Notícia

Como incentivar um comportamento em prol da proteção de dados?

Uma mudança de cultura, nas organizações, exige planejamento e prática. É o que frisa o advogado e professor de Direito Digital Márcio Cots, que dá ainda dicas para quem quer focar na privacidade e realizar essa mudança

Foto com uma mulher olhando no horizonte, o qual é representado por feixes desenhados na cor verde.


14/8/22020

Cultura é, de forma resumida, um padrão integrado de conhecimento, crença e comportamentos humanos que caracteriza uma organização, segundo a IAPP (Associação Internacional de Profissionais de Privacidade). “Se cultura é isso, começamos então a entender que a governança é regida por politicas, e são essas politicas que vão determinar o padrão integrado, ou seja, de conhecimento e de valores, a ser seguido por pessoas e sistemas, numa organização”, explica o advogado Márcio Cots, que foi consultor do Senado na discussão do projeto de lei da hoje LGPD.

O especialista, que é coautor dos livros “Lei Geral de Proteção de Dados Pessoais Comentada” e “O Legítimo Interesse e a LGPDP”, acredita que a nova lei permite um olhar para novos paradigmas. “Por mais que tenhamos normas como o Código de Defesa do Consumidor, o Marco Civil da Internet, a Constituição Federal, o fato é que a LGPD cria um ordenamento para regular a matéria, e não só para complementar algo existente. Ela vem, com sua proporção e dentro daquilo que afeta, mudar a cultura da sociedade brasileira e, principalmente, das operações empresariais e governamentais”, frisa Márcio, que é ainda professor universitário de Direito Digital e especialista em Cyberlaw pela Harvard Law School/EUA.

A governança, primeiro

Para que a LGPD “pegue”, na rotina das instituições, é preciso construir e disseminar uma cultura de privacidade, certo? Mas como fazer isso? Cots responde que é necessário lembrar que a governança corporativa em prol da proteção de dados pessoais e privacidade é a base para uma conscientização eficiente.

“Política e mudança de cultura têm que caminhar juntas. Não funciona ter uma política assinada, mas que não impacta a cultura, propriamente dita, da organização. Também não adianta uma cultura de se fazer de uma forma empírica, não pré-determinada - porque provavelmente questões legais, que precisavam ser reguladas, não foram - e sem ter uma política de privacidade. Antes de qualquer proposta relacionada à mudança de cultura, é preciso falar sobre governança corporativa que, por sua vez, não existe se não for por meio de políticas. Só depois se pode, então, entrar na questão do aculturamento”, enfatiza Márcio Cots.

O advogado e professor acrescenta que esse aculturamento não pode ser uma “estratégia de marketing” somente: “Sabemos que há empresas com um nível de aculturamento maior, e que há outras que focam numa ‘imagem’ de cultura de privacidade de dados que, na verdade, não se espelha nem nas suas políticas e muito menos no seu cotidiano. Cultura de privacidade, de fato, é dia a dia, realidade, é você educar por exemplos”, resume Cots.

A cultura de privacidade, depois

Já que governança de dados e políticas são primordiais para se gerar uma cultura de privacidade, Márcio Cots, que também é consultor de adequação à LGPD, costuma disseminar dicas para as organizações que buscam suporte no assunto. Confira a seguir algumas orientações.

Fluxograma para um projeto de assessment de proteção de dados
  0. Pré-análise de gap: verificar preliminarmente o grau de aplicabilidade da lei
  1. Inventariar: listar todos os dados pessoais existentes na instituição
  2. Classificar: organizar os dados de acordo com a sensibilidade, a base de tratamento e a finalidade
  3. Adequar: adaptar sistemas informatizados para atender à legislação e gerar relatório de impacto
  4. Regularizar: enquadrar, quando possível, o tratamento de dados em base jurídica adequada – inclusive com a obtenção de consentimento, se for o caso
Indispensável para o sucesso
  • Dedicação: mudança de cultura não é algo imediato, necessita tempo e esforço
  • DPO: um encarregado de dados, se possível de dentro da empresa, comprometido com a missão
  • Alta liderança: envolvida desde o início, senão o programa de privacidade corre um grande risco de falhar
Objetivo das políticas
Pessoas – Processos – Sistemas – Documentos
Técnicas de disseminação
Palestras – Gamification - Intervenção teatral - Premiação por metas - Dinâmicas em grupo
Conteúdo das políticas
- Justificativa: explicação sobre por que é necessária
- Escopo: quais tópicos e aspectos são cobertos pelas políticas
- Definição de contatos: com suas funções e respectivas responsabilidades
- Objetivo: ao menos um, e que descreva o que se pretende alcançar e como ele relaciona-se com os objetivos de negócio mais amplos
- Tratamento de violações: procedimentos a serem adotados
Tipos de políticas
- Gerais (a organização declara e tem opiniões consistentes sobre como pretende atender aos requisitos da LGPD)
- De proteção de dados pessoais (disponível ao público interno: colaboradores e operadores)
- De privacidade (disponível ao público externo: titulares)
- De segurança da informação

Para saber mais

Foto de Márcio Cots, durante o webinar realizado pelo Serpro Gostou das explicações e dicas dadas no texto? Elas foram extraídas da palestra “Governança corporativa e a importância da conscientização sobre cultura de privacidade”, proferida por Márcio Cots no webinar sobre privacidade e proteção de dados promovido pelo Serpro. Para assistir ao conteúdo completo do evento, basta clicar aqui.


Serpro LGPD
Serpro e LGPD:
segurança e inovação