Juliana Callado Gonçales (*)
Construir um programa de privacidade e proteção de dados pessoais implica, na grande maioria das vezes, na mudança de mentalidade de toda a organização. Proteger efetivamente as informações pessoais depende da colaboração de todos. A chave para despertar essa mudança e colaboração são os treinamentos e estratégias de conscientização.
Os colaboradores possuem uma série de obrigações diárias relacionadas com a sua função primordial. Para inserir a privacidade nas responsabilidades diárias é indispensável a tomada de ações contínuas e inovadoras. Além desse ponto, diversos relatórios de investigação de violação de dados apontam que o fator humano é um dos principais pontos explorados pelos criminosos.
Colaboradores treinados e conscientes são menos vulneráveis aos ataques cibernéticos. Sistemas e softwares de última geração não são capazes de impedir que o funcionário clique em campanhas de phishing ou sejam vítimas dos engenheiros sociais.
Portanto, os treinamentos e campanhas de conscientização são pilares fundamentais para concretizar a privacidade e proteção dos pessoais nas rotinas profissionais e aumentar a segurança digital da organização.
Os colaboradores precisam estar cientes do que estão processando, das responsabilidades e das consequências das condutas irregulares. A LGPD – Lei Geral de Proteção de Dados Pessoais ao regrar as boas práticas e governança de dados pessoais, expressamente menciona as ações educativas dentre tais medidas (art. 50). Portanto, trata-se de ponto importante para comprovar a conformidade com esta legislação.
Os treinamentos e conscientizações reforçam as políticas de privacidade e segurança da informação. São fundamentais para a sua recepção, aceitação e entendimento por toda a organização. Podem ser utilizadas diferentes estratégias: aulas ao vivo, aulas online, vídeos, e-mails, pôsteres, desafios, simulações de incidentes etc. Um desafio de todo gestor de privacidade é tornar o conteúdo dos treinamentos interessante para colaboradores de diferentes funções, instrução, formação e idade.
Uma estratégia é aproveitar os incidentes cada vez mais estampados nas manchetes de jornais. Criar histórias sobre estes fatos e como evitá-los é uma excelente forma de transmitir conteúdo, já que é da natureza humana querer ouvir histórias de outras pessoas.
O gestor de privacidade da organização deve eleger a melhor estratégia de treinamento, pois as regras devem ser efetivamente entendidas por todos, sob pena de as políticas construídas serem apenas para “inglês ver” e totalmente ineficazes para a organização.
Os treinamentos e campanhas de conscientização devem abordar as leis e políticas aplicáveis, identificar os principais riscos de incidentes, gerenciar reclamações de titulares, apontar condutas proibidas, esclarecer os procedimentos de denúncias e as consequências das violações das leis e políticas de privacidade.
A depender do modelo de negócio, o treinamento pode ser necessário para os funcionários, quanto aos parceiros de negócio (ex: fornecedores, representantes comerciais, associados etc).
Tal definição vai depender do ciclo de vida dos dados pessoais que transitam pela organização. É importante que aqueles que estejam recebendo o treinamento reconheçam por escrito que o assistiram e que concordam em estar sujeito às políticas da empresa e à lei aplicável. Este ponto é muito importante no caso de a organização ser alvo de fiscalizações e processos administrativos/judiciais.
A organização deve identificar quem tem acesso às informações pessoais e fornecer treinamento direcionado. Isso significa que pode ser necessário diferentes treinamentos, dependendo do departamento, tipo de informação administrada, como as informações são processadas etc. Embora interligados, treinamento e conscientização possuem escopos diferentes. O treinamento comunica a mensagem de privacidade, as políticas e processos da organização.
Ou seja, a partir do treinamento o colaborador deve compreender o que pode fazer, o que não pode fazer e como agir no caso de um incidente. Por sua vez, a conscientização é formada por estratégias capazes de reforçar a mensagem de privacidade e proteção de dados pessoais da organização com lembretes, anúncios frequentes, questionários. O seu propósito é lembrar da importância de garantir a privacidade e proteção dos dados pessoais durante as rotinas profissionais.
A comunicação é uma ferramenta importante para garantir o sucesso dos treinamentos e conscientização. Devem ser utilizados diferentes métodos para transmitir a mensagem (ex: intranet, folhetos, e-mails, pôsteres, reuniões, palestras etc.). A comunicação deve ser coerente com todos os níveis da organização, para que todos entendam o framework e como ele afeta e melhora a organização.
Programas de treinamentos devem ser contínuos. Todos que manuseiam informações pessoais precisam ser treinados. A organização deve sempre buscar formas inovadoras para garantir que a sua mensagem seja conhecida e entendida por todos. Um programa de treinamento e conscientização efetivo deve ser capaz de integrar um tópico complexo nas rotinas profissionais.
(*) – É sócia do Silveira Advogados e especialista em Direito Tributário e em Proteção de Dados (www.silveiralaw.com.br).