Integration mellem compliance-programmer og den generelle databeskyttelsesforordning

Den stigende kompleksitet i juridiske og kommercielle forhold i den moderne samfund pålægger organisationer behovet for at indføre strukturerede mekanismer til intern kontrol og normativ overensstemmelse. I dette perspektiv bliver implementeringen af complianceprogrammer et væsentligt instrument til at sikre overholdelse af love, forskrifter, etiske standarder og interne politikker.

Med Promulgation af Lov nr. 13.709/2018 (Lov om generel beskyttelse af personoplysninger – LGPD) er det brasilianske juridiske system blevet udvidet med et nyt regime, der sigter mod beskyttelse af privatlivet og beskyttelse af personoplysninger, og som pålægger specifikke forpligtelser for alle databehandlere.

 I samme sammenhæng viser krydsningen mellem compliance og LGPD sig at være uundgåelig. Overholdelsen af LGPD er ikke blot et teknisk krav, men udgør en reel juridisk pligt. Manglende overholdelse kan medføre administrativ, civil og i visse tilfælde endda strafansvar, samt alvorlige skader på den institutionelle omdømme, hvis en virksomhed ikke følger disse parametre.

Således er det afgørende, at complianceprogrammer er fuldt forenelige med LGPD's retningslinjer med henblik på at mindske risici i forbindelse med behandling af personoplysninger. Implementeringen af interne kontrolforanstaltninger, konsolideringen af en etisk kultur og vedtagelsen af gode forretningspraksis er væsentlige søjler for at forhindre ulovlig lækage af data og sikre juridisk overensstemmelse.

I denne sammenhæng, for at en virksomhed skal være i overensstemmelse med retningslinjerne i den generelle databeskyttelsesforordning (GDPR) og et complianceprogram, er det nødvendigt at vedtage en række grundlæggende foranstaltninger. Blandt dem fremhæves: kartlægning og dokumentation af alle personoplysninger, der behandles af organisationen, herunder deres indsamling, opbevaring og bortskaffelse; udformning af klare og tilgængelige privatlivspolitikker og brugsvilkår, der præcist informerer om, hvordan data indsamles, anvendes og beskyttes; oprettelse af en kanal for kundeservice til datapersoner, der muliggør udøvelse af deres rettigheder, såsom adgang, korrektion, sletning, portabilitet og tilbagetrækning af samtykke; løbende uddannelse af medarbejdere om databeskyttelse og gode sikkerhedspraksis, der fremmer en etikkultur i behandlingen af oplysninger og forebyggelse af hændelser; etablering af effektive procedurer for reaktion på sikkerhedshændelser, der muliggør en hurtig og struktureret indsats i tilfælde af uautoriseret lækage eller adgang, med foranstaltninger, der omfatter indbegrænsning, risikovurdering og kommunikation til myndighederne og datapersonerne; og til sidst, gennemførelse af periodiske interne revisioner med det formål at evaluere den konstante overensstemmelse og sikre, at de juridiske retningslinjer overholdes effektivt.       

 Altså, data governance involverer i sin tur definitionen af processer, politikker og strukturer, der er ansvarlige for sikker og effektiv styring af data inden for organisationen. Imidlertid, på den anden side, når denne governance ikke er sammenhængende med compliance, skabes der en problematisering, som kan kompromittere både den juridiske sikkerhed og virksomhedens omdømme.

Derfor er integrationen mellem data governance og compliance ikke blot anbefalet, men en nødvendighed for organisationer, der ønsker at operere med integritet, ansvarlighed og i overensstemmelse med juridiske og etiske krav.

Amanda Batista Fernandes Segala er advokat på advokatfirmaet Rücker Curi Advocacia e Consultoria Jurídica.