Por Lucélia Bastos Gonçalves Marcondes, advogada no escritório Rücker Curi Advocacia e Consultoria Jurídica e atuante em Proteção de Dados.
Ainda que a Lei Geral de Proteção de Dados Pessoais (LGPD) tenha promovido destaque ao assunto, a privacidade é um direito há muito tempo previsto na própria Constituição Federal, ao considerar a inviolabilidade da intimidade, vida privada, honra e imagem das pessoas.
Trata-se de direito cada vez mais necessário, devendo ser observado pelas empresas sem qualquer dúvida ou pretexto. Proteger os dados é uma obrigação e não há como fugir.
Diante do crescente número de incidentes envolvendo dados pessoais e a quebra da privacidade das pessoas, os direitos estampados na legislação brasileira se tornaram ainda mais importantes.
A elevada frequência de vazamento de informações evidencia a necessidade da criação de leis rígidas de proteção de dados, mas o caminho para se adequar a estas normas nem sempre é dos mais fáceis.
Ao falar da conscientização da equipe de trabalho, a primeira informação a ser esclarecida é o fato de o empregado não ser considerado um agente de tratamento (operador ou controlador) de dados pessoais.
Quando um empregado está exercendo a atividade para o qual foi contratado, ele atua em nome da organização que controla ou opera dados nos termos da lei e é esta a responsável pelo tratamento dos dados pessoais.
A pessoa física somente será considerada um agente de tratamento quando atuar de forma autônoma no tratamento dos dados pessoais, coletando dados em território nacional ainda que realize o seu processamento fora dele.
Como agente de tratamento, é responsabilidade da empresa conscientizar e realizar os devidos treinamentos aos seus colaboradores.
Para isso, deverá considerar um projeto de adequação às regras de proteção de dados, sendo recomendado no próprio texto da Lei a implementação de um programa de governança em privacidade contendo.
No mínimo, políticas internas que assegurem o cumprimento de normas e boas práticas relativas à proteção de dados incluindo, além das medidas técnicas, o fator humano como potencial risco ao tratamento dos dados.
Um dos pontos mais desafiadores para o amadurecimento da proteção de dados nas organizações está na capacitação dos agentes colaboradores, uma vez que envolve o aculturamento e o engajamento de pessoas que historicamente já padecem de uma comunicação falha.
Para a conscientização da equipe de trabalho, aplica-se o conceito comumente usado no compliance, ou seja, a obediência à lei de proteção de dados requer a presença do requisito “tom da liderança” pelo qual qualquer orientação deve ser seguida por todos os membros, sobretudo os líderes, administradores e gestores que, devido ao nível elevado que ocupam, devem atuar como exemplos de conduta ética e comprometimento com a própria organização.
O envolvimento da alta administração através de manifestações verbais em ocasiões de contato com os seus subordinados, incentivo, apoio e a demonstração de ações colaboram para o envolvimento da equipe.
O efetivo engajamento, correção de eventuais desconformidades e o estabelecimento de uma cultura que valorize a privacidade e a proteção dos dados pessoais, é necessária a apresentação de regras através de um documento de fácil acesso e compreensão a todos os colaboradores da organização.
Para isso, a elaboração de um código de ética e políticas internas contribuem para a correta conduta dos colaboradores dentro das empresas, tratando dos valores, princípios e regras, servindo como guia para a adoção de boas práticas éticas e legais também no tratamento dos dados pessoais, devendo, para isso, ser um documento sempre atualizado.
Para a elaboração dos documentos pertinentes e a realização dos treinamentos e palestras de conscientização, recomenda-se a contratação de uma equipe de consultoria especializada que detenha conhecimento jurídico para a devida orientação acerca das responsabilidades advindas da Lei Geral de Proteção de Dados e conhecimento em segurança da informação, de modo que as vulnerabilidades sejam detectadas e corrigidas, pensando sempre no tratamento dos dados pessoais da forma mais segura possível.
