AGÊNCIA DE COMUNICAÇÃO Conteúdo de responsabilidade da empresa 7 de dezembro de 2023

Segundo estudos, a privacidade está entre os cinco principais riscos para as empresas. Políticas e ações de mitigação precisam existir, ter impacto e ser parte da estratégia do negócio.

São Paulo, agosto de 2023 – O cenário da privacidade no Brasil e no mundo está mudando. Diante do aumento de golpes, violação e roubo de dados, as mudanças regulatórias, as tecnologias e as expectativas dos consumidores são os principais pontos que amplificam o debate sobre os riscos de privacidade nos negócios. Segundo o Privacy Risk Study 2023, realizado pela Associação Internacional de Profissionais de Privacidade (IAPP) e a KPMG, quase 93% das empresas ouvidas indicaram que a privacidade é um dos 10 principais riscos organizacionais e para 36% ela está entre os cinco principais. Enquanto isso, 21% afirmam que o risco de privacidade mais comum e emergente é a dificuldade em manter a conformidade em relação às questões regulatórias.

A falta de talentos disponíveis no setor e o aumento das expectativas de investidores, gestores e consumidores quanto às medidas de proteção de dados seguem como alguns dos desafios mais significativos para a mitigação de riscos. E, segundo o estudo, 64% das organizações têm um programa de gerenciamento de riscos de privacidade totalmente integrado ao programa geral de gerenciamento de riscos corporativos. Neste cenário, companhias como a Unico e a BASF são exemplos nos setores em que atuam onde priorizam e adotam medidas para gerenciar os riscos à privacidade de dentro para fora.

Na Unico, empresa especializada em identidade digital, por exemplo, uma estrutura exclusiva ligada à Diretoria de Governança Corporativa foi criada para apoiar as demais áreas como Gestão de Riscos, Compliance, Jurídico e Políticas Públicas, T&D, Cultura e Comunicação interna e externa, além de contar com um programa dedicado aos pilares de Conformidade, Privacy by Design, Governança, Conscientização e Gestão de Riscos, que são divididos entre 11 especialistas e uma pesquisadora-chefe, o que faz com que a execução seja sempre pautada no respeito aos titulares dos dados, conformidade e melhores práticas.

Este também é o caso da BASF, indústria química, que desde 2022 possui um Comitê de Privacidade criado para construir uma cultura cada vez mais forte de proteção de dados. Nele, são discutidos o fortalecimento da governança, educação dos colaboradores e apoio em negociações. Um time de especialistas apoia a revisão de políticas, análise de riscos, condução de treinamentos e elaboração de materiais instrutivos. Além disso, há o trabalho reativo, na hipótese de ocorrência de potenciais incidentes que demandam investigação e reporte.

Na mesma página

Esse fio condutor foi reforçado por ambas as empresas por um programa de treinamentos bastante robusto e uma trilha de comunicação focada em temas sobre privacidade que ajudam a manter esses rituais de atualizações e a deixar todos na mesma página. Como explica Diana Troper, DPO na Unico.

“Um dos nossos pilares é a conscientização. Cerca de 88% do nosso quadro já está com o cronograma de treinamentos concluído. Desde 2021, intensificamos esse processo para todos os cargos, sem restrição, desenhando módulos de LGPD, direitos dos titulares e temas relacionados. Utilizamos gamificação e plataformas de ensino, treinamentos presenciais personalizados, além de eventos e podcasts. Tudo isso à disposição de toda a empresa bem como todas as nossas políticas. É essencial que os requisitos de Proteção de Dados e Privacidade estejam presentes na cultura organizacional e que o compartilhamento desse conhecimento seja apoiado por todas as áreas do negócio”, afirma a especialista.

Antes mesmo da entrada em vigor da LGPD, a BASF já respeitava os parâmetros de privacidade em razão de normas internacionais, como a GDPR, e de suas políticas internas de proteção da informação. Com a chegada da LGPD, esse compromisso se fortaleceu, segundo Hugo Mendes, Gerente de Compliance e LGPD da BASF na América do Sul. “Além de um mapeamento cuidadoso de todas as atividades de processamentos de dados, foram revistas e elaboradas políticas de privacidade e gestão de dados, ferramentas para uso de cookies, políticas de gestão de incidentes, além da criação de uma comunicação contínua e próxima dos nossos colaboradores para esclarecer seus direitos e deveres no que se refere ao tratamento de dados”, explica.

Nesse caminho, na Unico, as definições das ações para o cumprimento da LGPD se iniciaram logo em 2018. “Mobilizamos a contratação de pessoas com experiência de mercado e pesquisa para estabelecer efetivamente, em 2021, o programa de privacidade para o avanço no nível de maturidade do negócio. Temos uma DPO e uma diretoria de Políticas Públicas e Assuntos Governamentais, responsáveis em assegurar que a empresa esteja em conformidade com os regulamentos globais de privacidade de dados, estabelecendo padrões e protegendo as informações dos usuários por meio de práticas, controles e processos éticos”, ressalta Troper.

Gestão de riscos e o tratamento de dados

A Pesquisa Global de Conscientização e Treinamento em Segurança de 2023, divulgada pela Fortinet, revela que mais de 90% dos líderes acreditam que o aumento da conscientização dos funcionários sobre segurança cibernética ajudaria a diminuir a ocorrência dos ataques, enquanto mais de 50% afirmam que não possuem o conhecimento apropriado de proteção de dados. O estudo também constatou que 81% já enfrentaram algum tipo de ataque em 2022 e que foram direcionados, principalmente, aos funcionários.

Apesar do amadurecimento em relação à proteção e tratamento de dados, o Brasil ainda é um dos principais alvos de ciberataques na América Latina. Recentemente, gigantes como Americanas, Mercado Livre, Submarino, Renner, além de empresas internacionais já sofreram ataques e invasões. Para se precaver dessas ameaças, a Unico desenvolveu premissas para que cada área de negócio seja responsável pela eficácia dos controles e assegure que todas as atividades sejam testadas, de forma independente, para o tratamento adequado dos dados pessoais dos seus usuários.

A DPO da Unico explica que um respaldo são relatórios de auditoria externa, avaliações de controles internos e a contratação de fornecedores, onde os principais riscos são avaliados de modo a evitar que tratamentos indevidos aconteçam, endossando as diretrizes de segurança e privacidade. “A proteção dos dados é responsabilidade de todos e a privacidade é um valor inegociável aqui na Unico. A utilização inadequada de informações e ferramentas da companhia são considerados infrações ao código de conduta e podem gerar medidas disciplinares, que vão desde a aplicação de conscientização e medidas educativas, até advertências e desligamentos, a depender da gravidade da infração, do processo de apuração e da decisão colegiada tomada pelo comitê de ética”, explica.

A OESP não é(são) responsável(is) por erros, incorreções, atrasos ou quaisquer decisões tomadas por seus clientes com base nos Conteúdos ora disponibilizados, bem como tais Conteúdos não representam a opinião da OESP e são de inteira responsabilidade da Acesso Digital Tecnologia da Informação S.A.