Nova consciência: como cultivar a cultura de privacidade nas organizações?

Após a promulgação da Lei Geral de Proteção de Dados (LGPD), a privacidade e a proteção dos dados pessoais ganharam espaço no dia a dia dos brasileiros. Diante desse cenário, convivemos e reconhecemos a importância do momento de escolher, por exemplo, quais permissões conceder a um aplicativo, quais cookies permitir o acesso a um site ou quais checkboxs marcar ao final de um formulário.

Essas palavras ganharam espaço também no mundo corporativo, trazendo para o território nacional discussões e práticas aplicadas em outros países, como aqueles sob a abrangência da General Data Protection Regulation (GDPR), regulamento aplicado à União Europeia. Acompanhamos com a LGPD a crescente implantação de avisos e políticas de privacidade, criação de novos canais de comunicação com os titulares, além do crescimento de algumas áreas, dedicadas a cultivar e manter uma cultura de privacidade nas organizações.

A missão de fomentar essa cultura pode parecer estar ao encargo da área de privacidade ou ser absorvida por áreas como segurança da informação, jurídico e compliance, entre outras. Contudo, as atividades que tratam dados pessoais não são desempenhadas apenas por essas áreas, mas por uma diversidade de áreas a depender da natureza do negócio. A coleta, o uso e o descarte adequados dos dados pessoais estão nas mãos de cada colaborador da organização que lida com tais informações.

Por isso, a construção de uma nova consciência voltada para a proteção dos dados de titulares e das operações da organização somente será possível com a colaboração de todas as partes. A integração entre as áreas de negócio e a área de privacidade deve ser constante, ou seja, desde a concepção das operações, serviços e produtos que envolvem dados pessoais, deve-se colocar em prática os Princípios de Privacy by Design, propostos por Ann Cavoukian.

Dessa forma, as práticas elencadas a seguir, agregando parte dessas recomendações, podem ser implementadas pela organização, contribuindo para a vivência da cultura de privacidade.

- Buscar apoio com os times de segurança da informação e privacidade para avaliar fornecedores e sistemas antes da contratação, além de identificar possíveis vulnerabilidades que possam levar à exposição indevida de dados, bem como estabelecer cláusulas contratuais de proteção de dados com fornecedores e parceiros são ações essenciais para ajudar a prevenir e antecipar possíveis incidentes.

- Identificar todos os dados necessários para a atividade em execução e os usos pretendidos para esses dados. Consultar o time de privacidade para alinhar as finalidades e propósitos legítimos, além de estruturar como essas finalidades serão informadas aos titulares por meio de avisos e políticas de privacidade, por exemplo, são medidas importantes para mitigar riscos.

- Estruturar a coleta, o armazenamento e o compartilhamento dos dados sempre considerando aqueles estritamente necessários para a atividade, armazená-los somente pelo tempo necessário para atingir os objetivos almejados, além de compartilhá-los unicamente com as pessoas, fornecedores e parceiros envolvidos na atividade.

- Atuar com responsabilidade, transparência e segurança no uso dos dados pessoais é essencial. Portanto, o fluxo de dados, ou seja, o caminho percorrido desde sua coleta até seu descarte, deve ser registrado, documentado e avaliado pelo time de privacidade. E, as medidas técnicas e organizacionais de segurança devem ser incorporadas às atividades.

A princípio são atividades corriqueiras, naturais na vida de qualquer organização, e, de fato, são. Contudo, o maior desafio está na incorporação do olhar de proteção de dados nas atividades realizadas pelas áreas, fomentando, dessa forma, a identificação de oportunidades de melhorias nos processos atuais e de cultivo dessa nova consciência, pois, como declarado por Tim Cook, “Proteger os dados de outra pessoa é proteger a todos nós”.

*Hizadora D´Ambros é consultora pleno e Tainã Dias é gerente de Data Privacy. Ambas atuam na Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.

Sobre a Protiviti

A Protiviti é uma empresa global, com 85 escritórios em 25 países, e mais de 7.000 profissionais que atendem a 60% das empresas da FORTUNE 1000®. Reconhecida como Great Place To Work e com faturamento anual superior a USD 1,5 bilhão, atua por meio de uma rede de subsidiárias e firmas-membro independentes. No Brasil ela é representada pela ICTS, uma empresa brasileira de consultoria empresarial que combina a ampla experiência e serviços especializados em gestão de riscos, compliance, ESG, cybersecurity, privacidade, auditoria interna e investigação empresarial.

A união de deep expertise, com a capacidade de transformação e excelência na execução, proporciona aos nossos clientes soluções que endereçam os principais riscos, problemas e desafios de negócio, protegendo e maximizando o valor das organizações.

Reconhecidos com o selo Pró-Ética desde 2015, contamos no Brasil com cerca de 200 profissionais e servimos a mais de 1.000 clientes, incluindo 58% dos 200 maiores grupos empresariais do Brasil¹, a partir dos nossos escritórios em São Paulo, Rio de Janeiro, Belo Horizonte e Barueri.