Como sua organização está realmente colocando em prática a proteção de dados pessoais? A aderência à Lei Geral de Proteção de Dados Pessoais (LGPD) depende de uma série de fatores, que vão muito além da implementação de processos e procedimentos. Para além dessas formalidades, requerem uma mentalidade e atitudes que reflitam verdadeiramente os princípios e fundamentos da lei.
Na prática, incorporar essa responsabilização e promover uma cultura robusta e eficaz de privacidade e proteção de dados não é fácil. Na realidade, muitas vezes, este é justamente um dos maiores desafios para os profissionais de privacidade, proteção de dados, segurança, áreas jurídicas e compliance que estão desenvolvendo programas de governança: garantir que aquilo que está no papel, seja mais do que apenas palavras em um documento.
Então, como traduzir a lei e políticas internas para além do papel? Materializar essas mudanças exige uma colaboração integrada em todos os níveis da organização. Precisamos transcender treinamentos e procedimentos convencionais, promovendo uma revolução na mentalidade de cada um. Mais que impor regras, é preciso facilitar a assimilação de valores e construir um espaço onde, progressivamente, a privacidade e a proteção de dados sejam intrínsecas, tornando-se quase que intuitivas ou algo “óbvio” e “natural” para aqueles que utilizam dados em suas atividades, incluindo para questões mais simples, como enviar um e-mail.
Esta transformação não se realiza autonomamente dentro da organização; ela possivelmente coexiste com a evolução gradual da consciência e aculturamento sobre privacidade na sociedade. Como a LGPD é relativamente recente, com apenas 3 anos de vigência, é compreensível que ainda estejamos em um processo de adaptação social para internalizar esses valores em nossas vidas pessoais, facilitando (espera-se), no futuro, sua incorporação também nos demais ambientes, como o corporativo.
Mas não podemos esperar que essa transformação social ocorra para fazer a nossa parte na cultura organizacional. Começamos, portanto, compreendendo que a educação e a conscientização são a base para qualquer mudança significativa. É por meio da instrução e do entendimento que podemos esperar que cada pessoa dentro da organização reconheça a importância de proteger dados e saiba como fazer isso de forma adequada. Porém, a conscientização eficaz vai muito além de workshops e treinamentos corporativos. É sobre criar uma narrativa consistente e envolvente que ressoe com cada indivíduo, fazendo com que cada um se sinta parte dessa transformação e entenda seu papel nela. Inclusive, temos a oportunidade, e, talvez, até a obrigação, de levar essa conscientização para fora dos muros da empresa, contribuindo para uma sociedade mais informada e consciente dos seus direitos e responsabilidades.
Inclusive, muitas vezes, quando os líderes demonstram um comprometimento genuíno com a segurança e proteção de dados, para além do requisito regulatório, isso ajuda a inspirar aqueles ao redor a fazerem o mesmo. Uma cultura de responsabilidade e respeito pelos dados (e pelas pessoas por trás deles, claro) precisa ser cultivada e valorizada por todos, desde o topo até a base da organização, incluindo fornecedores e ecossistemas associados, para que atuem como a primeira linha de defesa contra riscos e a primeira linha de atuação em prol da proteção de dados em cada atitude, ação e decisão. Neste cenário, o suporte de auditoria e das demais linhas de defesa também é crucial, pois elas tornam as práticas mais alinhadas com os valores e políticas da organização, promovendo a integridade de tais programas. Ainda, validações e eventuais processos de aumento de maturidade podem apoiar neste processo.
A tecnologia também pode ser uma aliada nessa missão. Ter soluções de segurança e ferramentas adequadas é importante para evitar vazamentos e garantir um manuseio seguro das informações, por exemplo. Porém, de nada adianta realizar investimentos (muitas vezes vultosos), em softwares de gestão ou de segurança, se aqueles que executam as atividades de dia a dia da organização, bem como seu eventual ecossistema (por exemplo, fornecedores), não fizerem a sua parte como primeira linha de defesa contra riscos e também como primeira linha de atuação em prol da proteção de dados em cada atitude, ação e decisão.
A figura do Data Protection Officer (DPO) e dos profissionais de proteção de dados também se destaca como um parceiro estratégico, colaborando proativamente para garantir que as iniciativas da empresa sejam conduzidas de forma mais ética e segura. Mas esta figura não pode mais ser vista como o único “farol” de conhecimento em privacidade e proteção de dados, nem como um obstáculo aos projetos da organização. A ideia de que o DPO está lá apenas para impor regras e barrar iniciativas está ultrapassada e não condiz com a realidade das organizações que buscam uma atuação íntegra e inovadora. É imperativo perceber essas pessoas como parceiros estratégicos de negócio, que colaboram proativamente para garantir que as iniciativas da empresa sejam conduzidas de forma ética e segura, respeitando os direitos e privacidade dos indivíduos.
Quando há sinergia e colaboração entre as áreas, as ações de proteção de dados tornam-se mais efetivas, e a cultura de privacidade e responsabilidade é fortalecida, e a própria governança de dados se torna mais palpável, beneficiando toda a organização e seus stakeholders. Além disso, o diálogo aberto e a transparência em relação às práticas realizadas fortalecem um ambiente de trabalho colaborativo e seguro, onde todos se sentem à vontade para expressar suas preocupações, trazer inovação responsável e até reportar incidentes, permitindo a identificação e resolução de problemas de forma rápida e eficaz.
E como o ambiente organizacional está sempre em transformação, e novas ameaças surgem a cada dia, nossas práticas e políticas de proteção de dados precisam estar em constante evolução, com foco no aumento de maturidade dos controles implementados. Revisar e atualizar regularmente as estratégias de segurança e proteção de dados é crucial para garantir que estamos sempre um passo à frente dos possíveis riscos.
Diante disso tudo, percebemos que levar a proteção de dados do papel à prática e criar uma verdadeira cultura organizacional em torno do tema não é um caminho fácil, mas é algo necessário para honrar os compromissos feitos nas políticas de privacidade. Mais do que isso, dependemos disso para honrar a aqueles que confiaram os dados a nós enquanto organizações. Independentemente do nosso papel, cargo ou atuação nas organizações em que atuamos, temos a responsabilidade de agir como guardiões da informação, tratando cada dado com o respeito e a proteção que merece. Afinal, cada passo que damos nessa jornada não apenas reforça a conformidade e resiliência, mas também apoia na construção ou sedimentação de uma reputação sólida e confiável, crucial para o sucesso e sustentabilidade do próprio negócio.