Com a entrada em vigor da Lei Geral de Proteção de Dados (LGPD), a importância da conscientização sobre proteção de dados e o cuidado com os dados pessoais passa a ter um papel estratégico e fará parte do “DNA” da organização, de todos os seus negócios.
A proteção de dados deverá ser considerada desde a sua concepção “privacy by design” e por padrão “privacy by default” em todos os produtos e serviços oferecidos pela organização. Dessa forma, um passo importante para efetivação da adequação à LGPD é o de treinamento contínuo de todos os colaboradores, ou seja, deve ser considerado como um dos pilares para a conformidade, é um processo essencial para se obter êxito em uma implementação.
De nada adianta a organização pensar na implementação de ferramentas de segurança e privacidade de dados, em revisão de contratos, em medidas organizacionais se não houver um programa forte de conscientização dos integrantes da organização, todos devem estar sensibilizados sobre segurança da informação e privacidade de dados, pois a proteção dos dados depende de processos que combinem fatores técnicos e humanos, sendo este último o ponto mais vulnerável.
Se faz necessário pensar no comportamento das pessoas, pois todo comportamento humano produz efeitos, portanto a educação nessa temática tem papel obrigatório, somente todos tendo a compreensão do que é a privacidade alcançaremos a conscientização para a efetiva proteção dos dados pessoais e a sua utilização conforme os limites estabelecidos pelo sistema normativo jurídico.
Informação
Existem várias formas de comunicação, tais como: impressa ou escrita em papel, transmitida pelos correios ou por meios eletrônicos, verbal (conversas/apresentações), armazenada eletronicamente (discos, banco de dados, planilhas, etc.), apresentada em filmes/fotos, portanto um sistema de informação pode ou não ser informatizado e no contexto da segurança da informação é o resultado da combinação de meios, processos, regras e pessoas que asseguram o fornecimento de informações para um processo de negócio.
O importante é a transparência, a clareza da comunicação de um modo acessível a todos os membros da organização sobre um determinado tema, no contexto abordado trata-se da privacidade e da proteção de dados de acordo com os requisitos da LGPD.
Mudança de cultura
A informação sobre a Proteção de Dados deverá circular na empresa de cima para baixo (diretrizes da alta administração), bem como um treinamento interno, desde a alta administração até os diversos segmentos operacionais da empresa, pois aborda um tema que fará parte do ciclo de vida da organização.
Será necessário um processo de aprendizagem e de formação de uma nova cultura organizacional, se os funcionários não são informados sobre os processos e procedimentos, então há uma probabilidade maior de um funcionário cometer um erro intencional ou não, que pode acabar destruindo dados.
Exemplo de ação humana intencional um funcionário descontente pode danificar ativos com informações de clientes, já um exemplo de ação humana não intencional um funcionário apagar por descuido arquivo em rede com dados pessoais, portanto o treinamento para conscientização dos funcionários é uma medida de segurança que a empresa deve observar.
O objetivo da lei é garantir que os dados pessoais sejam mantidos em confidencialidade, sendo conhecidos somente por aqueles que precisem conhecê-los.
A LGPD não visa banir o acesso à informação, mas sim de dar limites para sua utilização, preservando o bem estar social e mantendo a segurança jurídica nos negócios.
Para que a cultura em proteção de dados esteja presente diariamente na organização, ela precisa ser trabalhada e aprimorada, constantemente e, acima de tudo, deve guiar as ações da organização. Ou seja, de nada adianta elencar diversas diretrizes para compor a cultura em proteção de dados, se no dia a dia, essas ações não ocorrem, por isso o alinhamento e engajamento das equipes são de suma importância.
Para que haja uma mudança de cultura o treinamento tem que ser contínuo com ações permanentes de educação com acompanhamento constante sobre a aderência ao compromisso das pessoas com a proteção de dados para que sejam disseminadoras dessa cultura pela organização.
Treinamento
Faz parte do plano de treinamento aspectos de comunicação e conhecimento requeridos pelo pessoal sobre proteção de dados e privacidade com ações educativas, linguagem adequada para os diversos públicos da organização, através de várias formas, como por exemplo, workshops, papers, posters, treinamento formal, vídeos, testes, gamificação, entre outros.
É importante ressaltar a todos a razão da existência desta legislação e os benefícios advindos da sua compreensão e aderência. Os funcionários da empresa, por exemplo, devem estar cientes da importância da não divulgação de informações pessoais publicamente.
A LGPD se baseia em evidências, por isso é fundamental que a organização registre todos os treinamentos realizados, para que tenha tudo documentado para apresentação à Autoridade Nacional de Proteção de Dados (ANPD) numa eventual fiscalização em um caso de incidente de segurança interno envolvendo dados pessoais.
As ações educativas são premissas de boas práticas de governança que contribuem para a disseminação da cultura da proteção do direito fundamental à privacidade dentro de uma organização.
Nessa seara, a própria lei geral de proteção de dados prevê a formulação de boas práticas e de governança que estabeleçam ações educativas, entre outras e que no estabelecimento das regras de boas práticas deverão ser levadas em consideração, em relação ao tratamento e aos dados, a natureza, o escopo, a finalidade e a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de tratamento de dados do titular pelo controlador e operador, bem como o mínimo a ser implementado em um programa de privacidade, dentre eles a adoção de processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados.
Com a aplicação de mecanismos educacionais, é permitido ser ético, transparente e demonstrar boas práticas no tratamento de dados pessoais, situação que servirá como prova positiva da implementação de um modelo de governança corporativa sério, eficaz e efetivo.
Conclusão
A implementação de novos modelos de gestão e negócio necessitam ser pautados em uma cultura de proteção de dados, buscando-se a conscientização de todos sobre os efeitos causados pela utilização das informações contendo dados pessoais que deverão ser observados e praticados.
Não só empresas, clientes e fornecedores são titulares de direitos sobre os seus dados, os funcionários e terceiros também os são em relação aos seus empregadores e contratantes. Todo titular espera que seus dados sejam cuidados e da mesma forma devem fazê-lo com os dados tratados de outros titulares dentro dos papéis e responsabilidades estabelecidos quando você titular for o agente responsável dentro da organização pelo tratamento desses dados pessoais.
Vale lembrar que com o advento da LGPD há uma excelente oportunidade de destaque àquelas empresas que já adotaram medidas de adequação à lei, independente do seu tamanho, pois o impacto dessa nova lei atinge a todos indivíduos e organizações de quaisquer portes, ser uma organização que tem em sua cultura organizacional o respeito à privacidade das pessoas e o tratamento desses dados no rigor da lei será sem dúvida um grande diferencial.
O investimento na educação é um elemento de transformação em todas as esferas e não é diferente na esfera digital, vivemos numa sociedade movida a dados, os quais quando tratados, possuem um alto valor, razão pela qual cuidados necessários devem ser tomados a fim de garantir ao seus titulares que serão tratados de acordo com a lei.
O desafio é garantir que todos compreendam os efeitos indiretos e diretos da utilização de dados pessoais, os quais devem ser tratados com responsabilidade, ética e transparência, com o objetivo de consolidar a confiança perante o mercado, além disso as organizações deverão endossar e assumir as responsabilidades pelo tratamento dos dados pessoais que realizam, por isso é imperioso que todas as pessoas envolvidas nessas tarefas diárias estejam alinhadas sobre o conhecimento das medidas necessárias que visem o fornecimento da segurança que os titulares dos dados pessoais esperam desses tratamentos.
