Em tempos onde a regulamentação de atividades nos mais variados segmentos da sociedade (novas normas de PLDFT[1], nova lei de licitações[2], LGPD[3]) ganha mais força, fica cada vez mais claro um norte para todas as disposições técnicas: se estas não se traduzirem em cultura, não terá efeito. No final do dia, resta a conduta.
Para ilustrar este mindset, contarei uma história do meu início de carreira lá atrás. Uma das minhas tarefas, à época como analista de compliance e controles internos, era de conduzir o famoso processo de “mesa limpa”. Para aqueles(as) não familiarizados(as), trata-se de um procedimento de checagem sobre as estações de trabalho de colaboradores para identificar informações (material nonpublic information) desprotegidas e, em consequência, em desacordo com a política e os procedimentos de segurança da informação da instituição. Os possíveis exemplos clássicos de “escorregadas” são as gavetas abertas com contratos, drafts de prospectos de ofertas públicas, políticas internas, bem como até o “post-it” colado na tela do computador com um nome e telefone de um cliente (by the way, isso é um exemplo de vulnerabilidade no tratamento de dados pessoais hein 🙊 , olhem como está atual a temática…) ou a senha de acesso ao computador.
Com a compreensível maturidade de quem está iniciando na carreira, eu me perguntava: “uai, mesmo se a pessoa trancar a gaveta, não colocar nenhum post-it, ainda assim, ela pode mandar um e-mail, faltar com a discrição esperada numa conversa de bar ou elevador e falar assuntos proibidos, até passar sua senha pessoal para outra pessoa” (vocês acreditam que este tipo de coisa acontece na sociedade? 🤭).
Certamente tudo isso pode e sempre poderá ocorrer, mas é aqui que mora o divisor de águas na importância de um programa voltado para a integridade: o impacto na cultura organizacional.
Pensemos a partir de um exemplo do dia-a-dia, para depois voltarmos ao caso ilustrativo anterior. Quando estamos dirigindo na rodovia e vemos uma placa de velocidade máxima de 120Km/h e, mais à frente, um painel eletrônico com a mensagem “respeite a velocidade, salve vidas”, tais medidas obviamente não eliminam o risco de acidentes fatais. Inclusive, podem ocorrer acidentes a 80Km/h, bem como podem não ocorrer acidentes a 150km/h (por mais reprovável que seja a violação à regra).
Mas as diligências de sinalização buscam dois impactos. Primeiro, a reflexão, no ser humano de mínimo/médio discernimento, sobre a importância de proteger a si mesmo(a) e aqueles(as) que ama; e segundo, a ciência de que infrações, trazem consequências, “depois não reclame e assuma a responsabilidade”. Esta máxima também tem aplicabilidade na questão da conduta.
Voltemos para o exemplo do mesa limpa. Quando todos tem consciência da existência efetiva de controles de segurança da informação, as pessoas tendem a ter ações em diferentes etapas do seu dia que condizem, direta ou indiretamente, com o cuidado requerido. Explico: quem nunca, eu me incluo neste grupo, após um “puxãozinho de orelha” do mesa limpa, antes de deixar o trabalho pensou “opa, deixa eu trancar aqui senão o pessoal do mesa limpa vai vir na minha orelha”, ou mesmo “deixa eu ler direitinho o endereço de e-mail para não vasar erroneamente uma informação para quem não deve”? Até mesmo em outras situações que não tenham uma regra prévia que a contemple, como “acabei de enviar um documento na impressora do outro andar, neste intervalo alguém não autorizado, não consegue ver a informação? Vou perguntar ao time de Compliance / Seg Info…”
Percebam que a mensagem e/ou controles efetivos, permaneceu na mente de quem tem consciência e maturidade e, por vezes, até aflora outras reflexões de segurança. E você leitor(a), pode se perguntar, mas e as pessoas que simplesmente não se importam?
Pois bem.
A importância das políticas, procedimentos e controles, com grande destaque para a sua disseminação (e.g. treinamentos, educação em “pílulas” nos painéis eletrônicos e/ou mural de parede , jornadas educativas num contexto descontraído de semana, jornada, jogos e gincana) nas empresas reside em:
- provocação sadia da reflexão no stakeholder (todos, da Alta Administração aos funcionários, fornecedores, comunidade impactada) sobre o agir corretamente, pois quando eu não me importo com a regra – que tenha sentido – eu não faço a coisa certa;
- responsabilização (taking responsibility).
O item 2 esclarece a pergunta sobre as pessoas que não se importam – sim elas existem. Para o próprio resguardo da instituição, da alta administração, do Chief Compliance Officer, do(a) encarregado(a) pelo respectivo departamento, é importante evidenciar a existência de uma cultura organizacional, de um programa de Compliance eficiente, de modo que fique claro ao regulador, às autoridades, enfim, a qualquer questionamento e/ou auditoria, de que tudo que está ao alcance da liderança foi e é feito e, por vezes, um pessoa (ou grupo de pessoas) pode violar os valores éticos da instituição, mesmo com todos os controles possíveis in place.
E isso vale para todos os modelos de programa de Compliance exemplificados no início deste artigo, da prevenção à lavagem de dinheiro à proteção de dados.
Deixemos a mensagem clara nas suas devidas proporções: não é um evento isolado de gaveta aberta que deve prever uma sanção, mas sim a importância da respectiva orientação. Situações reiteradas que apontem para uma desconsideração deliberada pelas regras da empresa são efetivamente os exemplos que requerem uma ação com base nos critérios do código de conduta, pois a pessoa ou grupo de pessoas pode(m) não estar alinhada(as) com a missão e os valores da empresa.
No final do dia, com o perdão da reiteração, o que vale é o compromisso mútuo, a conduta. A conduta por parte da instituição em manter um programa efetivo, coerente[4] e a conduta por parte dos colaboradores, que devem compreender o que a instituição busca, ter voz ativa para se expressar e proteger a “segunda casa” de toda pessoa com o sentimento de pertencimento.
Faz sentido? Se sim, curta, comente, compartilhe.
Saudações e sucesso sempre 🤓.
[1] Prevenção à lavagem de dinheiro e ao financiamento do terrorismo.
[2] Lei 14.133/21 – Lei de Licitações e Contratos Administrativos.
http://www.planalto.gov.br/ccivil_03/_ato2019-2022/2021/lei/L14133.htm
[3] Lei 13.709/18 – Lei Geral de Proteção de Dados Pessoais
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
[4] Daí a importância do top-down da Alta Administração.
Imagem de Pixabay.
Danilo Wanderley 