Poucas vezes temos entendimento da realidade que a proteção de dados nos traz diariamente. Por experimentação que as tecnologias exponenciais vão sendo utilizadas em nossa sociedade, temos a tendência de ir além das limitações impostas e vamos aprendendo o uso de alguns novos softwares de maneira experimental, sem nos atentarmos aos riscos que estão sendo criados.
Além do phishing, vírus cada vez mais complexificados e fraudes, nossos dados constantemente sofrem tentativas de serem apreendidos. Com mais experiência, tendemos a não nos aventurarmos em vários territórios desconhecidos na internet, mesmo que surja um quiz engraçadinho que vai acabar reunindo nossas informações.
A Lei Geral de Proteção de Dados Pessoais, aprovada em 2018, entrou em um momento único da internet e, além de trazer uma certa limitação às consequentes tentativas de uso de dados de terceiros, trouxe uma tendência consciente de nos limitarmos ao compartilhamento de nossas informações. Com a Lei, alguns processos passaram a ser melhores orquestrados, sistematizados e padronizados.
A “terra de ninguém”, que era a internet e em alguns pontos ainda é, passou a legitimar um certo cuidado e cada vez mais as informações estão tentando ser controladas por quem as detém de ponta a ponta.
Mesmo assim, pirataria, vazamento de dados, utilização de softwares crackeados e contas pessoais ainda fazem parte do uso diário por parte dos brasileiros. Inclusive, mais de 40% da sociedade atua em nível informal, que compete o “fazer com as próprias mãos” e, muitas vezes, cada trabalho é performado pelas tecnicidades que são achadas e possíveis, legais ou não.
O bug do Windows mostrou isso. Enquanto o mundo teve um dia condenado pelo erro da Crowdstrike, no Brasil muitos trouxeram a inexistência da preocupação justamente porque o sistema seguia sem problema algum. A piada, inclusive, foi que “mal sabe o Gates que Windows crackeado é comum no Brasil”.
Por estes motivos, a HSM Management reuniu as angústias vivenciadas, escutadas e que ainda existem na nossa sociedade para uma pequena entrevista com Ricardo Maravalhas, fundador e CEO da DPOnet, uma empresa que nasceu com o propósito de democratizar, automatizar e simplificar a jornada de conformidade com a LGPD (Lei Geral de Proteção de Dados).
A entrevista inteira você confere abaixo:
__HSM Management – Estamos em um país em que a pirataria é algo que se tornou um tanto quanto comum para a geração que hoje é considerada trabalhadora. Então, estamos falando desde serviços de streaming até softwares para se usar no trabalho. Além disso, a informalidade continua se tornando algo comum no mundo do trabalho. Então, não é muito distante ouvir que algum aplicativo “crackeado” está sendo utilizado ou “uma conta pessoal” no trabalho. Como nós podemos conter este tipo de hábito? Como criar uma proteção nessa fissura que é um tanto quanto costumeira?__
Ricardo Maravalhas: Para conter a pirataria e a informalidade no uso de software e serviços, é essencial adotar uma abordagem multifacetada que envolva educação, incentivos, políticas claras e tecnologias de proteção.
Em primeiro lugar, é crucial realizar campanhas educativas para conscientizar as pessoas sobre os riscos e as implicações legais e éticas da pirataria, através de palestras, workshops e materiais educativos.
No âmbito corporativo, é necessário estabelecer políticas claras de TI que proíbam o uso de software pirata e incentivem o uso de software licenciado, além de implementar sistemas segregados de rede para uso de dispositivos particulares (caso não sejam vedados) e sistemas de monitoramento e auditoria para garantir a conformidade com essas políticas e identificar o uso de software não autorizado.
__HSM Management – Existe um senso comum entre grupos de colaboradores de que o RH está apenas interessado em proteger as empresas. É comum ouvir que está apenas “jogando contra”, principalmente agora que estamos imersos em uma tentativa geral da retomada do trabalho presencial. Como tem sido o trabalho de mostrar o propósito destes dados coletados? Consegue nos dar alguns exemplos de ações com colaboradores em que isso foi informado e resultou em um processo positivo?__
Ricardo Maravalhas: Para mudar a percepção dos colaboradores sobre o papel do RH e mostrar que ele não está “jogando contra”, mas sim buscando o bem-estar de todos, é crucial ser transparente e comunicar claramente a necessidade de implementação dos programas de proteção e privacidade de dados e como isso pode afetar direta e positivamente os dados pessoais do próprio colaborador.
Por exemplo, demonstrar ao colaborador que boas práticas de proteção e privacidade de dados e de segurança da informação mitigam o risco de vazamento de dados sobre sua saúde (exames admissionais, periódicos e demissionais) ou sobre suas finanças (salários, descontos, entre outros). O colaborador tem que entender que ele está, em uma primeira camada, protegendo a si próprio e a sua família.
Um exemplo que podemos dar e que adotamos muito é iniciar uma reunião de kickoff do projeto de proteção e privacidade de dados com os colaboradores perguntando: Quem aqui tem dados coletados por essa empresa? Quem aqui tem dados de seus filhos, amigos, cônjuges ou conhecidos coletados por essa empresa? Naturalmente todos levantarão a mão. Pois esse fato é inafastável.
Em seguida deve-se afirmar a todos os colaboradores presentes: Se você não adotar boas práticas, poderá estar colocando em risco os dados destas pessoas! Na sequência damos exemplos práticos de casos ocorridos. Geralmente a sala fica em silêncio logo em seguida. É choque para eles, porém, necessário, pois abre uma avenida para o início de uma grande jornada de construção de uma nova cultura.
Após isso, durante essa jornada que nunca mais terá fim, é necessário Implementar ações periódicas e contínuas de conscientização que podem ajudar a mudar a percepção dos colaboradores sobre o RH e seu papel no programa de proteção e privacidade de dados, mostrando que a adoção de boas práticas no tratamento de dados é usada primeiramente para melhorar o ambiente de trabalho e promover o bem-estar de todos, não apenas para proteger os interesses da empresa.
__HSM Management – Aproveitando, a leitura dos dados está sendo feita por quais tipos de profissionais? Vocês atuam nesse aprendizado deste colaborador que fará a leitura dos dados também? Quais são os principais pontos__
Ricardo Maravalhas: A leitura de dados de RH é feita por analistas e gestores da área, às vezes com ajuda de cientistas de dados. O RH também é responsável por ensinar quem vai analisar esses dados, com treinamento técnico, desenvolvimento de habilidades e mentoria.
Um ponto importante que o colaborador leitor de dados precisa ter fixado em sua análise é detectar se os dados tratados, e por ele analisados, são necessários para o cumprimento da sua finalidade e, se sua finalidade realmente é cumprida, ou seja, não está sendo desvirtuada.
Para melhorar essa percepção, é importante promover o massivo treinamento dos colaboradores e ter transparência no tratamento dos dados e nas decisões adotadas.
__HSM Management – Como o RH pode colaborar com outras áreas das empresas para garantir a conformidade com a LGPD? Qual o possível alcance e como ter tantos olhos práticos para isso, além dos dados?__
Ricardo Maravalhas: Para garantir a conformidade com a LGPD, o RH deve colaborar com outras áreas da empresa adotando uma abordagem estruturada e contínua de forma a tornar-se um dos guardiões da cultura de proteção e privacidade de dados.
O RH pode liderar programas de educação e treinamentos continuados sobre a LGPD para todos os colaboradores, formando “especialistas” em cada setor, que se tornarão tentáculos do programa de privacidade em cada um dos setores da organização. Algumas empresas chamam esses profissionais treinados de guardiões da privacidade, anjos da privacidade, representantes da privacidade.
Ainda sobre treinamentos, essa é uma boa prática recomendada que deve se iniciar no onboard do colaborador e se estender para todo o seu ciclo dentro da organização de forma a propiciar a criação de uma cultura sólida em Proteção e Privacidade de Dados. Pode-se incluir workshops regulares e ações em pílulas de conhecimento que possibilitem a fixação de princípios e boas práticas em uma linguagem acessível que permita ao colaborador tangibilizar tais questões dentro de seu dia a dia.
Realizar auditorias internas regulares também é essencial para detectar fissuras a serem encaminhadas aos comitês interdepartamentais, incluindo representantes de RH, TI, jurídico, marketing e outras áreas relevantes, é uma maneira eficaz de garantir a conformidade com a LGPD. Esses comitês podem realizar reuniões periódicas para discutir a conformidade e resolver quaisquer problemas, além de trocar informações sobre as melhores práticas de proteção de dados.
Com essas estratégias, dentre outras possíveis, o RH pode colaborar eficazmente com outras áreas da empresa para garantir a conformidade com a LGPD, protegendo os dados e promovendo uma cultura de privacidade e segurança.
__HSM Management – Quais são os principais desafios enfrentados pelo RH na implementação de treinamentos sobre a LGPD?__
Ricardo Maravalhas: Os principais desafios enfrentados pelo RH na implementação de treinamentos sobre a LGPD são diversos e abrangem aspectos de comunicação, cultura organizacional, recursos e acompanhamento contínuo.
Primeiro, há uma resistência à mudança. Muitos colaboradores podem resistir à mudança, especialmente se não entenderem a importância da LGPD ou perceberem o treinamento como uma tarefa adicional desnecessária. Para lidar com isso, o RH precisa comunicar claramente os benefícios e a necessidade do treinamento, explicando como a conformidade com a LGPD protege, como eu disse anteriormente, os próprios funcionários e seus familiares e amigos.
Outro desafio é a falta de conscientização. Os colaboradores podem não estar cientes das implicações legais e éticas da LGPD, nem dos riscos associados ao não cumprimento. A solução é implementar campanhas de conscientização que expliquem a LGPD em termos simples e práticos, utilizando exemplos do cotidiano dos funcionários.
A complexidade da legislação é também um obstáculo significativo. A LGPD é complexa e pode ser difícil de entender, tornando o treinamento mais desafiador. Para simplificar o conteúdo do treinamento, o RH pode dividi-lo em módulos pequenos e focados, utilizando exemplos práticos para ilustrar os conceitos legais. A LGPD deve ser traduzida ao colaborador de uma forma que ele consiga tangibilizá-la em seu dia a dia.
Manter o engajamento dos colaboradores durante o treinamento também pode ser difícil, especialmente se o conteúdo for visto como técnico ou entediante. Para tornar o treinamento mais interessante, o RH pode torná-lo interativo e relevante, utilizando estudos de caso, quizzes e discussões em grupo.
A avaliação da eficácia do treinamento e a garantia de que os conhecimentos sejam aplicados corretamente no dia a dia são cruciais. Implementar avaliações regulares e feedback contínuo, bem como monitorar o cumprimento das práticas de proteção de dados e ajustar o treinamento conforme necessário, são estratégias importantes.
Outro desafio é garantir que o treinamento sobre a LGPD esteja alinhado com as práticas e políticas de outras áreas da empresa. Para isso, é fundamental que o RH colabore estreitamente com departamentos como TI, jurídico e compliance para garantir que o treinamento seja abrangente e coerente com as políticas da empresa.
Transformar a cultura organizacional para valorizar a proteção de dados e a conformidade com a LGPD é um desafio contínuo. Promover a importância da proteção de dados desde o nível de liderança e encorajar todos os níveis da empresa a adotarem práticas responsáveis de gerenciamento de dados são passos essenciais.
Por fim, a legislação e as melhores práticas de proteção de dados estão em constante evolução. O RH deve manter o treinamento atualizado com as últimas mudanças na legislação e práticas recomendadas, realizando treinamentos de reciclagem periódicos para garantir que todos estejam informados sobre as novidades.
Enfrentar esses desafios requer uma abordagem estratégica e colaborativa, onde a comunicação, a educação contínua e a adaptação às necessidades dos colaboradores são fundamentais para o sucesso na implementação de treinamentos sobre a LGPD.
__HSM Management – Quais os maiores erros e ajustes necessários nos Contratos de Trabalho para estar em conformidade com a LGPD?__
Ricardo Maravalhas: A LGPD trouxe mudanças importantes para os contratos de trabalho. O contrato de trabalho deve espelhar em suas cláusulas todas as questões legais da LGPD, além da própria política de privacidade da empresa.
Os maiores erros encontrados estão relacionados a nesse ponto, ou seja, cláusulas contratuais genéricas redigidas em total descompasso com as necessidade impostas pela Lei à Organização na sua relação com o colaborador, bem como com as políticas de privacidade e segurança da informação da empresa. Cada cargo deve possuir cláusulas próprias e aderentes a sua rotina.
Destaco, ainda, que é preciso evitar erros comuns, como coletar, mesmo que por força de contrato, dados em excesso sem qualquer relação com a finalidade do tratamento, como por exemplo, coletar informações sobre a opinião política do colaborador ou seus dados sensíveis referentes à saúde sem uma necessidade ou finalidade explícitas.
