O ano de 2023 começou intenso, e já estamos quase encerrando o primeiro mês deste ano que promete ser pródigo para a proteção de dados, considerando os temas desafiadores a serem enfrentados pela Autoridade Nacional de Proteção de Dados, bem como o seu “deslocamento” para o tronco do Ministério da Justiça, que se coaduna com todo o seu caráter institucional e de atuação.
O que é mais interessante da vida, seja ela pessoal ou profissional, é conseguirmos olhar para trás e evoluir a partir do que não deu certo ou poderia ter dado, no entanto, por diversos fatores, não conseguimos fazer evoluir, o que me parece que é o cenário em diversos programas de privacidade.
O ano de 2022 mostrou uma certa austeridade financeira das empresas em relação aos investimentos na área de privacidade e proteção de dados, o que trouxe um desafio para os gestores de privacidade, visto que, naturalmente, precisam de orçamento para manter a sua estrutura, de forma que, a velha máxima vinda da Europa de que dinheiro não pode ser problema para a privacidade, parece claro que em terras tupiniquins a banda toca de outra forma.
Apesar disso e de alguns gestores ainda não terem compreendido que a proteção de dados também traz valor para a empresa e deveria ser colocada em prioridade, tal e qual a questão comercial da empresa, pois ela também pode ser um pilar importante de sustentação dos negócios, há pesquisa que mostra que o tema da privacidade e proteção de dados está se tornando prioritária para os gestores1, o que é algo para se comemorar e manter em 2023.
A primeira lição que podemos tirar de 2022 para 2023 é de que forma podemos manter essa mentalidade dos gestores em relação à privacidade? Naturalmente essa é uma questão de perspectiva e pode ter várias respostas, no entanto, o velho ditado “quem não é visto não é lembrado” se encaixa perfeitamente aqui.
É de extrema importância que o Encarregado pelo tratamento de dados não trabalhe apenas para “equilibrar os pratinhos” mas consiga exercer uma gestão eficaz e sustentável do programa de governança e isso passa necessariamente por poder conseguir levantar e registrar os indicadores de performance desse programa.
Entre esses indicadores podemos citar alguns como: a) o nível de maturidade da equipe de privacidade; b) nível de conhecimento dos colaboradores sobre o assunto e sobre as políticas internas; c) quantidade de incidentes e seus desdobramentos; d) impacto da alocação de verba – ou falta desta – para a área de privacidade, sobretudo em relação a aquisição de ferramentas de gestão e contratação de pessoal; e) riscos elevados que podem impactar a reputação da empresa, f) quais desses riscos puderam ou não ser mitigados e quais os motivos, entre outros indicadores chave de performance do programa de governança.
E conforme o ditado popular acima referido, é muito importante que esses indicadores sejam mostrados periodicamente pelo Encarregado aos gestores, para que a gestão esteja sempre atualizada sobre os caminhos trilhados pelo programa de governança e de que forma os gestores podem e devem apoiar o aprimoramento dos controles de governança e de todos aqueles que os mantém vivos na empresa.
Os incidentes de segurança também são outro ponto de extrema relevância, para os quais o gestor de privacidade deve olhar para trás e extrair algumas lições para esse ano que com certeza terá uma série de incidentes pela frente.
Primeiramente, é importante alertar que por incidente no dia a dia das empresas não reflete somente o mega vazamento, o super sequestro de dados ou a super destruição de informações. Numa grande empresa, a depender de como o DLP Data Loss Prevention esteja calibrado, poderá trazer milhares e milhares de incidentes a serem geridos.
Do lugar de quem participou de diversos comitês de crise no ano de 20222, podemos dizer que essa é uma aventura e que sempre desafia a nossa capacidade de gerenciamento, uma vez que, os tipos de incidentes podem ser diversos, suas origens, seus impactos, os motivos, os envolvidos, entre outros aspectos que fazem com que uma das principais lições é de que, o plano de resposta a incidentes é muito importante como metodologia para organizar o processo de gestão de crise. No entanto, as nuances do caso concreto nos mostram que não existe uma receita pronta de bolo que possa ser aplicada a todas as situações.
Portanto, o gestor de privacidade e proteção de dados deve, além de muito conhecimento, ter bastante flexibilidade para entender o que o caso concreto lhe requer, tomando especial cuidado em relação à enxurrada de notificações que aparecem sedentas por informação quando as empresas tomam conta de que houve um incidente com algum parceiro, o que nos leva a um outro ponto importante: os controles contratuais precisam ser factíveis.
Temos visto que muitas vezes na gana de criar controles contratuais o mais robusto possível e fechar todas as portas, as empresas criam controles que o caso concreto mostra que não são tão factíveis, como por exemplo, obrigação genérica de notificar as empresas em determinado prazo em caso de incidente. Calma! O fato de ter havido um incidente, não quer dizer que seja necessário sair notificando todo mundo só para levantar uma bandeira, tão pouco é possível muitas vezes ter todas as informações de um incidente num curto espaço de tempo. É preciso lembrar que um incidente é de extremo sigilo e deve ser comunicado de forma certeira para determinados atores, sem a princípio, causar o alarde que os hackers tanto gostam.
Ainda sobre incidentes, 2022 nos mostra que conhecimento pode preveni-los em grande parte. Isso significa que, é preciso definir uma estratégia de treinamento, conscientização e fiscalização do cumprimento das regras internas pois, quanto mais tempo se passa sem treinar ou conscientizar um profissional, maior é a chance de ele cometer uma falha de segurança, sob o pretexto de “ah mas eu não sabia”. Além disso, por mais que as políticas internas sejam aderentes ao contrato de trabalho e seja uma obrigação do empregado buscar conhecer as regras internas da empresa, advinha de quem será a culpa de não ter treinado esse empregado?
Por fim e, sem a intenção de esgotar o tema visto que há muitos pontos que podem ser tratados, trazemos o fato de que o Encarregado não trabalha sozinho e 2022 mostrou muito isso. Manter um programa de governança requer uma atuação multitarefas e isso é extremamente desafiador, sobretudo se esse profissional cumular funções – cujo fato por si pode ser tema de um artigo – o que nos demonstra que todo Encarregado precisa de algum apoio, seja ele operacional, seja ele técnico. Portanto, algo a se pensar para 2023 é o incremento da equipe de privacidade para melhorar a capacidade de gerenciamento do Encarregado e/ou procurar apoio especializado de fora.
----------
1 Disponível em: https://febrabantech.febraban.org.br/blog/lgpd-esta-fora-da-realidade-de-80-das-empresas-no-brasil-diz-estudo. Acessado em: 11.01.2023
2 Ainda esse falaremos muito mais sobre gestão de incidente, de forma didática e da perspectiva de um escritório de advocacia