Implementar ações de privacidade dentro das organizações não tem sido uma tarefa fácil. Não somente pela falta de conscientização ou orçamento, mas também, pela falta de conhecimento da cultura interna das empresas.
E o que é a cultura? Uma das definições é “o complexo de atividades, instituições, padrões sociais ligados à criação e difusão das belas-artes, ciências humanas e afins”. Ou seja, de forma simplificada, a forma que a organização pensa, como se comporta, no que acredita. Ter essas informações coopera para que as ações de privacidade sejam bem-sucedidas.
Construir um programa de privacidade é uma tarefa árdua, que depende de ações prévias, logo, precisa de organização, minúcia e engajamento por parte de todos os envolvidos. E aqui, não estamos falando apenas da parte técnica, mas sim, de relações pessoais.
Fazer um projeto de adequação à LGPD e, posteriormente, implementar um programa de privacidade vai além de mapeamento de dados pessoais, elaboração de documentos, revisões de contratos etc.
É necessário entender como a organização funciona, quais são os papéis e responsabilidades, o que foi feito até então, quais são seus parceiros, qual a cultura seguida, dentre outros.
Alguns exemplos práticos? Não adianta chegarmos com milhões de sugestões, se a empresa tem um comportamento centralizador e desconfiado, no que tange à tomada de decisões. Se dessa forma for, precisamos mostrar evidências que interessem à empresa e evidências do que falamos. Se a empresa tiver um porte menor e estiver sem caixa, não adianta oferecer ferramentas e prestadores de serviços caros.
Caso a empresa tenha um comportamento muito aberto, no qual jogue todas as decisões na sua mão, também tenha muita atenção: o profissional de privacidade está ali para orientar e, quem tomará a decisão será sempre a organização. Ainda, se a organização já tiver um prestador de serviços que ofereça algum serviço de privacidade e proteção de dados, é essencial conhecê-lo, saber como ele trabalha e compreender como a empresa tem lidado com o tema.
O ponto de atenção é: antes de iniciar qualquer trabalho, é fundamental entender como a empresa pensa, quais são seus objetivos, quais as lacunas existentes e, principalmente, qual o nível de interesse e empenho quando se trata de privacidade e proteção de dados pessoais.
E todas essas informações serão coletadas através de reuniões, de conversas, de questionamentos. Como já dissemos em artigos anteriores, não há uma receita de bolo, todavia, não adianta fazer um “pacote” e vendê-lo para todos os clientes, eis que há diferenças substanciais entre as empresas.
Claro que, informações numéricas fazem diferença: quantos colaboradores, qual o faturamento, quanto departamentos, quantos treinamentos já foram aplicados, quantos prestadores de serviços, quantas ações judiciais etc., contudo, conhecer os pontos subjetivos também é de suma importância.
Saber qual a missão da empresa, seu comportamento no mercado, quais são seus objetivos e o que ela espera do futuro, são pontos que cooperarão para a criação de uma forte estrutura de privacidade baseada na realidade da empresa.
Quem conhece as legislações de privacidade e proteção de dados pessoais e adquiri maturidade no tema sabe, indubitavelmente, que cada organização é diferente, mesmo que os segmentos se repitam.
Há pessoas, fluxos e objetivos diferentes, logo, uma análise mais profunda é imprescindível, a fim de alcançar sucesso em todo e qualquer projeto, inclusive, no que se refere ao tema em tela.
Fato é, que antes de pensarmos em ações técnicas, precisamos compreender a realidade da empresa, qual o nível de engajamento dos participantes e, principalmente, construir uma relação de confiança, para que todos entendam a real importância da privacidade, bem como se sintam confortáveis em participar das ações necessárias para que a empresa atue de acordo com o que estabelecem as leis vigentes e aplicáveis.
Mariana Sbaite Gonçalves – Graduada em Direito pela Universidade Católica de Santos – UNISANTOS. Mestranda em Science in Legal Studies, pela Ambra Univertisity (Orlando/FL). LLM em Proteção e Dados: LGPD e GDPR (FMP e Faculdade de Direito da Universidade de Lisboa). CIPM/IAPP. CDPO/BR – IAPP. DPO (Data Protection Officer) e Information Security Officer (I.S.O.) certificada pela EXIN. MBA em Data Protection Officer (DPO) – IESB. Pós-Graduada em Direito da Proteção e Uso de Dados (PUC/MINAS). MBA em SGI – Sistema de Gestão Integrada (Segurança do Trabalho – OHSAS 18001/Qualidade – I.S.O. 9001/Meio Ambiente – I.S.O. 14001 e Responsabilidade Social). Pós-Graduada em Direito e Processo do Trabalho (Damásio De Jesus). Pós-Graduada em Advocacia Empresarial (PUC/MINAS). Articulista do Encarregado.org. Articulista do Migalhas. Articulista do Tech Compliance. Coautora do artigo: The ISO 27000 Family and its Applicability in LGPD Adaptation Projects for Small and Medium- Sized Enterprises publicado pela Associação Internacional ISACA (Information Systems Audit e Control Association). Coautora do livro: LGPD e Cartórios – Implementação e Questões Práticas (Editora Saraiva). Coautora do livro: Mulheres na Tecnologia (Editora Leader). Coautora do livro: Ensaios sobre Direito Digital, Privacidade e Proteção de Dados (Editora Império). Coautora do livro: Manual do Cidadão – Privacidade – Proteção de Dados (Editora Império). Coautora do livro: Liderança Humanitária (Editora Alta Gestão). Membro da ANADD (Associação Nacional da Advogadas (os) de Direito Digital). Consultora de privacidade segurança da informação na Daryus.
Leia mais sobre Privacidade e Proteção de Dados em nossa coluna dedicada a esse tema. São artigos sobre o que acontece no Brasil e no Mundo. Aqui!
Você quer acompanhar nosso conteúdo? Então siga nossa página no LinkedIn!