Em busca de mais eficiência na proteção de dados

Companhias precisam entender os riscos de seus programas e assegurar que todos os departamentos se envolvam na sua aplicação

Já não é novidade falar em proteção de dados pessoais, afinal, a LGPD está em pleno vigor. Também não é novidade que as penalidades administrativas da lei podem ser aplicadas e que a Autoridade Nacional de Proteção de Dados (ANPD) iniciou suas atividades de fiscalização neste mês de janeiro. No entanto, saber que existe uma lei vigente e aplicável não resolve os problemas corporativos de conformidade. Quais são os aspectos mais importantes que as empresas devem observar em seus programas de proteção de dados? Após a fase inicial de adequação, os departamentos estão integrados quando o tema é privacidade? Como o mercado está em termos de maturidade e boas práticas? Essas são perguntas cujas respostas são fundamentais para que as empresas aloquem adequadamente recursos para a adequação à lei.

Primeiramente é importante lembrar que a adequação à LGPD ou a qualquer outra lei de proteção de dados, como o GDPR (General Data Protection Regulation) não é tarefa exclusiva de um departamento dentro de uma corporação. Evidentemente, em termos de condução de um projeto de conformidade, pode-se ter um ponto focal que servirá como “guia” para que as etapas sejam praticadas por todos os envolvidos. E, nesse aspecto, é válido enfatizar que a proteção de dados é um tema que deve envolver toda a estrutura empresarial. Não é possível, por exemplo, adequar uma organização sem considerar as áreas de segurança da informação, tecnologia da informação, jurídico, compliance, recursos humanos, cadastro, CRM, marketing, comunicação, relações públicas e institucionais, SAC, client happiness, customer success e compras. A depender do ramo de atuação e da estrutura da empresa, mais ou menos áreas e profissionais podem participar dessa jornada. Mas o ponto é que se trata de algo que deve ser absorvido em forma de programa, amplamente e aplicável a todos.

Mas como fazer isso de forma eficiente?

Bem, aí voltamos às perguntas feitas acima e suas respostas. É preciso ter em mente que um programa de proteção de dados e privacidade depende de elementos jurídicos, mas também de outros fatores, tais como organizacionais, técnicos e, evidentemente, financeiros. Estar adequado a uma nova legislação leva tempo, dinheiro e os mais variados recursos para a obtenção de bons resultados. Mas saber como isso acontece dentro das empresas não é simples. Muitas vezes, por mais que as companhias tenham a prática de analisar KPI’s (Key Performance Indicators), OKR’s (Objective Key Results) e outras métricas, não se tem uma visão de maturidade do mercado. E com o tema proteção de dados e privacidade, isso não é diferente, porque as primeiras experiências corporativas de adequação à LGPD ocorreram há pouco tempo. Ainda assim, analisar desde o início o que as empresas têm feito é uma prática que trará insights muito importantes para o desenho estratégico de programas de proteção de dados.

A busca por respostas objetivas e que tragam eficiência para as adequações leva a soluções como o PrivacyCulture®️ INDEX BRASIL, indicador criado pela empresa de tecnologia Palqee como resultado da 1ª Pesquisa Nacional da Cultura de Privacidade . Divulgado no Dia Mundial da Proteção de Dados (28 de janeiro), o estudo ouviu mais de 2.700 profissionais entre agosto e dezembro de 2021 para medir o nível da cultura de privacidade nas empresas brasileiras.

Dentre outros dados, a pesquisa revelou alguns dos principais riscos nas corporações participantes, como: (1) urgente necessidade de ajustes dos programas de privacidade e proteção de dados conforme as atividades de cada área; (2) departamentos que têm uma autoridade maior para definir como os dados pessoais são tratados, como RH, TI e marketing, tendem a demonstrar uma menor confiança na cultura de privacidade da empresa; (3) embora 90% dos participantes afirmem que se inscreveriam em workshops sobre proteção de dados oferecidos por suas empresas, a falta de treinamento ainda é visto como um problema comum entre todos os níveis das organizações; (4) existe uma alta incerteza sobre como responder à requisições de titulares de dados na maioria dos departamentos das empresas.

Como se pode observar, há pontos muito claros para a obtenção da desejada cultura de privacidade em nível adequado. As empresas precisam melhor a comunicação interna sobre as iniciativas de proteção de dados, o que pode ser feito por meio da implementação de ferramentas de colaboração e atualização de políticas e procedimentos, dando a eles a devida publicidade e oferecendo treinamentos sobre seus conteúdos. Esse é o caminho menos difícil para o alcance de bons níveis de proteção de dados internamente e, consequentemente, externamente, perante clientes, consumidores e órgãos de fiscalização.

Marcelo Crespo ([email protected]) é especialista em Direito Digital e sócio do Peck Advogados e André Quintanilha ([email protected]) é Chief Privacy Officer da Palqee Brasil.