Integration zwischen Compliance-Programmen und dem Allgemeinen Datenschutzgesetz

Die zunehmende Komplexität der rechtlichen und geschäftlichen Beziehungen in der heutigen Gesellschaft zwingt Organisationen, strukturierte Mechanismen zur internen Kontrolle und Einhaltung der Vorschriften einzuführen. In diesem Kontext wird die Implementierung von Compliance-Programmen zu einem essentiellen Instrument, um die Einhaltung von Gesetzen, Verordnungen, ethischen Standards und internen Richtlinien sicherzustellen.

Mit der Verabschiedung des Gesetzes Nr. 13.709/2018 (Gesetz über den Schutz personenbezogener Daten – LGPD) verfügt das brasilianische Rechtsordnung nun über ein neues System zum Schutz der Privatsphäre und der personenbezogenen Daten, das spezifische Pflichten für alle Datenverarbeiter auferlegt.

 In diesem Kontext erweist sich die Schnittmenge zwischen Compliance und DSGVO als unvermeidlich. Die Einhaltung der DSGVO ist nicht auf eine technische Anforderung beschränkt, sondern stellt eine echte rechtliche Verpflichtung dar. Ihre Nichtbeachtung kann administrative, zivilrechtliche und in bestimmten Fällen sogar strafrechtliche Verantwortung nach sich ziehen und darüber hinaus erhebliche Schäden für das institutionelle Image, insbesondere das der Unternehmen, die diese Maßstäbe nicht einhalten, verursachen.

Daher ist es grundlegend, dass Compliance-Programme vollständig mit den Richtlinien der LGPD ausgerichtet sind, um Risiken im Zusammenhang mit der Verarbeitung personenbezogener Daten zu mindern. Die Implementierung interner Kontrollen, die Festigung einer ethischen Kultur und die Übernahme guter unternehmerischer Praktiken sind wesentliche Säulen, um den unerlaubten Datenverstoß zu verhindern und die Rechtskonformität sicherzustellen.

In diesem Abend, um ein Unternehmen mit den Richtlinien der Datenschutz-Grundverordnung (DSGVO) und einem Compliance-Programm im Einklang zu bringen, sind eine Reihe grundlegender Maßnahmen erforderlich. Dazu gehören: das Kartieren und Dokumentieren aller personenbezogenen Daten, die von der Organisation verarbeitet werden, einschließlich ihrer Erfassung, Speicherung und Vernichtung; die Erstellung klarer und zugänglicher Datenschutzrichtlinien und Nutzungsbedingungen, die präzise angeben, wie Daten erhoben, verwendet und geschützt werden; die Einrichtung eines Kundendienstkanals für die Datensubjekte, um ihnen die Ausübung ihrer Rechte wie Zugriff, Berichtigung, Löschung, Datenübertragbarkeit und Widerruf der Einwilligung zu ermöglichen; die kontinuierliche Schulung der Mitarbeiter in Bezug auf Datenschutz und gute Sicherheitspraktiken, um eine ethische Kultur bei der Datenverarbeitung und die Prävention von Vorfällen zu fördern; die Festlegung effektiver Verfahren zur Reaktion auf Sicherheitsvorfälle, die eine schnelle und strukturierte Reaktion in Fällen von Datenlecks oder unbefugten Zugriffen ermöglichen, mit Maßnahmen zur Eindämmung, Risikobewertung und Kommunikation mit Behörden und Betroffenen; und schließlich die Durchführung regelmäßiger interner Audits, um die kontinuierliche Einhaltung zu bewerten und sicherzustellen, dass die gesetzlichen Richtlinien tatsächlich eingehalten werden.       

 Das heißt, die Datengovernance wiederum umfasst die Definition von Prozessen, Richtlinien und Strukturen, die für die sichere und effektive Verwaltung der Daten innerhalb des Unternehmens verantwortlich sind. Allerdings, wenn diese Governance nicht mit dem Compliance-Bereich vernetzt ist, entsteht ein Problem, das sowohl die Rechtsicherheit als auch den Ruf des Unternehmens gefährden kann.

Daher ist die Integration von Daten-Governance und Compliance nicht nur empfehlenswert, sondern eine Notwendigkeit für Organisationen, die mit Integrität, Verantwortung und in Übereinstimmung mit den gesetzlichen und ethischen Anforderungen operieren wollen.

Amanda Batista Fernandes Segala ist Anwältin im Büro Rücker Curi Rechtsanwälte und Beratung.