Para quem já teve contato com a LGPD – Lei Geral de Proteção de Dados – pode verificar a normativa, não tem um fim, uma vez que, a mesma incentiva que as empresas a adotarem programas de governança, no qual estabeleçam procedimentos e políticas que assegurem as boas práticas a proteção de dados e gestão de risco.
O incentivo da gestão contínua da privacidade não se trata de uma obrigação legal propriamente dita, mas o programa de governança dá vida a uma estrutura sólida para efetiva proteção dos dados pessoais e sustenta a mitigação dos riscos.
Toda essa luz da necessidade contínua da LGPD não é uma criação sem fundamento desta advogada que escreve, é possível verificar na LGPD o incentivo ao monitoramento no art. 50, § 2º, I , “h”, vejamos:
Art. 50. Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.
§ 2º Na aplicação dos princípios indicados nos incisos VII e VIII do caput do art. 6º desta lei, o controlador, observados a estrutura, a escala e o volume de suas operações, bem como a sensibilidade dos dados tratados e a probabilidade e a gravidade dos danos para os titulares dos dados, poderá:
i) implementar programa de governança em privacidade que, no mínimo:
h) seja atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas;
Visualizando a necessidade da governança com aplicabilidade de procedimentos e políticas internas faz-se necessário considerar e planejar a forma como estes serão aplicados e comunicados aos destinatários específicos. É aqui que solidifica a LGPD, com o pilar fundamental para sua aplicabilidade: a mudança cultural.
O fortalecimento da cultura empresarial para proteção de dados só poderá ser alcançada através da educação e treinamento contínuo com procedimento e estratégias bem definidas de forma clara dentro da gestão empresarial.
Afinal, do que adianta ter procedimentos, normas e políticas se na empresa ninguém entende ou sequer conhece?
Sendo assim, o treinamento na LGPD fortalece o elo da segurança da informação e conhecimento sobre privacidade e proteção de dados. Ademais, os treinamentos periódicos formalizam a adequação e garantia da evolução do programa de segurança da privacidade.
Vale lembrar ainda, que tratando-se de segurança da informação, um dos grandes riscos para as empresas reside nos seus elementos humanos internos e externos. Sabe-se que os ataques cibernéticos têm grande incidência na exploração maliciosa da fragilidade e falta de conhecimento dos seres humanos.
Desta forma, todo o complexo que envolve o pilar de sustentação da LGPD chamado treinamento está por conta de um bom planejamento geralmente contemplado em procedimento específico que delimita as questões, ações, tipos de treinamentos, validação e estratégia de manutenção.
Os treinamentos internos ou até mesmo os externos servem para padronizar as noções de privacidade e proteção de dados e uniformizar o entendimento comum nas organizações.
Neste contexto, aproveito para citar treinamentos fundamentais na qual a organização deve ser submetida na adequação e contínua evolução da LGPD. Vejamos:
- Treinamento conscientização: sua função é trazer o onboarding sobre privacidade e proteção de dados.
- Treinamento data mapping: treinamento pré mapeamento com os gerentes, coordenadores ou heads das áreas que serão envolvidas.
-Treinamento Comitê: Tem função de trazer as responsabilidade e engajamento do comitê de privacidade ao longo da adequação da LGPD
- Palestra anual LGPD: Revisar e atualizar as equipes com conceitos de privacidade e proteção de dados.
- Treinamentos gestão de incidentes: Afinal os colaboradores precisam saber o que é um incidente e o que fazer caso ocorra.
- Treinamento de procedimentos e políticas específicas de acordo com cargo e funções relacionados ao sistema de gestão de proteção de dados
Importante deixar claro, que não se espera que através do treinamento e sua manutenção periódica traga solução para garantir a completa proteção dos dados pessoais, mas há de concordar que o conhecimento das políticas e procedimentos internos trazidos nos treinamentos permitem que o ambiente de trabalho esteja antenado quanto à necessidade da garantia da privacidade, proteção dos dados e mitigação de riscos no tratamento dos dados pessoais.