A importância da cultura de privacidade
Algumas das violações de privacidade mais comuns ocorrem quando informações pessoais são roubadas, perdidas ou divulgadas por engano. A maioria dessas violações poderia ter sido evitada se o indivíduo envolvido simplesmente pensasse sobre privacidade antes de agir. O que é necessário é um ambiente no qual a proteção da privacidade dos titulares (clientes ou colaboradores) seja uma prioridade para todos os funcionários sempre que lidarem com informações pessoais – uma cultura de privacidade.
A cultura pode ser definida como “um padrão integrado de conhecimento humano, crença e comportamentoque caracteriza uma organização” . Segue-se, então, que a empresa deve:
– Alinhar de perto a importância da privacidade com o sistema de valores da organização;
– Implementar estratégias para converter o conhecimento sobre privacidade e fomentar a crença em sua importância através de práticas repetidas que moldarão a cultura organizacional ao longo do tempo;
Seguem algumas estratégias práticas para criar os elementos essenciais de uma “cultura de privacidade”.
Estratégia 1: Acerte no básico
Um primeiro passo importante na criação da cultura de uma privacidade satisfatória é avaliar o estado atual do programa de privacidade da organização, incluindo políticas de privacidade, protocolos de resposta a violações e treinamentos.
Considere se há uma conscientização geral e um acordo entre o gerenciamento de áreas de risco de privacidade na organização ou se prevalece a sensação de que “não sabemos o que não conhecemos”. Se este for o caso, promover uma análise de lacunas de privacidade para identificar os acervos de informações pessoais e analisar como as informações pessoais são protegidas e gerenciadas pode ser um bom primeiro passo.
Uma análise de lacunas de privacidade pode fornecer dados objetivos sobre o nível atual de conformidade da organização, conscientizar os tomadores de decisão seniores sobre os principais problemas e riscos de privacidade e passar aos funcionários a mensagem de que a proteção de informações pessoais é um assunto sério.
Estratégia 2: Alinhar o programa de privacidade da organização com sua estratégia e valores
A alta administração e o conselho devem entender a conexão entre uma forte cultura de privacidade e a capacidade da organização de cumprir seus objetivos de negócios.
Educar os líderes seniores sobre o impacto potencial dos riscos de privacidade, demonstrando as consequências que podem advir se os riscos não forem abordados.
O tempo investido em conscientização é um tempo bem gasto, pois é extremamente difícil moldar uma cultura sem o apoio ativo da alta administração.
Muitas organizações líderes incorporam a responsabilidade de proteger a privacidade das informações de funcionários e clientes diretamente em seus códigos de conduta internos.
As empresas exigem que os funcionários revisem formalmente e aprovem sua compreensão do código todos anualmente.
Essa é uma excelente maneira de a alta administração transmitir a mensagem de que a privacidade não é apenas importante, mas é “a maneira como as coisas são feitas na empresa”.
Para que essa estratégia funcione bem, os gerentes devem modelar os comportamentos exigidos pelo código e os casos de não conformidade por parte de funcionários devem ser tratados de forma rápida e consistente.
Estratégia 3: Integrar o programa de privacidade aos processos de negócios existentes
A próxima etapa é definir as funções críticas de negócios dentro da organização com as quais deverão ser alinhados e pelas quais deverá ser incorporadoo cuidado com a privacidade.
Alguns dos principais pontos de integração estão listados abaixo:
Recursos Humanos
Incorporar o treinamento de privacidade no programa de orientação da organização para novos funcionários e exigir que concluam o treinamento de privacidade antes de receberem acesso a sistemas que contenham informações pessoais.
Fazer do treinamento anual de atualização de privacidade um componente permanente do plano mestre de treinamento da empresa.
Desenvolvimento de novos negócios/aprovações de projetos
Em muitas organizações, novas iniciativas são levadas a efeito e o capital é alocado usando um “processo de fechamento”, no qual os conceitos são revisados e passam por uma série de fases de avaliação cada vez mais rigorosas até serem rejeitados ou aprovados, muitas vezes por uma equipe multifuncional de decisores seniores ou conselheiros dependendo do modelo de governança de cada organização.
Esforços devem ser empreendidos para tornar as ferramentas de gerenciamento de risco de privacidade parte da documentação exigida para todo e qualquer novo projeto.
Um conjunto padrão de perguntas (questionário ou framework) sobre as informações pessoais a serem coletadas e usadas no projeto pode identificar questões de privacidade no estágio de criação do projeto.
Ferramentas ou “checklists” de verificação de risco de privacidade podem ser incorporadas à documentação necessária em estágios subsequentes de análise, sendo utilizadas para identificar se uma Avaliação de Impacto de Privacidade (PIA) será necessária.
Envolva a pauta da privacidade no gerenciamento de projetos
A área de gestão de projetos deve ser chamada a entender o valor da “privacidade desde o princípio” (privacy by design).
O design de um importante sistema de informação, produto ou serviço que envolva tratamento de informações pessoais deve ser retrabalhado para acomodar os requisitos de privacidade identificados no processo de desenvolvimento.
É importante demonstrar ao gestor de projetos os benefícios do planejamento proativo de privacidade no que diz respeito tanto ao orçamento quanto ao cronograma.
Recomendável que a empresa adote Avaliação de Impacto de Privacidade ou revisão semelhante no início da fase de design para projetos novos que envolvam informações pessoais e incorpore em suas operações requisitos formais para avaliações de risco de privacidade nas entregas de gerenciamento de projetos.
Gestão de compras e contratos
As funções de compras, licitações e gerenciamento de contratos na organização devem garantir que os requisitos de privacidade sejam incorporados ao processo, aos documentos e aos requisitos de sistema.
Avaliar a conformidade de fornecedores (gestão de conformidade de terceiros) com critérios de seleção para grandes compras quando envolvam informações pessoais é de suma importância.
Os processos de aquisição podem contar com checklist de requisitos mínimos de privacidade, criando critérios também para a seleção de fornecedores e desenvolvendo cláusulas contratuais para gerenciamento de responsabilidades no que tange à proteção de dados pessoais.
Gerenciamento de riscos
Organizações com programas maduros de gerenciamento de riscos corporativos acompanham regularmente as mudanças no perfil de risco da empresa, incluindo o status das estratégias de mitigação para a alta administração e conselho.
Garantir que a privacidade e outros riscos de informações sejam representados no relatório de riscos corporativos fomentam discussões importantes entre os líderes seniores sobre o nível de tolerância da organização aos riscos de privacidade, obtendo assim suporte e recursos para o programa de privacidade como uma estratégia corporativa de mitigação de riscos.
Gerenciamento de incidentes
Muitas organizações têm planos de contingência e de continuidade de negócios que já são familiares aos funcionários.
A tais processos devem ser incorporados os protocolos de resposta e gerenciamento de violações à privacidade.
Gestão de desempenho
As organizações devem implementar avaliações periódicas para medir a maturidade corporativa em termos de privacidade e proteção de informações pessoais.
Este artigo forneceu algumas estratégias que podem ser úteis na criação do conjunto integrado de conhecimentos, crenças e comportamentos que auxiliarão a formatar a cultura de privacidade nas empresas.
Paola Roos 16/05/22
