
COMPLIANCE ORIENTADO A DADOS: O QUE UM ESTUDO COM 120 MIL CONFLITOS REVELA SOBRE PROGRAMAS DE INTEGRIDADE
Dados em larga escala mostram que riscos internos predominam, monitoramento ativo é essencial, e LGPD lidera as prioridades de conformidade nas organizações.
Quando conformidade deixa de ser um tópico teórico e passa a ser medido em tempo real, aparecem padrões que desafiam percepções tradicionais sobre risco corporativo. Um estudo recém-publicado analisou mais de 120 mil conflitos de interesse, quase 1 milhão de documentos assinados digitalmente e 800 mil treinamentos concluídos em plataformas de conformidade, consolidando dados operacionais de centenas de empresas brasileiras. Os resultados oferecem um retrato preciso de como programas de integridade realmente funcionam na prática, qual é a incidência real de não conformidades, onde se concentram os riscos e que obrigações regulatórias comandam a agenda de compliance nas organizações.
Para gestores, advogados e profissionais de compliance, esses números importam porque traduzem a distância entre política de integridade e execução real. Indicam também quais temas devem receber reforço em treinamentos, onde automatizar controles e como calibrar investimentos em governança de risco. Este artigo sintetiza os principais achados e suas implicações para organizações que operam sob o escopo da Lei nº 12.846/2013, do Decreto nº 11.129/2022 e da Lei Geral de Proteção de Dados.
Riscos internos como principal vetor de exposição
Um dos achados mais significativos do estudo é a predominância de riscos de origem interna. Dos registros analisados, 28,1% foram categorizados como riscos internos, enquanto apenas 8,2% tiveram origem externa ou de mercado. Este desequilíbrio de mais de 3 para 1 sinaliza que desenho de processos, controles organizacionais e decisões gerenciais são fatores criticamente diferenciadores na redução de exposições.
O achado inverteu a hierarquia de preocupações frequentemente reportada por profissionais de compliance. Embora pesquisas de percepção apontem riscos externos como uma das principais inquietações, a realidade dos dados sugere que intervenções na qualidade dos processos operacionais, na clareza de rotinas e no reforço de controles internos reduzem significativamente as exposições antes que variáveis macroeconômicas ou de mercado as ampliem. Para empresas que contratam com o setor público ou operam sob programa de integridade certificado, isso reforça a necessidade de revisão contínua de fluxos críticos.
Detecção contínua como capacidade operacional
A forma como não conformidades são identificadas revela a maturidade de um programa de compliance. No estudo, monitoramento ativo respondeu por 93,1% das detecções, enquanto auditorias internas representaram apenas 2,3%. Este padrão indica que a maioria das organizações já opera em modelo de vigilância contínua, com mecanismos embarcados nos fluxos operacionais que sinalizam desconformidades em tempo real, em vez de depender de ciclos pontuais de revisão.
A importância prática dessa descoberta é dupla. Primeiro, reduz o intervalo entre o surgimento de um desvio e sua correção, diminuindo janelas de risco. Segundo, permite que programas de integridade operem com automação em larga escala, processando grandes volumes de transações com parametrizações claras e escaláveis. Para fornecedores e parceiros sujeitos a auditoria contratual, isso significa que expectativas de conformidade serão medidas contra padrões de detecção contínua, não apenas em avaliações periódicas.
LGPD e governança corporativa como eixos centrais
Entre as obrigações de conformidade monitoradas pelas organizações, proteção de dados (LGPD) aparece em primeiro lugar, com 22,2% da carteira de conformidade. Obrigações regulatórias gerais representam 15,4%, e governança corporativa 12,6%. Juntas, essas três categorias somam 50,2% do esforço de monitoramento, consolidando a agenda regulatória moderna em torno de dados, transparência e estrutura de governança.
O protagonismo de LGPD nos registros de obrigações reflete tanto a complexidade da Lei nº 13.709/2018 quanto a exposição crescente de organizações a riscos regulatórios e reputacionais relacionados ao tratamento de dados pessoais. Simultaneamente, a presença forte de governança corporativa e conformidade anticorrupção nos dados aponta para maior escrutínio sobre estrutura de controle, canais de denúncia e políticas de integridade. Para empresas do setor privado que interagem com o setor público ou que fazem parte de grupos multinacionais, isso traduz-se em trilhas de treinamento prioritárias em LGPD, cibersegurança e compliance anticorrupção.
Bases normativas e marco regulatório
Os achados do estudo conectam-se diretamente ao marco normativo brasileiro de integridade corporativa. A Lei nº 12.846/2013 (Lei Anticorrupção) estabelece em seu artigo 7º que organizações que implementem programas de integridade robustos podem sofrer redução de pena em processos administrativos. O Decreto nº 11.129/2022 detalha os elementos que um programa de integridade deve contemplar, incluindo avaliação contínua de riscos, mapeamento de processos críticos e sistemas de monitoramento.
À luz dessa regulação, o estudo oferece indicadores operacionais de aderência. A presença massiva de monitoramento ativo (93,1% das detecções), a declaração estruturada de conflitos de interesse (18,7% da população analisada), a documentação digital auditável (com ciclos de assinatura de 7 a 30 dias) e o investimento em treinamentos de massa (800 mil completados) alinham-se aos elementos esperados em um programa certificado conforme a norma federal. Para fornecedores e empresas em cadeia de valor do setor público, isso significa que expectativas de conformidade correspondem a padrões operacionais que já estão em uso por pares.
Adicionalmente, a Lei nº 13.709/2018 (LGPD) ocupa espaço equivalente no marco regulatório. Seus artigos 37 e 38 obrigam operadores de dados pessoais a implementar controles de segurança, processos de consentimento e politicas de retenção, com sanções civis e administrativas por descumprimento. O destaque de LGPD nos dados de conformidade (22,2% das obrigações) reflete essa multiplicidade de demandas de conformidade, que agora cobrem anticorrupção, proteção de dados e governança de forma integrada.
Implicações práticas: riscos típicos e oportunidades
Para gestores de programas de integridade, o estudo sugere oportunidades concretas de aprimoramento:
Riscos típicos a considerar:
- Processos operacionais mal desenhados continuam sendo o maior vetor de risco; revisar fluxos críticos de contratação, aprovação e gestão de parceiros deve ser prioridade
- Lacunas na documentação de conformidade; 40% das não conformidades no estudo não possuem valor financeiro estimado, indicando que muitos eventos são registrados sem mensuração clara de impacto
- Subinvestimento em treinamentos de relacionamento com agentes públicos; apenas 1,4% dos treinamentos abordam este tema, apesar de ser requisito essencial sob Lei Anticorrupção
- Conflitos de interesse em áreas operacionais e comerciais (60% do total) mal estruturados em processos de aprovação
Oportunidades de fortalecimento:
- Automatizar parametrizações de monitoramento ativo em sistemas operacionais; dado que 93,1% das detecções já ocorrem assim, há oportunidade de integração mais profunda de controles em fluxos de TI
- Aprofundar métricas econômicas de risco; desenvolver critérios de valoração que capturem não apenas impacto financeiro direto, mas também retrabalho, perda de oportunidade e desgaste reputacional
- Reequilibrar carteira de treinamentos em direção a LGPD, cibersegurança e compliance anticorrupção; eliminar temas genéricos e reforçar conteúdo setorial-específico
- Estruturar governança executiva para risco residual; aproveitando que apenas 5,7% dos tratamentos optam por aceitar risco, há oportunidade de formalizar decisões estratégicas sobre exposições mantidas intencionalmente
Conclusão
Compliance orientado a dados não é mais aspiracional. O estudo demonstra que, para centenas de organizações, integridade já é rotina mensurável: riscos são mapeados diariamente, conflitos de interesse são declarados estruturadamente, documentos seguem ciclos de aprovação auditáveis, e colaboradores recebem treinamentos em massa sobre temas críticos. O desafio que permanece é traduzir esse diagnóstico em ação. Organizações que usam dados para identificar lacunas de processo, reforçar controles em áreas de alto risco e alinhar investimentos em governança com a realidade da exposição tendem a antecipar problemas, reduzir custos de correção e responder com segurança a auditorias e due diligence. Para isso, é essencial não apenas coletar dados, mas transformá-los em direção estratégica clara.
Fontes:
BE.ALIANT. Compliance Orientado a Dados: 1º Estudo sobre Compliance na Prática. São Paulo: Be.Aliant, 2026. Disponível em: https://www.be-aliant.com/publicacoes. Acesso em: 3 jun. 2026.
BRASIL. Lei nº 12.846, de 1º de agosto de 2013. Dispõe sobre a responsabilidade civil das pessoas jurídicas pela prática de atos contra a administração pública. Diário Oficial da União, Brasília, DF, 2 ago. 2013.
BRASIL. Decreto nº 11.129, de 14 de julho de 2022. Estabelece as diretrizes para a implementação de programas de integridade nas organizações. Diário Oficial da União, Brasília, DF, 15 jul. 2022.
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Diário Oficial da União, Brasília, DF, 15 ago. 2018.
Read MoreA LGPD, agora em parcial vigor, institui regime jurídico devotado à disciplina das operações de tratamento de dados realizadas por entes que compõem o poder público, dos quais se espera que envidem esforços para garantir efetivas prestações estatais para concretizar as normas de proteção de dados pessoais.
Matheus Lopes Dezan[i]
Em 18 de setembro de 2020, sexta-feira, iniciou-se a parcial[ii] produção de vigor pela Lei Federal nº 13.709, de 14 de agosto de 2018, usualmente denominada Lei Geral de Proteção de Dados Pessoais (LGPD)[iii]. Cessa o período de vacatio legis da LGPD após extenso processo legislativo. Isso porque, em 29 de abril de 2020, fora adiada a vigência parcial da LGPD para 03 de maio de 2021, por força do 4º artigo da Medida Provisória nº 959[iv]. Contudo, o Congresso Nacional, em 26 de agosto de 2020, optou pela remoção do artigo 4º da MP nº 959/2020 durante votação acerca da conversão dessa MP em Lei Ordinária Federal nº 14.058, sancionada pela Casa Civil na última sexta-feira, 18 de setembro.
Em face do exposto, vigora parcialmente a LGPD, lei que serve de eixo ao sistema normativo brasileiro de proteção de dados pessoais, provocando importantes alterações para as relações público-privadas[v], sobretudo em face do contexto de uma administração pública eletronizada[vi].
A LGPD E A ORDEM CONSTITUCIONAL
A LGPD regula as operações de tratamento de dados pessoais realizadas por agentes públicos e privados, isto é, regula operações tais quais as de acesso, de coleta, de armazenamento, de processamento e de compartilhamento de dados pessoais (informações que versam sobre atributos da pessoa natural identificada ou identificável – artigo 5º, I, LGPD). Instituem-se, pois, garantias normativas postas em defesa do titular de dados tratados.
Nesse sentido, a fim de tornar efetiva a proteção que confere à categoria de dados pessoais, a LGPD busca dar concreção a normas constitucionais fundamentais. Para isso, afirma como fundamentos seus o respeito à privacidade, ao livre desenvolvimento da personalidade (corolário lógico-jurídico do respeito à dignidade humana, positivado pelo inciso III do artigo 1º da CF/88), aos direitos de autonomia informacional da personalidade, às liberdades de expressão, de informação e de comunicação, à intimidade, à honra, à imagem e a outros direitos fundamentais que servem de axioma à nova lei de proteção de dados (artigos 1º e 2º, LGPD).
Do mesmo modo, operações de tratamento de dados pessoais devem observar, em regra, diretrizes normativas de finalidade, de adequação, de necessidade, de livre acesso, de qualidade de dados, de transparência, de segurança, de não discriminação e outras diretrizes afirmadas pela doutrina estudiosa de temas afeitos à proteção de dados pessoais e positivadas pela LGPD (artigo 6º, LGPD).
Precisamente, no que concerne a operações de tratamento de dados pessoais realizadas pelo poder público, importa a observância das diretrizes positivadas em lei para que haja adequação das relações público-privadas às premissas de um Estado efetivamente Democrático e de Direito, que age em atenção à proteção de direitos fundamentais individuais e coletivos e em prol do interesse público.
Há, no entanto, especificidades próprias do regime jurídico criado pela LGPD e devotado aos órgãos e entidades administrativas, que merecem mais profunda abordagem em tópico apartado.
O TRATAMENTO DE DADOS PELO PODER PÚBLICO
O capítulo IV da LGPD é dedicado à instituição de novo regime normativo para a regulação das operações tratamento de dados pessoais executadas pelo poder público. Trata-se de regime jurídico distinto daquele por meio dos quais são disciplinadas as pessoas jurídicas de direito privado, o que se justifica em razão das particularidades de prerrogativa que a administração pública ostenta.
De pronto, pode-se destacar que o tratamento de dados pelo poder público deve atender a finalidades públicas, com respaldo no interesse público, a fim de que seja possível a execução das atribuições legais do poder público, tais como a execução de políticas públicas, a prestação de serviços públicos e administração da res publica (artigo 23, LGPD). Em todos os casos, deve-se lembrar, observam-se os fundamentos e princípios da LGPD e resguardam-se os direitos do titular dos dados tratos, que deve ser informado sobre os usos que se fazem dos dados tratados por entidades administrativas, bem como deve ter acesso a essas informações em veículos de fácil acesso, sobretudo em portais governamentais em sites da internet (artigo 23, I, LGPD). Ainda, o exercício dos direitos do titular de dados deve ocorrer com amparo no remédio constitucional do Habeas Data, nas disposições da Lei Geral do Processo Administrativo e, ainda, na Lei de Acesso à Informação, todos integrantes do sistema normativo de proteção de dados pessoais ordenado pela LGPD (artigo 23, § 3º, LGPD).
Esse mesmo regime jurídico de direito público disciplina a prestação de serviços notariais e de registros, do mesmo modo que disciplina a execução, por empresas públicas e por sociedades de economia mista, de serviços e políticas públicos (artigo 23, §§ 4º e 5º e artigo 24, parágrafo único, LGPD). Nesses casos, os dados tratados devem ser armazenados em formato interoperável, de modo que seja possível o compartilhamento de dados pessoais entre órgãos da administração pública, para a execução de políticas públicas. O compartilhamento de dados entre entidades administrativas e empresas privadas é estritamente vedado pela LGPD, salvo em casos excepcionais, sendo sempre devida comunicação acerca do compartilhamento à autoridade nacional e ao titular dos dados (artigos 24 e 25, LGPD).
Sem embargos, empresas públicas e sociedades de economia mista que atuam em regime privado de concorrência devem observar a disciplina normativa própria de entidades privadas (artigo 24, caput, LGPD).
Não se aplicam as normas da LGPD quando o tratamento de dados pessoais ocorrer para fins de segurança nacional, de defesa nacional e de segurança do Estado, bem como para fins investigação e de repressão de infrações penais. Dessa forma, em caso de a administração pública tratar dados pessoais para uma das finalidades elencadas, não é devida a aplicação das normas da LGPD.
Similarmente, a LGPD concebe a possibilidade de a administração pública tratar dados pessoais sem o consentimento do titular dos dados tratados para a execução de políticas públicas previstas em lei, em regulamentos ou em contratos, convênios e outros, bem como a para fins de proteção da saúde pela autoridade sanitária, mesmo que sem consentimento do titular de dados (artigo 7º, III e IX, LGPD). De todo modo, é necessário assegurar ao titular dos dados tratados acesso facilitado às informações sobre essas operações de tratamento de dados, tais como informações sobre as formas de tratamento, sobre a identidade dos agentes de tratamento, sobre a finalidade do tratamento e sobre os direitos do titular (artigo 9º, LGPD).
A AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS
Para fiscalizar o cumprimento das normas positivadas pela LGPD, previu-se a criação da Autoridade Nacional de Proteção de Dados (ANPD), criada sem aumento de despesas e vinculada à Presidência da República (artigo 55-A, LGPD). A despeito dessa vinculação, em torno da qual pairam inesgotáveis debates, garante-se à ANPD autonomia técnico-decisória. Do mesmo modo, a autoridade nacional instituída por lei possui natureza jurídica transitória, sendo possível, em momento posterior, que a ANPD seja transformada em entidade da administração pública federal indireta, disciplinada por regime autárquico e especial (artigos 55-A, § 1º, e 55-B, LGPD).
Figuram dentre as competências da ANPD aquelas de zelar pela proteção de dados pessoais e pelo respeito aos segredos comerciais e industriais – sobretudo em caso de haver necessidade de auditar operações de tratamento de dados, como provê o artigo 20 da LGPD – de elaborar diretrizes da Política Nacional de Proteção de Dados Pessoais e da Privacidade e de aplicar sanções em caso de descumprimento das ordens legais (artigo 55-J, LGPD). Ademais, editou-se recentemente o Decreto nº 10.474, de 26 de agosto de 2020, que regulamenta com maior especificidade a estrutura e as atribuições da ANPD[vii].
Nada obstante, as sanções de multa previstas pela LGPD, e passíveis de serem aplicadas pela ANPD, apenas vigoram a partir de 1º de agosto de 2021, período reservado à estruturação da ANPD, o que apenas recentemente se iniciou.
UM PANORAMA GERAL
Em suma, a LGPD, agora em parcial vigor, institui regime jurídico devotado à disciplina das operações de tratamento de dados realizadas por entes que compõem o poder público. Consequentemente, espera-se que a administração pública, imergida no contexto de eletronização de seus atos, envide esforços, como o tem feito desde 2018, no sentido de convergir a sua estrutura interna para as disposições inauguradas pela LGPD, de modo que seja possível garantir efetivas prestações estatais em consonância com a ordem constitucional, concretizada pelas normas de proteção de dados pessoais.
QUADRO COMPARATIVO
Notas de fim de página
[i] Estagiário de Direito em Schiefler Advocacia. Bacharelando em Direito pela Universidade de Brasília (UnB). Membro do Laboratório de Políticas Públicas e Internet (LAPIN). Membro do Grupo de Pesquisa certificado pelo CNPq Direito, Racionalidade e Inteligência Artificial (DR.IA/UnB). Membro do Grupo de Estudos em Direito e Economia (GEDE/UnB/IDP). Membro do Grupo de Pesquisa em Hermenêutica do Direito Administrativo e Políticas Públicas (HDAPP/UniCeub). Membro do Grupo Bioethik: Grupo de Pesquisas em Bioética.
[ii] Por força do inciso I do artigo 65 da LGPD, os artigos 55-A, 55-B, 55-C, 55-D, 55-E, 55-F, 55-G, 55-H, 55-I, 55-J, 55-K, 55-L, 58-A e 58-B vigoram desde 28 de dezembro de 2018, e os artigos 52, 53 e 54, que versam acerca das sanções administrativas a serem aplicadas pela Autoridade Nacional de Proteção de Dados a infratores da Lei, por força do inciso I-A do artigo 65 da LGPD, vigoram apenas a partir de 1º de agosto de 2021. A redação da MP 959/2020, portanto, apenas modificou a redação do inciso II do artigo 65 da LGPD, que cuida da vigência dos demais artigos da lei.
[iii] BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm. Acesso em: 21 ago. 2020.
[iv] BRASIL. Medida Provisória nº 959, de 29 de abril de 2020. Estabelece a operacionalização do pagamento do Benefício Emergencial de Preservação do Emprego e da Renda e do benefício emergencial mensal de que trata a Medida Provisória nº 936, de 1º de abril de 2020, e prorroga a vacatio legis da Lei nº 13.709, de 14 de agosto de 2018, que estabelece a Lei Geral de Proteção de Dados Pessoais – LGPD. Disponível em: https://www.camara.leg.br/proposicoesWeb/fichadetramitacao?idProposicao=2250977. Acesso em: 21 ago. 2020.
[v] SCHIEFLER, Gustavo Henrique Carvalho. Diálogos público-privados. 1. ed. Rio de Janeiro: Lumen Juris, 2018.
[vi] SCHIEFLER, Eduardo André Carvalho. Processo administrativo eletrônico. 1. ed. Rio de Janeiro: Lumen Juris, 2019.
[vii] BRASIL. Decreto nº 10.474, de 26 de agosto de 2020. Aprova a Estrutura Regimental e o Quadro Demonstrativo dos Cargos em Comissão e das Funções de Confiança da Autoridade Nacional de Proteção de Dados e remaneja e transforma cargos em comissão e funções de confiança. Disponível em: https://www.in.gov.br/en/web/dou/-/decreto-n-10.474-de-26-de-agosto-de-2020-274389226. Acesso em: 21 ago. 2020.
Read More