos em 2023, com um desembolso total de US$ 15 bilhões, conforme estudo da Forrester Consulting para a LexisNexis Risk Solutions. As instituições financeiras buscam maneiras de reduzir custos enquanto cumprem as regulamentações.
As instituições financeiras possuem um arcabouço normativo robusto que exige conformidade constante com as transações para garantir segurança e credibilidade. Investimentos substanciais em tecnologia e controles internos são essenciais para minimizar os impactos financeiros de possíveis fraudes. O sistema financeiro brasileiro, considerado um dos mais modernos do mundo, permite identificar indícios de crimes por meio de transações suspeitas, seguindo os normativos do Banco Central.
Dentre os crimes financeiros mais comuns, a abertura e movimentação de contas digitais com documentos falsos se destacam, muitas vezes usadas para ocultar recursos ilícitos. Além disso, práticas como phishing, hacking, ataques de malware e fraudes por cartão de crédito são frequentes, causando prejuízos bilionários. Apenas 5% dos valores arrecadados por criminosos cibernéticos são recuperados, com perdas atingindo R$ 2,5 bilhões em 2022.
A resposta a esses desafios inclui a criação de cartilhas educativas e recomendações para prevenir golpes. Mesmo com medidas de segurança robustas, as instituições financeiras enfrentam dificuldades para rastrear contas fraudulentas devido às estratégias adaptativas dos golpistas.
Apesar das perdas e dos altos custos de combate às fraudes, os bancos não repassam esses prejuízos aos clientes. A conformidade e a segurança da informação são vitais para a operação bancária e a cibersegurança é regulamentada por lei. Os bancos devem cumprir normas de compliance para evitar multas e garantir a continuidade de suas operações.
A demanda por profissionais qualificados e o desenvolvimento de soluções tecnológicas são fundamentais para a economia brasileira, onde o setor de serviços representa aproximadamente 70% do PIB. As instituições financeiras contribuem significativamente para a criação de novas empresas e o fortalecimento econômico.
O estudo da Forrester Consulting revela que 39% das instituições financeiras identificam a escalada das exigências regulatórias como o principal fator de aumento dos custos de compliance. Nos próximos 12 meses, 69% das instituições estão priorizando a redução desses custos. O Brasil, Colômbia e México destacam-se como os países com maiores aumentos nos custos relacionados ao compliance.
As despesas com tecnologia, incluindo redes, sistemas e trabalho remoto, também são impulsionadoras desses custos, especialmente no México, Brasil e Colômbia. As instituições financeiras precisam de parceiros com ferramentas, dados e análises avançadas para se manterem à frente dos criminosos e melhorar a eficiência do compliance. O estudo, que contou com a participação de 268 tomadores de decisão na América Latina, destaca os principais desafios e custos enfrentados pelas operações de compliance contra crimes financeiros.
Em uma ação marcante, a Comissão de Valores Mobiliários dos Estados Unidos (SEC) aplicou uma multa de US$ 10 milhões à Intercontinental Exchange (ICE) nesta quarta-feira. A penalidade resulta de deficiências na gestão de uma violação de segurança cibernética que ocorreu em abril de 2021, afetando várias subsidiárias, incluindo a icônica Bolsa de Nova York (NYSE).
A SEC revelou que a ICE e suas nove subsidiárias não reportaram adequadamente uma significativa invasão cibernética, que comprometeu a segurança dos seus sistemas através de uma VPN vulnerável. Terceiros alertaram a ICE sobre a vulnerabilidade que permitiu acesso não autorizado à rede corporativa.
Embora a ICE estivesse ciente do acesso indevido, houve uma demora de vários dias para notificar o departamento de compliance de suas subsidiárias. Esse atraso crítico impediu uma avaliação imediata e correta da intrusão, além de retardar o contato necessário com a SEC, conforme exigido pelos regulamentos.
A SEC destacou que a falha da ICE em comunicar rapidamente a violação resultou na incapacidade das subsidiárias de avaliar e reportar adequadamente a invasão. Em resposta a essas violações regulatórias, a SEC impôs a multa, com a ICE reconhecendo sua participação nos erros cometidos.
As subsidiárias afetadas incluem a Archipelago Trading Services, NYSE American, NYSE Arca, ICE Clear Credit, ICE Clear Europe, NYSE Chicago, NYSE National, e a Securities Industry Automation Corporation.
Esta penalidade representa um impacto financeiro significativo para a ICE e suas subsidiárias e coloca em questão a confiabilidade das suas medidas de segurança cibernética e da rapidez na resposta a incidentes futuros. Este caso sublinha a necessidade de infraestruturas de segurança robustas e de uma política de compliance que possa agir rapidamente para proteger informações e ativos corporativos.
A ação da SEC contra a ICE reforça a importância da transparência e da agilidade na gestão de crises cibernéticas. As empresas, especialmente as que operam em setores sensíveis como o financeiro, devem manter um alto nível de vigilância e atualizar constantemente suas práticas de segurança para combater as ameaças cibernéticas em rápida evolução.
O cenário financeiro global, cada vez mais interconectado, exige que as empresas invistam continuamente em segurança cibernética e em sistemas de detecção e resposta ágeis. A proteção contra invasores e a conformidade regulatória são essenciais para salvaguardar os interesses corporativos e dos clientes globalmente.
As empresas de tecnologia e telecomunicações estão na linha de frente dos desafios de compliance, devido à natureza altamente regulada de suas operações e ao vasto volume de dados pessoais que tratam diariamente. A gestão desses dados acarreta não apenas riscos regulatórios, mas também a possibilidade de incidentes de segurança que podem ter consequências significativas.
Para garantir maior eficiência e otimização, muitas empresas terceirizam parte de suas operações. Contudo, essa prática exige uma avaliação criteriosa dos terceiros contratados para assegurar que fornecedores e parceiros também estejam alinhados com as melhores práticas de compliance. Além disso, a natureza transfronteiriça das operações dessas empresas demanda a observância das regulamentações de diversos países, elevando o nível de complexidade e a necessidade de um programa de compliance robusto e integrado.
Consequências da Não Conformidade
A não conformidade com as regras de compliance no ambiente digital pode resultar em severas sanções e ações judiciais. Empresas que falham em proteger os dados pessoais podem enfrentar multas expressivas, proibições operacionais e outras penalidades administrativas. Além dos impactos financeiros, as empresas também podem sofrer danos irreparáveis à sua reputação e marca.
Desenvolvimento de Programas de Compliance
Desenvolver e implementar programas de compliance eficazes em um ambiente digital em constante evolução é crucial. O comprometimento da liderança é o primeiro passo fundamental para o sucesso de qualquer programa de compliance. A liderança deve compreender a importância do tema e alocar recursos adequados para manter um programa robusto e eficaz.
A criação de políticas e procedimentos de governança é essencial. Esses documentos devem ser amplamente divulgados e implementados de forma precisa no dia a dia das atividades empresariais.
Educação Digital e Governança Corporativa
A educação digital é outra peça-chave para a conformidade em um ambiente digital. Empresas têm a obrigação de educar os usuários sobre seus direitos e práticas de segurança para proteger dados pessoais. Esse esforço deve ser transparente e fornecer orientações claras sobre como os usuários podem proteger suas informações enquanto utilizam os serviços da empresa.
Avaliação de Riscos e Medidas Técnicas
As empresas devem estar constantemente atentas aos riscos de violação da privacidade dos dados. Avaliações periódicas dos riscos e impactos são essenciais para identificar vulnerabilidades. Medidas técnicas e organizacionais, como controles de acesso, autenticação multifatorial, gerenciamento de privilégios, monitoramento de atividades, criptografia e sistemas de detecção de ameaças, são cruciais para garantir a segurança dos dados.
Transferências Internacionais de Dados
Para transferências internacionais de dados, é necessário garantir que os dados sejam protegidos conforme os padrões regulatórios de cada localidade. Cláusulas contratuais robustas devem ser implementadas para assegurar o tratamento adequado dos dados e permitir auditorias regulares das práticas de segurança e conformidade.
Inovação e Tecnologia no Compliance
As novas tecnologias são ferramentas fundamentais para a inovação nos processos de compliance. Análises preditivas podem examinar grandes conjuntos de dados para identificar padrões e possíveis violações de compliance. Tecnologias avançadas também facilitam auditorias digitais, permitindo uma coleta e análise mais eficiente de evidências em casos de incidentes de segurança. Isso não apenas mitiga danos aos titulares de dados, mas também assegura a conformidade regulatória, atendendo princípios como o da responsabilização e prestação de contas previstos na Lei Geral de Proteção de Dados (LGPD).
A complexidade do ambiente digital e as crescentes exigências regulatórias impõem um desafio significativo às empresas de tecnologia e telecomunicações. No entanto, com um compromisso firme da liderança, políticas bem estruturadas, educação contínua e uso de tecnologias avançadas, é possível desenvolver um programa de compliance eficaz que proteja dados pessoais e sustente a confiança e a integridade da empresa.
