por Beto Santos*
Como profissional que sempre esteve ligado ao segmento de tecnologia, trabalhei em várias empresas incríveis e vivi experiências notáveis. Uma delas foi quando eu estava na Apple e tive a oportunidade de conhecer Steve Jobs pessoalmente.
É sensacional ver que agora, tantos anos depois e trabalhando em um segmento relativamente novo, ligado à confiança e à privacidade de dados, uma citação de Jobs tornou-se um dos guias do setor: “Privacidade significa que as pessoas sabem o que estão assinando, em linguagem simples e direta. Eu acredito que as pessoas são inteligentes. Algumas querem compartilhar mais do que outras. Pergunte a elas.” Essa afirmação é de 2010.
Com novas leis regulando segurança, confiança e privacidade, como a GDPR na UE, CCPRA nos EUA e LGPD no Brasil, as organizações começam a entender que mais do que uma exigência legal, um programa de privacidade também é um bom negócio.
Um estudo da Febraban aponta que 96% dos consumidores brasileiros querem ter controle sobre como seus dados estão sendo utilizados. Isto significa que programas de privacidade bem estruturados podem ser um diferencial competitivo e um bom negócio. Prova disso é que, de acordo com um estudo global realizado pela Price Waterhouse Cooper, quase 70% das empresas têm procurado ativamente moldar suas políticas de privacidade de dados.
Outra pesquisa, esta realizada pela Cisco, descobriu que o retorno do investimento feito na proteção de dados chegou a 2,7. Oitenta e dois por cento das organizações vêem certificações de privacidade como ISO 27701 e Privacy Shield como um fator de compra ao selecionar um produto ou fornecedor, e mais de 70% das organizações dizem receber benefícios comerciais significativos, tais como eficiência operacional, agilidade e inovação.
E, demonstrando ainda mais as expectativas de confiança dos consumidores, o relatório da Adobe 2022 Trust observa que, “69% dos clientes disseram que parariam de comprar se uma empresa utilizasse seus dados sem permissão”.
Alguns pontos são muito importantes na criação de um programa de privacidade de dados de classe mundial. Aqui estão oito práticas chave:
- Conheça suas obrigações
O primeiro passo é entender o que sua organização deve ter como mais importante. Algumas obrigações consideradas são as regulamentações de privacidade locais, regionais e globais que devem ser cumpridas, tais como LGPD, GDPR e CCPRA, códigos de conduta específicos do setor para orientação de dados, obrigações contratuais com clientes e fornecedores terceirizados em relação ao tratamento de dados e de informações de funcionários.
Este processo requer uma análise das lacunas das obrigações legais, regulamentações e de reputação de sua empresa para aumentar o risco de não conformidade.
- Entenda seus riscos
Você precisa compreender as chances de ocorrência de uma violação e as possíveis consequências negativas. Isto envolve uma análise de:
Fornecedores terceirizados
- Tipos de dados
- Nível de sensibilidade dos dados
- Acesso dos funcionários aos dados (internos e externos)
- Processos de segurança
- Quebras de dados anteriores e ações tomadas pela organização
- Transferências de dados entre países
- Infraestrutura e projetos orientados pela inteligência artificial
Esta análise ajuda a compreender os riscos e o impacto potencial das violações de dados. Também abrirá portas para discussão sobre o nível de risco que sua empresa está disposta a aceitar.
3. Escolha uma estrutura de privacidade
Uma vez que você compreenda suas obrigações e riscos, desenvolva uma estrutura de privacidade, um conjunto de diretrizes para agregar e harmonizar – e depois integrar – todos os requisitos de conformidade.
Com isso, você terá um roteiro de implementação que descreve seus procedimentos e processos de privacidade, ajudando sua organização a:
• Identificar áreas de alto risco
• Reduzir a perda de dados
Verificar o nível de conformidade com leis, regulamentos e normas
- Criar uma cultura “privacy-first”
Para que todos na empresa adotem o programa de privacidade de dados, você precisa definir o tom de cima para baixo. A forma como os executivos falam sobre privacidade irá definir o tom de como o resto da empresa verá estas expectativas.
Você também deve educar a todos em sua empresa sobre a importância da privacidade através do projeto e do reconhecimento das ameaças à privacidade e à segurança. De acordo com a CSO, cerca de 32% das violações de segurança envolvem esquemas de phishing.
Um simples e-mail pode custar a uma empresa sua reputação. É por isso que é tão importante treinar os funcionários de forma consistente com foco no risco relacionado à sua posição. O treinamento deve ser recorrente, especialmente no caso de mudanças de posição, estrutura, risco ou obrigações.
- Mapeie seus dados
O mapeamento monitora os fluxos de dados para dentro, através e fora de sua organização, apresentando informações como origem dos dados, finalidade, processos comerciais, terceiros e uma série de outras informações que são até mesmo requisitos legais para que as organizações tenham um entendimento abrangente de como os dados são usados, quem tem acesso a eles e onde estão sendo armazenados. - Documente suas políticas de privacidade
A documentação é muito mais do que algo exigido por algumas leis. É uma oportunidade para sua marca ser transparente com os consumidores, mostrando como você está coletando e usando seus dados.
O documento de privacidade também define diretrizes apropriadas em áreas-chave para seus funcionários, tais como consentimento, acesso e gerenciamento de violação de dados.
7. Avaliar o desempenho
Definir indicadores de desempenho para garantir que o programa progrida conforme planejado, avaliando o que precisa ser medido e por que, métodos, análise, avaliação e periodicidade.
Também é preciso definir quando os resultados devem ser relatados e avaliados pela alta administração. Isto permitirá que quaisquer melhorias e mudanças necessárias sejam feitas.
Onde a automação do fluxo de trabalho e ferramentas focadas em responsabilidade podem ter funcionado para programas de privacidade do passado, a inteligência e a automação são o foco dos programas de privacidade do futuro.
As empresas devem permanecer em conformidade com leis que mudam o tempo todo, gerenciando simultaneamente as solicitações dos consumidores e documentando as atividades de tratamento e transferências de dados.
Para se ter uma ideia do escopo e do impacto da necessidade de cumprir as normas de privacidade em constante mudança, no final de 2023 o Gartner prevê que 75% da população mundial terá seus dados pessoais cobertos pelas modernas normas de privacidade – Gartner, The State of Privacy and Personal Data Protection, 2020-2022).
É difícil cuidar disso tudo manualmente. A boa notícia é que existem opções no mercado para ajudar as empresas com esta tarefa.
*Beto Santos, One Trust Head Latin America
INSCREVA-SE NO CANAL DO YOUTUBE DO VIDA MODERNA