現代社会における法的および商業関係の複雑化は、組織に対し、内部統制および法令遵守の構造化されたメカニズムを採用する必要性を課しています。この状況下で、コンプライアンス・プログラムの実施は、法律、規則、倫理基準、および社内規定の遵守を確保するための不可欠な手段となります。
2018年の法律第13,709号(一般個人情報保護法 – LGPD)の公布により、ブラジルの法体系は、プライバシーの保護と個人データの保護を目的とした新たな制度を備えるようになり、データ処理に関わる全ての関係者に対し、具体的な義務を課すようになりました。
この文脈において、コンプライアンスとLGPDの交差点は避けられない。 LGPDの遵守は、技術的な要件にとどまらず、真の法的義務である。これを無視すると、行政上の、民事上の、そして特定の状況下では刑事上の責任が生じる可能性があり、また、企業の評判に深刻な損害を与える可能性があります。
したがって、個人データの取り扱いに関するリスクを軽減するために、コンプライアンスプログラムがLGPDのガイドラインと完全に整合していることが不可欠です。内部統制の導入、倫理的な企業文化の構築、および優れた企業慣行の採用は、不正なデータ漏洩を防ぎ、法令順守を確保するための不可欠な柱です。
この夜、企業が個人情報保護法(LGPD)およびコンプライアンスプログラムに適合するためには、いくつかの根本的な措置が必要となります。その中でも重要なのは、以下の通りです。 組織が取り扱うすべての個人データのマップ作成と文書化、データ収集、保管、廃棄を含む包括的な対応;明確でアクセスしやすいプライバシーポリシーと利用規約の作成。データの収集、利用、保護方法を正確に記載します。 データ主体への問い合わせ窓口の設置。アクセス、修正、削除、ポータビリティ、および同意の取り消しなど、彼らの権利を行使できるようにします。 従業員に対する継続的なデータ保護研修と安全な運用方法の指導を行い、情報の処理とインシデントの予防に関する倫理的な文化を促進します。 セキュリティインシデントへの効果的な対応手順の策定。漏洩や不正アクセスが発生した場合、迅速かつ構造的に対応し、抑制、リスク評価、関係機関およびデータ主体の情報伝達を行います。 最後に、定期的な内部監査を実施することで、継続的な適合性を評価し、法令が実際に遵守されていることを確認します。
つまり、データガバナンスは、組織内でデータを安全かつ効果的に管理する責任のあるプロセス、ポリシー、および構造を定義することを包含します。しかしながら、このガバナンスがコンプライアンスと連携していない場合、法的セキュリティや企業の評判が損なわれる可能性があり、問題となります。
したがって、データガバナンスとコンプライアンスの統合は、組織が誠実さ、責任感、法的および倫理的要件に従って運用したいと考える場合、単に推奨されるだけでなく、必要不可欠です。
Amanda Batista Fernandes Segala は、Rücker Curi 法律事務所・法律コンサルティングの弁護士です。
