A proteção de dados tem sido uma área bastante debatida em todo o mundo ultimamente. A importância dada ao tema pode ser observada através das regulamentações específicas sobre proteção de dados existentes em diferentes localidades. Considerando a regulamentação adotada no Brasil, especificamente a Lei Geral de Proteção de Dados (LGPD), observa-se a necessidade de treinar os funcionários das empresas sobre o que fazer e o que não fazer com o tratamento de dados pessoais. De nada adianta elaborar documentos como políticas alinhadas à lei se as pessoas das empresas não forem capazes de colocá-las em prática.
Falar em treinamento também é importante porque a maioria dos vazamentos de dados, ao contrário do que muita gente pensa, é resultado de erro humano. De acordo com o Relatório de Investigações de Violação de Dados da Verizon, em 2022 “82% das violações envolveram o elemento humano. Seja o uso de credenciais roubadas, phishing, uso indevido ou simplesmente um erro, as pessoas continuam a desempenhar um papel muito grande em incidentes e violações”. Assim, investir em treinamento[i] é uma forma de evitar incidentes, perdas financeiras e, principalmente, perda de reputação.
Utilizando a LGPD como parâmetro, o treinamento respeita o princípio da prevenção e, quando bem executado, é um dos momentos mais importantes no projeto de adequação das empresas com a referida lei. Nos treinamentos, é interessante incluir aspectos como: (i) principais conceitos da lei; (ii) os princípios e (iii) as bases legais que justificam o tratamento de dados.
Além dessas definições mais teóricas, também são abordadas questões mais práticas, como o que deve ser feito e o que não deve ser feito no contexto do tratamento de dados. Dentre o que pode ser feito, inclui-se questões como: (i) manter a confidencialidade dos dados (um alerta evitar as fofocas sobre o conteúdo da empresa!); (ii) informar imediatamente ao Encarregado de Proteção de Dados (DPO) se algum titular de dados estiver exercendo algum de seus direitos, sem responder diretamente ao titular e (iii) enfatizar que, sempre que surgir alguma dúvida, consulte o DPO antes de agir. Quanto ao que não deve ser feito, há orientações de que o colaborador não pode, dentre elas: (i) excluir ou modificar dados pessoais sem autorização; (ii) compartilhar logins e senhas de acesso à estação de trabalho ou permitir que terceiros os acessem (um alerta para não compartilhar a senha com o colega!) e (iii) compartilhar dados com terceiros não autorizados pela empresa.
A participação em treinamentos deve ser considerada obrigatória e, se possível, devem ser realizados testes sobre o conteúdo ensinado para avaliar a compreensão do assunto e, assim, observar possíveis pontos de melhoria, por meio de uma análise de acertos e erros por assunto, para que se possa focar mais nos assuntos que apresentaram mais erros.
Além disso, também é importante destacar que a comprovação do treinamento também é uma forma de a empresa se proteger minimamente em um cenário de incidente, tendo em vista que a empresa poderá mostrar o treinamento como uma das ações tomadas para evitar que o incidente ocorresse. A gravação do treinamento, a avaliação e as notas obtidas, a lista de presença, e os certificados emitidos podem ser utilizados como prova do treinamento.
Treinamentos devem decorrer regularmente e sobre vários temas relacionados com a proteção de dados, tendo em vista que há sempre algo para aprender e algo para lembrar. Treinamento e conscientização caminham juntos para uma cultura de proteção de dados cada vez mais forte.
[i] Verizon. (2022). Dados de 2022 – Relatório de Investigações de violação de dados. Disponível em: https://www.verizon.com/business/resources/Te07/reports/dbir/2022-data-breach-investigations-report-dbir.pdf
Advogado. Pós-graduado em Direito Empresarial pela FGV São Paulo. Alumni do Data Privacy. Associado ao International Association of Privacy Professionals (IAPP). Membro da Comissão do Novo Advogado do Instituto dos Advogados de São Paulo (IASP).