Após identificar quais são as empresas afetadas pela Lei Geral de Proteção de Dados (LGDP), como manter uma estrutura de governança de dados dentro da organização, como preservar um inventário de dados pessoais e mecanismos de transferência, como implementar uma política de privacidade de dados e como a nova regulamentação influenciará nas rotinas, a Série “LGPD na Prática” desembarca no pilar treinamento e comunicação, capítulo no qual passarei a discorrer sobre a melhor forma de promover a conformidade com as normas internas e externas por meio da interação com os colaboradores e parceiros de negócios.
Promover uma cultura de privacidade e preservação de dados pessoais é um dos principais objetivos a serem atingidos no processo de adequação às novas regras, haja vista que sem a conscientização de todos os envolvidos é quase impossível fazer com que a organização cumpra com todas as obrigações legais. Conforme visto no início da série, é preciso envolver todas as áreas da organização, independente da existência de um Encarregado de Dados, estejam elas abrangidas ou não entre aquelas que ativamente tratam ou processam dados pessoais. Para tanto, sugere-se seja cumprido um cronograma interno de treinamento e comunicação e a melhor forma de fazê-lo passa por algumas etapas:
1. Preparar materiais com mensagens claras. Tanto no que concerne ao treinamento quanto à comunicação, é fundamental ir direto ao ponto. Nenhum colaborador ou parceiro de negócio precisa ser bombardeado com jargões jurídicos ou análises técnico-legislativas das regulamentações de proteção de dados. Deve-se certificar que a mensagem seja entendida por todos, ou seja, que cada um compreenda sua responsabilidade para com a privacidade e proteção de dados e como as novas regras impactarão suas suas atividades rotineiras. Trazer exemplos práticos, relacionados ao dia a dia da organização e voltados para as práticas de cada área mais sensível do negócio facilita qualquer explanação quanto à importância do engajamento de todos para que a organização cumpra com suas obrigações. Nesse sentido, sugere-se seja adotado um treinamento geral e breve, com um overview da nova regulamentação e/ou da política interna. Em paralelo, que seja adotada uma campanha de comunicação regular, promovendo os aspectos positivos da norma, utilizando editais, e-mails, videos, wallpapers, posts na intranet, etc.
2. Conceber uma abordagem específica para as áreas mais sensíveis. Para as funções nas quais o processamento e tratamento de dados faz parte das rotinas diárias, tais como nas áreas de marketing, RH e vendas, por exemplo, recomenda-se uma abordagem específica e um pouco mais técnica, baseada em riscos previamente identificados. Aconselha-se apresentar alguns cases de violações de dados, muito comuns nos dias atuais, e o impacto destas nas respectivas organizações.
3. Incorporar questões relacionadas ao tratamento e processamento de dados à integração de novos colaboradores. Além do treinamento específico, sugere-se que o tema seja tratado desde a integração dos colaboradores, logo no início da relação laboral, e assimilado pelo Programa de Compliance da organização.
4. Criar um cronograma para monitorar a regularidade dos treinamentos e das comunicações. Tanto no que concerne ao treinamento quanto às comunicações, criar um plano de ação é fundamental: Para tanto, as perguntas que devem ser respondidas são as seguintes: (i)”que objetivos deverá ser atingido antes da entrada em vigor da nova regulamentação?”; (ii) “quais são os diferentes públicos alvos e que mensagem passar a cada um deles?”; (iii) “que meios que serão utilizados para treinar os colaboradores e veicular as comunicações internas?”; e (iv) “em que período serão realizados os treinamentos e qual a programação das mensagens a serem veiculadas tanto ao público interno quanto ao externo?”; (v) “de quanto em quanto tempo serão realizados novos treinamentos, de modo que o discurso permaneça vivo dentro da organização?”. A partir das respostas deve-se criar um cronograma de atividades a ser gerenciado pelo Encarregado de Proteção de Dados.
5. Medir a participação e a efetividade dos treinamentos. Elaborar relatórios periódicos para determinar se os colaboradores e demais envolvidos em atividades relacionadas ao tratamento e processamento de dados participaram dos respectivos treinamentos. Sempre que possível, gerar evidências da efetividade dos treinamentos, por exemplo, através de questionários a serem aplicados ao término das apresentações. Ainda, sugere-se que seja implementado um sistema para avaliação do treinamento em si, de modo a avaliar a se a mensagem foi passada de forma clara ou se há algo a melhorar.
6. Fornecer treinamento qualificado para o Encarregado de Proteção de Dados. Nas situações em que o Encarregado de Proteção de Dados for colaborador da organização, sugere-se que este participe de treinamentos específicos de educação profissional, com viés técnico e jurídico, de modo a aperfeiçoar o Programa com base nas melhores práticas de mercado.
No próximo capítulo, irei discorrer sobre como gerenciar os riscos relacionados à segurança da informação.
Para acessar o primeiro capítulo da Série, clique aqui.
Para acessar o próximo capítulo, clique aqui.
Comentários