Melhores Práticas em Privacidade. “Privacidade significa que as pessoas sabem para que estão se inscrevendo, em linguagem simples e reiterada. Acredito que as pessoas são inteligentes. Algumas pessoas querem compartilhar mais do que outras. Pergunte a elas.” Steve Jobs disse isso em 2010.
Mais de uma década depois, essas palavras estão lentamente, mas certamente, se tornando uma exigência para organizações sujeitas às normas de privacidade, como a LGPD e GDPR. Além da conformidade com a lei, empresas inteligentes sabem que ter um programa de privacidade em vigor é simplesmente um bom negócio. 96% dos consumidores brasileiros dizem que querem ter controle sobre como seus dados estão sendo utilizados. Isso significa que seu programa de privacidade pode ser um diferencial competitivo.
Inscreva-se no webinar: Construindo um Programa de Privacidade para a LGPD
A realidade é que 69% das empresas estão procurando “muito ativamente” moldar suas políticas de privacidade de dados. Se a sua organização se enquadra nessa estatística, estamos aqui para ajudar. Veja a seguir oito melhores práticas para criar um programa de privacidade de nível internacional.
Melhores Práticas em Programas de Privacidade
1. Conheça suas obrigações
A primeira etapa é entender o que sua organização deve considerar mais importante. Algumas obrigações a considerar são:
- As regulamentações de privacidade locais, regionais e globais que sua empresa deve cumprir, como LGPD, GDPR e CCPA.
- Códigos de conduta específicos do setor para orientação de dados, por exemplo, o HIPAA.
- Obrigações contratuais que sua empresa pode ter com clientes ou fornecedores terceirizados em relação ao tratamento de dados.
- Requisitos para lidar com dados de funcionários.
Esse processo requer uma análise de lacunas de todas as obrigações legais, regulamentares e de reputação da sua empresa. Determine qual pode ser o risco de descumprir essas obrigações, quais riscos sua empresa está disposta a assumir e como seus esforços atuais se somam. Confira as outras melhores práticas em programas de privacidade.
2. Entenda seus riscos
Outra prática recomendada é entender as chances de ocorrer uma violação. Isso envolve uma análise de:
- Fornecedores terceirizados.
- Tipos de dados (de funcionário ou de cliente).
- Nível de sensibilidade dos dados.
- Acesso dos funcionários aos dados (internos e externos).
- Processos de segurança.
- Violações de dados passadas e como sua organização as controlou.
Essa análise ajudará a compreender os riscos e o possível impacto das violações de dados. Ela também abrirá as portas para o debate sobre o nível de risco que sua empresa está disposta a aceitar.
3. Escolha uma estrutura de privacidade
Depois de entender suas obrigações e riscos, recomendamos que você desenvolva uma estrutura de privacidade. Uma estrutura de privacidade é um conjunto estruturado de diretrizes para agregar e harmonizar – e depois integrar – todos os requisitos de conformidade aplicáveis à sua organização.
Ao desenvolver tal estrutura, você terá um roteiro de implementação que descreve seus procedimentos e processos de privacidade. Isso ajudará sua organização a:
- Identificar áreas de alto risco.
- Reduzir a perda de dados.
- Verificar o nível de conformidade com leis, regulamentos e normas.
Exemplos de estruturas que fornecem orientações prévias:
4. Crie uma cultura de “privacidade em primeiro lugar”
Para que todos na empresa adotem o programa de privacidade de dados, é necessário definir o tom de cima para baixo.
Adesão da diretoria e dos executivos: A forma como os executivos falam sobre privacidade definirá o tom de como o restante da empresa enxergará essas expectativas. As opiniões deles também serão cruciais para a obtenção de um orçamento dedicado a treinamento, tecnologia e formação de equipe.
Suporte de Recursos Humanos: O próximo passo é trabalhar com o RH para dedicar uma parte do manual do funcionário ao tema da privacidade de dados. Em alguns casos, a partir do momento em que os funcionários estão se candidatando a uma vaga, eles precisam entender as expectativas da política de privacidade da empresa.
Marketing: Sua equipe de marketing desempenha um papel fundamental na comunicação de sua política de privacidade aos clientes. A área de marketing também precisará garantir que está cumprindo a legislação.
Todos os outros departamentos: Para garantir que sua cultura de “privacidade em primeiro lugar” tenha sucesso, atribua responsabilidades claras. Cada departamento, de TI à administrativo, desempenhará um papel no seu programa de privacidade. Certifique-se de que todos os departamentos entendam sua função e tenham os recursos necessários para alcançar resultados. Também é importante que todos os departamentos conversem com a equipe de privacidade para saber quais projetos ou decisões de negócios têm impacto na privacidade. Confirma mais 4 melhores práticas em programas de privacidade.
5. Mapeie seus dados
O mapeamento de dados monitora os fluxos de dados que entram, transitam e partem da sua organização. Quando executado corretamente, o mapeamento de dados apresenta claramente uma quantidade significativa de informações, como:
- De onde vieram os dados (clientes, funcionários ou terceiros).
- A finalidade dos dados (atender pedidos ou folha de pagamento).
- O canal de entrada específico, ou seja, como os dados entram na empresa (telefone, e-mail ou formulário).
- O formato dos dados (Excel, Word ou página de CRM).
- Onde os dados são armazenados (arquivos físicos, servidor interno ou na nuvem).
- O país onde os dados estão armazenados.
- De onde os dados podem ser acessados e quem tem acesso a eles.
As leis e normas de privacidade, como a LGPD e o GDPR, exigem que as organizações tenham um conhecimento abrangente de como os dados são usados, quem tem acesso a eles e onde eles estão sendo armazenados. O mapeamento de dados é a chave para entender seus dados organizacionais e garantir a conformidade com as normas.
6. Documente suas políticas de privacidade
A documentação de sua política de privacidade é muito mais do que simplesmente algo exigido por algumas leis. É também uma oportunidade da sua marca ser transparente com os consumidores, mostrando como está coletando e usando os dados deles.
O documento da sua política de privacidade também define as diretrizes apropriadas em áreas essenciais para seus funcionários, como consentimento, acesso e gestão de violação de dados.
Lembre-se de que sua política de privacidade pode se sobrepor a outras políticas da empresa. Isso inclui normas de segurança, políticas de retenção de registros e gestão de propriedade intelectual ou confidencial.
7. Ofereça treinamento a todos os funcionários
32% das violações de segurança envolvem esquemas de phishing. Algo tão simples quanto um e-mail pode custar à sua empresa a reputação ou, pior ainda, a existência dela. Por isso, é tão importante treinar os seus funcionários de forma consistente.
Seu programa de treinamento deve se concentrar no risco relacionado ao cargo de cada funcionário, bem como nas conhecidas lacunas entre conhecimento e competência deles. Para a maioria dos seus funcionários, isso envolverá a identificação dos dados aos quais eles têm acesso e treinamento sobre como uma violação pode ocorrer, como relatar incidentes e como usar adequadamente telefones, laptops de trabalho etc.
O treinamento deve acontecer regularmente, especialmente em caso de mudanças de cargo, estrutura, risco ou obrigações.
8. Avalie o desempenho
Defina indicadores de desempenho para garantir que seu programa avance conforme planejado. Pense sobre:
- O que sua organização precisa mensurar e por quê.
- Os métodos de monitoramento, medição, análise e avaliação.
- Quando o monitoramento e a medição devem ocorrer.
- Quando analisar, avaliar e reportar os resultados do monitoramento.
Auditorias são uma boa maneira de garantir que o programa seja implementado e mantido com eficácia. É recomendável fazer tanto uma auditoria interna para mensurar seu desempenho quanto uma auditoria externa para mensurar o desempenho dos seus fornecedores.
Seu programa de privacidade deve mensurar:
- A porcentagem de funcionários que foram devidamente treinados.
- O número de violações e quase violações de dados.
- O número de transferências ou avaliações de impacto concluídas.
- O tempo médio necessário para investigar e denunciar violações de dados.
- O tempo médio necessário para responder a solicitações individuais de acesso.
Ao fim da análise, resultados devem ser convertidos em relatórios e avaliados pela alta administração. Isso permitirá que eventuais melhorias e alterações necessárias sejam feitas.
Conclusão: Não execute seu programa de privacidade manualmente
Após rever as melhores práticas em um programa de privacidade, fica a reflexão: o mundo da privacidade de dados está sempre mudando. Atualmente, 66% dos países têm algum tipo de legislação de privacidade de dados, e 10% deles estão criando essas legislações.
Isso significa que sua empresa deve permanecer em conformidade com leis que mudam o tempo todo, simultaneamente gerenciando solicitações dos consumidores e documentando atividades de tratamento e transferências de dados. Não é plausível que uma organização faça tudo isso manualmente.
É aí que entra a OneTrust!
OneTrust Privacy oferece à sua empresa uma solução de conformidade poderosa e fácil de usar, que ajuda a gerenciar seu programa de privacidade em grande escala. Trata-se de gestão simplificada de privacidade. Veja como o produto funciona na prática hoje mesmo ou solicite uma demonstracão personalizada.
Leituras adicionais:
Leio o blog: LGPD: o que você precisa saber antes das multas entrarem em vigor
Leia o blog: Como a Gestão de Privacidade pode ser um diferencial competitivo
Ficha informativa: Soluções OneTrust para a LGPD
Leia o blog: OneTrust é líder no Relatório da IDC sobre Participação de Mercado em Software de Privacidade, mais uma vez!
Próximos passos:
Inscreva-se no webinar: Construindo um Programa de Privacidade para a LGPD
Confira o Guia: 5 passos para iniciar seu programa de privacidade LGPD
Confira os eventos LGPDConnect: comunidade de profissionais de privacidade e proteção de dados e participe da comunidade LGPDConnect Brasil no LinkedIn
Conheça as histórias de alguns de nossos clientes: CEMIG, Unimed Campinas, Electrolux, OR
Compartilhe
