Treinamento e conscientização: a chave do sucesso dos programas de privacidade e proteção de dados pessoais

Construir um programa de privacidade e proteção de dados pessoais implica, na grande maioria das vezes, na mudança de mentalidade de toda a organização. Proteger efetivamente as informações pessoais depende da colaboração de todos. A chave para despertar essa mudança e colaboração são os treinamentos e estratégias de conscientização.

Os colaboradores possuem uma série de obrigações diárias relacionadas com a sua função primordial. Para inserir a privacidade nas responsabilidades diárias é indispensável a tomada de ações contínuas e inovadoras.

Além desse ponto, diversos relatórios de investigação de violação de dados apontam que o fator humano é um dos principais pontos explorados pelos criminosos. Colaboradores treinados e conscientes são menos vulneráveis aos ataques cibernéticos. Sistemas e softwares de última geração não são capazes de impedir que o funcionário clique em campanhas de phishing ou sejam vítimas dos engenheiros sociais.

Portanto, os treinamentos e campanhas de conscientização são pilares fundamentais para concretizar a privacidade e proteção dos pessoais nas rotinas profissionais e aumentar a segurança digital da organização.

Os colaboradores precisam estar cientes do que estão processando, das responsabilidades e das consequências das condutas irregulares.

A LGPD - Lei Geral de Proteção de Dados Pessoais (Lei Federal nº 13.709/2018) ao regrar as boas práticas e governança de dados pessoais, expressamente menciona as ações educativas dentre tais medidas (art. 50). Portanto, trata-se de ponto importante para comprovar a conformidade com esta legislação.

Os treinamentos e conscientizações reforçam as políticas de privacidade e segurança da informação. São fundamentais para a sua recepção, aceitação e entendimento por toda a organização. Podem ser utilizadas diferentes estratégias: aulas ao vivo, aulas online, vídeos, e-mails, pôsteres, desafios, simulações de incidentes etc.

Um desafio de todo gestor de privacidade é tornar o conteúdo dos treinamentos interessante para colaboradores de diferentes funções, instrução, formação e idade. Uma estratégia é aproveitar os incidentes cada vez mais estampados nas manchetes de jornais. Criar histórias sobre estes fatos e como evitá-los é uma excelente forma de transmitir conteúdo, já que é da natureza humana querer ouvir histórias de outras pessoas.

O gestor de privacidade da organização deve eleger a melhor estratégia de treinamento, pois as regras devem ser efetivamente entendidas por todos, sob pena de as políticas construídas serem apenas para “inglês ver” e totalmente ineficazes para a organização.

Os treinamentos e campanhas de conscientização devem abordar as leis e políticas aplicáveis, identificar os principais riscos de incidentes, gerenciar reclamações de titulares, apontar condutas proibidas, esclarecer os procedimentos de denúncias e as consequências das violações das leis e políticas de privacidade.

A depender do modelo de negócio, o treinamento pode ser necessário para os funcionários, quanto aos parceiros de negócio (ex: fornecedores, representantes comerciais, associados etc). Tal definição vai depender do ciclo de vida dos dados pessoais que transitam pela organização.

É importante que aqueles que estejam recebendo o treinamento reconheçam por escrito que o assistiram e que concordam em estar sujeito às políticas da empresa e à lei aplicável. Este ponto é muito importante no caso de a organização ser alvo de fiscalizações e processos administrativos/judiciais.

A organização deve identificar quem tem acesso às informações pessoais e fornecer treinamento direcionado. Isso significa que pode ser necessário diferentes treinamentos, dependendo do departamento, tipo de informação administrada, como as informações são processadas etc.

Embora interligados, treinamento e conscientização possuem escopos diferentes. O treinamento comunica a mensagem de privacidade, as políticas e processos da organização. Ou seja, a partir do treinamento o colaborador deve compreender o que pode fazer, o que não pode fazer e como agir no caso de um incidente.

Por sua vez, a conscientização é formada por estratégias capazes de reforçar a mensagem de privacidade e proteção de dados pessoais da organização com lembretes, anúncios frequentes, questionários. Ou seja, o seu propósito é lembrar da importância de garantir a privacidade e proteção dos dados pessoais durante as rotinas profissionais.

A comunicação é uma ferramenta importante para garantir o sucesso dos treinamentos e conscientização. Devem ser utilizados diferentes métodos para transmitir a mensagem (ex: intranet, folhetos, e-mails, pôsteres, reuniões, palestras etc.). A comunicação deve ser coerente com todos os níveis da organização, para que todos entendam o framework e como ele afeta e melhora a organização.

Programas de treinamentos devem ser contínuos. Todos que manuseiam informações pessoais precisam ser treinados. A organização deve sempre buscar formas inovadoras para garantir que a sua mensagem seja conhecida e entendida por todos. Um programa de treinamento e conscientização efetivo deve ser capaz de integrar um tópico complexo nas rotinas profissionais.

*Juliana Callado Gonçales é sócia do Silveira Advogados e especialista em Direito Tributário e em Proteção de Dados (www.silveiralaw.com.br)