Autores

Paulo Salvador Ribeiro Perrotti

CEO, LGPD Solution

www.linkedin.com/in/pauloperrotti/

Fernando Santos

Head of Enterprise Sales – Americas, Kaspersky

www.linkedin.com/in/fernandosantos1965/

A Lei Geral de Proteção de Dados (Lei nº 13.709/2018), também conhecida como LGPD, dentre os principais aspectos abordados, determina o maior zelo à governança, proteção e privacidade de dados pessoais, estabelecendo requisitos de segurança preventivos e corretivos, sejam tecnológicos ou procedimentais, que certamente impactam as organizações, tanto no aspecto estrutural, quanto no negocial.

Ademais LGPD surge como forma de harmonizar a aplicabilidade de outros ordenamentos jurídicos como a Constituição Federal, o Código de Defesa do Consumidor, além do próprio Código Civil, no que diz respeito à intimidade, bem como à privacidade dos dados pessoais de todos que estão direta ou indiretamente envolvidos em uma atividade profissional, que utilizem um sistema e/ou estão conectados à internet.

A fim de manter salvaguardados os dados pessoais e a privacidade dos usuários, a LGPD estabelece como dado pessoal “toda e qualquer informação relacionada a pessoa natural identificada ou identificável”, tais como informações como nome, endereço, telefone, profissão, qualificação, dentre outros, que são capazes de identificar a pessoa ou torná-la identificável, a partir de uma simples leitura.

Ademais, a LGPD trouxe ainda catalogado os dados pessoais que são considerados sensíveis, quais sejam aqueles sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

Neste aspecto, torna-se prudente frisar a importância da adoção de metodologias para acompanhar a dinâmica de coleta e tratamento dos dados pessoais e sensíveis, especialmente perante os colaboradores e empregados. As estatísticas refletem que mais de 40% (quarenta por cento) das ações judiciais envolvendo LGPD estão relacionadas a reclamações trabalhistas, em razão da falta de documentação ou formalidade na coleta, tratamento, armazenamento e compartilhamento dos dados pessoais dos profissionais que foram contratados pelas empresas. Trata-se de um grande desafio para o departamento de Recursos Humanos, que deve diagnosticar processos físicos e tecnológicos, com a finalidade de gerir e administrar melhor a governança de dados pessoais dos colaboradores.

O setor de tecnologia também é impactado diretamente pela LGPD, à partir do momento em que há a exigência regulatória da empresa adotar metodologias preventivas e corretivas no que se refere à preservação da qualidade dos dados, segurança e prevenção, determinando expressamente que a empresa execute medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão dos dados pessoais. Assim sendo, faz-se necessário realizar testes de vulnerabilidade, testes de intrusão, além de manter um registro de auditoria de controle de acessos ao sistema para monitorar e rastrear cada usuário de acordo com o seu perfil e hierarquia, bem como introduzir metodologias de indicadores de vulnerabilidade de dados, a fim de que seja possível realizar alertas no caso de infração.

Outrossim, é requisito regulatório que a organização ainda indique um profissional para atuar especificamente como Encarregado de Dados, também conhecido como Data Protection Officer (DPO), sendo-lhe assegurado o treinamento adequado para que, com a devida conscientização de sua função, atue como responsável pela governança de dados da empresa, bem como sirva de canal de diálogo com os usuários a respeito de quaisquer demandas ou ocorrências identificadas, além de estar apto a prestar  esclarecimentos ante a Autoridade Nacional de Proteção de Dados (ANPD). Como frisado anteriormente, trata-se de uma exigência regulatória a indicação deste profissional e, caso a empresa negligencie com essa obrigação, poderá sofrer penalidades, inclusive a aplicação de multa correspondente a 2% do faturamento da empresa por infração cometida, além da publicização da infração cometida até sua regularização, bloqueio ou eliminação dos dados pessoais.

E, não menos importante, as organizações precisam se atentar ao legítimo tratamento, bem como pelo rígido armazenamento, dos dados pessoais de seus clientes e fornecedores, que são a essência estrutural de seu diferencial competitivo, para o fiel e pleno desenvolvimento de suas atividades comerciais. Permitir, por atos ou omissões, que haja vazamento de dados, é evidenciar a negligência na governança de seus ativos digitais, o que já denigre de imediato a imagem da empresa, além de possibilitar que concorrentes e terceiros acessem dados estratégicos, o que certamente trará graves prejuízos financeiros àqueles que não adotarem as devidas precauções procedimentais e tecnológicas já estabelecidas em lei.

Considerando outro ponto de atenção, geralmente as empresas investem em ferramentas de segurança e processos de adequação a normas, porém se esquecem do elo mais fraco na corrente. E, no caso da segurança e compliance, o impacto recai sobre as pessoas.

As empresas fazem investimento expressivos em adequação, contratando especialistas e, no caso da infraestrutura de segurança, adquirem ferramentas robustas e sofisticadas. Porém, uma simples ação de um colaborador, seja por ingenuidade ou por razões maliciosas, pode fazer ruir todo um planejamento e trabalho gigantesco.

Hoje já se comprova cientificamente que os métodos de aquisição de conhecimento tradicionais já não são efetivos quando o assunto se trata de educação. Olhando, por exemplo, a pirâmide de aprendizagem de Glasser, percebe-se que métodos de educação por palestras, avisos, comunicados e memorandos possuem muito baixa taxa de assimilação, onde menos de cinquenta por cento do conteúdo apresentado é efetivamente absorvido pela audiência.

Somando a este resultado, a curva de Ebbinghaus, que define quanto do conteúdo é esquecido ao longo do tempo, vemos que ao final de uma semana menos de dez por cento do conteúdo foi realmente retido, resultando em que menos de cinco por cento do conteúdo originalmente apresentado será efetivamente posto em prática.

Por estas razões fica claro que nos processos de segurança ou de adequação, a fase de planejamento considerando a educação é extremamente importante, porém possui obstáculos a serem transpostos.

O primeiro grande obstáculo é o engajamento dos colaboradores às matérias corporativas importantes, já que todos possuem atribuições e tarefas diárias, onde o tempo e disponibilidade são essenciais. Normalmente as áreas de recursos humanos podem ajudar muito neste ponto, seja com campanhas de engajamento, definições de metas e premiações (gamificação) e por possuírem canais de comunicação diretamente com todos colaboradores.

O segundo grande obstáculo é a definição de volume, recorrência e frequência, já que mais que comprovadamente grandes volumes de informação em curto espaço de tempo e em baixa recorrência não são efetivos. Há também que se considerar a disponibilidade de tempo dos colaboradores para se dedicarem a tarefas fora do seu escopo tradicional. Para esta situação, as melhores práticas indicam que pequenas pílulas de conhecimento, em frequência e recorrências adequadas (ideal no máximo semanalmente) permitem assimilação e engajamento maiores.

O terceiro grande desafio é como medir os pontos do processo. Como saber se todos os colaboradores estão engajados e como está a evolução do aprendizado. Nesta fase, o ideal é aplicar pequenos testes periódicos de medição de conhecimento, que irão determinar a necessidade de reforços em alguma matéria específica, assim como permitir a evolução gradativa nos níveis de conhecimento adquiridos.

O quarto desafio é a disponibilidade dos educadores. Normalmente as pessoas que trabalham com compliance e segurança corporativa estão focadas em suas tarefas e envolvidas em atividades que não permitem sua alocação em projetos de longa duração (como o processo de educação efetiva). Se este é seu caso, há possibilidade de terceirizar ou automatizar estes processos. Há empresas especializadas nos temas compliance e/ou segurança que possuem programas de educação desenhados a atender corporações com esta necessidade e até mesmo plataformas de conhecimento que automatizam todo o processo, permitindo que todos os pontos sejam cobertos, desde a definição do conteúdo, engajamento, gerenciamento do processo de aprendizado e até relatórios individualizados, que permitem reconhecimento, comprovação e sucesso do programa. Normalmente estas opções são desenhadas com metodologia educacional, gamificação e testes periódicos já incluídos.

Todos sabemos que “pessoas” é um tema complexo e seguramente existem outros desafios que são importantes a considerar. Mas deixemos para outro artigo, pois a já deixamos bastante a se pensar no momento!