151 views 12 mins

Treinamento em LGPD: breve guia para você e sua empresa

em Destaques
quarta-feira, 26 de maio de 2021

Pedro Sanches (*)

Se você faz parte do mundo corporativo, já deve ter participado de alguma sessão de treinamento sobre um assunto importante relacionado a sua área de atuação. Agora, em uma reflexão sincera, tente pensar quantos treinamentos verdadeiramente fisgaram a sua atenção a ponto de trazer alterações positivas em sua rotina de trabalho.

Fique tranquilo. Não há motivos para se culpar se a resposta foi “poucos” ou “quase nenhum”, pois a razão pode estar associada à forma com que estes treinamentos foram conduzidos. Apesar de ocuparem papel de destaque no contexto corporativo para, dentre outras coisas, garantir o cumprimento de regras de governança, é bastante perceptível que os treinamentos, geralmente, acabam trazendo conteúdo padronizado, superficial e em formato não interativo, o que, como pudemos constatar a partir da resposta para o questionamento acima, talvez não seja a melhor opção.

Bom, se cativar a atenção das pessoas com temas relacionados a sua área de atuação não parece fácil, imagine tentar alcançar este mesmo objetivo com assuntos razoavelmente “novos” no cenário brasileiro, como a proteção de dados pessoais no ambiente de trabalho.

No entanto, apesar das dificuldades, os treinamentos corporativos em privacidade e proteção de dados são parte essencial da adequação à LGPD, pois a meta da conformidade jamais será alcançada caso os colaboradores não estejam plenamente conscientes de suas missões enquanto pessoas que lidam com dados pessoais no dia a dia.

Inclusive, arriscamos a dizer que, no geral, se o orçamento para o tema estiver extremamente curto, a frente da conscientização deve ser aquela a ser priorizada, considerando seu sedutor custo-benefício. Pensando em tornar menos árduo o planejamento das iniciativas de conscientização, separamos algumas práticas a serem evitadas e, em seguida, trouxemos uma palinha das principais dicas para estruturar um plano de treinamentos eficaz.

. O que não fazer – Não adianta tentar matar dois coelhos em uma só cajadada: Quando o assunto é treinamento sobre proteção de dados, muitas empresas acabam optando por estratégias que basicamente consistem na aplicação do mesmo conteúdo – muitas vezes, superficial e sem aprofundamento prático – a todos os seus colaboradores, independentemente da área de atuação ou nível de gerência.

Na prática, o departamento de recursos humanos acaba recebendo o mesmo conteúdo que os funcionários responsáveis pela área de marketing, o que faz os colaboradores pensarem: “isso não tem a ver com a minha realidade”. Fazer por fazer, é melhor nem fazer: É comum o equívoco de achar que treinamentos devem ser realizados para “cumprir tabela” ou resolver pendências, ainda mais quando a prática destas sessões consta daqueles extensos planos de ação (geralmente desenvolvidos por consultorias terceirizadas) para atendimento da LGPD, sem que a empresa entenda a real importância deste recurso ou como colocá-lo em prática.

Treinamento não é igual ao teste do pezinho: na mesma pegada do “fazer por fazer”, não adianta aplicar um treinamento e nunca mais repeti-lo. Recorrência é uma das chaves para o sucesso. A fome talvez não seja a melhor cozinheira: seguindo o ditado popular de que “quando a coisa aperta, damos um jeito”, muitas empresas acabam deixando para pensar na realização de treinamentos após verificar alguma deficiência em seu programa de governança, ou pior, após vivenciar um incidente de segurança, esquecendo que educação não se constrói da noite para o dia.

Não existe solução mágica que funcione para todos: quando pensamos em treinamentos, naturalmente, vêm à nossa mente aquelas palestras expositivas, cansativas (que só de pensar já começa a dar sono), com limitada possibilidade de interação, que normalmente acontece aos 47 minutos do segundo tempo – quando o palestrante abre para rápidas perguntas, pois o tempo já está estourado.

Treinamentos que nos lembram as aulas que tínhamos na faculdade ou no colégio, definitivamente, não são práticas adequadas no mundo corporativo. Mas, então, o que deve ser feito? A seguir, compartilhamos algumas dicas que podem ser valiosas na hora de definir como e quando realizar seus treinamentos coorporativos.

. O que fazer – Planeje: antes de mais nada, tire um tempo suficiente para planejar a sua estratégia de treinamento. Pense quem deve ser impactado por estas sessões, defina a recorrência (lembre-se: treinamentos não devem ser realizados apenas uma vez ao ano) e planeje a distribuição dos seus recursos (dica: investimentos em treinamentos – desde que realizados da forma correta – nunca são perdidos).

Por fim, elabore métricas que tragam indicadores sobre a sua estratégia de treinamento, permitindo que sejam ajustados os pontos que não performaram como havia originalmente imaginado (PS: errar, especialmente no começo, é natural e fortalecerá o seu planejamento).

. Diferencie o joio do trigo: treinamentos não são a mesma coisa que medidas de conscientização, e um bom plano deve beber um pouco de ambas as estratégias. Treinamentos têm como intuito comunicar uma mensagem institucional, como uma nova regra para a coleta ou exclusão de dados pessoais, e geralmente são realizados através de sessões convencionais e expositivas (presenciais ou remotas) ou por meio de workshops, oficinas e experiências de gamificação – com uma pegada um pouco mais prática.

Já as medidas de conscientização devem ser utilizadas para reforçar a importância dos temas transmitidos através dos treinamentos e geralmente são realizadas por meio de quizzes, curtos vídeos gravados pela alta direção da empresa, eventos como cafés da manhã ou almoços dedicados ao tema (sempre pense em atribuir nomes interessantes, chamativos e criativos para estas iniciativas, pois isso ajuda na fixação), dentre outras medidas que o seu orçamento comportar.

. Customize sempre: para não cair no erro de aplicar o mesmo conteúdo a todos os colaboradores, reflita sobre os tópicos de cada sessão de acordo com o público-alvo e o papel desempenhado por estes indivíduos no programa de governança. Entenda com quem você está falando e molde o seu discurso ao que é realmente importante para essas pessoas.

. Não deixe tudo com o Encarregado: mesmo considerando que a LGPD atribuiu ao Encarregado (ou Data Protection Officer) o dever de orientar os colaboradores sobre as melhores práticas para a proteção de dados pessoais no ambiente corporativo, não significa que este deve carregar esta tarefa sozinho. Reúna um grupo de trabalho interdisciplinar para discutir a melhor estratégia e as pautas para cada sessão de treinamento, vez que, quanto mais áreas contribuírem, maiores são as chances de cobrirmos as dúvidas e dores mais relevantes para a empresa.

. Vá além do básico: pense em como proporcionar a melhor experiência aos participantes de cada sessão. Como exemplo, em sessões convencionais e expositivas, considere elaborar infográficos com os pontos-chave abordados na palestra, permitindo que os participantes refresquem a memória após o término do evento. Lembre-se, quanto mais conteúdo for absorvido, menor será o risco aos titulares de dados pessoais e à própria organização.

. Dê um passo de cada vez: por fim, dois pontos. Primeiro, não tenha pressa, pois é natural que a empresa leve algum tempo para experimentar os resultados de um bom plano de treinamento. Segundo, não tente enxergar os resultados “a olho nu”, pois grande parte do retorno do investimento relacionado à performance de treinamentos está na diminuição de riscos, sendo que o grande resultado pode ser a não materialização de eventos indesejados. Os ganhos certamente serão reais, mesmo que invisíveis.

Para fechar, lembre-se: não existe solução única que sirva para tudo, sendo que as considerações deste artigo não fogem a essa regra. Assim, antes de sair colocando em prática cada ponto percorrido neste texto, avalie a sua realidade e molde estas dicas para as suas necessidades. O único fato que serve para todos é: em matéria de privacidade e proteção de dados, a conscientização é fator chave, independentemente do grau de maturidade e do poder de investimento que sua empresa tem em relação ao tema.

(*) – É advogado do escritório Prado Vidigal, especializado em Direito Digital, Privacidade e Proteção de Dados; professor e palestrante, especialista em Proteção de Dados pela FGV, certificado pela International Association of Privacy Professionals.